Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 119 reacties

SecurityTM, een hackersgroep die is gelieerd aan AntiSec en Anonymous, heeft Woondetective.nl en de Nederlandse website ZweinsteinDigitaal.com gekraakt. Hierbij hebben ze de gegevens van ruim 62.500 mensen in handen gekregen.

SecurityTM-logoVia een Twitter-bericht heeft SecurityTM de hacks zondagavond wereldkundig gemaakt. De aanvallen werden naar eigen zeggen via een simpele sql-injectie uitgevoerd. Zowel Woondetective.nl als de website ZweinsteinDigitaal.com zijn slachtoffer van de hackers geworden.

ZweinsteinDigitaal.com is een site voor Harry Potter-fans en bevat volgens de hackers een database genaamd zweinstein_data met daarin een usertabel met 51.312 records. Bij Woondetective.nl hebben de aanvallers in de database hostnet_woondetective een tabel genaamd dwdleden aangetroffen met daarin de gegevens van 12.534 mensen.

Van al deze records is een e-mailadres en gebruikersnaam bekend. Van enkele beheerders van ZweinsteinDigitaal.com blijkt het wachtwoord in plain text te zijn opgeslagen. Ook bevat de database wachtwoorden, en in het geval van Woondetective.nl in sommige gevallen ook een verwijzing naar een Facebook-pagina van de gebruiker. Hoewel de wachtwoorden wel zijn versleuteld met het md5-algoritme, kunnen veel van deze wachtwoorden eventueel via zogenoemde rainbow tables worden 'ontcijferd'. SecurityTM heeft alle accountgegevens met betrekking tot ZweinsteinDigitaal in een bestand van ruim 9MB gepubliceerd; het bestand met gegevens over Woondetective.nl is 2,7MB groot.

SecurityTM lijkt recent te zijn gestart: het eerste Twitter-bericht is zaterdagavond verzonden. SecurityTM lieert zichzelf aan Anonymous en AntiSec. Deze losvaste hackersgroepen zijn de afgelopen maanden veelvuldig in het nieuws geweest. Eind juli werd nog bekend dat vier leden van de Nederlandse 'tak' van AntiSec waren opgepakt.

Moderatie-faq Wijzig weergave

Reacties (119)

Niet-gesalte passwords zijn vrij makkelijk te kraken. Heel makkelijk zelfs, zeker in dit soort aantallen. Als je 51000 wachtwoorden hebt en je gaat er 1x met een dictionary attack overheen (je probeert grofweg alle woorden in de NL taal uit) dan haal je daar vast wel 15% van de wachtwoorden uit, zeker als je naast "voordeur" ook "Voordeur" en "V00rd4ur" probeert bijvoorbeeld. Ik verwacht zelfs meer, als zelfs op tweakers.net een groot deel van de wachtwoorden zwak is is het aannemelijk dat het bij een site als zweinsteindigitaal ook het geval is.

Ik weet niet of ze hier salts hebben gebruikt maar zonee, dan is er daadwerkelijk een gevaar voor de gebruikers. Ik kan het me namelijk heel goed voorstellen dat mensen hun zweinsteinwachtwoord ook voor facebook of email gebruiken.
Ik weet niet of ze hier salts hebben gebruikt maar zonee, dan is er daadwerkelijk een gevaar voor de gebruikers. Ik kan het me namelijk heel goed voorstellen dat mensen hun zweinsteinwachtwoord ook voor facebook of email gebruiken.
Ik ben nog altijd benieuwd hoe goed een wachtwoord als 'correct horse battery staple' zich zal houden in een dictionary attack. ;)
Twitter kanaal van hun is op zich opmerkelijk. Aangezien ze hashen naar wilbertdevries en Tweakers. Volgens mij is Tweakers.net niet zo bekend in het buitenland.

Het zou me niks verbazen dat deze groep uit Nederland komt en misschien zelfs gebruiker(s) zijn op Tweakers zelf.
Twitter kanaal van hun is op zich opmerkelijk. Aangezien ze hashen naar wilbertdevries en Tweakers. Volgens mij is Tweakers.net niet zo bekend in het buitenland.

Het zou me niks verbazen dat deze groep uit Nederland komt en misschien zelfs gebruiker(s) zijn op Tweakers zelf.
Het zou me eerder weinig verbazen als T.net als één van de weinige grote sites over deze 'hack' heeft bericht.

De enige reden waarom ze T.net dan in hun Twitter-bericht zetten is om ermee te patsen en om de kunnen zeggen "OMG WE STAAN IN DE KRNAT!!!! LOLOL!!!!111one".
Het feit dat ook kleinere non-profit website's e.d. voor de 'funsies' gekraakt worden betekend dus wel het tegengestelde tot wat ik voorheen altijd aan nam: Kleinere sites worden toch minder snel gekraakt...dus niet....gelukkig knal ik overal een mysql_real_escape_string tussen en gebruik ik inmiddels sha-512 en salts voor wachtwoorden, want dit begint echt uit de hand te lopen....

Als er ook maar één "hacker" dit leest, jongens, doe eens normaal (*kuch*geertwilders*kuch*). Ik bedoel wat hebben jullie met de database gegevens van zweinsteindigitaal.nl nodig? Ik vind dit echt gewoon te treurig voor woorden...ik hoop dat jullie ooit nog eens tot het besef komen dat dit gewoon triest gedrag is...maar het zal wel niet....

just my two cents and / or opinion
Niet om T.net af te vallen of zo, maar was het niet een beter idee geweest om hier geen aandacht aan te geven? Zo'n bericht op tweakers is nu precies de 15 minutes of fame waar de jongens van SecurityTM op zitten te wachten, en als geen van hun stunts ook maar enige aandacht zou krijgen houden ze vanzelf wel op, toch?
Dat had een idee geweest, maar het gaat hier om meer dan 60.000 accounts. Dat vind ik forse aantallen. Bovendien zijn de gegevens ook nog eens geopenbaard en daarmee vind ik het dus nieuwswaardig(er). Het is altijd een moeilijke afweging, maar in dit geval heb ik ervoor gekozen om wel te publiceren. De twee gehackte sites bedienen een niche die via social engineering relatief makkelijk te misbruiken is: een aanvaller weet een mailadres en een interesse. Dat kan soms al genoeg zijn.

Verdere inhoudelijke discussie graag in Geachte Redactie
Ik zal wel van een moderator een boze mail krijgen, want kom niet aan de schrijvers, maar ik voel toch na het lezen van de reacties op deze 'nieuws' berichten (genre, op tnet) dat het nieuws meer richting fok leunt, dan richting het oude bekende tweakers. Views scoren is echt niet alles hoor.

Persoonlijke mening is toch dat dit soort dingen gebeuren via scripts die zonder aandacht hun werk kunnen doen, en van de duizenden crawls er altijd wel een handje vol tussen zitten die mogelijkheid tot misbruik hebben door fout in source code. En van dat handje vol zijn er wel een paar bij met grotere databases of bekendere urls.

Op dit moment draaien die scriptjes ook, en morgen zijn er weer honderden sites de pineut, en overmorgen staat het weer op tweakers.

Persoonlijk vind ik de overweging of het nieuwswaardig is eigenlijk niet echt veel waard.

Sorry dat ik zo negatief klink, misschien is het omdat het maandag is. En misschien omdat ik het onzin vind dat de data gedeeld is met anderen, ipv netjes opgelost. Maar ik hoop dat deze sites gewoon netjes de wachtwoorden aanpassen en deze keer op de juiste manier opslaan.

Oudere software, bugs in software, iedereen heeft hier last van.
Goed gezegd. Dit zijn gewoon scriptkiddies die met een "leuk" speeltje andere mensen pesten. :(

Ze hebben in ieder geval al een nieuwsbericht. :O

@Paul - K
Was niet mijn intentie

[Reactie gewijzigd door chris10r op 6 november 2011 22:58]

Zoals ik 2 posts hierboven al heb aangegeven, zo simpel werkt het niet en enigzins zijn ze dus goed bezig. Graag geen flames hierover, iets naar boven staat mijn volledige reactie.
Ik denk dat het juist wel goed is dat dit soort dingen in de publiciteit komen. Als deze mensen gewoon hun gang gaan en niemand er aandacht aan geeft, worden bedrijven ook nooit wakker, en zullen ze nooit denken of hun website wel goed beveiligd is.

Op deze manier komen bedrijven er denk ik sneller achter dat ze, nu ze nog geen slachtoffer zijn, ook eens iets moeten investeren in beveiliging voordat zij aan de beurt zijn.
En dan vraag ik mij echt af waarom een hackers groep zich richt op een site als ZweinsteinDigitaal..
Machtsgeil, much?
Ik denk dat het niet eens zo belangrijk is welke site er gehackt wordt. Belangrijker is dat mensen, zonder er bij na te denken, hun hele hebben en houden op een website achterlaten.

Bijna nog belangrijker is dat iedereen een website in elkaar kan prutsen en daarmee zonder enige fatsoenlijke beveiliging en toezicht daarmee gegevens van bezoekers mag verzamelen.

Dus wordt het tijd om beveiligingsregels voor websites op te zetten zodat deze aan een bepaalde veiligheidsnorm voldoen. Als een site gehackt wordt die niet aan deze norm voldoet, dan mag de eigenaar van de site van mij een boete ophoesten per gejat record.
Op zich een nobel idee, maar een norm gaat en kan hier niet werken. Ten eerste, wanneer ben je als webbouwer verantwoordelijk? Stel ze komen binnen via een exploit in de server software, of ze hacken een site die op dezelfde virtuele server staat als die van jou. In beide gevallen is de site eigenaar in mijn ogen niet verantwoordelijk, hoewel zijn website wel gehacked is. Verder vinden hackers altijd weer nieuwe manieren om ergens binnen te komen (dat is een beetje de definitie van hacken). Dus zal de genoemde norm constant aangepast moeten worden. Stel dat ik in 2010 een site heb opgeleverd die destijds voldeed aan de norm, maar nu niet meer. Wie gaat er dan betalen voor het updaten van die website? De eigenaar? De sitebouwer?
En hoe wil je zo'n norm opzetten? Krijgen de sitebouwers dan elke maand een checklist waarna ze alle gebouwde sites moeten nalopen om te kijken of er punten van de checklist betrekking hebben op de gebouwde sites? En wie betaald die uren dan weer?
Al me al een verhaal waar nog heel wat haken en ogen aan zitten.
Het simpelste en veiligste wat men nu kan doen (als particuliere- of hobbymatige websitebeheerder) is gebruik maken van de grote, bekende pakketten (WordPress, phpBB, Drupal, Joomla enz) of websites (Tumblr, Facebook enz) en deze vervolgens qua software (in het geval van de pakketten) goed up-to-date te houden.
Je hebt het hier grotendeels over wie verantwoordelijk is voor het onderhouden van een website en wie dit gaat betalen. Dit is toch vanzelfsprekend de website-eigenaar.

Als jij je jas ophangt bij een garderobe is de eigenaar daarvan verantwoordelijk voor die jas. Zo is de website-eigenaar verantwoordelijk voor de gegevens die jij daar achterlaat. Als jouw jas gejat wordt is de eigenaar aansprakelijk. Zo ook de website-eigenaar.

In deze kleine vergelijking vraag je je toch ook niet af wie er gaat betalen voor een slot en een camera om de beveiliging te verhogen? Waarom zou je je dan wel afvragen wie er gaat betalen voor het verhogen van de veiligheid van een website?
Je vergelijking gaat niet op. Het merendeel van de websites wordt niet daadwerkelijk gebouwd door de eigenaar, maar door een webdevelopment partij. Vandaar ook mijn vraag wie verantwoordelijk is, de (echte) eigenaar of de webbouwers. En de vragen over de kosten zijn wel degelijk relevant, want uren die je besteedt aan een reeds opgeleverd project worden meestal niet direct betaald, omdat de klant zulke aanpassingen niet direct 'ziet' in zijn website (en er dus vaak niet voor wil betalen). Meestal pakken webbouwers deze aanpassingen dan ook mee bij (bijvoorbeeld) een verkocht redesign van de website.
Verder snap ik je vergelijking ook niet, omdat de genoemde middelen (slot, camera) niets doen tegen de daadwerkelijke diefstal, hoogstens is het een middel om achteraf de dader beter op te kunnen sporen. Maar dan is het leed al geschied, zeker als het om database dumps gaat die - eenmaal verspreid - niet meer offline gehaald kunnen worden.
De vraag wie betaald voor het slot en de camera wordt inderdaad nooit gesteld; de klanten zien nu gewoon overal bordjes waarop staat dat de eigenaar niet aansprakelijk is voor schade, diefstal of verlies. In feite dus dezelfde vraag, maar dan van de andere kant bekeken.
Wel belangrijk om te beseffen: wanneer je security al meeneemt tijdens de ontwerpfase, scheelt dat veel geld (latere aanpassingen zijn dan niet meer nodig, of veel kleiner qua impact) en een hack-aanval zal veel minder snel succesvol zijn, wat weer positief is voor de klant (voorkomt imago-schade).

[Reactie gewijzigd door Rick2910 op 7 november 2011 00:04]

Ik vindt als hobbybouwer ben je tot in zekere zin verantwoordelijk. Maar ik kan mij voorstellen dat voor sommige mensen beveiliging zeer boven hun pet gaat!

Waar vroeger op verzoek werd gehacked en er vooruit betaalt werd enz. wordt er tegenwoordig veel meer gehacked om stoer te doen of achteraf pas gekeken of ze een koper kunnen vinden. Dit maakt niet alleen intressante data tot slachtoffers maar ook kooksites enz.

Daarmee kun je dus niet verwachten dat een hobbybouwer dezelfde beveiliging gaat hanteren als een bank. Wat je nu wel haast zal moeten doen als webmaster.

overigens ook is er tegenwoordig zoveel info en ontwikkelingen dat het niet meer bij te houden is voor veel mensen.

Hier nog een intressante link als je je servers beter wilt beveiligen: http://www.ibm.com/develo...x/library/l-lxc-security/

Het beveligd niet alles, maar root toegang is al zo goed als uitgesloten en alles is bijna sandboxed.
De vraag is dan ook wie daar overheen gaat komen, en hoe?
Website en forum van de huishoudbeurs roven? Of seniorenweb?
Dit is echt walgelijk. Dat ze het lek uitbuiten en melden, tot daar aan toe. Maar dan alle gegevens gewoon te grabbel gooien is misdadig en gewoon zielig.
De gegevens te grabbel gooien, dat deed de website-exploitant/bouwer reeds. Die treft dus ook blaam. Misschien bedoel je dat de crackers de gegevens daadwerkelijk openbaar maakten?
De gegevens te grabbel gooien, dat deed de website-exploitant/bouwer reeds. Die treft dus ook blaam. Misschien bedoel je dat de crackers de gegevens daadwerkelijk openbaar maakten?
Nou nee, als ik een bank bouw en daar de kluisdeur 's nachts niet van op slot doe, ben ik niet de gene die het geld eruit haalt.

Als iemand dan de deur een schop geeft en alle geld op straat smijt is het nog steeds een bankroof.
Te grabbel gooien is een passende uitdrukking voor gegevens op straat achterlaten voor de eerlijke of oneerlijke vinder of voor de kluisdeur openlaten (de uitdrukking is het bekendst in de context van een reputatie te grabbel gooien, maar kan vast ook wel op deze manier gebruikt worden).

Stelen of actief openbaar maken is een stapje verder dan te grabbel gooien, dat heb je wel goed gezien. Daarom zijn we het er opzich ook over eens dat de crackers fout zitten.

P.S. Als jouw geld uit die bankkluis gestolen wordt, is een civiele claim richting bank uitermate kansrijk; je mag immers verwachten dat ze hun kluis ook gewoon dichtdoen. Zo werkt dat wat mij betreft ook met websites. Je kan nog 1000 keer de cracker de volledige schuld in de schoenen proberen te schuiven, maar je bent als maker wel degelijk mede-aansprakelijk.

[Reactie gewijzigd door mae-t.net op 7 november 2011 02:53]

Aan die Tweets van hun lijkt het me dat ze het om de aandacht doen. Als we nou eens stoppen met aandacht besteden aan dit soort zielige mensen, dan hoeven ze ook niet meer te 'hacken'.
En dan neemt het misschien af en gaat het door in de achtergrond, waardoor iedereen denkt dat de veiligheid is toegenomen, maar ondertussen alles gewoon lekker overgenomen wordt waarna er misschien weer een megabericht naar buiten komt van een hack.

Ik ben volledig tegen het feit dat er zoveel gegevens gepakt worden en vervolgens gewoon in het rond geslingerd worden, maar aan de andere kant zorgen ze wel dat de beveiliging continue aangehaald wordt, waar keer op keer maar weer blijkt dat het om beginners of lakheidsfoutjes gaat.

Ik moet eerlijk bekennen dat sinds al deze berichten zijn begonnen, ik de beveiliging pas een stuk heb uitgebreidt. Dat was dus pas na al deze berichtgeving, en niet vanaf het begin al.
Daar heb je zeker een goed punt. Enerzijds kan je stellen dat je ze zo hun zin geeft, anderzijds word beveiliging nu wel onder aandacht gebracht.

Ook ik heb namelijk even wat gelezen over SQL injections, en ga morgen ook mijn site daarop testen. In een systeem als Wordpress lijkt het me niet dat het kan, maar met al die plugins weet je het maar nooit.
Er zijn inderdaad zeker plugins die gevoelig zijn. Daarnaast zal je zulk soort bekende software altijd up2date moeten houden, aangezien hackers het internet af zullen sporen naar oude versies met bekende lekken.

Vind het ook hardstikke prima dat beveiliging onder de aandacht komt, maar op deze manier de geplunderde gegevens online zetten is triest.
Hoe durf je jezelf nou hacker te noemen omdat je een SQL-injectie weet uit te voeren :?
Volgens de ouderwetse (en wat mij betreft correcte) definitie zouden deze lieden eerder crackers zijn, maar dat klinkt niet zo "cool" in de externe communicatie en bovendien vinden dit soort lui zichzelf vaak meer dan ze werkelijk zijn.

Opzich zou het de redactie van Tweakers sieren als ze de terminologie wat strikter hanteren zodat ook de groepen zelf zich niet te zeer opgehemeld voelen door de berichtgeving. Probleem daarmee is dat het wat minder algemeen spraakgebruik is en dus zowel voor de redactie als de lezers soms verwarrend zou kunnen werken (maar dat mag geen bezwaar zijn; een tweaker is slim genoeg om dat op te pakken toch?)

[Reactie gewijzigd door mae-t.net op 7 november 2011 02:57]

De vraag is of de definitie inmiddels niet moet worden 'aangepast'. Halsstarrig vasthouden aan een bepaalde definitie heeft niet zoveel zin als een ruime meerderheid van de mensen je dan niet meer snapt.
Als iedereen op een gegeven moment een step een fiets noemt, zal je op een iets later opeens een "nieuw" onderscheid krijgen tussen "fiets met trappers" en "fiets zonder trappers". Je kan ook gewoon uitleggen dat die verschillende dingen al lang een verschillende naam hebben; wel zo makkelijk.

Eigenlijk is het een kip-ei probleem: als schrijvers te lui zijn om correct te schrijven, gaan lezers het op een gegeven moment niet meer snappen. Echter vind ik dat een beetje onzin: lees het 3 keer in de correcte context en als lezer weet je alweer prima wat er bedoeld wordt. Pak die kip aan dus, zou ik zeggen. Dan kan iedereen weer beter zijn ei kwijt.

[Reactie gewijzigd door mae-t.net op 8 november 2011 13:29]

frickY inderdaad, dit stelletje kleuters zullen zich nu net zo stoer vinden als een stel scriptkiddies
Gelukkig 'valt het mee'. Er zijn inderdaad usernames en emailadressen buitgemaakt, maar de wachtwoorden zijn nog steeds in hun md5 vorm. Bij de hack van pornosites door Lulzsec waren ze volgens mij in plain text.
Het is natuurlijk niet onmogelijk om die md5-hashes te kraken (met o.a. rainbow tables), zie ook hier, maar het is niet iets dat Average Joe even doet op zijn huis-tuin-en-keuken computer.
Ja, ik heb de betreffende bestanden gedownload en ja, ik heb met de admin-passwords proberen in te loggen op hun email, maar nee die werkten niet.
Ook al is admin SmileAlways/Geoffrey de Belie pas 16 jaar, ik ga er even vanuit dat hij een sterker wachtwoord heeft dan Smile4ever voor zijn email en andere activiteiten.

Nee, ik keur dit soort aanvallen niet goed - integendeel - maar ik vind ze minder ernstig dan die van Lulzsec, waarbij ze de wachtwoorden van o.a. senators (niet helemaal zeker...) gewoon in plain text op internet gooiden... En ik heb liever dat ze een onschuldige site als een Harry Potter fansite kraken dan Paypal of iets dergelijks. (Opnieuw, ik probeer niets goed te praten)

[Reactie gewijzigd door thijsje66 op 6 november 2011 23:05]

Het is maar net wat die veiligheid je waard is he. Heb hier ook nog wel eensite die onversleutelde wachtwoorden heeft. Nieuwe systeem staat klaar maar iemand heeft het voor elkaar gekregen het nieuwe systeem zo af te spiegelen als zijnde nog veel onveiliger.
Jouw laatste zin is geen wondertje van leesbaarheid, er staat minstens een "zo" teveel in, maar na nog een keer herlezen begrijp ik dat iemand je heeft laten zien dat het nieuwe systeem nog onveiliger is. Kwestie van je wonden likken en patchen danwel opnieuw beginnen zeker?

Maar dat terzijde, ik reageerde omdat je eerste zinnetje me positief opviel. Een site hoeft niet veiliger te zijn dan nodig; Als er geen vertrouwelijke gegevens op staan, kan je volstaan met een simpeler beveiliging, hoewel helemaal onversleutelde opslag van wachtwoorden alsnog onwenselijk is omdat mensen hun wachtwoorden soms recyclen.

Opzich helpt dit soort publiciteit misschien wel weer tegen dat recyclen, maar veiligheid blijft dus een afweging en dat moeten we ook weer niet uit het oog verliezen.
moest ff zoeken maar 8)7 :

Reparo!!!!
moest ff zoeken maar 8)7 :

Reparo!!!!
Ooit een toverstaf gezien met een USB-aansluiting dan?

You take a deep breath, produce your wand from your worn, hand-me-down robe pocket, lunge at the computer monitor, and with a determined tone, you speak:

"Reparo!"

A soft-toned, female disembodied voice addresses you from above.

"We are sorry, but the spell you are trying to cast is incompatible with this interface. Would you like to search for magic drivers online using Windows Update?"


:+
Offtopic, maar moest wel even lachen om deze droge opmerking. :')
Off-topic:

Hahaha mensen die de reactie van tomblack als ongewenst modereren moeten toch echt even wat meer humor in hun leven zoeken zeg :P Heb hardop gelachen!


On topic:

Vanwaar deze sites? Gewoon om te laten zien "hoe goed" ze wel niet zijn met hacken? Overheid sites oid. kan ik nog snappen (ook al zijn er IMO beter manieren van jezelf laten horen), maar dit?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True