Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties
Submitter: Brainnuker

Een internetter blijkt nagenoeg onbeperkte toegang te hebben gehad tot cruciale systemen van torrentclient uTorrent. Hierdoor had in theorie een gemanipuleerde versie van de tool kunnen worden verspreid of zouden dns-records van het bedrijf kunnen worden aangepast.

De internetter in kwestie is de eigenaar van Ragezone die zegt een aantal maanden geleden per ongeluk op een systeem te zijn gestuit dat informatie bevatte waarmee toegang verkregen kon worden tot BitTorrent-systemen. Daarmee kreeg hij toegang tot enkele financiële documenten en tot de Github-omgeving van uTorrent, de torrentclient van BitTorrent.

"Ik keek wat verder om te zien wat er aan de hand was en zag tot mijn verbazing dat ik in staat was om public builds vrij te geven", schrijft 'MentaL' op zijn eigen forum. "Ik had zelfs de master keys, ook op dns-niveau. Toen ik doorhad waar ik naar zat te kijken, besloot ik dat ik het bedrijf moest informeren."

Omdat het contact met BitTorrent volgens de forumbeheerder stroef verliep en hij zich met een bod van 500 dollar afgescheept voelde, heeft hij besloten zijn ontdekking wereldkundig te maken. In zijn forumpost ondersteunt hij zijn bevindingen met enkele screenshots, zonder verder in detail uit te leggen op welke manier hij toegang tot de systemen heeft verkregen.

Volgens Torrentfreak kon deze toegang worden verkregen doordat een beheerpanel van een andere dienst niet afdoende was beveiligd. Via dat beheerpanel was het Github-account met adminrechten toegankelijk. Uit de screenshots blijkt dat 'MentaL' begin maart toegang had tot de Github-omgeving. In diezelfde periode werd een lek in Github wereldkundig gemaakt, al lijkt dat er dus los van te staan. BitTorrent heeft inmiddels verklaard maatregelen te hebben genomen om herhaling te voorkomen.

Update, 16:00: In een vorige versie van dit artikel werd gesteld dat de hack waarschijnlijk mogelijk was als gevolg van een eind februari ontdekt lek in Github. Dit blijkt niet het geval. Het artikel is hierop aangepast.
Moderatie-faq Wijzig weergave

Reacties (66)

Paniek om niets: helemaal geen lek in github:

http://torrentfreak.com/b...d-financials-leak-130801/

“They forgot to set a user/pass to the admin panel, that had access to github from a master account. Github accounts had usernames and passwords that were linked to everything,”
Dat is wel een blunder zeg. Dat zijn toch zaken die je als eerste verandert voordat je er überhaupt mee aan de slag gaat?

[Reactie gewijzigd door Deem op 2 augustus 2013 11:52]

Hoewel laat, maar ik heb het artikel aangepast op basis van deze informatie. Stom dat ik dat gemist heb in mijn zoektocht naar aanvullende bronnen...

[Reactie gewijzigd door Wilbert de Vries op 2 augustus 2013 16:18]

De titel van dit artikel is fout want er is helemaal geen lek in Github.
Een lek in GitHub? Dat is niet zo fijn. Daar staan ook wat projecten van mijzelf en het bedrijf waar ik voor werk. Ik merk ook niet uit het verhaal of GitHub zelf op de hoogte is gesteld of niet, als dit lek in hun systemen zit (en niet zozeer een configuratiefout is van de uTorrent mensen) lijkt me dat redelijk cruciaal om te fixen.

Overigens ook spijtig dat die broncode niet is uitgelekt, lijkt me een erg leerzaam stukje software om in te lezen. Dat zou wellicht andere clients net zo goed maken, maar dan zonder toolbar spam, reclames, en andere bloat :) Het feit dat vele mensen een verouderde client draaien omdat die nieuwe clients vol zitten met onzin zegt wel genoeg.
Volgens mij heeft Tweakers.net het hier bij het verkeerde eind. Ik heb de post van MentaL gelezen, en volgens mij heeft hij toegang gekregen tot een Continuous Integration (CI) server van BitTorrent.

Aangezien deze CI servers gebruikt worden om code van BitTorrent te testen, hebben de SSH keys van zo'n machine standaard lees-toegang tot een GitHub repository (via deploy keys). Dit is echter makkelijk fout te configureren, omdat er soms situaties zijn waarbij deploy keys niet fijn werken. De makkelijkste oplossing hiervoor is om een gebruiker toegang te geven tot de repo's en hier de SSH keys in te stoppen van de CI server.

Op het moment dat je bij dat soort dingen kunt is het redelijk makkelijk om dieper te gaan. In de diverse repo's hebben waarschijnlijk configuratiebestanden gezeten met dingen als inloggegevens voor mail accounts (bijvoorbeeld om bij een kapotte CI build een mail te sturen naar de verantwoordelijke programmeur) en AWS gegevens.

Anyway, het lijkt mij dus eerder dat het om zo'n lek gaat dan om een lek in GitHub zelf.
How to disable ads in uTorrent: http://lifehacker.com/dis...nt-via-settings-826283231

Ik heb de alternatieven ook al eens bekeken, maar ik vind uTorrent nog steeds een goeie client (als je alle ads en dergelijke disabled, anders is het inderdaad niet om aan te zien).
In principe zou qBittorrent hetzelfde moeten werken, maar dan met minder bloat en zonder reclame. Die ook al geprobeerd?
Ik heb em eens getest, maar ik vond het niet echt voordelen hebben (na de aanpassingen voor de ads in µtorrent).
Misschien moet ik het toch nog maar eens proberen...
Geen toolbars, spam en narigheid? Dat kan nu ook door de manier waarop uTorrent is opgebouwd: met modulaire plugins. De ads en reclame functionaliteiten zijn namelijk als aparte plugins geconfigureert:

Ga naar uTorrent voorkeuren, tabblad Geavanceerd.
Filter: 'upsell' -> Verander gui.show_plus_upsell naar Onwaar
Filter: 'sponsor' -> Verander offers.sponsored_torrent_offer naar Onwaar

Restart, klaar
Deze bug is opgelost
Zonde dat hij werd afgescheept. Hij volgde toch echt de juiste weg. Het moet dus eerst wereldkundig worden gemaakt om een dergelijk probleem op te lossen.

Hopelijk voorkomen ze ook de herhaling van het afschepen van goede hackers.
helaas is dat wel de route, zelf keer bij interconnect via sql injectie toegang tot klantDB. netjes mailtje, geen reactie, belletje - niet serieus genomen.

vervolgens user/pass db wereldkundig gemaakt, niet veel later reactie interconnect. maar denk je dat er een publicatie of een bericht richting de klanten verstuurd wordt zoals gevraagd..... no f*cking way

Zolang bedrijven niet eerlijk en transparent zijn richting hun klanten, niet reageren of jouw bevinding serieus nemen; publiceer het direct!
Ik snap dat je het bedrijf op de hoogte wil brengen van je bevindingen, maar als ze niet reageren of geinteresseerd zijn, waarom MOET de informatie dan gepubliceerd worden.

Ik heb het idee dat men hier uit is op roem en respect, je zou ook gewoon het bedrijf en de website of watdanook met rust kunnen laten en kunnen lachen als je later hoort dat iemand hun system platgelegd heeft.

Tenzij het gaat om een cruciaal systeem wat wereldwijd gebruikt wordt of door een overheid ofzo. uTorrent begrijp ik daarom wel, maar inloggegevens online zetten vind ik te ver gaan.

@ hieronder:
Natuurlijk is het belachelijk dat bedrijven hier laks mee omgaan, maar dan nog is het hun verantwoordelijkheid. Jij hebt helemaal niet de taak om dit soort informatie publiekelijk te maken, maar als het om iets belangrijks gaat, zoals in dit geval een torrent-client die wereldwijd veel gebruikt wordt, dan ben ik het er mee eens dat je awareness kunt creeren, maar niet door inloggegevens online te zetten.

Also, is ontopic toch? Op 0 klikken doe je niet als je het niet met iemand eens bent.

[Reactie gewijzigd door littlebitpwnsu op 2 augustus 2013 11:27]

@littlebitpwnsu En wat nou als de persoon die het lek vindt het niet wereldkundig maakt en jij bent één van de gedupeerden waarvan zeer gevoelige informatie wordt buitgemaakt waar vervolgens allemaal duistere dingen mee worden gedaan? Heb je dan nog steeds dezelfde mening? Ik vind het terecht dat mensen dit soort zaken wereldkundig maken op het moment dat ze niet serieus worden genomen. Bedrijven moeten transparant worden en dit soort zaken dienen gewoon opgelost te worden.

[Reactie gewijzigd door rickjehh op 2 augustus 2013 11:22]

In dat geval zou ik verhuizen naar een ander bedrijf als ze niet serieus met dit soort meldingen omgaan. In hoeverre bedrijven transparant zijn is aan henzelf, het is aan jou om een goede keuze te maken. Het zijn geen overheidsinstellingen.

[Reactie gewijzigd door littlebitpwnsu op 2 augustus 2013 11:30]

Maar in hoeverre stel je ze in staat serieus met het probleem om te gaan als je ze niet eens op de hoogte stelt van hetgeen je geconstateerd hebt en daarna vrolijk ergens anders naartoe gaat. Ook niet echt bewonderenswaardig.

[Reactie gewijzigd door rickjehh op 2 augustus 2013 11:33]

Nee dat bedoel ik niet, natuurlijk moet je het bedrijf op de hoogte stellen, maar als ze niet reageren of het niet interessant vinden, dan zou je hoogstens een melding kunnen maken op een forum of bij cruciaal spul de media waarschuwen.

Maar niet met inloggegevens smijten of methodes publiceren.
Dus ik neem aan dat jij dan niet gebruik maakt van Google, microsoft en alle andere grote jongens aangezien je daar ook niet weet wat ze met je gegevens doet. Of heb je dat allemaal uitgezocht waar al jouw gegevens heen gaan ?
Nalatigheid is vaak strafbaar, ook voor bedrijven die geen overheidsinstelling zijn.
Om hun te 'dwingen' om het probleem op te lossen.

Wie zegt dat er anders niet iemand anders het lek vindt en daar dus wel misbruik van maakt.

Vind het maar schandalig dat er zo laks werd gereageerd terwijl hij schijnbaar wel de juiste bijbedoelingen had.
Om hun te 'dwingen' om het probleem op te lossen.
En wat geeft je het recht dergelijke chantage toe te passen?
Wat geeft hun het recht om een beveiligingsprobleem waardoor mijn gegevens op straat kunnen komen te liggen niet op te lossen?
En wie of wat geeft je dan het recht om voor eigen rechter te gaan spelen?

Je zou ook een melding bij het College bescherming persoonsgegevens (CBP) kunnen doen via
http://www.mijnprivacy.nl/signaal/Pages/Signaal_geven.aspx.
IEDEREEN heeft dat recht.
Elke Nederlander is geacht de wet te kennen en elke nederlander heeft het recht een aanhouding (niet hetzelfde als een arrestatie of staandehouding) te verrichten en dus zoals je het zelf zo netjes brengt "voor eigen rechter te spelen".

Het bedrijf (in dit geval BitTorrent) is verantwoordelijk voor de bescherming van je gegevens en die van hun klanten / partners / etc.
Is er een aantoonbare nalatigheid of beveiligingslek en de serviceprovider wil hier willens en wetens niets aan doen dan is dat dus grove nalatigheid en bij schade is de provider wettelijk aansprakelijk en afhankelijk van de omstandigheden ook strafbaar.

Ja je kan dus naar de overheid stappen maar in een land met vrije keuze en vrij woord heb je de keus je bevindingen te uiten in de media in plaats van het bedrijf aan te klagen of aan justitie uit te leveren.

In beide gevallen staat de schuldeiser (de hacker in dit geval) altijd in zijn / haar recht, het is de beschuldigde (BitTorrent of partij die over het desbetreffende systeem gaat) die de wet heeft overtreden.

Dat geeft je dus het recht.
IEDEREEN heeft dat recht.
(...)
Dat geeft je dus het recht.
Euh, nee. Alleen een rechter heeft 'het recht' een rechter te spelen. Alle andere personen hebben dat recht expliciet _niet_. En dat heeft de maatschappij expres zo gedaan, want wat jij zegt leidt tot ontzettend enge toekomstbeelden.

Ongelofelijk hoe jij een +2 hebt gekregen. Je lijkt niet te weten wat het woord "recht" inhoud. Daarnaast vergelijk je een aanhouding met 'voor eigen rechter spelen'. Dat zijn compléét verschillende dingen. Als je als burger iemand aanhoudt dan mag je enkel aan de politie aangeven waarom jij vindt dat die persoon iets fout heeft gedaan. Of de, op dat moment, verdachte dat ook echt is, zal jij nooit van je levensdagen mogen bepalen!
Elke Nederlander is geacht de wet te kennen en elke nederlander heeft het recht een aanhouding (niet hetzelfde als een arrestatie of staandehouding) te verrichten
Een aanhouding is heel wat anders dan gegevens publiceren met als doel dwang.
Het bedrijf (in dit geval BitTorrent) is verantwoordelijk voor de bescherming van je gegevens en die van hun klanten / partners / etc.
Is er een aantoonbare nalatigheid of beveiligingslek en de serviceprovider wil hier willens en wetens niets aan doen dan is dat dus grove nalatigheid en bij schade is de provider wettelijk aansprakelijk en afhankelijk van de omstandigheden ook strafbaar.
Toon eerst maar eens aan dat gegevens van anderen dan Bittorrent beschikbaar waren. Zolang het alleen om gegevens van Bittorent ging heeft een ander daar niet veel over te zeggen.
Wat geeft hun het recht om een beveiligingsprobleem waardoor mijn gegevens op straat kunnen komen te liggen niet op te lossen?
Omdat de melder mogelijk niet de eerste is die via die weg binnen is gekomen en deze eerdere inbreker wellicht al misbruik maakt van de buitgemaakte gegevens. En als een inbraak niet is opgemerkt wordt het toch een lastig verhaal tegen je creditcardmaatschappij wanneer je ineens allerlij rare transacties voorbij ziet komen (bijvoorbeeld).
Wat als jij en bekenden (wellicht klanten) van jou, gebruik maken van die dienst? Dan zie je een veiligheidsprobleem toch liever opgelost, of niet soms?
En mocht er een risico zijn geweest dat jou gegevens mogelijk op straat hebben gelegen, is het dan niet heel erg netjes dat je daar over wordt geinformeerd?

Jij zou er gewoon om lachen, en het laten liggen?
Ik snap dat je het bedrijf op de hoogte wil brengen van je bevindingen, maar als ze niet reageren of geinteresseerd zijn, waarom MOET de informatie dan gepubliceerd worden.
Het is beter om te weten dat je gegevens opgeslagen bij iemand anders op straat komen te liggen dan dat je denkt dat ze veilig zijn terwijl ze op straat liggen. In het eerste geval is er een reden om de partij die je gegevens opslaat opnieuw te beoordelen. In het tweede geval kraait er geen haan naar.

Publiceren over het beveiligingslek met een onschuldige proof-of-concept is de beste manier om de aandacht te krijgen van de probleemeigenaar als die geen gehoor geeft. Dit kan zelfs gezien worden als een morele verplichting naar de gedupeerden, omdat het vertrouwen dat zij hebben in de partij die hun gegevens beheerd onterecht is en er schade uit kan volgen.

Ook kan de publiciteit helpen bij logge organisaties waarbij een bericht niet bij de juiste personen aankomt. Opeens komen er dan middelen vrij om een probleem op te lossen, waar dat daarvoor met een belletje of mailtje niet lukte. ;)

[Reactie gewijzigd door The Zep Man op 2 augustus 2013 11:37]

je mailt een datacenter dat content door hun gehost lek is? zou je dan niet gewoon de eigenaar van de data mailen?
Zonde dat hij werd afgescheept.
I got the entire source of ALL products / webpages / DNS / Fincial documents and more and in the end they offered me $500, I felt insulted.

Hij vond gewoon dat hij te weinig kreeg...
Ik denk dat hij zich beledigd voelde dat ze hem überhaupt geld boden.
Ik denk dat hij liever een welgemeend bedankje (gevolgd door het onmiddelijk oplossen van het probleem) had gekregen dan zwijggeld.

Het idee dat ze denken dat $500 zwijggeld alles is dat nodig is om dit beveiligingslek onder het tapijt te vegen is misschien verontrustender dan het lek zelf. Misschien hebben ze regelmatig scriptkiddies door hun servers struinen, die het een goed aanbod vinden.
Wellicht even de bron lezen:
To me, this seems absurd. A hacker recently found a bug in which he was able to reset passwords and got £20,000 reward, me? I got the entire source of ALL products / webpages / DNS / Fincial documents and more and in the end they offered me $500, I felt insulted.
De link staat in het artikel.
Overigens gaat het om een beloning voor het vinden van een lek, niet om zwijggeld.
I stand corrected.

Ik vond mijn versie beter, maar kennelijk is deze hacker niet ideologisch aangelegd. :|
Misschien even de gehele bron lezen:

"Once notified they said thank you and wanted to give me a reward (Cheque) to which I gladly accepted but to this day nothing has been sent/received on my part. I emailed them further and was given some rather rude replies and was told that I would need to 'invoice' them in order to get my reward. To me, this seems absurd. A hacker recently found a bug in which he was able to reset passwords and got £20,000 reward, me? I got the entire source of ALL products / webpages / DNS / Fincial documents and more and in the end they offered me $500, I felt insulted."

Ik ken deze 'hacker' (iets wat hij niet is) al 11 jaar en behoort tot 1 van mijn vrienden (ik ben 1 van de oudste leden op RaGEZONE en heb hem ook meerdere malen ontmoet), ik kan je 1 ding vertellen, dit heeft niets met ideologisch aangelegd te maken.
Dit heeft echt te maken met het feit dat hem iets beloofd wordt, dat ze hem aan het lijntje houden en vervolgens hem een klein rotbedrag geven. Het is een beetje wanneer je 5 man uit eten gaat en je geeft dan een euro tip, doe het of goed, of doe het niet.

[Reactie gewijzigd door Benjamin- op 2 augustus 2013 21:21]

Of te veel, dat kan ook. Als hij dit interpreteert als omkoping. Hoewel je dan waarschijnlijk reageert met "fix dat probleem en geef dat geld aan het WNF".
Wat ik vaak niet begrijp is dat bedrijven zo stroef lijken te reageren op dit soort klokkenluiders. Is het arrogantie? Of gewoon naïviteit?
Vaak kijken bestuurders, managers en de juridische afdeling behoorlijk anders tegen dit soort zaken aan als de ICT'ers.

We hebben op mijn werk ook eens een hack gehad van de website. Dan komen die standpunten wel naar voren. Uiteindelijk hadden we de hack vlug gerepareerd en de hacker bedankt voor zijn informatie.
In de Harvard Busineness Review stond zelfs een artikel een hele tijd terug. Een hack werd ontdekt, indien men het wereldkundig maakte ze zelfs strafrechtelijk vervolgd kunnen worden. Door de overheid en klanten. Zeker op internationaal niveau wordt het nog gevaarlijker voor een bedrijf welke consequenties het heeft. Niet alleen directe juridische gevolgen maar ook indirect dat bijvoorbeeld klanten hun aansprakelijk stellen voor een mogelijke hack.

Het is dan ook niet zozeer arrogantie maar eerder het beheersen van een probleem. Misschien dat men richting de hacker niets erkende maar dat er achter de schermen veel meer plaatsvond wat deze hacker ook niet kan weten. Wie weet waren ze al druk in de weer alvorens het pulbiekelijk werd om het probleem op te lossen. Hoewel kwalijk, achteraf gezien misschien wel het beste voor BT.
Lijkt me eerlijk gezegd een broodje aap verhaal, vooral gezien de wetgeving in Californie (en andere US staten) die zegt dat je lekken met persoonlijke info *moet* publiceren/melden.
Er zijn waarschijnlijk geen protocollen voor. Binnen een team of organisatie loop je dan het risico dat niemand zich aangesproken/verantwoordelijk voelt met het gevolg dat het probleem blijft bestaan terwijl een ieder er vanaf weet.
Ik zou toch ook niet schrikken van pure naïviteit.

Heb bij mijn vorige klant een serieus security issue aan de dag gelegd in hun framework, de enige beveiliging was het op "disable" zetten in de GUI van opties waar je geen rechten op had.

Dit framework werd voor circa de helft van hun 80 paketten gebruikt (inclusief boekhoudprogramma en budgetten), waar zo'n 350 klanten mee werken. In totaal gaat het om tienduizenden gebruikers. Honderden miljoenen euro's passeren door deze software.

Hun reactie was droogweg: "we gaan ervan uit dat onze gebruikers niet slim genoeg zijn om via firebug die opties terug aan te zetten". Heb daarna maar stilaan een transfer naar een andere klant gezocht.

[Reactie gewijzigd door v0LrAtH op 2 augustus 2013 11:36]

Ten eerste is hij geen hacker. Hij kwam er perongeluk achter terwijl hij voor een veilige server zocht voor een vriend van hem.

Vind het wel erg jammer dat het weer word opgeblazen terwijl hij geen hacker is.
Misschien wordt het eens tijd voor het maken van een gedragscode, welke breed gedragen en geaccepteerd wordt.
En daarom dus zet je wachtwoorden, private keys of soortgelijke informatie nooit in je repository :)
Uhm, als het een lek is in GitHub, waarom neemt hij dan contact op met BitTorrent?
Hacker? Volgens mij is er niets gehacked...
Ehm, ik heb toegang tot de code van enorm veel open source projecten ... is dat dan zo slecht?!? O-)
wel als je, zonder deel uit te maken van het team, ongecontroleerd wijzigingen kunt uitvoeren.
Op die manier kan iemand een back door inbouwen die hem toegang geeft tot alle systemen waarop de applicatie wordt geïnstalleerd
Alsof er op GitHub alleen maar open source projecten staan. Daarbij zal µTorrent's account (project in het geval ze er een project-account van hebben gemaakt) ook wel closed source projecten staan, zoals bijvoorbeeld hun website.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True