Hacker haalt logingegevens uit database onofficiële Hyves-gadget

Een hacker is erin geslaagd om een dump te maken van de database van Tellertje.com, een statistieken-add-on voor Hyves-profielen. Het is onbekend hoeveel gebruikersgegevens zijn buitgemaakt; de site heeft 53.000 gebruikers.

De hacker deed zijn ontdekking uit de doeken in een inmiddels verwijderd topic op een hackersforum. Hij plaatste een lijst van buitgemaakte accounts, waarbij naam, Hyves-gebruikersnaam, geslacht, e-mailadres en een hash van het wachtwoord zichtbaar waren. In het topic vraagt de hacker gebruikers van het forum om de hashes te 'decrypten'.

Op Tellertje.com kunnen gebruikers een statistieken-gadget aanmaken voor hun Hyves-profiel. Eigenaar Alexander Willemsen van Scito Media, het bedrijf achter Tellertje.com, geeft toe dat er accounts zijn buitgemaakt. "We hebben ook contact gehad met die hacker", zegt Willemsen. "We hebben besloten om geen aangifte te doen."

Willemsen kan niet aangeven hoeveel gegevens zijn buitgemaakt en hoe dit kon gebeuren. "Volgens de hacker kon dat door een lek, maar we weten niet of dat bijvoorbeeld in het besturingssysteem was." Inmiddels zou de fout niet meer voorkomen, bezweert Willemsen. In het topic doet de hacker overigens uit de doeken dat hij de gegevens door een bug in phpMyAdmin heeft kunnen ontfutselen.

Volgens eigenaar Willemsen zijn de wachtwoorden dubbel gecodeerd als md5-hash. Dat blijkt in ieder geval niet voor alle wachtwoorden te gelden; Tweakers.net slaagde erin om diverse hashes met behulp van rainbow tables om te zetten naar platte tekst. Deze waren slechts eenmalig gecodeerd en de hash was niet beschermd met een salt.

Doordat gebruikers ook hun Hyves-gebruikersnaam op moeten geven, betekent dit dat ook de Hyves-account van een gebruiker kan worden gekraakt, als zijn wachtwoord identiek is aan het wachtwoord op Tellertje.com. Tweakers.net heeft kunnen verifiëren dat het mogelijk is om op een Hyves-account in te loggen met de informatie uit het forumtopic. Willemsen zegt de 'ophef' niet te begrijpen: "Er worden elke dag Wordpress-weblogs gekraakt, en die komen niet in het nieuws."

Hyves zegt in een reactie contact te hebben gehad met Tellertje.com. Op de site staat nu expliciet aangegeven dat gebruikers hun Hyves-wachtwoord niet hoeven op te geven, laat woordvoerder Wouter Glaser weten. De site maakt geen gebruik van Hyves' officiële api, maar werkt door html-code op een profiel in te voegen.

IT-banen

Reacties (93)

xorinzor 14 februari 2011 15:36

geen wonder ook, PhpMyAdmin wil je ook nooit op een live website hebben te draaien, die is behoorlijk snel te kraken..

offtopic: @webmasters als je het draait, verander dan even de mapnaam phpmyadmin in iets van mysqldingetjebeheer ofzo want die bots scannen op alle vergelijkbare namen van "phpmyadmin"

herbalx @xorinzor • 14 februari 2011 16:58

Er is weinig mis met PMA, alleen moet je alles wel juiste configureren dus ook je (netwerk) toegang. Als je de juiste opstelling met de juiste configuratie draait is weinig kans dat deze gecompromitteerd wordt.

Het veranderen van de standaard PMA dir kan daaraan bijdragen. Net als het gebruik van sterke wachtwoorden, inlog beperkingen, het updaten van je software (incl plugins), het updaten van je OS en het beperken van de rechten van processen.... dit zijn maar enkele allround maatregelen die je kunt nemen

Natuurlijk zijn er tal van andere maatregelen die je kunt nemen, zoals bijv. het versleutelen van database informatie, maar dit is een repressieve maatregel. Het beschermd tegen extra als gevolg van een geslaagde aanval waarbij je wilt voorkomen dat de data ten prooi valt. Het feit dat voor het versleutelen van de data MD5 gebruikt is geeft aan wel belang Hyves aan beveiliging hecht. MD5 een matige beveiliging en wordt pas sterk wanneer je wachtwoorden boven de 12 tekens afdwingt.

De MD5 tot 10 tekens kunnen vrijgemakkelijk gekraakt worden met behulp van rainbowtables (daar boven natuurlijk ook, maar dit is afhankelijke van de beschikbare tabelen of de ruimte & tijd die je hebt om de tabelen te generen) Tevens kan MD5 ook makkelijke gekraakt worden met behulp van een GPU's een SLi opstelling van twee keer GTX 470 kraakt wachtwoorden tot 8 tekens in een dag (afhankelijke van de te testen karakters; low case, high case, space, numbers en overige ASCII tekens) Het is daarom aan te raden op z'n minst SHA1 en nog liever SHA2 te gebruiken als HASHing techniek.

Emunator @herbalx • 14 februari 2011 17:14

Het feit dat voor het versleutelen van de data MD5 gebruikt is geeft aan wel belang Hyves aan beveiliging hecht. MD5 een matige beveiliging

Het ging hier om de database van Tellertje niet die van hyves.

Tom-Eric @xorinzor • 14 februari 2011 16:44

Een andere oplossing is om phpMyAdmin met behulp van .htaccess en .htpasswd af te schermen voor de buitenwereld. Eventuele bugs in de software kunnen dan alleen geexploit worden als de username en wachtwoord bekend zijn.

tweakerbee @Tom-Eric • 14 februari 2011 23:14

.htaccess en .htpassword? Je bedoelt BASIC authentication, of op z'n best DIGEST. Dat is ook niet veilig, iedereen die mee kan luisteren op je netwerk heeft dat wachtwoord zo te pakken. Heel misschien helpt het een beetje, mits het over HTTPS draait.

Tom-Eric @tweakerbee • 15 februari 2011 10:33

Het zorgt ervoor dat er geen PHP code wordt uitgevoerd voordat gebruikersnaam en wachtwoord bekend zijn. Bots die scannen naar exploits worden dus meteen de deur gewezen.

HTTPS is inderdaad geen overbodige luxe! Maar op het moment dat mensen man-in-the-middle aanvallen gaan uitvoeren zijn er nog een heleboel andere dingen waar je ook op moet letten!

WimBarelds @xorinzor • 14 februari 2011 16:45

.htaccess? .htpasswd? En gewoon helemaal geen externe IP addressen toelaten zou ik zeggen.

mxcreep @WimBarelds • 15 februari 2011 08:55

skip-networking... beheren doe je maar via de mysql cli tool...

Op een dev server kan phpMyAdmin wel handig zijn maar wat moet je ermee op een productie server...

[Reactie gewijzigd door mxcreep op 26 juli 2024 16:03]

YopY @xorinzor • 14 februari 2011 15:45

Wat misschien nog beter is: PMA helemaal verwijderen en gebruik maken van lokaal draaiende MySQL administratieprogramma's zoals MySQL's eigen MySQL Workbench. Ook de webserver natuurlijk zodanig configureren dat alleen localhost en jouw eigen IP-adres (thuis) verbinding mogen maken met de DB server.

arjankoole

Beveiliging
Bugs

@YopY • 14 februari 2011 16:12

Als ik je verhaal zo eens lees heb je er niet bijzonder veel kaas van gegeten. Je ideeen zijn opzich best aardig, je moet alleen wel iets groter / beter schaalbaar denken.

Oh, en ga er niet van uit dat je een GUI hebt op de MySQL server.

thuijzer @arjankoole • 14 februari 2011 17:21

MySQL Workbench is een GUI voor je MySQL server

(tip: meer kaas eten)

SPee @arjankoole • 14 februari 2011 16:18

Meestal wel op je lokale desktop

En als je die als enige 'externe verbinding' ook toelaat, heb je geen phpMyAdmin nodig.

phpMyAdmin enkel je bedrijfs-IP te laten accepteren is ook een optie.

EnigmA-X

@SPee • 14 februari 2011 18:24

Ik ken MySQL workbench niet zo heel goed. Ik weet wel dat verreweg de meeste soorteglijke tools gewoon unencrypted authenticeren. Niet echt heel veilig dus.

Een enkel ip'tje openzetten is ook niet echt heel veilig, helemaal niet als dat een bedrijfs-ip is, waar meerdere mensen achter schuilen.

Als je echt heel graag remote wil kunnen connecten, zou je ook gebruik kunnen maken van een simpele ssh-tunnel. Dat heeft twee voordelen:

Je hoeft je MySQL server niet op een publiek ip adres te laten luisteren (localhost is voldoende)
Al je traffic van en naar je mysql server is encrypted

analog_ @EnigmA-X • 14 februari 2011 18:55

Dat klopt dus niet, het mooie is dus dat bench tegenwoordig een port mapping kan aanleggen over een ssh tunnel. Dit is ook logisch als je weet dat sinds een jaartje alle installaties enkel op je local interface draaien.

EnigmA-X

@analog_ • 15 februari 2011 19:14

De workbench heeft een eigen ssh client ingebouwd en bouwt zijn eigen ssh-tunnel.

Waar het om gaat is dat bij phpmyadmin je mysql-server ook niet op een publiek ip hoeft te luisteren, maar het relatief toch onveilig is (zelfs met https). Een tool gebruiken als workbench is al beter, maar is *vaak* unencrypted. Ook workbench kan gewoon unencrypted werken. Blijkbaar *ook* via een ssh-tunnel, via de ingebouwde client.

Het mooie van een losse ssh-tunnel is dat je *iedere* tool veilig kan gebruiken. Vrijheid = blijheid

daft_dutch @SPee • 14 februari 2011 20:50

phpMyAdmin enkel je bedrijfs-IP te laten accepteren is ook een optie.

En voor de "sysadmins" die ergens in het web een servertje hebben. Draai het alleen op de localhost. Kan je met remote desktop of ssh prima connectie mee maken.

GenBJ @arjankoole • 14 februari 2011 19:28

Als ik een sql server wil gebruiken om met php te communiceren. Wat moet ik dan gebruiken wat wel veilig is?

Verwijderd @GenBJ • 14 februari 2011 20:02

MySQL is wel veilig, maar PHPMyAdmin is NIET veilig.

Je kan dus prima (My) SQL gebruiken, maar laat niet je phpmyadmin scripts zomaar in een openbare folder staan.

Het is een beetje als standaard TeamView draaien; zolang je pc gewoon werkt heb je het toch niet nodig, en je creëert alleen maar extra risico! (alhoewel TV redelijk safe is)

Zeker als je thuis een beetje gaat zitten aank**en, kan je prima PHPMyAdmin gebruiken, maar zet het niet live (aka; op internet).

Fjerpje @Verwijderd • 14 februari 2011 22:30

Elke grote hoster knalt phpmyadmin op het internet. Met name Antagonist heeft al z'n pakketten uitgerust met phpmyadmin die gewoon met /phpmyadmin te benaderen zijn. Zij hebben ruim 46.153 domeinen in de lucht dus ik neem aan dat zij wel weten wat ze doen.

[Reactie gewijzigd door Fjerpje op 26 juli 2024 16:03]

GenBJ @Fjerpje • 15 februari 2011 07:56

dat dacht ik ook ja

GenBJ @Verwijderd • 14 februari 2011 22:42

Dus dit:
http://www.antagonist.nl/help/hosting/database

het feit dat ze phpMyAdmin gebruiken, is niet veilig?

Sfynx @Verwijderd • 15 februari 2011 05:44

phpMyAdmin is qua databasetoegang net zo veilig als MySQL zelf als je het in cookie mode gebruikt. Dan moet je namelijk inloggen met een MySQL account en kan phpMyAdmin alleen doen wat de DBA wil dat het doet.

Een MySQL wachtwoord hard in de phpMyAdmin configuratie pleuren is wellicht wel vragen om problemen ja.

mxcreep @Sfynx • 15 februari 2011 08:54

Wel even SSL eroverheen dan...

Bender @xorinzor • 14 februari 2011 23:48

Maak dan ook je bewering waar, want het is echt onzin wat je zegt.

masauri 14 februari 2011 15:37

"Er worden elke dag Wordpress-weblogs gekraakt, en die komen niet in het nieuws."
Alleen zijn deze vaak niet zo populair als 1 van nederlands grootste social network?

arjankoole

Beveiliging
Bugs

@masauri • 14 februari 2011 16:13

Hyves is ook niet gehacked, maar een onofficieele gadget.

supersnathan94

Internet
Datalek

@arjankoole • 14 februari 2011 19:27

klopt maar heel veel mensen (53000) maken gebruik van die gadget. die zijn nu dus allemaal in een keer de sjaak. stel dat er gemiddeld 5 wordpress blogs worden gehackt per dag. dan duurt het dus nog 53.000/5 = 10.600 dagen oftewel bijna 30 jaar voordat dat aantal bereikt is. Dit is dus een zeer zwak argument. 30 jaar vs. een dagje. wat is nou erger?

Verwijderd @supersnathan94 • 14 februari 2011 20:06

Er worden wel wat meer dan 5 per dag gekraakt...

Als je eenmaal een bug hebt gevonden kan je gewoon een soort spider loslaten d'r op, en je hebt in no-time een tiental blogs (waarschijnlijk nog VEEL meer).

Daarnaast hebben de meeste blogs >1 gebruiker... denk dat 100 gebruikers wel redelijk standaard is (bezoekers tellen ook mee he!)

OddesE @supersnathan94 • 14 februari 2011 21:20

klopt maar heel veel mensen (53000) maken gebruik van die gadget. die zijn nu dus allemaal in een keer de sjaak.

Hoezo? Voor zover ik hier lees zijn het gewoon afzonderlijke sites met afzonderlijke accounts. De één is gekraakt, de ander niet.

Gebruik je nou voor beide accounts dezelfde gebruikersnaam en wachtwoord dan heb je wellicht een probleempje, maar dat zal niet voor alle 53.000 gebruikers gelden hoop ik toch!

the_stickie @masauri • 14 februari 2011 19:33

ja, er is elke dag wel iemand die een wachtwoord raadt en wat zooi post. Ihmo is dit amper hacking en al helemaal niet te vergelijken met de database met accountgegevens leeghalen.
Dhr Willemsen heeft duidelijk niet echt veel ICT ervaring, al is dat "the most lousy excuse ever"; zelfs al heeft hij normaliter technische mensen die dit soort zaken voor hem moeten regelen.
In dat geval heeft hij imho minstens één managementsfout gemaakt: de expertise (en dus uitleg) van zijn mensen onvoldoende naar waarde geschat. Daardoor is hij slecht voorbereid op het interview en maakt hij het verantwoordelijke (ICT!) bedrijf gewoon belachelijk

edit: volgens de website betreft het geen ICT maar een webdevelopment bedrijfje en is het bovendien een eenmanszaak. De uitleg hierboven gaat dus uit van een foutieve veronderstelling. Met de juiste gegevens ziet het er overigens allleen maar triester uit.

Wanneer komt er wetgeving die de consument beschermt tegen incompetente internetbedrijven?

[Reactie gewijzigd door the_stickie op 26 juli 2024 16:03]

Verwijderd @the_stickie • 14 februari 2011 21:05

En die hacker dan? Dat ie niet aangeklaagd wordt... ik vraag me werkelijk af of ie geen kwaad in de zin had, gezien dat ie op een forum vroeg om de wachtwoorden te kraken/decrypten. Dat doe je niet om effe een lolletje te trappen.

OddesE @Verwijderd • 14 februari 2011 21:22

Ja die moet natuurlijk ook aangepakt worden, maar ondertusen wordt er behoorlijk wat afgeprutst met de vertrouwelijke gegevens van gebruikers en ik zie niet eens boetes vallen of niks. Het wordt inderdaad tijd dat men eens wat actiever dit slordig omgaan met de gegevens van gebruikers gaat aanpakken.

Verwijderd @masauri • 14 februari 2011 16:10

Redelijk arrogant ook, alsof hij daarom zijn beveiliging niet op orde hoort te hebben. Dit soort mensen moeten ze van het interweb afsluiten.

OddesE @Verwijderd • 14 februari 2011 21:17

Inderdaad! Boetes, please, voor dit soort bedrijven. Wat een houding!

Willemsen kan niet aangeven hoeveel gegevens zijn buitgemaakt en hoe dit kon gebeuren. "Volgens de hacker kon dat door een lek, maar we weten niet of dat bijvoorbeeld in het besturingssysteem was." Inmiddels zou de fout niet meer voorkomen, bezweert Willemsen.

Ok. We weten niet wat het lek was, maar wel dat het gefixed is.

Eh?

Tweakers.net heeft kunnen verifiëren dat het mogelijk is om op een Hyves-account in te loggen met de informatie uit het forumtopic.

Slechte zaak Tweakers. Als iemand dezelfde gebruikersnaam en wachtwoord gebruikt dan zal dat gaan ja. Je hoeft niet de privacy van die gebruikers te schenden door dat even te 'verifieren' door in te loggen op een account die niet van jou is.

Verwijderd @OddesE • 14 februari 2011 22:41

Ik denk zomaar dat ze een eigen account gebruikt hebben... Of in ieder geval met toestemming van de eigenaar.

kimborntobewild @Verwijderd • 14 februari 2011 17:54

Da's niet redelijk arrogant, maar uiterst arrogant.

Peatsmoke

14 februari 2011 15:37

Het valt me op dat steeds meer mensen gebruik maken van dezelfde username en wachtwoordcombinatie op verschillende sites.
Dat het niet veilig is weten we allemaal, maar kennelijk gaat het gemak dan toch weer boven de veiligheid.
Dan ligt je privacy dus op straat, maar ja... wie maalt er om privacy als je Hyves gebruikt?

Kiswum @Peatsmoke • 14 februari 2011 16:18

Logisch, dat doen heel veel mensen. Je vult voor elke website toch ook niet steeds verschillende mail adressen? Wellicht hoogstens 2-3 verschillende(1 voor betrouwbare en 1 voor louche websites.) Dat is (bij mij) ook zo met wachtwoorden. De meeste mensen gebruiken voor diverse websites hetzelfde wachtwoord.

Aan de andere kant als je je gegevens wilt verspreiden via dit soort tooltjes dan neem je altijd het risico dat deze gegevens bewust of onbewust op straat komen te liggen.

wizzkizz @Kiswum • 14 februari 2011 16:38

Met programmaatjes als KeePass vind ik persoonlijk dat er geen echt excuus meer is om voor elke site hetzelfde wachtwoord te gebruiken. Syncen tussen computers en met je telefoon is in veel gevallen geen probleem, draait onder Windows, Linux en Mac OS etc.

Dus zelf heb ik voor elke site een ander e-mailadres en een ander (sterk) wachtwoord ja.

vgroenewold @wizzkizz • 14 februari 2011 17:09

Mwoa, ik gebruik idd keepass, maar dat is natuurlijk net zo goed een "single point of failure" met 1 password voor dat programma. Ik ben ook benauwd mocht ik niet meer bij mijn passwords kan komen. Nu heb ik dus gewoon een heel sterk password wat ik overal invul, moet wel bruikbaar blijven voor me.

Durandal @vgroenewold • 14 februari 2011 18:00

Dat heel sterke password is dan dus overal bekend.

psychodude @vgroenewold • 14 februari 2011 18:44

Er hoeft maar 1 site tussen te zitten waarbij je registreerd en helemaal niet encrypt en je sterke paswoord is verder ook helemaal niks meer waard.

Verwijderd @Peatsmoke • 14 februari 2011 15:53

nou als je je hyves op prive hebt staan zeg maar of bijna niks op je hyves zet.....
ik heb hyves maar gebruik het nauwelijks...
twitter is erger.... daarom gebruik ik dat uit principe al niet...
ooit gehoord van de website die ooit is gemaakt om twitter af te scannen op hoeveel mensen er op dat moment uit huis zijn en zo een potentiele inbreekadress vormt???
jammergenoeg is die site uit de lucht gehaald...
maar het laat wel zien hoe onveilig dingen zoals twitter etc zijn waar je je status zo blijft updaten

Cartman!

14 februari 2011 15:40

Dat is ook de reden waardoor je gebruik hoort te maken van de officiele Hyves Data-API icm. OAuth. Je hoeft dan geen username/password door te geven maar toestemming te geven voor de app van de site. Die werken vervolgens met tokens (een soort vervanging van username/password). Dan had Hyves gewoon de consumerkey en/of tokens kunnen blokkeren en was het opgelost zonder dat de gebruiker daar hinder van ondervind.

OddesE @Cartman! • 14 februari 2011 21:26

Jongens, dit is volgens mij heel iets anders.

Het is gewoon een web tellertje en behalve dat je dat tellertje op je Hyves pagina kunt zetten heeft het verder weinig met Hyves te maken. Tellertje.com heeft geen toegang tot je Hyves account nodig. Je hebt een eigen losse account voor Tellertje.com die niks met Hyves te schaften heeft en daar zijn er 50.000 van gekraakt.

Hoeveel van die mensen voor het gemak hetzelfde gebruikersnaam en wachtwoord op beide sites gebruiken is natuurlijk een interessante vraag...

Cartman!

@OddesE • 14 februari 2011 21:48

Je hebt gelijk

Nu ik het iets beter lees is het me duidelijker

xorinzor @Cartman! • 14 februari 2011 15:44

de oude variant van de Hyves Data-API was toch al uit gebruik genomen dacht ik?

Cartman!

@xorinzor • 14 februari 2011 16:04

Durf ik niet te zeggen, ik hoop het wel ieder geval.

Opperpanter2 14 februari 2011 15:44

"Willemsen kan niet aangeven hoeveel gegevens zijn buitgemaakt en hoe dit kon gebeuren. "Volgens de hacker kon dat door een lek, maar we weten niet of dat bijvoorbeeld in het besturingssysteem was." Inmiddels zou de fout niet meer voorkomen, bezweert Willemse".

Ze weten (wisten) niet waar het door komt, maar het is wel "opgelost" of kan niet meer voorkomen?

ToySoldier1992 @Opperpanter2 • 14 februari 2011 15:47

Ik wou net precies hetzelfde gaan posten... Als ze niet weten waar de fout zit, kunnen ze het niet oplossen. Of gaan ze de hele site ervoor platleggen?

OddesE @ToySoldier1992 • 14 februari 2011 21:31

Of gaan ze de hele site ervoor platleggen?

Dat mag ik in principe wel hopen ja. Als je dienst privé gegevens lekt dan voorkom je eersr verdere lekkage (door de site offline te gooien in het ergste geval) en daarna los je het probleem op.

Je laat niet de gegevens van je gebruikers moedwillig onbeschermd online staan... tenzij je vakantieveilingen.nl heet natuurlijk.

PhysicalMagic 14 februari 2011 17:13

De site wordt zelf niet al te vaak geüpdate denk ik..

http://www.tellertje.com/rangen.html:

De ranglijst kent op dit moment 11 rangen, als we de 6000 leden passeren hebben wij besloten meer rangen toe te voegen om stijgingen nog aantrekkelijker te maken. Het zal dus zeker de moeite waard zijn om te blijven stijgen in de ranglijst.

hoewel het artikel zegt:

Het is onbekend hoeveel gebruikersgegevens zijn buitgemaakt; de site heeft 53.000 gebruikers.

Verder wat meer ontopic:

In het topic vraagt de hacker gebruikers van het forum om de hashes te 'decrypten'.

Is het gebruikers gelukt om de wachtwoorden te decrypten dan en zijn er echt accounts gehacked?

the_stickie @PhysicalMagic • 14 februari 2011 19:44

ja:

Tweakers.net heeft kunnen verifiëren dat het mogelijk is om op een Hyves-account in te loggen met de informatie uit het forumtopic.

lezen

OddesE @the_stickie • 14 februari 2011 21:38

Tweakers.net heeft met de illegaal buitgemaakte gegevens van Tellertje.com accounts op de Hyves accounts van nietsvermoedende gebruikers ingebroken... niet echt iets om trots op te zijn wat mij betreft.

En een les: gebruik meerdere gebruikersnaam / wachtwoord combinaties en zorg dat sites die logische relaties met elkaar hebben andere combi's krijgen. Dus als je ergens je Hotmail adres opgeeft als e-mail adres, gebruik dan een ander wachtwoord als voor die Hotmail account.. anders maak je het hackers, andere ongure figuren en Tweakers.net wel heel makkelijk om je privacy te schenden.

boyd91 14 februari 2011 15:42

"Willemsen zegt de 'ophef' niet te begrijpen: "Er worden elke dag Wordpress-weblogs gekraakt, en die komen niet in het nieuws.""

Wat een reactie... Dat hij dat durft te zeggen als vertegenwoordiger van een internetbedrijf. Lekken in sociale media websites zoals hyves moeten wij mij betreft een stuk serieuzer genomen worden dan een weblog dat gehackt word. Aangezien het hier gaat om de prive-gegevens en foto's van 53.000 individuelen.

mickje12 @boyd91 • 14 februari 2011 16:20

Ik ben het helemaal met je eens dat er een stuk serieuzer naar gekeken moet worden. Alleen zijn niet de gegevens van 53.000 mensen gelekt, de site heeft 53.000 gebruikers. Hoeveel gegevens er gelekt zijn is niet bekend.

Verwijderd @mickje12 • 14 februari 2011 21:07

Misschien zelfs wel meer foto's; ondanks dat het minder dan 53.000 gebruikers zijn, heb je nog wel het probleem dat er ook foto's van mensen uit de vriendenlijst bekeken konden worden (die alleen zichtbaar voor vrienden waren)...
Zet niks op het internet waarvan je niet wil dat iedereen het kan lezen...

OddesE @boyd91 • 14 februari 2011 21:27

Niet de Hyves gegevens zijn gelekt, maar de accounts van Tellertje.com...

mpkossen 14 februari 2011 16:04

Een bug in phpMyAdmin? Natuurlijk, het is niet perfect, maar het zou me echt heel erg verbazen als dat zo zou zijn. Ik kan in de bug-tracker van phpMyAdmin niets vinden (http://sourceforge.net/tr...=&submitter=&artifact_id=) en ik gok dat het wel bekend zou moeten zijn als het een dermate grote bug is dat je erdoor met gegevens mee aan de haal kan gaan.

Het lijkt echt een klassiek gevalletje van slechte security. Ook omdat de double md5-hash niet op alle wachtwoorden te zijn toegepast en dat er geen salt wordt gebruikt.

[Reactie gewijzigd door mpkossen op 26 juli 2024 16:03]

OddesE @mpkossen • 14 februari 2011 21:34

De 'bug' was waarschijnlijk dat alles compleet open stond. Deze man weet alleen nog niet of hij daarvoor phpMyAdmin of het OS de schuld moet geven.

Of Wordpress.

Het is in ieder geval niet zijn schuld..

Cronax @mpkossen • 14 februari 2011 16:21

Mja als je een vooroorlogse versie van phpMyAdmin draait zullen er vast nog bugs in zitten, niet iedereen zit er even dicht op als zou moeten...

Thralas @mpkossen • 14 februari 2011 16:52

Inmiddels al meer dan een jaar oud, maar in 2009 kwam er een vulnerability in setup.php aan 't licht. Zie ook http://tinyurl.com/6zbmorc

Verwijderd 14 februari 2011 19:16

Enkele punten op een rij vanuit Tellertje.com:

Ten eerste is dit voor ons een zeer leerzaam punt: Wij gaan er alles aan doen om onze beveiliging te versterken en onze leden beter van dienst te zijn. Dat staat boven alles.

Een zeer belangrijk feit is echter ook dat deze wachtwoorden van deze accounts nooit zijn gebruikt en enkel voor een toekomstig doel geimplementeerd zijn zodat Tellertje leden zich dan aan een Skin zouden kunnen koppelen. Daarbij is er uitgebreid in hoofdletters aangegeven dat wachtwoorden van Hyves niet gebruikt moeten worden als wachtwoord.

Sterker nog: We hebben zojuist alle wachtwoorden gewist en daarbij ook het gebruik van wachtwoorden in het registratie formulier volledig gewist.

Dit probleem heeft zich een maand geleden afgespeeld (15 jan). Er is direct contact geweest met Hyves / Fora, etc en alle data is gewist

Er is direct na het probleem actie ondernomen met de beveiliging en wachtwoorden, het was voor ons toen nog wel onduidelijk waar het lek zat, er werd alleen aangegeven dat er ergens een lek aanwezig was. Alles is direct volledig door elkaar gehaald. Daarbij zijn alle relevante wachtwoorden gewijzigd.

De niet 'mediatraining' reacties zijn wellicht veroorzaakt doordat Alexander zich op de piste bevond en het niet eens was met het plaatsen van dit bericht door de redacteur van Tweakers, zoals men kan begrijpen geeft een bericht als dit voor alle partijen problemen.

De site maakt geen gebruik van Hyves' officiële api, maar werkt door html-code op een profiel in te voegen. Dit is een bewuste keuze, wij hebben namelijk geen profiel gegevens van de gebruikers nodig om de teller te laten werken, we vragen alleen de hyves profiel naam voor onze eigen rankings.

Er zijn 181 accounts van de applicatie met 'de beveiliging nog actief' openbaar gemaakt. Tot zover is het niet bekend of er überhaupt 1 account gedecrypt is en dus ook gehackt is, wij hopen dit echter vanzelfsprekend niet.

Alle gegevens van degene die in de database heeft ingebroken en deze probeerde te decrypten (voornaam / achternaam, woonplaats, adres en leeftijd en bewijs dat hij wist dat hij fout zat met zijn daden & alle internetgegevens) zijn in ons bezit. Ook niet geheel onbelangrijk is dat hier zware straffen op zitten " http://www.infopolitie.nl...d=136:computers&Itemid=43 " en de jongen in kwestie is minderjarig.

De hacker is volgens zijn eigen woorden via een tidelijke PHPMyAdmin bug op de site binnengekomen.

Daarbij is password re-use een zeer gevaarlijk fenomeen, zelf heb ik hier op een eigen weblog laatst nog een uitgebreid artikel over geschreven.

Gomez12 @Verwijderd • 14 februari 2011 19:54

Ten eerste is dit voor ons een zeer leerzaam punt: Wij gaan er alles aan doen om onze beveiliging te versterken en onze leden beter van dienst te zijn. Dat staat boven alles.

Je bedoelt dat jullie je beveiliging naar het absolute minimale niveau (md5 met hash) gaan tillen?

Daarbij is er uitgebreid in hoofdletters aangegeven dat wachtwoorden van Hyves niet gebruikt moeten worden als wachtwoord.

Tja, dan ken je je eigen klanten niet. Gemiddelde hyves-gebruiker leest niet en heeft maar een heel beperkt aantal wachtwoorden.

Er is direct na het probleem actie ondernomen met de beveiliging en wachtwoorden, het was voor ons toen nog wel onduidelijk waar het lek zat, er werd alleen aangegeven dat er ergens een lek aanwezig was. Alles is direct volledig door elkaar gehaald. Daarbij zijn alle relevante wachtwoorden gewijzigd.

Is er ondertussen wel duidelijk waar het lek zat? Of is er gewoon maar van alles door elkaar gehaald en dat zou het moeten oplossen?

zoals men kan begrijpen geeft een bericht als dit voor alle partijen problemen.

Zoals men kan begrijpen is het kwaad al geschied en is het stilhouden enkel maar slecht voor de gebruikers die zich van geen kwaad bewust zijn.

Tot zover is het niet bekend of er überhaupt 1 account gedecrypt is en dus ook gehackt is, wij hopen dit echter vanzelfsprekend niet.

Enkele md5-hashes zonder salt, de eerste accounts waren waarschijnlijk al binnen 5 seconden gedecrypt...

Ook niet geheel onbelangrijk is dat hier zware straffen op zitten " http://www.infopolitie.nl...d=136:computers&Itemid=43 " en de jongen in kwestie is minderjarig.

Tja, zullen we het dan maar niet hebben over dat die straffen al een heel stuk minder worden als de beveiliging van de site zelf niet op een minimaal niveau is?

De hacker is volgens zijn eigen woorden via een tidelijke PHPMyAdmin bug op de site binnengekomen.

Begrijp ik nu goed dat jullie momenteel dus nog steeds geen idee hebben waar het lek zit? Na een maand tijd komen jullie niet verder dan dat de hacker zegt dat het daarin zat?

supersnathan94

Internet
Datalek

@Verwijderd • 14 februari 2011 19:34

en de jongen in kwestie is minderjarig.

ok dus voor een knulletje van 16 is het dus mogelijk, om een dergelijke site te hacken?? haha lekker beveiliging heb je dan zeg. en dat hij minderjarig is betekent toch ook dat die zogenaamde zware straffen eigenlijk wel meevallen?

Gamebuster @supersnathan94 • 14 februari 2011 20:29

Zo bijzonder is dat toch niet?

Meeste 16 jarige scriptertjes beginnen met het "kraken" van dingetjes. Die vinden een bekende bug via een vriendje en die proberen ze uit op een serie aan sites tot 1tje lukt.

Niets nieuws.

Verwijderd 14 februari 2011 15:38

Das ook niet meer nodig, ze gaan gewoon verder opzoek naar php.ini's en dergelijke
Alleen map naam aanpassen is niet voldoende, vrees ik

YopY @Verwijderd • 14 februari 2011 15:43

Als je php.ini al van buitenaf bereikbaar is, is er wel meer aan de hand ben ik bang

xorinzor @YopY • 14 februari 2011 15:49

ja dan heb je inderdaad flink je server lopen te vernaggelen wat rechten betreft

Op dit item kan niet meer gereageerd worden.

Hacker haalt logingegevens uit database onofficiële Hyves-gadget

Lees meer

IT-banen

Reacties (93)

Sorteer op:

Weergave: