Hackers hadden toegang tot Drupal-serverinfrastructuur

Hackers zijn erin geslaagd de servers van de Drupal Association binnen te dringen, waardoor ze toegang kregen tot de gebruikersnamen en versleutelde wachtwoorden van gebruikers van Drupal.org en groups.drupal.org. De hack heeft geen betrekking op sites die Drupal draaien.

DrupalDe Drupal Association meldt de hack via een e-mail aan zijn gebruikers. "De Drupal.org Security en Infrastructure Teams hebben ongeoorloofde toegang tot accountinformatie op Drupal.org en groups.drupal.org ontdekt", waarschuwt de organisatie, "De informatie betreft gebruikersnamen, e-mailadressen, informatie over land van herkomst en gehashte wachtwoorden." Uit onderzoek kan naar voren komen dat nog meer data is benaderd door de hackers, aldus Drupal.

Alle wachtwoorden, op die van groups.drupal.org na, waren zowel gehasht als gesalt. Uit voorzorg zijn ze echter gereset, zodat gebruikers een nieuw wachtwoord moeten aanmaken bij hun eerstvolgende bezoek. De organisatie raadt gebruikers daarnaast aan wachtwoorden voor andere diensten te wijzigingen, als die vergelijkbaar of identiek waren aan het Drupal-wachtwoord. Onduidelijk is om hoeveel gebruikers het gaat.

De toegang tot de servers zou via software van derde partijen op de Drupal.org-infrastructuur zijn verkregen en niet via een kwetsbaarheid in Drupal zelf. De hack heeft dan ook geen betrekking op sites die Drupal draaien of hun beheerders.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 30-05-2013 07:48
36 • submitter: Hedva

30-05-2013 • 07:48

36

Submitter: Hedva

Lees meer

Bètaversie Drupal 8-cms komt deze week uit
Bètaversie Drupal 8-cms komt deze week uit Nieuws van 30 september 2014
Drupal 7.22
Drupal 7.22 Download van 10 april 2013
Drupal haalt zeven miljoen dollar op
Drupal haalt zeven miljoen dollar op Nieuws van 22 december 2007
Websites en community's Netwerk en systeembeheer Hackers Wachtwoord

Reacties (36)

-Moderatie-faq
36
36
23
4
1
9
Wijzig sortering
FlyingDutchMen 30 mei 2013 08:42
Ik ben het met REDSD eens! Elke keer weer is er iets gehackt en moet je weer allemaal wachtwooren aan gaan passen.. Het schiet niet heel erg op zo. Misschien moeten ze toch maar eens iets van een reader-systeem gana toepassen zoals ook bij banken te vinden is. En dat computers met een "goed gekeurd" ip-adres (door de gebruiker gekeurd) alleen een wachtwoord nodig hebben.
Yggdrasil @FlyingDutchMen30 mei 2013 10:41
Passwordmanagertools zoals LastPass doen dat al zo.
  • Je kunt voor elke account een ander complex wachtwoord genereren dat je niet hoeft te onthouden (ze hebben zelfs een tool om aan te geven bij welke accounts je een wachtwoord dubbel gebruikt hebt)
  • De toegang tot je wachtwoorddatabase beveilig je met twee-factor authenticatie. LastPass ondersteunt daarvoor bijv. Google Authenticator, YubiKey, een printje met one-time-pads, etc.
  • Apparaten die je vaak gebruikt kun je whitelisten zodat die tweede factor niet vereist is.
Ik gebruik LastPass met een YubiKey en gebruik voor vrijwel elke account een ander wachtwoord, dat ik niet hoef te onthouden en waarbij het bijna niet erg is als dat gestolen wordt. Geeft veel rust en zouden meer mensen moeten doen.
marking @FlyingDutchMen30 mei 2013 09:06
Ik ben het met Ozzie eens. Ik vind dat je er altijd van uit moet gaan dat de website waar je je gegevens achterlaat toch niet te vertrouwen is. En dan doet het er niet toe of de site zelf corrupt is of ze gehackt worden. Als jij overal op het internet hetzelfde wachtwoord gebruikt deel je redelijk belangrijke data met andere sites.

Los hiervan heeft Drupal aangegeven dat de passwords hashed en salted zijn. Tenzei je dus een super slecht wachtwoord hebt gebruikt is het bijna onmogelijk om deze te kraken. Een reader app zal hier dan ook niks aan veranderen, de website was van binnenuit gehacked. De vraag van Drupal aan aar gebruikers om hun wachtwoorden te resetten is in mijn ogen overbodig, maar wel netjes om te melden.
hackerhater @marking30 mei 2013 09:50
Vanuit gaand dat ze een fatsoendelijke salt (eventueel gebruiker specifieke salt) hebben gebruikt kan je er redelijk vanuit gaan dat de wachtwoorden behalve met brute force onkraakbaar zijn. En om dat nu te gaan doen voor wachtwoorden van een simpele site?

Evengoed inderdaad handig dan het wachtwoord te veranderen.
Ergomane @hackerhater30 mei 2013 11:02
marking zegt dat het niet uitmaakt of je wachtwoord te brute-forcen is, omdat de beheerder van die simpele site er eenvoudig voor kan zorgen dat het in plaintext bij hem terecht komt en dan bruikbaar is op andere 'simpele sites' waar je hetzelfde wachtwoord hebt gebruikt.
hackerhater @Ergomane30 mei 2013 13:38
Klopt, ik had het specifiek over de drupal servers. Tuurlijk ze zijn geen kleine partij, maar zo super belangrijk zijn ze nu ook weer niet op het WWW.
DutchReaper @marking30 mei 2013 10:09
Dat zal niet weghalen dat de computer steeds sneller worden waardoor deze wachtwoorden over een paar jaar eenvoudig te kraken zijn. Het moet dan niet zijn dat je nog steeds dat wachtwoord gebruikt
Verwijderd @FlyingDutchMen30 mei 2013 09:11
En dat computers met een "goed gekeurd" ip-adres (door de gebruiker gekeurd) alleen een wachtwoord nodig hebben.
Ik kan daar al direct 2 problemen bij geven:
- consumenten internet abonnementen hebben vrijwel altijd een dynamisch IP adres
- IP adressen zijn redelijk eenvoudig te spoofen.
? ? @Verwijderd30 mei 2013 09:50
IP adressen zijn NIET te spoofen op die manier: om een HTTP request te doen is een TCP/IP verbinding nodig en het opzetten daarvan gebeurd met een 3-way handshake.

Client (IP 1.1.1.1) stuurt een bericht met "hallo ik ben IP 3.3.3.3 (gespoofd IP)"
Server (IP 2.2.2.2): stuurt een bericht terug naar 3.3.3.3
Client met IP 3.3.3.3 weet van niks en stuurt niks terug.
Client met IP 1.1.1.1 die een ander adres probeerde te gebruiken krijgt ook niks terug.

Resultaat: er is geen TCP/IP connectie.

Beveiliging op IP is een prima bijkomende beveiliging! In GMail kan je dit ook instellen, dat als je mail geopend wordt vanuit een verdachte locatie (China, Rusland of ergens waar jij niet zit), dat je een melding krijgt.

Eigenlijk zouden alle Belgische en Nederlandse websites buitenlandse IP adressen enkel moeten toelaten met een soort van opt-in die de gebruiker kan instellen.
BlueInk @? ?30 mei 2013 15:47
[knip]
Eigenlijk zouden alle Belgische en Nederlandse websites buitenlandse IP adressen enkel moeten toelaten met een soort van opt-in die de gebruiker kan instellen.
Dat kan leuk worden als je zo'n 50 ip-nummers moet beheren. :(
'k Gebruik nl. altijd een vpn-verbinding en swich regelmatig van server...
REDSD 30 mei 2013 08:32
Jammer, Ik kan elk half jaar al mijn wachtwoorden wijzigen van mijn accounts omdat er weer iets gehackt is.

Ik heb al gezien bij de release van Guild wars dat mijn e-mail en wachtwoord(en) al bekend zijn want ze konden al inloggen op mijn account een dag nadat ik het spel had geregistreerd.

Ik hoop dat er binnenkort een goed globaal alternatief komt op alleen het gebruik van username en password, want het bijna niet te doen om al je accounts bij te houden en dan weet je ook nooit zeker of niet ergens weer een website is gehackt.
Ozzie @REDSD30 mei 2013 08:42
Stop dan met het gebruiken van hetzelfde wachtwoord op meerdere site. Dan hoef je ook maar één wachtwoord te veranderen.
REDSD @Ozzie30 mei 2013 09:00
Helemaal waar, alleen ben ik niet instaat om meer dan 30-50 verschillende wachtwoorden te onthouden.

Ik priorteer het, de belangrijkste accounts hebben een ander wachtwoord dan de websites waar het er niet veel toe doet.
Verwijderd @REDSD30 mei 2013 09:06
Daar hebben ze toch tools zoals KeePass voor?
MsG @Verwijderd30 mei 2013 10:57
Waardoor alles weer leunt op 1 wachtwoord, wat behoorlijk gevaarlijk wordt. Wat als die wachtwoord-services gehackt worden? Dan ben je veel meer de klos dan wanneer ze 1 wachtwoord van je hebben.
Beun de Haas @MsG30 mei 2013 11:33
In het geval van Keepass ben je dan nog steeds redelijk veilig tenzij ze ook toegang hebben tot je wachtwoord bestand. Deze sla je lokaal op of op bijvoorbeeld een usb apparaat wat je meeneemt. Het staat dus niet online bij een misschien wel of niet gehackte opslagdienst.
ch4rl3m4gn3 @MsG30 mei 2013 11:38
KeePass(X) is geen service, het is een programma dat je lokaal draait (LastPass is wel een service). Natuurlijk heb je wel een punt hoor, de geheimhouding van je hoofdwachtwoord wordt dan wel heeel erg belangrijk. Maar toch zie ik het voorlopig als de beste oplossing voor het probleem van de vele accounts.
Afvalzak @REDSD30 mei 2013 09:08
Zet dan een simpele website unieke code voor je wachtwoord, bijvoorbeeld:
FB*wachtwoord* of TNET*wachtwoord* en als je het wachtwoord echt vergeet zit er altijd nog een help ik ben mijn ww vergeten knop ;)
Blaise @Afvalzak30 mei 2013 09:54
Ik gebruik dat systeem ook voor mijn "belangrijke" websites, maar ik heb er nu een beetje spijt van: Je bent alsnog de sjaak als je wachtwoord plaintext in een database staat die wordt gehacked, of als ze ondanks hashing en salting met brute-force toch achter je wachtwoord komen. Als ze het op jou gemunt hebben kunnen ze op basis van één wachtwoord AL je wachtwoorden voorspellen. Niet dat die kans groot is, maar je kan beter het zekere voor het onzekere nemen.
svennd @Blaise30 mei 2013 10:12
plaintext ww zijn als IE6 browsers, die horen er niet meer te zijn! Met een goeie salt is brute-force eigenlijk ook zo goed als uitgesloten en als je zelf een goed paswoord hebt dan is ook hash-brute-force een tijdje zoeken. (weken~maanden~jaren) dan is het eenvoudiger om jouw pc als target te nemen, daar zijn talloze exploit's gekend en de kans is groot dat je minder dan legale software hebt draaien ... 8-) Ik denk ook niet dat ze 100% voor de ww gaan, eerder e-mail adressen en regio info, om je lekker veel blauwe pillen te verkopen.
Verwijderd @svennd30 mei 2013 10:46
Op arstechnica was laatst een leuk artikel over hoe makkelijk het blijkt om md5 hashed wachtwoorden te ontcijferen.

http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Daarom wil ik nog wel even verder gaan dan plaintext ww zouden niet meer behoren te zijn. Ok Md5 encrypted wachtwoorden zouden er niet meer moeten zijn.

Drupal zelf gebruikt gelukkig SHA512 dus dat is niet 1-2-3 te ontcijferen.
Slurpgeit @svennd30 mei 2013 16:06
Het enige waar een salt goed voor is, is het voorkomen van aanvallen met rainbow tables. Bijna alle brute-force tools hebben gewoon ondersteuning voor salts.
Henrikop @REDSD30 mei 2013 09:57
Tja, je zult wel iets moeten, want eenzelfde (username en) wachtwoord hanteren is hetzelfde als je sleutel achterlaten bij iedereen waar je over de vloer komt.

Je kunt *nooit* zien hoe een dienst of website met jouw wachtwoorden omgaat. En er hoeft maar een persoon te zitten met toegang tot die data en even gaat proberen of de username wachtwoord ook op andere sites "past".

Je geeft hiermee de controle weg.

Maar het is menselijk hoor! Geloof zelfs dan meer dan 50% van de mensen wachtwoorden veelvuldig hergebruiken.
Yggdrasil @REDSD30 mei 2013 10:28
Ik kan dat ook niet dus gebruik ik LastPass. Voor zover ik dat kan bepalen (en ik heb daar best wel wat tijd ingestoken) slaan ze de wachtwoorden erg veilig. Alles wordt client-side versleutelt en ik heb daarnaast hun optionele twee-factor authenticatie ingeschakeld (met mijn YubiKey) zodat niemand behalve ik die centrale wachtwoordopslag kan openen.

Geloof me, het geeft ontzettend veel rust als je voor vrijwel elke site een ander complex wachtwoord kunt gebruiken zonder de mentale druk al die wachtwoorden te moeten onthouden. Migreer je huidige wachtwoorden uit de wachtwoordopslag van je browser en je kunt direct aan de gang. LastPass heeft een handig tool die aangeeft op welke accounts je hetzelfde wachtwoord gebruikt.

Ze hebben aan elk platform gedacht, dus je kunt altijd op een of andere manier bij je wachtwoorden, zelfs offline. Browser plugins, mobiele apps, website, bookmarklets, etc., zelfs offline backups naar bijv. USB stick zijn mogelijk. Qua design zijn hun tools misschien niet de mooiste, maar het werkt gewoon erg goed.
EektheMan @Yggdrasil30 mei 2013 12:55
Gezien de discussie van gister ben ik een beetje huiverig om je passwords te laten beheren door een Amerikaans bedrijf. Afhankelijk van de sector waarin je werkzaam bent kun je een target zijn voor oa de Amerikanen.

Die Yubi key geeft dan weer een aardige extra laag (weet niet of dat ook Amerikaans is), maar echt helemaal zeker kun je er niet van zijn.

Buiten de Amerikaanse overheid heb je natuurlijk wel mooie wachtwoorden waar niemand anders iets mee kan. Dus je bent beter afgeschermd dan dat je zelf lijstjes van wachtwoorden gaat bijhouden.

Je ziet in (overheids)bedrijven wel steeds meer dat bepaalde data niet meer aan het net wordt toevertrouwd. Geisoleerde servers, eigen lijntjes, geen gsm maar alleen satelliet communicatie etc. Daardoor worden medewerkers steeds vaker thuis getroffen.
Zelfs als je jong bent is het niet handig om simpele passwords te gebruiken. Je info wordt opgeslagen om wellicht later in je carriere tegen je te gebruiken.

Het is dus heel lastig om iets op het net op te slaan of achter te laten. Maar je zult bepaalde documenten toch op moeten slaan. De overheid staat niet nr1 op mijn lijst, dus misschien maar een bank?
Logins op websites zul je misschien in de toekomst alleen maar anoniem willen benaderen. Gaat alleen tegen het commerciele model in.
Rembert @REDSD30 mei 2013 10:19
30-50 wachtwoorden? Wow. Ik heb er dik over de 1000. Dat is niet meer te onthouden en daarom heb ik in eerste instantie KeePassX gebruikt en daarna ben ik overgestapt naar 1Password - die genereert ook wachtwoorden al zou ik dat algorithme wel wat willen tweaken.

On topic: ik ga dit nu wel even in de gaten houden. Heb paar sites op Drupal draaien en als de Drupal core ook gehacked is, dan kan het heel vervelend worden. Het betreft dus 3rd party software die gehacked is met een known vulnerability. Kortom, heeft de beheerder bij Drupal liggen slapen en geen update uitgevoerd?
hackerhater @REDSD30 mei 2013 09:48
Je bedoeld iets als openID?
PerfectionVR @REDSD30 mei 2013 11:10
Hetzelfde bij mijn blizzard account en swotor. Zodra ik een random password invoer en de 2step authenticator eraf haal zijn beide accounts binnen een maand gehacked. (Ik speel deze spellen/gebruik deze accounts ook niet eens.
kritischelezer 30 mei 2013 08:28
Wat maakt dat de drupal site wel te hacken valt, welke software van derden was kwetsbaar?

Mogelijk hebben vele drupal sites dezelfde software draaien. Het zal waardevol zijn om dit te publiseren.
Wotuu @kritischelezer30 mei 2013 08:36
De toegang tot de servers zou via software van derde partijen op de Drupal.org-infrastructuur zijn verkregen en niet via een kwetsbaarheid in Drupal zelf. De hack heeft dan ook geen betrekking op sites die Drupal draaien of hun beheerders.

Aldus het artikel. Het feit dat de drupal site gehackt is wil dus niet zeggen dat andere drupal sites ook kwetsbaar zijn. Dat dit dan wel gebeurd is op deze manier is mij een raadsel, maar dat is een andere discussie.
kritischelezer @Wotuu30 mei 2013 11:25
Die passage heb ik gelezen in het artikel, en natuurlijk wil Drupal aangeven dat hun script niet kwetsbaar is. Mogelijk zijn er updates voor drupal geïnjecteerd om zo alsnog Drupal servers kwetsbaar te maken.

Het zal goed zijn dat bedrijven aangeven hoe het kan dat ze gehackt zijn of aangeven wat hun eigen aandeel daarin is geweest. Bijvoorbeeld niet updaten van een rpm. Op zich het minste wat ze kunnen doen.

[Reactie gewijzigd door kritischelezer op 25 juli 2024 07:50]

marcvangend @kritischelezer30 mei 2013 11:34
Over het injecteren van Drupal updates maak ik me niet zoveel zorgen. Als die code is immers open source en staat onder versiebeheer. Het wordt heel lastig voor een hacker om iets te veranderen zonder dat dat meteen in de git logs zichtbaar wordt.

Bovendien betekent toegang tot een gehasht password nog niet meteen dat je kan pushen naar de Drupal core repository. Die toegang wordt gecontroleerd met SSH keys en er zijn maar weinig gebruikers met voldoende rechten daarvoor.
Ergomane @marcvangend30 mei 2013 11:57
De omvang van de hack is niet duidelijk. Als er ook schrijf-toegang is geweest, dan kunnen ssh-keys aan accounts worden toegevoegd.
lekrutes 30 mei 2013 08:40
Wat wou je instellen?
Iedereen een RSA token bij een game geven?
Of een sms versturen als je je aanmeld. Met een code die je moet invullen.
Zoals bij ING of Gmail is in te stellen.
TjerkBennema 30 mei 2013 07:51
Gelukkig niet tot drupal websites, dat zou zeer ongemakkelijk worden
Zidane007nl 30 mei 2013 09:23
Ik zag het gisteravond gebeuren. Eerst ging drupal.org plat voor 'some updates'. En later zag ik op Facebook en Twitter het bericht staan. Site was daarna een beetje overbelast ...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq