Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Submitter: Pino112

De gebruikersnamen en mogelijk ook wachtwoorden van de 860.000 geregistreerde gebruikers van MacRumors liggen mogelijk op straat door een hack. De wachtwoorden zijn wel versleuteld en gehasht. MacRumors raadt aan om wachtwoorden te veranderen.

De hack vond plaats doordat een hacker was ingelogd als moderator, waarna die probeerde om credentials van gebruikers te pakken te krijgen, schrijft MacRumors. De wachtwoorden zijn mogelijk ook ontvreemd. Die zijn gehasht met md5 en dat is niet de veiligste manier van wachtwoorden opslaan, geeft MacRumors zelf toe, hoewel de hashes in ieder geval nog gesalt zijn. De md5-methode staat bekend als relatief zwak.

Het is onduidelijk hoe de hacker zich toegang heeft verschaft tot het moderator-account en of diegene inderdaad de gehashte wachtwoorden te pakken heeft gekregen. MacRumors raadt aan om het wachtwoord te veranderen en deze ook op sites waar gebruikers hetzelfde wachtwoord toepassen te wijzigen. Het wijzigen is echter niet tot een verplichting bij het inloggen gemaakt.

De hack zou lijken op die van het Ubuntu-forum eerder dit jaar. Ook daar kwam de hacker als moderator binnen. MacRumors heeft rond 860.000 geregistreerde gebruikers. MacRumors draait op VBulletin op php 5.3.3 met een Apache-server op CentOS. Het is onwaarschijnlijk dat een eventuele kwetsbaarheid in de software iets te maken heeft met de hack.

Moderatie-faq Wijzig weergave

Reacties (23)

"Die zijn versleuteld met md5 en daarna gehasht"

Dat is onduidelijk. Het bronartikel is duidelijker: "vBulletin's standard md5 hashed and salted". Even googlen levert op dat in vBulletin de salt verschilt per user. Dat betekent dat elk wachtwoord apart moet worden gekraakt. Wachtwoorden zijn dus redelijk veilig, tenzij de hackers het specifiek op jou gemunt hebben.

Edit: @Darkstone: ArsTechnica meldt dat in hun test de wachtwoorden niet waren gesalt. Zie citaat hieronder. Dus de hackers konden rainbow tables gebruiken en cryptografische voorspellingen toepassen. Dat kan niet met een unieke salt per wachtwoord.

But the thing about salting is this: it slows down cracking only by a multiple of the number of unique salts in a given list. That means the benefit of salting diminishes with each cracked hash. By cracking the weakest passwords as quickly as possible first (an optimization offered by Hashcat) crackers can greatly diminish the minimal amount of protection salting might provide against cracking. Of course, none of this applies in this exercise since the leaked MD5 wasn't salted. (pagina 2)

[Reactie gewijzigd door Blaise op 13 november 2013 12:11]

Wachtwoorden zijn dus redelijk veilig,
MD5 is nooit redelijk veilig. Het is simpelweg onveilig. Salt of niet.

Leuk leesvoer: http://arstechnica.com/se...at-out-of-your-passwords/
Die laatste hacker, had in 1 uur 82% van een gelekte lijst password gecrackt. Dat betekent dat je in een uur ~700000 van de 860000 passwords van macrumors zou kunnen cracken.

Ook leuk leesvoer is dit artikel, http://arstechnica.com/se...ecame-a-password-cracker/, waar een journalist met 0 technische kennis passwords probeert te kraken.

[Reactie gewijzigd door Darkstone op 13 november 2013 12:08]

Erg interessante artikels inderdaad, ze waren eerder al een keer te vinden in de reacties bij een ander artikel. Ik snap niet waarom sites met meer dan 10.000 geregistreerde gebruikers geen goede encryptie gebruiken.

Het kost nu al niet zoveel tijd om MD5 wachtwoorden te cracken laat staan over een paar jaar met snellere grafische kaarten en quantum computers. Je moet ook rekening houden met de toekomst lijkt me. Sommige encrypted wachtwoorden kosten nu enorm veel tijd om te kraken maar dat gaat ongetwijfeld een stuk sneller in de toekomst. Je gegevens blijven belangrijk..

Ik snap verder ook niet waarom een moderator toegang had tot de database. Dat is helemaal niet nodig lijkt me. Je ziet nu wel vaak dat administrators two-factor authentication gebruiken maar een moderator is eigenlijk gewoon een normale gebruiker met extra rechten.

Het zou zomaar kunnen dat het account gehacked is d.m.v. social engineering. Als je maar lang genoeg door alle posts leest kom je steeds meer en meer over iemand te weten. Wellicht kan je daardoor in het email adres van het account komen (bijvoorbeeld 8 jaar oud hotmail account met slechts een (relatief simpele) beveiligingsvraag) en recover je daar het moderator account mee. Vervolgens heb je meteen toegang tot de database..
Versleuteld met MD5? MD5 is ook een hashing techniek en niet echt een goede. Ze zijn dus niet versleuteld maar dubbel gehashed als ik het goed begrijp.
Tja dat krijg je met forumsoftware die steeds gebaseerd blijft op een oude versie. Kunnen ze bij Macrumors niet zo heel veel aan doen, is de schuld van vBulletin. En vBulletin is niet de enige die nog md5 gebruikt. Invision Power Board gebruikt ook nog md5 om nog maar een grote te noemen.

Zijn al vaker opmerkingen over geweest naar de forummakers, maar helaas zonder resultaat
Nu ken ik vBulletin amper, maar als ik even kort in de source kijk van de website dan zie ik dat er nog versie 3.8.7 gebruikt wordt. Aangezien ze nu zelf adverteren met versie 5 op de officiŽle site van het forum, ga ik er een beetje vanuit dat ze zelf de software ook niet up to date gehouden hebben. Wellicht dat de nieuwste versie van vBulletin nog steeds dezelfde hashing methodiek toepast, maar een update had wellicht niet misstaan.
Als ik het goed begrijp is het probleem dat de nieuwe versie niet zomaar de oude passwords kan upgraden. Die weet hij namelijk niet, hij weet alleen de hashes. Een upgrade kan dus ook niet automatisch alle MD5 wachtwoorden omzetten naar iets beters.

Een oplossing zou kunnen zijn om na een forumsoftware upgrade iedereen zijn of haar wachtwoord opnieuw te laten invoeren. Het oude te controleren tegen de MD5 en de nieuwe (die eventueel hetzelfde zou kunnen zijn, iets minder veilig maar wel gebruiksvriendelijker) op te slaan met iets beters.

Ik kan me voorstellen dat veel forumadmins daar ook weer niet zo happig op zijn. In het geval van MacRumors moet je een kleine miljoen gebruikers lastigvallen met een gedwongen reauthentication. Hoeveel procent is hun oude wachtwoord vergeten, heeft geen zin in een password reset procedure en komt nooit meer terug?
Qua software is dit makkelijker te doen :
1) Log in met nieuwe methode
2) Indien geen match probeer met oude methode
2.2) Indien match, hash wachtwoord met nieuwe methode en update hash in de DB
In principe zouden ze ook alle md5 hashes nog een keer kunnen hashen met bcrypt oid. Dan hoeven de users niet hun password opnieuw in te stellen. Weet alleen niet of dat een fail safe methode is
Ik ben niet helemaal bekend met vBulletin (dus ik kan er helemaal naast zitten) maar als ik de eerste verhalen over deze hack lees dan is het probleem dat vBulletin vanwege backwards compatibility oudere methoden toe laat. Waarschijnlijk maakt het migratie naar een nieuwere versie makkelijker als je nog wachtwoorden die in een eerdere versie zijn ge-encrypt accepteert.

MacRumors hoste zelf op CentOs en het lijkt er voorlopig op dat het niet aan het onderliggend OS lag dat ze gehackt zijn.
Their forum runs VBulletin (which does indeed mean the backend is MySQL) on PHP 5.3.3, served by Apache 2.2.15 on CentOS. They've also got Varnish Cache in play and the majority of their assets are coming from a CDN run by NetDNA. Bron

[Reactie gewijzigd door Maurits van Baerle op 13 november 2013 11:01]

Verwacht een MD5 met een Salt ;)
Die zijn versleuteld met md5 en daarna gehasht
Ik dacht even dat ik een nieuwsbericht van nu.nl las. Hoe versleutel je precies met MD5?

Vreemde set-up hebben ze daar, als moderators gewoon bij de opgeslagen, al dan niet gehashte of versleutelde, wachtwoorden kan. Klinkt als database-toegang voor een groep die dat helemaal niet nodig heeft.

[Reactie gewijzigd door Foxl op 13 november 2013 09:48]

Fijn dat iemand de vinger op de zere plek legt. Want dit is nl niet moderator toegang, maar db-admin toegang. Wat wel mogelijk is dat de moderators toegang hadden tot server-side scripts, wat natuurlijk dan automatische db-toegang geeft via de config-file. Giswerk natuurlijk.

Maar salted MD5 is tenminste een stuk minder erg van de Adobe leak van een week geleden.
You could have ****ing told us as soon as it happened, the forum had been in maintenance mode for ages, why not tell us as soon as you put it like that?

Why were you storing our passwords in the first place? You are supposed to store an irreversible hash of them instead.

Wel grappig die reacties. Gelukkig zijn er ook nog blije mensen:

Of all my years with MacRumors i've never seen anything like this. I like MacRumors so much that i truly don't mind. Just glad to be back on the forums!:D
Mensen met een gezond verstand gebruiken voor dat soort algemene sites toch andere wachtwoorden dan voor belangrijke sites. Doe je dat niet dan vraag je om moeilijkheden. Daar kan geen extra beveiliging of sterkere encryptie je tegen beschermen. Vroeg of laat is alles kwetsbaar. De oplossing tussen de 2 oren zoeken zal altijd succesvoller zijn dan welke technische oplossing dan ook.
We hebben pas nog een schoolproject gehad waar een "klant" de klacht had dat de wachtwoorden onveilig waren versleuteld. Een paar uur later hadden we alle wachtwoorden met PBKDF2 en een salt versleuteld. Het zal ongetwijfeld lastiger zijn om dit te doen in een bedrijfsomgeving door bureaucratie/ingewikkeldere code, maar ik heb het niet als bijzonder moeilijk ervaren om wachtwoorden goed te versleutelen. Waarom Adobe het dan ook niet doet, met zoveel mankracht en geld, is mij een raadsel.
Leuk dat gebash richting MacRumors, maar vBulletin gebruikt sinds jaar en dag al md5 en even een andere manier van wachtwoorden opslaan in gebruik nemen is geen optie
Geen optie?
Om te voorkomen dat iedereen een nieuw wachtwoord moest invoeren hebben we die methode losgelaten op de bestaande md5-hashes. Daardoor zijn direct alle wachtwoorden veiliger opslagen, zonder enig overlast voor de bezoeker. Die md5-tussenstap is overigens tijdelijk, die verdwijnt als je opnieuw inlogt of je wachtwoord wijzigt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True