Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties

Technologiewebsite Hardware.info is gekraakt. Een vermoedelijk Russische hacker heeft 'enige tijd' toegang gekregen tot de server door de forumsoftware te kraken. De wachtwoorden van Hardware.info-gebruikers zijn uit voorzorg gereset.

De hacker, die uit Rusland zou komen, kraakte Hardware.info via een lek in de vBulletin-forumsoftware van Hardware.info, zo meldt de site zelf. De technologiewebsite claimt er snel bij te zijn geweest, maar kon niet verhinderen dat de hacker 'enige tijd' toegang had tot het systeem. Waar de hacker precies toegang toe heeft gehad, blijft onvermeld.

Het is eveneens onduidelijk hoe lang de hacker toegang had tot de server en of hij ook bij gegevens van gebruikers kon. De site zegt voor dat laatste geen bewijs te hebben, maar houdt er in ieder geval wel rekening mee; uit voorzorg zijn alle wachtwoorden van gebruikers van Hardware.info en zustersites FotoVideo en ICTWijzer gereset. Hardware.info heeft ongeveer 66.000 gebruikers.

Het lek dat vermoedelijk door de hacker is gebruikt, is gedicht, stelt de site. Hardware.info zegt als gevolg van de hack te zijn overgestapt naar een betere encryptie voor wachtwoorden. Voorheen werd het md5-algoritme gebruikt, maar Hardware.info maakt vanaf nu gebruik van het veiliger Bcrypt. Overigens gebruikte de site wel een per user verschillende salt, wat het kraken van de md5-hashes via rainbow tables veel onwaarschijnlijker maakt. Koen Crijns van Hardware.info laat weten dat de patch die het ontwikkelteam voor vBulletin heeft gemaakt, vrijgegeven zal worden via vBulletin.com voor andere gebruikers van de forumsoftware.

Moderatie-faq Wijzig weergave

Reacties (84)

ik kreeg om exact 13.00 uur deze e mail

Beste gebruiker van Hardware.Info, FotoVideo.nu en/of ICTWijzer,

Wegens een hack van één van onze servers gisteren, hebben we uit voorzorg besloten om de wachtwoorden van alle gebruikers te resetten. Let wel; we nemen deze maatregel uit voorzorg, we hebben geen aanleiding om te veronderstellen dat de hacker bestaande wachtwoorden heeft buitgemaakt. Wel raden we je voor de zekerheid aan om een nieuw wachtwoord te kiezen en ook op andere sites waar je hetzelfde wachtwoord gebruikte, dit te veranderen.

Een nieuw wachtwoord voor Hardware.Info, FotoVideo.nu en ICTWijzer aanvragen kan op één van onderstaande URLs. Let wel: je hoeft maar op één site een nieuwe wachtwoord aan te vragen, het werkt daarna direct voor alle drie.

Hardware.Info:
http://nl.hardware.info/forum/login.php?do=lostpw
FotoVideo.nu:
http://nl.fotovideo.nu/forum/login.php?do=lostpw
Vergelijk.ICTWijzer.nl:
http://vergelijk.ictwijzer.nl/forum/login.php?do=lostpw

Als je het formulier op één van bovenstaande URLs invult krijg je een nieuw wachtwoord via e-mail toegestuurd. Daarna heb je de mogelijkheid om dit nieuwe wachtwoord weer aan te passen. Nogmaals: we raden je aan om een ander wachtwoord te kiezen dan je voorheen had.

Meer informatie over de situatie vind je hier:
http://nl.hardware.info/n...info-wachtwoorden-gereset

Met vriendelijke groet,

De Hardware.Info/FotoVideo.nu crew
Bij mij mikte Gmail hem in de spam folder. Mocht iemand de mail niet hebben, vergeet niet ook daar te kijken!
ik kreeg om exact 13.00 uur deze e mail
13:00 lijkt me ook wat gepaster dan 13:37 onder deze omstandigheden :+.
Ik ben geen crypto expert, maar als een aparte salt per user is gegenereerd zal deze toch in de database opgeslagen zijn, niet? Is het dan niet nog steeds net zo 'gemakkelijk' om de passwords te kraken via de MD5 hashes?
Er lopen hier twee zaken door elkaar: het hebben van een salt en de collisions die in MD5 zitten.

Salts zijn een verdedigingsmechanisme tegen rainbow-attacks. Zonder salt kan een 'hacker' gewoon de MD5-hash genereren voor alle wachtwoorden (in praktische zin tot een aantal tekens) en als hij de hashes dan in handen heeft, het wachtwoord opzoeken wat bij de desbetreffende hash hoort. Als er salt wordt gebruikt, moet diegene per unieke salt een rainbowtable genereren. Dit bemoeilijkt de zaak aanzienlijk. Dat de salts naast de wachtwoorden in de database staan, doet daar als het goed is niets aan af, omdat er ook nog een globale salt wordt gebruikt welke als het goed is niet in de database staat. Als dit laatste niet het geval is weet de hacker inderdaad welke rainbowtables hij moet gaan genereren, wat een risico vormt, maar zelfs dan is het nog steeds een stuk comlexer dan unsalted hasing (waarbij dus slechts één rainbow table nodig is en die elke hacker zo op de plank heeft liggen). Stel dat de salt bestaat uit 5 tekens, dan heb je 36^5 = 60 miljoen rainbowtables nodig, wat de zaak dus 60miljoen keer zo complex maakt.

Dit heeft verder niet inherent iets te maken met het gebruikte hashing-algoritme. Voor SHA1, Blowfish of AES kan net zo goed een rainbowtable worden gemaakt. Deze zal net zo effectief zijn, alleen trager om te genereren en te doorzoeken. Het probleem wat wel inherent is aan MD5 is dat er collisions mogelijk zijn. Dit betekent dat er naast het juiste password nog een andere combinatie van tekens is, welke dezelfde hash oplevert en dus toegang verschaft. In dit soort gevallen is dat echter niet het grootste probleem, omdat daarmee het originele wachtwoord niet achterhaald kan worden.

edit: ik moet sneller typen :p

[Reactie gewijzigd door HarmoniousVibe op 25 oktober 2011 12:34]

Elke fixed length hash heeft collisions. Je kan namelijk niet oneindig veel informatie in een eindig string opslaan. Het probleem bij md5 is alleen dat men nu aardig in staat is om deze collins te zoeken en vinden. Daarmee kan je dus bewerkingen op data loslaten, maar wel dezelfde hash behouden. Normaliter gebruikt men namelijk hashes (vooral md5) om te kijken of een bestand niet aangepast is. Die zekerheid is door het 'kraken' van md5 nu een stuk minder geworden. Veelal wordt er nu sha-1 /256 aangeraden.
Daar heb je gelijk in, maar mijn punt mbt de lage relevantie voor dit specifieke probleem blijft overeind imo.
Als je even verder kijkt naar het concept rainbow tables.

Nu zal per salt een aparte berekening gemaakt moeten worden voor alle mogelijke wachtwoorden in plaats van in één keer voor alle gebruikers.
Een unieke salt per gebruiker wil zeggen dat het kraken van de wachtwoorden voor elke gebruiker apart moet gebeuren.

Met een gedeelde salt kan je één rainbow table laten genereren voor de hele user database en dan de hashes van alle gebruikers gaan vergelijken.
Aangezien er nu een unieke salt is zal je deze table moeten genereren per gebruiker, en dan de hash van elke gebruiker vergelijken met zijn 'persoonlijke' rainbow table.

Hetzelfde geldt voor brute-force. Ipv alle mogelijke combinaties + gedeelde salt te proberen en deze te vergelijken met de hele database, moet je nu alle mogelijke combinaties + unieke user salt genereren en vergelijken pér gebruiker.
Het heeft er mee te maken dat je nu voor iedere user een aparte rainbow table moet maken met die preciese salt, in plaats van dat je 1 rainbow table kan maken voor alle users. Daarin ligt de beveiliging dat het te veel tijd kost om voor iedereen een aparte rainbow table te maken.

[Reactie gewijzigd door eekhoorn12 op 25 oktober 2011 12:20]

Ah ok, logisch inderdaad, thanks voor de info. Volgens mij is het bijna lunchtijd want dit had ik zelf ook kunnen bedenken, niet scherp....
Kijk veel bedrijven mogen hier een voorbeeld aan nemen. Ze geven toe dat er iets is ge beurt. Ze weten niet wat maar uit voorzorg alles ge reset. En het lek dichten. Als andere bedrijven het nou ook zo eens deden. Geen ontkenning geen groot onderzoek wat er nu is gedaan.
Helemaal mee eens. Zo zou het bij elk bedrijf moeten. Het kost je misschien een beetje klandizie, maar als het achteraf uitlekt (en als je het naderhand nog gaat ontkennen ook) ben je helemaal de sjaak.

Een hele nette e-mail ontvangen om 25-10-2011 13:00:
Beste gebruiker van Hardware.Info, FotoVideo.nu en/of ICTWijzer,

Wegens een hack van één van onze servers gisteren, hebben we uit voorzorg besloten om de wachtwoorden van alle gebruikers te resetten. Let wel; we nemen deze maatregel uit voorzorg, we hebben geen aanleiding om te veronderstellen dat de hacker bestaande wachtwoorden heeft buitgemaakt. Wel raden we je voor de zekerheid aan om een nieuw wachtwoord te kiezen en ook op andere sites waar je hetzelfde wachtwoord gebruikte, dit te veranderen.

Een nieuw wachtwoord voor Hardware.Info, FotoVideo.nu en ICTWijzer aanvragen kan op één van onderstaande URLs. Let wel: je hoeft maar op één site een nieuwe wachtwoord aan te vragen, het werkt daarna direct voor alle drie.

Hardware.Info:
http://nl.hardware.info/forum/login.php?do=lostpw
FotoVideo.nu:
http://nl.fotovideo.nu/forum/login.php?do=lostpw
Vergelijk.ICTWijzer.nl:
http://vergelijk.ictwijzer.nl/forum/login.php?do=lostpw

Als je het formulier op één van bovenstaande URLs invult krijg je een nieuw wachtwoord via e-mail toegestuurd. Daarna heb je de mogelijkheid om dit nieuwe wachtwoord weer aan te passen. Nogmaals: we raden je aan om een ander wachtwoord te kiezen dan je voorheen had.

Meer informatie over de situatie vind je hier:
http://nl.hardware.info/n...info-wachtwoorden-gereset

Met vriendelijke groet,

De Hardware.Info/FotoVideo.nu crew
Vind ik toch heel erg netjes. Heel open naar de gebruikers.

Nu snap ik alleen nog steeds niet wat ze willen aanvangen met deze hack. Over de Rus heb ik het dan. Wat wil je aanvangen met allemaal hardware.info accounts? Waarnaar mensen op zoek zijn? Wat mensen interesseert? Want ik kan me toch geen enkel gebruik bedenken waarmee je mensen lastig valt of in de problemen brengt. Sowieso ben ik niet zo actief op hardware.info, dus aan mij heb je al helemaal niks.

Toch is het wel interessant te kijken wat er in die informatiepagina geschreven staat. Want ook deze database is met md5-hash gecodeerd. En laat daar nu net een item op tweakers over zijn geweest. Ik ben wel benieuwd naar een peiling hoeveel websites eigenlijk wel niet qua beveiliging out-of-date zijn.

[Reactie gewijzigd door naarden 4ever op 25 oktober 2011 14:47]

Wat wil je aanvangen met allemaal hardware.info accounts?
Vooraf wist ie natuurlijk niet dat ze de beveiliging van de wachtwoorden redelijk op orde hadden (weliswaar MD5, wat niet zou moeten, maar indiivduele salts beschermen in elk geval tegen een massa-kraak van alle wachtwoorden). Als de wachtwoorden alleen met MD5 gehashed waren (of voor iedereen dezelfde salt was gebruikt), dan kun je van nagenoeg alle gebruikeres (en echt alle gebruikers die in de volgende stap interessant zijn) de wachtwoorden terughalen. Aangezien je ook hun emailadressen hebt kun je dan proberen op iedereen zijn webmail in te loggen (er zijn immers nog steeds veel mensen die overal hetzelfde wachtwoord gebruiken).
Bij de mensen waar dit lukt kun je in hun oude mailtjes zien van welke websites ze gebruik maken (of, voor websites waar je met je emailadres inlogt, gewoon proberen of het werkt). En dan denk ik niet zozeer aan websites als T.net, maar meer aan bijvoorbeeld Paypal. Overigens, als je in iemands mail kan kun je ook gewoon een password reset aanvragen, mochten ze op Paypal ofzo wel een ander wachtwoord gebruiken.
Uiteindelijk gaat het niet om HW.info accounts. Wat interessant is, is elke database waarin (cleartext of redelijk kraakbaar) een wachtwoord en emailadres zijn opgeslagen. En hoe groter de database hoe interessanter natuurlijk.
Hij zoekt natuurlijk niet gericht, maar verkoopt de e-mail adressen aan spamboeren, de IP-adressen aan mensen die botnets stichten en de passwords die hij eruit kan halen slaat hij op om door een query te halen van verschillende sites in combinatie met hetzelfde e-mailadres.

Op deze manier kan hij toch nog inkomsten genereren.
Ze hadden ook gewoon de ChangeLog van Vbulletin bij kunnen houden en kunnen upgraden bij nieuwere releases.

In deze gevallen heeft de Hacker sowieso toegang gehad tot de gebruikers gegevens. De MySQL login gegevens zijn beschikbaar en via commandline een dumpje maken van de SQL server is simpel gedaan.
Crijns van Hardware.info laat weten dat de patch die het ontwikkelteam voor vBulletin heeft gemaakt, vrijgegeven zal worden via vBulletin.com voor andere gebruikers van de forumsoftware.
Ik vermoed dat er nog geen fix voor deze bug was vrijgegeven door vBulletin.
De vraag is of deze bug in de nieuwere variant alleen aanwezig was.

Verder goed dat ze dit zo ventileren.
Er was net een upgrade geweest, dus misschien lag het daar wel aan.
Koen Crijns van Hardware.info laat weten dat patch die het ontwikkelteam voor vBulletin heeft gemaakt, vrijgegeven zal worden via vBulletin.com voor andere gebruikers van de forumsoftware

Oftewel dit was een lek wat nog niet gepatched was.. beetje lastig om te gaan upgraden naar een versie die nog niet bestaat.

//ontopic
Goede reactie van hardware.info
Ik heb het nog eens 3x gelezen, maar zoals ik het lees heeft hardware.info een lek gedicht voor vBulletin en de bugfix aan de auteurs verstrekt.
het gaat om een 0-day exploit, daar kan je nix tegen doen
Sommige bedrijven mogen dergelijke uitspraken niet zomaar doen ivm. beursgevoelige informatie..... sneu? Ja, logisch? Ja dat ook.

Van mij mag elke "zogenaamde" hacker eindelijk eens goed hard aangepakt worden.
zeker, volledig mee eens.
tenzij een hacker een nobeler doel voor ogen heeft, bijv. het offline halen van een kinderpornonetwerk of een bank confronteren met hun lekke site, om maar een zijstraat te noemen. :)

een hacker hoeft dus niet per definitie crimineel te zijn.
Een hacker welke niet van het bedrijf zelf de opdracht heeft gekregen om de beveiliging te testen is ALTIJD crimineel bezig ongeacht de motieven. De Amerikanen hebben daar een mooi gezegde voor '"Two wrongs don't make a right!"

Wat betreft dat kinderporno netwerk: Dat ligt nog helemaal niet zo eenvoudig.
Twee jaar geleden dacht men dat een leraar van een MBO school ook op een door hackers 'gelekte' lijst stond. Vanwege alle geruchten kon de leraar zijn werk niet meer doen en werd door de school ontslagen. Later bleek dat de buurman degene te zijn welke lid was van het KP netwerk. Echter het ontslag staat nog steeds (onterecht) het de 'CV' van de leraar en kan dus nooit meer in het onderwijs werken omdat dit bij elke antecedenten onderzoek weer boven komt. Maar daar denkt de hacker op dat moment niet aan, want die is bezig met z'n eigen 15 minutes of fame..

Wil je als hacker je inzetten voor de mensheid. Solliciteer dan bij de politie! Die zoeken nog meerdere mensen om hun ICT task force te versterken.
Een hacker welke niet van het bedrijf zelf de opdracht heeft gekregen om de beveiliging te testen is ALTIJD crimineel bezig ongeacht de motieven. De Amerikanen hebben daar een mooi gezegde voor '"Two wrongs don't make a right!"
Mee eens en niet mee eens... het is de actie van de hacker zelf die de actie bedenkelijk maakt. Want het aantonen van een dergelijk lek is in ieders belang, ook dat van die hacker. Het punt is alleen dat vele hackers het echt een misselijk ding maken, borstklopperij en (dreigen met) publiceren van persoonlijke gegevens.

Ik heb persoonlijk 0,0 moeite met de hacker die het echt doet om het een en ander aan te tonen, want ik ben maar al te blij als een dergelijk persoon een kwetsbaarheid bij bijvoorbeeld mijn bank blootlegt, of de overheid, waar men anders zeer wss nooit was achter gekomen, genegeerd, of waar de bank simpelweg de centen niet voor uit wou geven.

Ook die gasten welke onlangs kp-sites omver hebben gegooid kan ik niets anders dan lof geven... dan ben je (maatschappelijk) goed bezig met je kennis. Maar het was wel weer fout geweest als dit gepaard was gegaan met het publiceren van de namen van de eigenaars van die site... dat moeten ze gewoon netjes overhandigen aan de sterke arm der wet.

Ik probeer de boel niet goed te praten, maar met juiste omgang is er absoluut wel wat te zeggen over dergelijke 'vigilantes' omdat ze aan veel minder regels gebonden zijn dan overheid of opsporingsbevoegden e.d.
ivm. beursgevoelige informatie.....
Onzin, in bijna alle gevallen is het algemeen belang van dat mensen weten dat hun gegevens opstraat ligt groter, dan het bedrijfsbelang.
Men zou hooguit kunnen wachten tot dat de gegevens zijn veilig gesteld

In veel landen is er wetgeving in de (ge)maak(t), dat bedrijven zelfs verplicht worden om bij inbraak van hun systeem, hun klanten te melden dat het is gebeurd.

Hoewel dit totaal niet in de zelfde categorie valt als het DigiNotar debacle mogen bedrijven die slordig met mijn privé gegevens omgaan van mij aan de schandpaal genageld worden, en hoewel HWI nou niet mijn stem als beste website zou krijgen, is dit iig afgehandeld zo als het hoort.
Van mij mag elke "zogenaamde" hacker eindelijk eens goed hard aangepakt worden.
Van mij mag elk nalatig bedrijf, en/of het verantwoordelijke persoon, net zo hard worden aangepakt, als de hacker.

[Reactie gewijzigd door player-x op 25 oktober 2011 13:43]

En IT-bedrijven of mensen die deze sites zo eenvoudig kraakbaar maken, idem.
En IT-bedrijven of mensen die deze sites zo eenvoudig kraakbaar maken, idem.
Wat een onzin, dan moeten we het ook bij alle andere beroepen strafbaar maken als er fout word gemaakt, kijk hoe jij piept als je dan foutje maakt.

Helaas vallen er nog vliegtuigen uit de lucht, en overlijden patiënten, en auto's die steeds kapot gaan, helaas helaas, maar dat is de werkelijkheid, je kan niet alles dichten, onbreekbaar maken, en voorkomen, het is mensenwerk. Zijn miljarden websites, veel meer dan auto's, zolang we auto niet kunnen maken zodat ze niet meer kapot gaan of gestolen kunnen worden moeten ze dat ook niet verwachten van andere beroepen.

Ik ben ook lid van HWI, maar maak me totaal niet druk, dan hebben ze mijn paswoord maar, verder hebben ze niks, vul nooit persoon gegevens in, dus ze hebben nick en paswoord waar ze verder niks mee kunnen. Gewoon zorgen als gebruiker dat je overal een simpel paswoord heb, maar die je nergens hergebruikt(dus vandaar simpel omdat je dan veel paswoorden kan onthouden en je niet gaat hergebruiken zoals met veel sterke paswoorden word gedaan) en nooit meer gegevens invullen dan een fictieve nickname.

Dus mensen niet naïef zijn en denken dat website veilig zijn, gewoon nooit gegevens invullen en overal ander paswoord gebruiken, dan bescherm je je zelfs het beste.
Wat een onzin, dan moeten we het ook bij alle andere beroepen strafbaar maken als er fout word gemaakt, kijk hoe jij piept als je dan foutje maakt.
Dat is al zo, als jij door nalatigheid tijdens werk schade of letsel veroorzaakt kan, en zal je in de meeste gevallen aangesproken/bestraft/ontslagen, en als er bv melding van is gemaakt bij de arbeidsinspectie, door hun worden bestraft.

Heb als pijpfitter voorman en supervisor on/offshore persoonlijk 2 gevallen gehad waar letsel was veroorzaakt door nalatigheid, in beide gevallen kreeg het betreffende personen een boete van de arbeidsinspectie, van 250 en 2000 euro
Helaas vallen er nog vliegtuigen uit de lucht, en overlijden patiënten, en auto's die steeds kapot gaan, helaas helaas, maar dat is de werkelijkheid
Er is een verschil tussen nalatigheid en schade door andere redden, gevolgen zijn het zelfde, aansprakelijkheid gelukkig niet.
Ik ben ook lid van HWI, maar maak me totaal niet druk.
In dit geval hoef je ook niet erg druk te makken maar denk dat hij meer doelde op overheids sites en financiële gegevens en dergelijke.
Dus mensen niet naïef zijn en denken dat website veilig zijn
Denk dat er nog maar weinig mensen zijn die zo naïef zijn anno 2011

[Reactie gewijzigd door player-x op 25 oktober 2011 13:17]

Is het opeens in om gekraakte sites in het nieuws te brengen (en dan bedoel ik ook radio e.d.) of is het opeens in om sites te kraken? De laatste maanden word je overspoeld met dit soort berichten. Dit lijkt me overigens nog relatief onschuldig. Het gaat niet om een site waar financiele transacties de hoofdmoot van de data uitmaken en de wachtwoorden zijn ook nog heel redelijk beveiligd met een variabele salt.
Ik denk een beetje van beiden, maar vooral dat het kraken an-sich is toegenomen. Er bleek plots, waarom niet eerder is mij ook een raadsel, dat veel "kleinere" wel erg makkelijk te kraken waren. En dan heb je er natuurlijk meteen een hobby bij voor veel mensen.
Denk dat het nieuwswaardig is omdat de bezoekers van T.net vrijwel hetzelfde type zullen zijn als de hardware.info bezoekers. Daarnaast gaat het hier om een immens grote website, vandaar dus nieuwswaardig. Daarnaast word er ook enige uitleg gegeven over encryptie methodes en verdienen gebruikers te weten dat zoiets gebeurd is, het resetten van alle passwords is overigens ook niet alledaags.

Ik stoor me er in ieder geval niet aan.

[Reactie gewijzigd door Kecin op 25 oktober 2011 12:21]

Ik vind het juist goed dat er gemeld wordt wanneer er een lek is gedetecteerd! Het is misschien wel "in", maar tegenwoordig vind ik het gewoon een must dat je steeds je beveiliging update en bijhoud! Het is misschien nu wel relatief onschuldig, maar een heleboel "grote" bedrijven zijn gewoon wat laks met de beveiliging...

Dus van mij mogen ze nog veel actiever zijn en meer melden, beter dan achterhouden en achteraf van schande spreken.

Overigens vind ik dat hackers die het melden en geen misbruik maken van exploits, onder de wet klokkenluiders moeten vallen. Het zijn immers mensen die aantonen dat er "misstanden" zijn.
Ben ik heilig met je eens. Dagelijks worden websites gehacked. Hardware.info is dan wel degelijk van tweaker-belangen maar soms kom ik ook berichten tegen :')
Het enige wat nu bij mij opkomt is: waarom zou iemand een website als Hardware.info willen kraken? Wat voor nut heb je hier als hacker aan?
Als je combinatie van e-mail adres + een wachtwoord van veel mensen hebt, kan je ongetwijfeld weer en aantal mailboxen openen. Waar je vast wel weer wat geld voor kan vragen aan spammers etc.
e-mailaccounts voor het versturen/ontvangen van spam? Komt me als eerste binnen :)

Frappant dat zoiets toch vaak vanuit het Oosten komt... Wetgeving zou daar iets beter geregeld moeten worden denk ik zo.

[Reactie gewijzigd door Eypo op 25 oktober 2011 12:20]

Gewoon omdat het kan? Hardware.info en tweakers.net zijn (voor mij tenminste) twee belangrijke bronnen van informatie. Ik denk met mij nog zovelen en voor ICT land zijn ze denk ik toch wel een beetje onmisbaar. Al zou het je alleen al voor de fun zo een site om zeep helpen dan heb je heel wat mensen ermee. Ze gaan geen site hacken als er geen hond gebruik van maakt.

Ergens heb ik overigens het vermoeden dat het puur om de database ging en niet de website. Veel mensen gebruiken ook nog steeds dezelfde login namen&wachtwoorden op verschillende sites, dus zo een database meot je altijd wel iets mee kunnen toch?
Het enige wat nu bij mij opkomt is: waarom zou iemand een website als Hardware.info willen kraken? Wat voor nut heb je hier als hacker aan?
Ja inderdaad. En dan ook nog een hacker uit Rusland... er zijn daar toch genoeg slecht beveiligde sites om te hacken? Hoe weten ze trouwens dat het geen Nederlander is?
Wat heb je eraan om zulke sites te hacken? Er valt niet echt wat aan te ontvreemden zoals creditcard gegevens etc. Zolang er iets valt te stelen waar je geld mee kan verdienen heeft het nut maar dat lijkt me hier niet het geval.
Deze vraag wordt hier zo vaak gesteld. Het maakt niet uit of het om een nieuwe programmeertaal gaat, of een site hack, of voor mijn part een fiets zonder wielen.
Elke keer weer 'Wat heb je eraan'

Omdat het kan, omdat het spannend is, omdat je er geld mee kan verdienen, omdat je je verveelt, omdat het leuker is dan naar de regen te kijken.

Het maakt niet uit waarom iemand het doet, of wat hij ermee wint.
Het gaat erom dat het gebeurt, en dat het netjes naar buiten wordt gebracht dat het is gebeurt.
Deze site bevatte misschien geen bruikbare gegevens maar een mens is een gewoonte dier die nog wel eens logingegevens meerdere keren gebruikt...
Vooral met al die 100 verschillende forums, webshops, online games, en noem maar op, heb je daar echt overal een ander login voor? Dacht het niet, kun je bijna een telefoonklapper voor bij gaan houden.
Wat ik niet begrijp eh? Worden deze lekken pas ontdekt als er daadwerkelijk gehackt wordt. Want het verbaasd mij nogal dat ze binnen no-time het lek gedicht hebben.

Of is dit het standaard verhaal dat er eerst een ongeluk moet gebeuren voordat er actie wordt ondernomen?
Pas als ze gehackt zijn, wordt er vaak een grondige zoektocht gedaan (anders wordt het vaak weggelaten; te duur), en dan komen er lekken tevoorschijn en gaan ze die dichten.
Even heel erg naief misschien maar:
Als ik in iemand zijn account wil komen (of zelfs in die van heel veel mensen) dan lijkt het mij op deze manier heel makkelijk worden. Je hackt een forum/site en als ze dan de wachtwoorden resetten dan is het met een vooraf geschreven bot makkelijk zat om onder al die accounts in te loggen en zo een hoop met gegevens buit te maken.

Of hebben ze al die 66.000 gebruikers een mail gestuurd met de geresette gegevens en hebben ze dan allemaal een nieuw tijdelijk wachtwoord wat niet bij allemaal hetzelfde is?
Dat laatste zou wel moeten maar of dat ook zo gebeurt is dan weer de vraag.
Al is het maar in 10 % van de mensen hetzelfde dan is dit met een bot heel snel te ondervangen en heb je toch de gegevens van minimaal 6600 mensen!

[Reactie gewijzigd door TheCapK op 25 oktober 2011 13:01]

Je hoeft niet gelijk iedereen een e-mail te sturen met een nieuw password. Je hoeft zelfs geen nieuwe passwords te genereren. Als je voor iedereen het password op "expired" zet, kan niemand meer inloggen, en kunnen ze middels een "request password" knop een nieuw password naar hun e-mail account laten versturen
Al is het maar in 10 % van de mensen hetzelfde dan is dit met een bot heel snel te ondervangen en heb je toch de gegevens van minimaal 6600 mensen!
Waarom zou die hacker al deze moeite willen doen? Als het technisch al mogelijk zou zijn is het enige wat hij er mee opschiet dat hij als een 'gewone' gebruiker kan inloggen op een website waar hij nu al onbeperkte rechten heeft/had. |:(
De afgelopen dagen waren de reactie velden op de Hardware.info website zichtbaar met gebruikers die een reactie geplaatst. Alleen waren de reacties zelf niet zichtbaar. Je zag dus een gebruikersnaam zonder tekst die hij of zij had geplaatst.
Changelog: typo

[Reactie gewijzigd door Ram-G-maN op 25 oktober 2011 14:28]

Als je de moeite genomen zou hebben om dat eventjes bij HWI op te zoeken, dan zou je gevonden hebben dat dit komt door een migratie naar een ander serverplatform, en dat de reacties nog hier en daar leeg zijn omdat de caches herbouwd worden.
Toch hulde voor Hardware.info.

Het staat goed op de site vermeld wat er is gebeurt en wat je moet doen. En ze vegen het niet onder het vloerkleed..... Netjes!

[Reactie gewijzigd door Black Piet op 25 oktober 2011 13:05]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True