Hackers publiceren inloggegevens Twitter-accounts

Op Pastebin zijn de inloggegevens van 55.000 Twitter-accounts verschenen. Twitter claimt echter dat het bij een groot deel van de gegevens om spam-accounts gaat. Het bedrijf heeft uit voorzorg de wachtwoorden van een aantal accounts gereset.

Niet alleen zitten er volgens Twitter veel spam-accounts bij de op Pastebin gepubliceerde data, er zouden ook veel gegevens dubbel zijn geplaatst. Volgens het bedrijf zou dit bij in ieder geval 20.000 gepubliceerde accountgegevens het geval zijn. Verder zouden in veel gevallen de gebruikersnaam en het wachtwoord niet bij elkaar horen.

Het bedrijf achter de sociale-netwerksite heeft nog niet bevestigd of ontkend dat er 'echte' accounts zijn gehackt. Twitter geeft in een reactie tegenover CNet en diverse andere media aan het voorval nog in onderzoek te hebben en kan nog niet met zekerheid zeggen hoeveel gebruikers daadwerkelijk getroffen zijn door de hack. Het is ook nog niet duidelijk hoe de hackers bij de sociale-netwerksite binnenkwamen. Twitter raadt bezorgde gebruikers aan om hun wachtwoord aan te passen.

Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan, blijkt uit een statistische analyse van 37.058 gepubliceerde Twitter-wachtwoorden, waarvan 21.215 items overigens uniek waren. Bij de wachtwoorden ging het 688 keer om '123456', blijkt uit de statistieken.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 09-05-2012 12:43
38 • submitter: filenox

09-05-2012 • 12:43

38

Submitter: filenox

Lees meer

Twitter: aanvallers hadden mogelijk toegang tot kwart miljoen accountgegevens
Twitter: aanvallers hadden mogelijk toegang tot kwart miljoen accountgegevens Nieuws van 2 februari 2013
Twitter past profielweergave aan
Twitter past profielweergave aan Nieuws van 20 juni 2012
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden Nieuws van 7 juni 2012
Twitter houdt bij welke websites ingelogde gebruikers bezoeken
Twitter houdt bij welke websites ingelogde gebruikers bezoeken Nieuws van 18 mei 2012
Oostenrijkse politie pakt tiener op voor meer dan 250 hackpogingen
Oostenrijkse politie pakt tiener op voor meer dan 250 hackpogingen Nieuws van 18 april 2012
LulzSec claimt hack van militaire datingsite
LulzSec claimt hack van militaire datingsite Nieuws van 27 maart 2012
'Roemeense hacker TinKode is gearresteerd'
'Roemeense hacker TinKode is gearresteerd' Nieuws van 1 februari 2012
Twitter moet gegevens Xs4all-oprichter Gonggrijp overhandigen
Twitter moet gegevens Xs4all-oprichter Gonggrijp overhandigen Nieuws van 6 januari 2012
Britse rechter verbiedt Lulzsec-leden nickname te gebruiken
Britse rechter verbiedt Lulzsec-leden nickname te gebruiken Nieuws van 8 september 2011
AntiSec hackt cybercrime-divisie Italiaanse politie
AntiSec hackt cybercrime-divisie Italiaanse politie Nieuws van 26 juli 2011
Meer producten en artikelen
Privacy Websites en community's Hackers Twitter

Reacties (38)

-Moderatie-faq
38
33
21
4
0
7
Wijzig sortering
Joseph 9 mei 2012 14:01
Ik vond dit.

http://pastebin.com/x2vE0p8F
MrTuinstra 9 mei 2012 12:45
zou wel fake wezen... alleen om aandacht
TvdW @MrTuinstra9 mei 2012 12:53
Zoals ik eerder vandaag op Quora schreef:
I've studied some of the data in the pastebin files, and I came to the following conclusions :
  • The passwords probably don't come directly from Twitter. Twitter stores all passwords in a "hashed" way, meaning that you can't easily convert it back to a password. I've seen passwords in the file that were over 12 characters. Passwords like that take very long to crack.
  • The passwords didn't come from a completely unrelated database where users just had the same passwords and they happened to work on Twitter. There are too many spam accounts in the files, and spam accounts normally don't register for multiple websites, not to mention using the same passwords.
  • It's not a dump of a very old "basic authentication" (pre-OAuth (2010)) database, as there are some very new accounts in the dump.
Speculations :
  • They could've come from a database that houses information of spam accounts, possibly because they're selling them. Would definitely explain the number of spam accounts, just not the celebrities.
  • A SSL certificate could have been forged and placed on a proxy between Twitter and the users, stealing xAuth passwords. Again, unlikely.
  • The actual Twitter architecture could have leaked the data. It's probably very unlikely, but not impossible.
  • A third party site that uses xAuth could have been using a non-encrypted connection for third party users. This would allow an attacker to intercept the passwords but that doesn't explain the spam accounts.
Squ1zZy @TvdW9 mei 2012 13:04
"The passwords probably don't come directly from Twitter. Twitter stores all passwords in a "hashed" way, meaning that you can't easily convert it back to a password. I've seen passwords in the file that were over 12 characters. Passwords like that take very long to crack."

Ik ben het hier niet mee eens. Als de wachtwoorde. Met MD5 gehashed waren (meer dan 12 characters) dan is dit zeer makkelijk te decrypten. Er zijn genoeg sites met een database waar miljarden gehashte wachtwoorden in staan zoals deze:
288116504f5e303e4be4ff1765b81f5d

Als je zoek op http://www.md5decrypter.co.uk/ dan kan je zien dat deze hash Welkom01 is. Het ligt eraan welke encryption is gebruikt, maar hashes over 12 characters zijn niet altijd moeilijk om te "kraken".
Ulster Seedling @Squ1zZy9 mei 2012 13:33
Wat TvdW volgens mij bedoelt is dat het wachtwoord langer dan 12 tekens is en niet de hash (dat is immers altijd zo met MD5).

Een rainbow-table maken van alle wachtwoorden van 12 tekens lang, bestaande uit (hoofd- en kleine) letters en cijfers, is bijna niet te doen. Er zijn in totaal 3E21 mogelijke wachtwoorden (dat is drie duizend miljard miljard). Stel je slaat deze mogelijkheden (12 tekens) samen met hun MD5-hash (32 tekens) op, dan kost dat je 44 tekens per mogelijkheid. Als we uitgaan van een eenvoudig geoptimaliseerde opslagvorm, waarbij elk teken een byte kost maar er verder niets wordt opgeslagen, ben je dus 44 bytes per wachtwoord kwijt. Dit kost in totaal 1E23 bytes opslagruimte, omgerekend 1E11 terabyte (141 miljard terabyte).

Als we uitgaan van een optimale opslagvorm, waarbij enkel de hashes worden opgeslagen in bytevorm (16 bytes) en het originele wachtwoord wordt teruggerekend aan de hand van het nummer van de hash, kost dit alsnog 5E10 terabyte (51 miljard terabyte) om op te slaan.

Stel dat iemand dit opslagprobleem heeft opgelost, dan moet 'ie eerst nog alle hashes berekenen en later nog de database doorzoeken om het wachtwoord behorend bij een bepaalde hash te vinden. Dat is simpelweg nog niet te doen met de huidige technieken (of je moet eeuwig wachten).

Overigens staat op de website die jij noemt dat ze 8,7 miljard hashes kennen. Als dat allemaal hashes van 12 tekens lange wachtwoorden zijn, zouden ze slechts 0,0000000003% van alle mogelijkheden kennen …

[Reactie gewijzigd door Ulster Seedling op 22 juli 2024 22:34]

Golodh @Ulster Seedling9 mei 2012 15:52
Ja en nee.

De "ruimte" van 8-12-character string is inderdaad erg groot, maar de ruimte van *dictionary* woorden met of zonder voor- of achtervoegsel van 1-2 cijfers is dat dan weer niet.

Wat een aanvaller doet is patronen zoeken in lijsten van reeds bekende wachtoorden, die patronen genereren, en daar dan tabellen van maken. Geeft geen enkele garantie dat je een wachtwoord voor een specifiek account vindt, maar geeft *wel* een hoge kans dat je heel snel tenminste 1 wachtwoord vindt uit aan lijst met encrypted wachtwoorden. Dat zounden b.v. de wachtwoorden kunnen zijn die ze gepubliceerd hebben.

Nu helpen salt tables ook daar weer tegen, dus wat dat betreft heb je weer gelijk.
Squ1zZy @Ulster Seedling9 mei 2012 17:00
Dat is juist mijn punt. Al is het wachtwoord 55 characters. Wanneer men MD5 gebruikt blijft het 128 bit (32 characters). Hij geeft aan dat het wachtwoord "moeilijk" te kraken is, maar dat maakt dus niet uit.

Je vergeet MD5 collision. Dus deze cijfers kloppen bij lange na niet.

"The security of the MD5 hash function is severely compromised. A collision attack exists that can find collisions within seconds on a computer with a 2.6 GHz Pentium 4 processor (complexity of 224.1).[18] Further, there is also a chosen-prefix collision attack that can produce a collision for two chosen arbitrarily different inputs within hours, using off-the-shelf computing hardware (complexity 239).[19] The ability to find collisions has been greatly aided by the use of off-the-shelf GPUs. On an NVIDIA GeForce 8400GS graphics processor, 16–18 million hashes per second can be computed. An NVIDIA GeForce 8800 Ultra can calculate more than 200 million hashes per second."

MD5 is in geen enkel geval veilig ;)

Source:
http://en.wikipedia.org/wiki/MD5
SKiLLa @Squ1zZy9 mei 2012 13:19
Wel als ze user-based salts gebruiken. Voor elke unieke salt moet je dan een Rainbow-table hebben (en werken de standaard tables dus niet). Tevens 'decrypt' je een hash niet, je vind een match. En ik denk dat Twitter er wel eens een groepje cryptografen/experts naar heeft laten kijken/ontwerpen/auditen/snuffelen.
Biersteker @Squ1zZy9 mei 2012 13:26
Ik mag toch hopen dat twitter geen MD5 daarvoor gebruikt. En dan zeker niet unsalted. Hoewel een beetje GPU, daar ook wel achter komt. Sinds wanneer werd het gebruik van MD5 als hashing afgeraden? 1996! Ik kan me niet voorstellen dat een bedrijf als twitter hiervoor MD5 gebruikt.
Du7ch Maniac @Biersteker9 mei 2012 23:19
Meestal is md5 de basis, vervolgens worden er andere encrypties over gedaan, die dingen kraak je niet. Dit is gewoon een brute forced lijst.
seba @Squ1zZy9 mei 2012 14:21
Je denkt toch serieus niet dat ze bij Twitter nog md5 gebruiken?
VNA9216 @seba9 mei 2012 14:33
Muah, ik heb bij een bank waar ik werkte van een dienst de accountgegevens als plain text aangetroffen in de database. Daar heb ik maanden over door moeten zeuren voordat er besloten werd het toch maar te gaan versleutelen.

Ik sta nergens meer van te kijken op dat gebied in ieder geval.
CMG @TvdW9 mei 2012 16:41
Zou het niet gewoon een gehackte DNS server zijn + MitM attack? Gewoon een kleinere ISP DNS server.

Bots zijn meestal geprogrammeerd om Security Certificate errors te negeren en er zijn nog steeds meer dan genoeg mensen die Cert errors gewoon negeren en doorgaan, etc.

[edit]
Typo => DSN => DNS

[Reactie gewijzigd door CMG op 22 juli 2024 22:34]

Loen @MrTuinstra9 mei 2012 12:52
mwah, gewoon met password dictionaries accounts buit gemaakt waarschijnlijk... Valt te verwachten dat veel van die spam accounts inderdaad zo een wachtwoord hebben...
judgewooden 9 mei 2012 12:46
Twitter geeft dus toe een groot deel spamaccounts te hebben, maar ze doen er dus niks aan. Net als de beveiliging trouwens, iedereen kan daar zo alle gegevens ontvreemden.
AW_Bos @judgewooden9 mei 2012 12:48
Het zouden ook geblokkeerde accounts spam-accounts kunnen zijn?
TvdW @judgewooden9 mei 2012 12:52
Ik weet niet waar jij dat vandaan haalt. Twitter zegt al jaren dat spamaccounts een probleem zijn maar dat false positives een groter probleem zijn. En hoe kom je erbij dat ze niks aan beveiliging doen? Ik lijk me te herinneren dat ze zelfs een paar maanden geleden een beveiligingsbedrijf hebben overgenomen om hun beveiliging nog beter te maken.

Het is sowieso nog niet eens bewezen dat deze inloggegevens daadwerkelijk van Twitter komen en dat het niet gewoon een lijstje is met willekeurig gegenereerde informatie.
WhiteDog 9 mei 2012 12:51
Ik vermoed dat de wachtwoorden van deze accounts gewoon door middel van brute-force achterhaald zijn. Vermoedelijk ergens een bug in een API of oude interface waardoor deze brute-forces niet afgevangen zijn.
zynex @WhiteDog9 mei 2012 13:01
De kans dat er sprake is van een bruteforce is inderdaad aanwezig. (Vooral aangezien de wachtwoorden zo simpel zijn.)

Het kunnen echter ook gewoon accounts zijn die aangemaakt zijn door de hackers zelf. Er zijn nog steeds professionele youtube account creators met capaches die behoorlijk snel ingevoerd kunnen worden (auttomatisch op een credit systeem). Mensen met 20k accounts zijn niet zeldzaam in de hackscene. Deze accounts worden meestal met proxy's gebruikt om video's te liken/views erbij te krijgen, maar ik kan me goed voorstellen dat er ook dergelijke programma's voor Twitter zijn om reclame te verspreiden.

Een andere mogelijkheid is natuurlijk dat de computer van een twitter spammer gehacked is.
Keypunchie
9 mei 2012 12:50
Het lijkt er eerder op dat een of andere Twitter-spammer zijn database gehackt is, dan Twitter zelf.

Overigens zitten in die database dan vaak ook weer gehackte accounts, want zelfs intelligente mensen vullen hun wachtwoord ook klakkeloos overal in.

"Vul hier je Twitter-wachtwoord in en wij vertellen je wie jou geblocked heeft" en dat soort onzin.
Squ1zZy 9 mei 2012 12:53
"Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan"

"Het is ook nog niet duidelijk hoe de hackers bij de sociale-netwerksite binnenkwamen."

Gezien deze 2 quotes lijkt mij dan het om een brute force ging.
Dreamvoid 9 mei 2012 13:01
12345? That's amazing, I've got the same combination on my luggage!
Verwijderd 9 mei 2012 12:45
knap hoor van die hackers |:(
Veruit het grootste deel van de wachtwoorden bestaat slechts uit numerieke tekens en in een derde van de gepubliceerde gevallen blijkt het om één tot en met acht karakters te gaan, blijkt uit een statistische analyse van 37.058 gepubliceerde Twitter-wachtwoorden, waarvan 21.215 items overigens uniek waren. Bij de wachtwoorden ging het 688 keer om '123456', blijkt uit de statistieken.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:34]

Verwijderd 9 mei 2012 13:01
ik heb net de psswds gekregen: het zijn door een bot aangemake accounts met random psswds...
Wampa1 9 mei 2012 13:22
Aangezien je op twitter toch al alles deelt wat er in je leven gebeurt, kan je password er ook nog wel bij..

Zo hebben ze vast gedacht :P

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq