Notebookreview meldt hack die meer dan half miljoen forumgebruikers treft

Het forum van Notebook Review, waar zich meer dan 500.000 leden voor aangemeld hebben, is getroffen door een hack. De criminelen kwamen binnen via een recent ontdekt lek in de vBulletin-forumsoftware en ze wisten mogelijk gegevens van leden te ontvreemden.

De beheerder van het Notebook Review-forum meldt de hack op de site en ook zijn alle leden van het forum via mail gewaarschuwd. "We hebben onze logs nagekeken en geconstateerd dat de hashes van gebruikersnamen en wachtwoorden mogelijk benaderd zijn door de criminele hackers die verantwoordelijk zijn voor de inbreuk", schrijft site-admin 'Cleonard'.

Het is volgens hem mogelijk dat een hacker met genoeg capaciteiten de hashes kan ontsleutelen, wat er op duidt dat er van redelijk zwakke md5-hashes gebruikgemaakt is. De hackers maakten gebruik van een lek in de vBulletin-forumsoftware. Hoewel Notebook Review geen details geeft over het lek, zegt de admin dat meerdere fora de afgelopen weken slachtoffer zijn geworden. Mogelijk gaat het daarom om de kwetsbaarheid die eind augustus gevonden werd en waar de ontwikkelaars van de vBulletin-software toen voor waarschuwden.

Notebook Review raadt zijn gebruikers aan de wachtwoorden voor het forum te wijzigen en ook die van andere sites aan te passen als daar hetzelfde wachtwoord wordt gebruikt. Het forum van de site heeft meer dan 577.000 geregistreerde gebruikers, al zullen daar veel slapende gebruikers bij zitten.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 12-09-2013 14:01
21 • submitter: Rick-Jan

12-09-2013 • 14:01

21

Submitter: Rick-Jan

Lees meer

LaCie: hackers konden jaar lang creditcard-betalingen inzien
LaCie: hackers konden jaar lang creditcard-betalingen inzien Nieuws van 15 april 2014
Officieel forum Ubuntu is getroffen door een hacker
Officieel forum Ubuntu is getroffen door een hacker Nieuws van 21 juli 2013
Hacker maakt gegevens 150.000 Adobe-klanten buit
Hacker maakt gegevens 150.000 Adobe-klanten buit Nieuws van 15 november 2012
Gebruikers melden gestolen EA Origin-accounts
Gebruikers melden gestolen EA Origin-accounts Nieuws van 15 november 2012
Hackers publiceren miljoenen mailadressen van Duitse gamesite
Hackers publiceren miljoenen mailadressen van Duitse gamesite Nieuws van 25 juli 2012
Nvidia sluit forum na hack
Nvidia sluit forum na hack Nieuws van 13 juli 2012
Steam-hackers maken creditcardgegevens buit
Steam-hackers maken creditcardgegevens buit Nieuws van 11 november 2011
Steam-forum wellicht gehackt
Steam-forum wellicht gehackt Nieuws van 7 november 2011
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (21)

-Moderatie-faq
21
21
16
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
Slurpgeit 12 september 2013 14:58
.. wat er op duidt dat er van redelijk zwakke md5-hashes gebruikgemaakt is..
Eh? Vbulletin heeft gewoon een per user salt, en zelfs zijn eigen optie in tools als hashcat.
vBulletin < v3.8.5
vBulletin > v3.8.5
http://hashcat.net/hashcat/

De aanname dat het MD5 zou zijn lijkt me niet meer dan een wilde gok.
AtleX 12 september 2013 14:11
Ik ben toch benieuwd hoe de conclusie getrokken wordt dat er van MD5 hashes gebruik gemaakt wordt? Voor SHA1 zonder salt, om maar wat te noemen, zijn ook gewoon rainbow tables te genereren.
unglaublich @AtleX12 september 2013 14:22
Laatst was er een artikel die het fenomeen van cloud computing bij brute force behandelde: een simpele hacker huurt 100 servers en brute-forced een hash.

Volgens onderstaand artikel zijn SHA1 hashes nog niet snel binnen handbereik. Dat verklaart waarom er in het artikel MD5s worden genoemd.

Over SHA-1 collisions en wanneer ze bereikbaar worden:
https://www.schneier.com/...2/10/when_will_we_se.html
looc @unglaublich12 september 2013 16:28
Van een hackers oogpunt is het gewoon niet redelijk om 100 servers in te huren daarvoor.
Voor belangrijke data wordt sowieso ook een veel betere encryptie/hashing function gebruikt(mag worden gehoopt).
De hackers zouden dan net zo goed de emails van die gebruikers kunnen verkopen aan spammers om daar geld mee te verdienen

[Reactie gewijzigd door looc op 22 juli 2024 19:26]

Megamind @AtleX12 september 2013 14:17
Je betaald dan wel ruim 200 euro voor een vBulletin license maar de kwaliteit is helaas ver onder de maat, wat maar weer blijkt.
Fawn @Megamind12 september 2013 14:44
Nou, met 200 euro voor een licentie zou je wel een veiligheidsgarantie moeten hebben zeg..
Sissors @Fawn12 september 2013 15:16
Je denkt met 200 euro voor forum software waar je 500k gebruikers op hebt veiligheidsgarantie zou moeten hebben? Dat zal een fractie zijn van hun overie kosten. Als je een veiligheidsgarantie wil zal je heel veel meer moeten betalen (als een bedrijf het ooit al zou geven).
Zyppora @Sissors12 september 2013 15:43
Waar het vooral op neerkomt is dat je geld neertelt voor een product dat vervolgens lek is, terwijl het gratis en opensource alternatief (phpBB bijvoorbeeld) hier geen last van heeft.

Bovenstaande opmerking slaat overigens niet op het artikel, maar op een clientside exploit waar ik een paar jaar geleden tegenaan gelopen ben toen ik een vB forum onderhield als moderator (toentertijd was het injecteren van javascript in formulieren al een breed bekend risico en ik heb toen ook de nodige voorzorgsmaatregels in ong. 30 minuten doorgevoerd). Dat was geen hopeloos achterhaalde versie van vB maar gewoon de laatste versie (major/minor weet ik zo niet meer, dacht dat dat vB3.x was).
De opmerking over de kwaliteit van vB is dus niet misplaatst.

Overigens zie ik het volgende op de website van vB:
In order to prevent this issue on your vBulletin sites, it is recommended that you delete the install directory for your installation. The directories that should be deleted are:

4.X - /install/
5.X - /core/install

After deleting these directories your sites can not be affected by the issues that we’re currently investigating.
Volgens mij is bij forum software het verwijderen van de /install folders na het installeren altijd een goed idee. Ik weet dat phpBB forums niet beschikbaar zijn zo lang de install folders bestaan.

@Rembert:
Waar beweer ik in godsnaam dat je bij welke aankoop van 200 euro dan ook een veiligheidsgarantie mag verwachten? Of dat phpBB geen last van lekken heeft? Leg me aub geen woorden in de mond. Ik geef een voorbeeld van een eenvoudig te voorkomen exploit dat ik destijds bij vB wel tegen gekomen ben en bij phpBB niet. Ik had ook gezegd kunnen hebben dat het IPB was, of YaBB, of wat dan ook, maar daar heb ik geen ervaring mee dus dat ga ik dan ook niet beweren.

@Zidane007nl:
Waar beweer ik dat phpBB niet 'zo lek als een mandje' is? Zie @Rembert voor onderbouwing.

[Reactie gewijzigd door Zyppora op 22 juli 2024 19:26]

Rembert @Zyppora12 september 2013 16:25
200 euro en een veiligheidsgarantie verwachten is natuurlijk onzin. 200 euro is een schijntje voor de hoeveelheid werk die er in zit.

phpBB geen last van lekken? Ik werk al een paar jaar niet meer met phpBB maar heb mijn share van lekken wel gehad. Even gekeken. phpBB 3.0.11 heeft op dit moment ook last van een lek, een CSRF exploit. Kennelijk doet phpBB geen referer checking. http://iedb.ir/exploits-398.html

Gebruikers moeten eindelijk eens leren dat ze niet overal hetzelfde wachtwoord gebruiken. En, ze moeten eindelijk eens overstappen naar een goede password manager, bv. KeyPass. Zelf gebruik ik 1Password.

Een gekeken of mijn notebookreview password ook op andere sites actief is. Hmm. Ja dus. Oud simpel wachtwoord. Direkt overal gewijzigd.
Verwijderd @Rembert12 september 2013 18:51
een CSRF exploit. Kennelijk doet phpBB geen referer checking.
Even mierenneuken :p, een CSRF vulnerability. Daarnaast is referer checking ook niet de meest slimme manier om je tegen CSRF-vulnerabilities te beveiligen. Het meest veilige is een POST-parameter (form) met een random token.
Zidane007nl @Zyppora12 september 2013 16:45
Dan heb je vroeger zeker geen phpBB gedraaid? phpBB 2 was zo lek als een mandje.
Battle Bunny @Sissors12 september 2013 15:34
Ik heb het vermoeden dat Fawn het redelijk sacastisch bedoeld, Sissors....
Verwijderd @Fawn16 september 2013 08:32
200 euro voor een licentie is een fooitje in de softwarewereld. Voor aardig wat enterprise grade softwareoplossingen betaal je dit al voor 2 gebruikers per jaar :D
kamerplant @Megamind12 september 2013 14:18
Dat is wel wat simplistisch ;). Alsof een betaald product geen bugs zou kunnen bevatten.
renio 12 september 2013 15:13
heb daar ook een 'slapende' account. Op het forum aldaar zijn vele mensen (net als ik) op zoek hoe en waar je je account kan laten verwijderen.
segascope @renio12 september 2013 15:24
Heb me daar ooit ook geregistreerd omdat ik vragen had over mijn laptop, is toch ongelooflijk dat je gehacked kan worden door een site dat je jaren geleden maar een keer gebruikt hebt.
TerminalNL @segascope12 september 2013 15:37
Dat is niet ongelofelijk, maar een stukje eigenschuld.
Zelf gebruik ik voor dat soort fora een simpel wachtwoord, zodra ik het wel vaker ga gebruiken en er informatie op komt te staan die ik van belang acht dan krijgt ook dat forum een eigen wachtwoord.
Dan kan alleen je account daar nog gehacked worden en is de schade meestal wel te overzien.
Verwijderd @segascope12 september 2013 16:24
Jij bent niet gehackt door die site. Die site is gehackt door mensen die nu bij jouw gegevens kunnen. :+
Tja, dat krijg je er van als je informatie op internet achter laat. Dat kan ooit eens een keer onverwachts naar boven komen. Wie weet wat voor forums en sites waar je je ooit hebt ingeschreven gehackt gaan worden. Het leven zit vol verrassingen.
Zidane007nl 12 september 2013 14:43
vBulletin, snap niet dat mensen dat nog gebruiken ... Vanaf versie 4 is het alleen maar slechter geworden ... :X

En het is vragen om moeilijkheden met die kwetsbaarheid waarna gelinkt wordt. Altijd de install map verwijderen nadat het forum geïnstalleerd of geupgrade is ...
TeleMax 12 september 2013 20:34
Vraagje: Is er eigenlijk software om al je online accounts makkelijk in te beheren, ik bedoel niet een password manager, maar een stuk software wat al je registraties bijhoudt en security warnings geeft over de gebruikte software (vBulletin/phpBB/tweakers/other) of zie ik nu een gat in de markt? Ikzelf probeer altijd een account te laten verwijderen als ik het niet meer gebruik, maar in de praktijk moet ik bijna altijd mailen met de beheerder. Ik moet dan maar hopen dat hij/zij het account daadwerkelijk delete. Ik vermoed dat vaak het account inactief gezet wordt.
Gomez12 @TeleMax14 september 2013 17:18
Vraagje: Is er eigenlijk software om al je online accounts makkelijk in te beheren,
Nope, want een beetje site zorgt ervoor dat je niet ziet wat de achterliggende software is. Sowieso zegt een vBulletin/phpBB versie bijv niets, de site-manager kan hem niet updaten of er kan maatwerk aan vast zitten, of iemand heeft plugins geinstalleerd of ... of ...
Ikzelf probeer altijd een account te laten verwijderen als ik het niet meer gebruik, maar in de praktijk moet ik bijna altijd mailen met de beheerder. Ik moet dan maar hopen dat hij/zij het account daadwerkelijk delete. Ik vermoed dat vaak het account inactief gezet wordt.
Een beetje behoorlijke site-beheerder zal idd niet je account deleten, maar deze alleen op inactief zetten. Want deleten is zwaar met een DBMS erachter en levert allemaal gaten op de site op.

Jij moet niet willen deleten, jij moet gewoon nadenken wat je erop zet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq