Hackers ontvreemden wachtwoorden Scribd-gebruikers

Hackers hebben ingebroken op de servers van Scribd en daarbij de gegevens van gebruikers gestolen. Het gaat daarbij om gebruikersnamen, e-mailadressen en versleutelde wachtwoorden. Een deel van die wachtwoorden kon mogelijk worden achterhaald.

Scribd maakt niet duidelijk van hoeveel gebruikers de gegevens zijn ontvreemd. In totaal heeft de dienst 100 miljoen gebruikers. De dienst geeft wel aan dat er waarschijnlijk geen documenten en betalingsgegevens zijn buitgemaakt. Wel kregen de aanvallers de beschikking over gebruikersnamen, e-mailadressen en versleutelde wachtwoorden.

Hoewel de wachtwoorden van gebruikers zijn versleuteld en van een salt zijn voorzien, zijn de wachtwoorden van een klein deel van de gebruikers mogelijk wel achterhaald door de aanvallers. Het is niet duidelijk hoe dat heeft kunnen gebeuren, maar waarschijnlijk gaat het om minder dan 1 procent van de gebruikers. De dienst heeft getroffen gebruikers een mail gestuurd, maar gebruikers kunnen ook zelf controleren of ze zijn getroffen.

Scribd Password Checker

Door Joost Schellevis

Redacteur

Feedback • 05-04-2013 13:20 19

05-04-2013 • 13:20

19

Lees meer

Gegevens van duizenden burgers in Oost-Brabant lekken uit
Gegevens van duizenden burgers in Oost-Brabant lekken uit Nieuws van 5 juni 2013
Wachtwoordmanager Keeper sloeg wachtwoorden onversleuteld op
Wachtwoordmanager Keeper sloeg wachtwoorden onversleuteld op Nieuws van 5 april 2013
Bitcoin-kluizen offline gehaald door hacks
Bitcoin-kluizen offline gehaald door hacks Nieuws van 4 april 2013
Skype en Dropbox dichten lek dat toegang tot Facebook-accounts gaf - update
Skype en Dropbox dichten lek dat toegang tot Facebook-accounts gaf - update Nieuws van 4 april 2013
'Hacker Gouds ziekenhuis was betrokken bij andere hackpogingen'
'Hacker Gouds ziekenhuis was betrokken bij andere hackpogingen' Nieuws van 21 maart 2013
DarkSeoul-virus veroorzaakte vermoedelijk problemen in Zuid-Korea
DarkSeoul-virus veroorzaakte vermoedelijk problemen in Zuid-Korea Nieuws van 20 maart 2013
Cisco geeft nieuwe firmware verouderd en zwak hashing-algoritme
Cisco geeft nieuwe firmware verouderd en zwak hashing-algoritme Nieuws van 20 maart 2013
Mozilla toont nieuwe developertools voor Firefox
Mozilla toont nieuwe developertools voor Firefox Nieuws van 19 maart 2013
Meer producten en artikelen
Websites en community's Privacy Netwerk en systeembeheer Hackers

Reacties (19)

-Moderatie-faq
19
18
11
2
0
5
Wijzig sortering
amoen 5 april 2013 14:33
PAS OP om zomaar naar de scribd website te gaan als je een actieve facebook login hebt!
Ik ben er zojuist pijnlijk achtergekomen dat facebook een privacy-instelling heeft die "Instant personalization" heet.

Dit geeft Facebook Partners de mogelijkheid om zonder toestemming jouw persoonlijke informatie te gebruiken. In geval van Scribd, krijg je dus automagisch ineens een account-pagina. (scribd.com/username) Het is echt niet duidelijk hoe je je hiervan weer kunt afmelden op scribd.com.

Uiteindelijk heb ik deze facebook instelling uitgezet onder privacy => "apps" en ook daar de toegang naar scribd ingetrokken.

Ernstig dit...

[Reactie gewijzigd door amoen op 2 augustus 2024 22:38]

dukejunior 5 april 2013 13:29
Zo'n salt blijkt dan ook niet 100 % waterdicht te zijn. Om het wachtwoord te achterhalen zou je dan toch de salt zelf ook moeten hebben? Terwijl aangegeven wordt dat alleen gebruikersnamen, e-mailadressen en versleutelde wachtwoorden zijn achterhaald.

...

Nu ik even de informatie op de support pagina van Scribd lees, staat daar "We believe the information accessed was limited to general user information, which includes usernames, emails, and encrypted passwords. " Which includes.... Dus misschien dat ze de salt (per user?) ook hebben kunnen achterhalen. Het enige wat je dan volgens mij nog moet doen is per user (!!) een rainbow table maken. (Correct me if i'm wrong).

[Reactie gewijzigd door dukejunior op 2 augustus 2024 22:38]

mzziol @dukejunior5 april 2013 14:12
Maar per user een rainbow table maken heeft geen zin. Dan kun je net zo goed 'gewoon' kraken. Immers gooi je na het maken van de rainbow table die toch weer weg, aangezien je het voor een andere gebruiker niet kan gebruiken.

En nee, een salt is niet 100% waterdicht, maar het is ook slechts een technisch om rainbow-tables tegen te gaan (en dat is gelukt). Het is niet gezegd dat een wachtwoord dan niet meer te kraken is. (Sterker nog, waarschijnlijk is het over 20 jaar met een huis-tuin-en-keuken computer binnen een paar minuten te kraken.)
Egari @dukejunior5 april 2013 13:55
Mocht er inderdaad gebruik gemaakt worden van per-user salts, en deze salts zijn in handen gekomen van de hackers moeten deze inderdaad een rainbow table maken worden voor elke unieke salt.

Nu is het probleem dat het nog steeds lastig is om te bepalen welke versleuteling er precies gebruikt is, dus is het maken van deze rainbow tables alsnog een lastige opgave.
(Er even van uitgaande dat Scribd dit niet aan de grote klok hangt)
Thapous 5 april 2013 13:21
Minder dan 1 procent bij 100 miljoen gebruikers vind ik alsnog aanzienlijk...
Huugje @Thapous5 april 2013 13:25
Minder dan 1 procent is natuurlijk een ruim begrip. Dat kan 0,9 procent zijn, maar ook 0,00000001 procent.
kramer65 @Huugje5 april 2013 13:31
Als een bedrijf zegt "minder dan één procent" betekent dat in de volksmond gewoon "tussen de 0.9 en 1 procent".

Ik denk niet dat als er 0.3% is gelekt, dat ze dan zullen zeggen dat minder dan 40% is gelekt, alhoewel ze daar feitelijk absoluut gelijk in zouden hebben.. :)

Het lijkt me helemaal mooi als een bedrijf dagelijks claimt dat er die dag minder dan 98% van de persoonlijke gegevens zijn gelekt..

[edit] "Als een bedrijf zegt" aan de eerste zin toegevoegd..

[Reactie gewijzigd door kramer65 op 2 augustus 2024 22:38]

Zer0 @kramer655 april 2013 13:38
Minder dan één procent betekent in de volksmond gewoon "tussen de 0.9 en 1 procent".
In de volksmond is het gewoon minder dan één procent. Alleen techneuten en wetenschappers neuzelen over tienden van procenten...
Huugje @kramer655 april 2013 13:45
Serieus? Voor mij is minder dan 1 toch echt gewoon alles wat kleiner is dan 1.
Sjnieboon @Thapous5 april 2013 13:25
Minder dan 1 procent zegt natuurlijk net niks. 0,00001% is ook minder dan 1 procent. Blijft natuurlijk slordig.
dennizzz @Sjnieboon5 april 2013 13:27
Natuurlijk wel, als het écht minder dan 0,00001% is, dan zegt de woordvoerder ook wel 'minder dan 0,00001%'. Je gaat een hack natuurlijk niet overdrijven in grootte
XRayXI @Thapous5 april 2013 13:28
Aanzienlijk als in toch 1 miljoen gebruiker(s)?
Ik zou 10.000 al teveel vinden.

Niet gek dat mensen meerdere accounts, email adressen hebben en wachtwoorden. Leuker of handiger word het d'r niet van.
Verwijderd 5 april 2013 15:41
Al één gehackt paswoord is al te véél.
Dus: Scribd is niet goed beveiligd
gnu @Verwijderd5 april 2013 16:26
Wat kort door de bocht dit.

Als iemand als wachtwoord "password" heeft ingevuld, dan is het zeer waarschijnlijk dat dit account als 1 van de eerste "gehackt" (hash berekent met salt) wordt.

Mensen die een wachtwoord gebruiken die op de lijst staat met 100 meest gebruikte wachtwoorden zijn bij elk lek de pineut want hash-crackers gebruiken nou net de lijsten met wachtwoorden die veel voorkomen.
_Thanatos_ @gnu5 april 2013 20:36
Nouja, inbreken en accountgegevens jatten is natuurlijk wat anders dan een wachtwoord goed gokken... Dus jouw redenatie is ook een beetje kort door de bocht.

[Reactie gewijzigd door _Thanatos_ op 2 augustus 2024 22:38]

Kurdy 5 april 2013 17:28
Waar reset ik mijn scribd wachtwoord?
Wil dat voor de zekerheid maar even doen, maar kan het nergens vinden.
_Thanatos_ 5 april 2013 20:35
Zo zie je maar, als je maar op genoeg sites je gegevens achterlaat, komt het vanzelf een keer in het wild. En dan kun je privacy-settings instellen zo strak (of losjes) als je onderbroek, maar dat helpt natuurlijk niets als er ingebroken wordt.

Kan beter de sites waar je persoonsgegevens achterlaat, tot een minimum beperken, en aan de rest gewoon bogus geven. Zeker nooit geven wat ze niet nodig hebben. Zo heeft Google niet mijn telefoonnummer nodig om te functioneren, en heeft een 13-in-een-dozijn blogje niet mijn e-mail adres nodig om op te kunnen posten.

Een gemiddelde site waar je een account "nodig" hebt, kun je prima voorzien van een auto-alias adres (in de vorm username+alias@domein.com) of een trashmail-adres als je geen mail van ze hoeft te ontvangen. En iedere site een apart wachtwoord geven natuurlijk - want als je overal hetzelfde gebruikt, hang je, want die kwajongens gaan natuurlijk op andere sites met jouw wachtwoord "gokken".
Haas_nl 5 april 2013 23:24
Die website is zoal niet pluis staat een hoop illegale content op achter een paywall.
Heel veel technische normen die enkele honderde euro's kosten, die kon je daar altijd gratis bekijken.
En ja toen hoorde je mij niet klagen ;)
Maar nu moet je er voor betalen wat inhoudt dat ze geld over iemand anders zijn rug verdienen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq