Twitter: aanvallers hadden mogelijk toegang tot kwart miljoen accountgegevens

Bij een aanval op microblogdienst Twitter zijn mogelijk de gegevens van 250.000 accounts gestolen, zo meldt Twitter zelf. Het zou gaan om mailadressen, tokens van sessies en versleutelde wachtwoorden. Mogelijk gaat het om accounts uit 2006 en 2007.

"Deze week ontdekten we ongebruikelijk toegangspatronen die ons op het spoor brachten van ongeauthoriseerde pogingen om toegang te krijgen tot gebruikersdata van Twitter", schrijft Bob Lord, die bij Twitter verantwoordelijk is voor informatiebeveiliging. "Ons onderzoek wijst er op dat de aanvallers mogelijk toegang hadden tot een beperkt aantal gebruikersgegevens - gebruikersnamen, mailadressen, sessietokens en versleutelde en gesalte versies van wachtwoorden - van ongeveer 250.000 gebruikers."

Amerikaanse media schrijven dat vooral de eerste generatie gebruikers getroffen lijkt te zijn: tot toe lijken vooral gebruikers met accounts uit 2006 en 2007 mail van Twitter gehad te hebben. Details over de aanval geeft Twitter niet, maar het bedrijf claimt dat het niet het werk van amateurs betreft. Ook denkt de dienst dat andere bedrijven en organisaties op dezelfde wijze zijn aangevallen.

Twitter heeft de wachtwoorden van de betrokken accounts gereset en hen een mail gestuurd om ze waarschuwen. Daarnaast raadt de dienst alle gebruikers aan een sterk wachtwoord te nemen, niet dezelfde wachtwoorden voor meerdere diensten te nemen en Java in de browser uit te schakelen. Niet bekend is of Java iets met de aanval te maken heeft, of dat de Twitter-beveiligingstopman dit noemt door de golf aan recente kwetsbaarheden in Java. Twitter gebruikt overigens bcrypt om wachtwoorden te hashen, waardoor de kans klein is dat aanvallers ze binnen redelijke tijd kunnen ontsleutelen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 02-02-2013 08:39
23 • submitter: jaspergeerts

02-02-2013 • 08:39

23 Linkedin

Submitter: jaspergeerts

Lees meer

'Twitter introduceert binnenkort two-step-authentication' Nieuws van 24 april 2013
Twitter werkt aan two-step-authentication Nieuws van 5 februari 2013
'Twitter koopt bedrijf voor sociale tv-analyse' Nieuws van 5 februari 2013
Apple-hacker gaat bij Twitter aan beveiliging werken Nieuws van 15 september 2012
FBI: uitgelekte gegevens van iOS-gebruikers kwamen niet van ons Nieuws van 5 september 2012
'Hacker stelde Simpel via Vodafone op de hoogte van hack' Nieuws van 9 juli 2012
Twitter geeft inzicht in opvragen gebruikersgegevens door overheden Nieuws van 3 juli 2012
'Hacker steelt 50GB aan klantgegevens bij Mastercard en Visa' Nieuws van 18 juni 2012
Hackers publiceren inloggegevens Twitter-accounts Nieuws van 9 mei 2012
Hacker steelt wachtwoorden 338.000 accounts carrièresite Nieuws van 17 februari 2012
Twitter blijkt ook adresboekgegevens op eigen servers op te slaan Nieuws van 15 februari 2012
Twitter- en Facebook-account Anonymous geblokkeerd Nieuws van 9 december 2010
Meer producten en artikelen
Netwerk en systeembeheer Twitter

Reacties (23)

-Moderatie-faq
23
22
11
0
0
1
Wijzig sortering
Alpha89
2 februari 2013 09:11
Een tijd terug kreeg ik wel extreem vaak password reset requests van Twitter. Deze had ik uiteraard niet aangevraagd. Wellicht dat iemand met een vergelijkbare naam zich vergist had. Maar vond het toch maar verdacht... Is wel uit zichzelf gestopt. Toch jammer dat grote sites als Twitter er niet in slagen zich volledig te beschermen...
SniperEye
@Alpha892 februari 2013 09:52
Er ontsnappen nog steeds regelmatig gevangenen uit een gevangenis waarvan wij ook verwachten dat deze waterdicht zijn. Het is een illusie om te denken dat je data veilig zijn op het web.

Twitter heeft naar mijn mening de zaken goed op orde. Ze hebben de diefstal vrij snel ontdekt ("slechst" 250.000 van de 200.000.000 accounts zijn slachtoffer) en dit ook snel gecommuniceerd met de achterban.

Mijn account is niet getroffen. Desondanks: altijd andere wachtwoorden voor de verschillende services. Alles wat echt belangrijk is: niet op internet zetten.
arjan445
@SniperEye2 februari 2013 11:31
Heeft twitter zo veel leden?
Anoniem: 480627
@arjan4452 februari 2013 12:56
200 miljoen actieve gebruikers, waarschijnlijk nog veel meer accounts.
https://mobile.twitter.com/twitter/status/281051652235087872
Alexxxxxxxxxx
@arjan4452 februari 2013 12:52
Ja
ymmud
@Alpha892 februari 2013 09:21
Dit had je zelf ook voor kunnen zijn hoor want sinds enige tijd zit in twitter de optie om extra gegevens te verstrekken om een password reset aan te vragen.

Settings, account, ergens onderaan staat:
By default, you can initiate a password reset by entering only your @username. If you check this box, you will be prompted to enter your email address or phone number if you forget your password.

Ik had helaas de mail ook in de mailbox en mijn account is van maart 2007. Verhaal dat het oude accounts betreft lijkt in mijn geval te kloppen ;) Nu gebruik ik overal een ander password maar wel vervelend dat het gebeurd.
Alpha89
@ymmud2 februari 2013 09:39
Thanks! Weer iets geleerd :) .
Anoniem: 325202
2 februari 2013 18:48
Wilbert de Vries van Tweakers heeft hierover gesproken op het NOS journaal om 6 uur!!!

http://nos.nl/video/46970...rs-op-straat-na-hack.html

[Reactie gewijzigd door Anoniem: 325202 op 2 februari 2013 23:27]

Zidane007nl
@Anoniem: 3252022 februari 2013 20:15
Of deze, makkelijker: http://nos.nl/video/46970...rs-op-straat-na-hack.html
Tweaking Art
2 februari 2013 08:43
Interesant...toen ik inlogde op twitter kreeg ik een notificatie dat ik een mail van twitter had gehad, had hem nog niet bekeken omdat mijn twitter email stuurt naar mijn alternatieve email adres.

Nou ja toch maar even mijn wachtwoord veranderen...voor de zekerheid. :)
hgoor
2 februari 2013 10:57
Nou, bingo dus: vanochtend mailtje dat mijn account gelocked is en dat ik mijn wachtwoord moet resetten.
xiphoid
2 februari 2013 22:58
Ja, ik had het mailtje, er was niets met de account gedaan, en hun support om het op te lossen was erg duidelijk. Niets aan de hand verder.
Anoniem: 325202
2 februari 2013 23:32
Ik ben het trouwens niet eens met Wilbert de Vries dat het een hack van een hoog niveau moet zijn. Want Twitter gegevens zijn gewoon waardeloos, je kunt er totaal niks mee. Misschien kan je er wat spam mee verzenden maar dat is het dan ook. Het lijkt me mee een hack van het niveau "omdat het kan" dan werkelijk waar een doelgerichte aanval op de diensten van Twitter.
Tvern
@Anoniem: 3252022 februari 2013 23:57
Lijkt me dat "hoog niveau" slaat op de vaardigheid van de hackers. Geen scriptkiddies dus.
Wat de motivatie voor de hack was is een ander verhaal.
biglia
2 februari 2013 11:25
Ik heb een Twitter account, maar echt veel gegevens zijn daar niet aangekoppeld volgens mij. Ze vroegen zelfs mijn naam niet.
Anoniem: 399807
2 februari 2013 11:58
Ik heb geen twitter account en zo is inderdaad internet zo veilig als je het zelf maakt. Jammer voor iedereen die over de eigen voeten struikelde om twitter als nieuw idee te accepteren. :)
Zidane007nl
@Anoniem: 3998072 februari 2013 14:40
Jouw opmerking slaat nergens op. Het zijn accounts uit 2006 en 2007 die waarschijnlijk gehackt zijn. Nieuw zijn die niet meer dus.
D2DM
@Zidane007nl5 februari 2013 04:20
die over de eigen voeten struikelde om twitter als nieuw idee te accepteren = de eerste generatie gebruikers.
Dienst online half 2006. Misschien met lichtere wachtwoord eisen in die periode.
Red_inc
@Anoniem: 4780652 februari 2013 09:22
Internet is zo veilig als je het zelf maakt.
Het kan best een veilig medium zijn.

nee domme mensen gebruiken het zelfde paswoord voor alle accounts!
email , paypall ebay marktplaats twitter. want dat is lekker makkelijk.

of gebruiken een illegale windows XP , zonder virus scanner , zonder updates en de standaard IE.......... downloaden van alles en nog wat . en vinden het gek dat ze gehacked worden....
maxxware
@Red_inc2 februari 2013 09:39
Internet is zo veilig als de persoon die achter de pc zit. 90% van de 'hacks' maakt gebruik van social engineering en niet van hard kraakwerk.
Anoniem: 126717
@Red_inc2 februari 2013 09:30
Of draaien DOS 3.3, maar dat maakt allemaal niet uit wanneer de site waar ze al dan niet veilig naar toe gaan gehackt wordt.
Het valt mij eerlijk gezegd mee hoe weinig de grote sites, zoals Twitter, gehackt worden. Ze zullen waarschijnlijk vaak onder vuur liggen.
Netjes dat ze het direct naar buiten brengen, en de wachtwoorden kennelijk goed versleuteld hebben.
HoeZoWie
@Anoniem: 4780653 februari 2013 12:06
8-) OffTopic:
Met name domme mensen en banken enzo denken dat internet veilig is.
Ooh ja, dit van jou is toegevoegde waarde! |:(

[Reactie gewijzigd door HoeZoWie op 3 februari 2013 12:07]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee