Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Submitter: BryanD

De firma vBulletin Software heeft haar forumgebruikers een e-mail gestuurd waarin het zegt slachtoffer te zijn geworden van een hack. Bij de inbraak zouden hackers inloggegevens, waaronder versleutelde wachtwoorden, hebben buitgemaakt.

In de e-mail van vBulletin stelt de softwarefabrikant dat zijn securityteam een geraffineerde aanval op zijn servers heeft gedetecteerd. Deze zou recent zijn uitgevoerd waarbij onder andere toegang zou zijn verkregen tot inloggevens, waaronder wachtwoorden. De wachtwoorddata zou wel zijn versleuteld, maar onduidelijk is of vBulletin voldoende sterke encryptie heeft toegepast, samen met salt. Gebruikers van het forum van vBulletin Software dienen hun wachtwoord te veranderen.

De forumsoftware van vBulletin wordt breed gebruikt op internet en is vaker gekraakt. De website Hothardware merkt daarbij op dat de fora van Ubuntu en MacRumors, waarop recentelijk hacks zijn uitgevoerd, in beide gevallen draaiden op vBulletin-software. Een direct verband met de hack bij vBulletin is echter nog niet aangetoond.

Moderatie-faq Wijzig weergave

Reacties (33)

Het valt mee dat vBulletin uberhaut iets toegeeft momenteel wordt vBulletin geplaagd door fouten in de software. Als je meer wilt lezen kijken dan is hier http://admin-talk.com/thr...ulletin-org-hacked.44138/ als je wilt weten hoe slecht de software is lees dan de vBulletin sectie er staan echt zeer mooie fouten in, van php fouten tot werknemers die positieve reviews achter laten op review sites. Hier trouwens nog een link http://adminextra.com/thr...mo.6019/page-4#post-52885 die de code bespreekt. Niemand op die twee websites is eigenlijk verbaasd over de slechte staat van de software zelfs vBulletin 4 heeft zeer veel issues.
Sinds vBulletin werd opgekocht door Internet Brands en zo goed als alle originele ontwikkerlaars zijn vertrokken, is het echt een stuk stront geworden. Versie 4 was niet goed, versie 5 is gewoon een ramp. Zowel in code als customer support en het censureren van kritiek.
Ik ben zelf beheerder van een relatief klein forum wat nog op vbulletin 3.6.nogwat draait. dit is ondertussen een vrij verouderde versie maar functioneel is het zeker wel.

Enige redenen om op dit moment over te stappen naar een nieuwere versie zou voor ons zijn de betere support van de wysiwyg editor in moderne browsers (momenteel geeft alleen firefox nog alles correct weer) en mogelijkheid van support voor mobiele applicatie(s).

dat vBulletin destijds overgenomen is wist ik wel, dat de kwaliteit daar zó hard onder geleden heeft niet. Vooral dat ze valse positieve reviews zouden plaatsen vind ik shady ...

wat betreft alternatieven, lijkt me dat die software in ieder geval naadloze overgang / import vanuit vbulletin database moet kunnen ondersteunen. hoe zit dit bij Xenforo?
quote: vBulletin Staff
As far as we know the MacRumors hack is due to a moderator being compromised and that account used Moderator Permissions to further access the site. This is typically done through HTML announcements with additional code to capture cookies. They are running a version of vBulletin 3. This is why we tell people not to allow HTML for anyone.

On our site, it was a staging server that was accessed and that server had a lot of old installs. Including vBulletin 3 and 4 installs on it. There are log indications that forum user tables for vb.com and vb.org were accessed but further investigation is ongoing. No customer data from the sales system was accessed. We've expired your passwords as a precaution because you may have used them elsewhere. There is currently no indication that current vBulletin software versions have been exploited.
Er is dus tot zo ver geen direct verband tussen de hacks en ook (nog niet) bekend of het hier gaat om een lek in vBulletin zelf.
vBulletin gebruikt standaard nog MD5.
Van echt versleutelde wachtwoorden kun je niet spreken.
Ter info: MD5 en een salt, maakt het nog steeds niet 100% veilig maar wel een stukje beter dan alleen MD5.
MD5 dien je ook niet meer te gebruiken voor wachtwoorden
http://php.net/manual/en/function.md5.php
Staat ook duidelijk vermeld.
sha-1 ook niet, om dezelfde reden geloof ik
Nee dat klopt, aangezien je een hashing algoritme noemt, daarmee kan je niets encrypten.
Met cryptografische hashing kan je ze wel versleutelen maar niet ontsleutelen (als het goed is).
Klopt, maar daarvoor bestaat er dan de Rainbow table techniek. Door een random salt toe te voegen maakt vBulletin het gebruik van de rainbow techniek ook lastig.
Als zelfs het forumsoftware van vBulletin gehacked is, kan dit niet anders dan dat er een grote bug is de software zit. Dit is een groot probleem omdat tientallen websites gehacked kunnen worden. De meest van deze websites zijn geen kleine jongens, het zijn grote bekende websites met tienduizenden gebruikers.

[Reactie gewijzigd door Xieoxer op 17 november 2013 14:05]

Lees mijn onderstaande reactie, zover op dit moment bekend is er geen security issue met vBulletin zelf en is er daarmee dus ook niet direct een groot beveiligingsrisico.
Er is zeer grote kans dat vBulletin een gat kent, welk gewoon nog niet is gedeeld, maar actief wordt misbruikt. Dit is overigens bij andere fora script ook aan de orde. Er komt pas een security update wanneer het gat bekend is bij de ontwikkelaars.
maak daar maar gerust duizenden, zoniet tienduizenden websites met tientallen miljoenen gebruikers (samengeteld)
Nou, Xenforo is iig een stuk veiliger.

XF gebruikt namelijk sha1 of sha256 (indien beschikbaar):
(sha1(password) . salt)
sha256(sha256(password) . salt)

De exploit van VB staat trouwens gewoon te koop: klik

[Reactie gewijzigd door duderuud op 17 november 2013 16:19]

Dat is maar marginaal beter, wanht het zijn nog steeds 'snelle' hashes en geen toekomstbestendige oplossingen als PBKDF2, bcrypt of scrypt.
Ik zie nu dat Xenforo sinds versie 1.2 Bcrypt gebruikt.

[Reactie gewijzigd door duderuud op 17 november 2013 20:38]

Dit vind ik eerlijk gezegd niet veel beter. Daarnaast is het dubbel hashen een bad practice and biedt geen extra veiligheid.
bizar dat die exploit gewoon 7000usd kost
Ik weet niet hoe het met jullie zit maar sinds al die berichten van "hackers stelen inlogdata" ben ik gestopt met de zelfde wachtwoorden te gebruiken. Via Lastpass genereer ik een random wachtwoord die allemaal safe wordt opgeslagen. Youtube, Live, Facebook, etc, zelfs Tweakers hebben allemaal random wachtwoorden. Het enige wat er nog kan gebeuren is dat Lastpass zelf gehackt wordt, wat ik betwijfel.

Ben ik nu veilig of paranoide? De grens is tegenwoordig zeer klein...

[Reactie gewijzigd door WietKop op 18 november 2013 06:42]

Het probleem van het gebruiken van tools zoals Lastpass is dat je een dependecy hebt op je password database. Die moet je dus op meerdere locaties opslaan en up to date houden. Zonder de tool weet je niet wat het wachtwoord is.

Wat veel beter werkt is een passphrase gebruiken die op een template gebaseerd is, bijvoorbeeld:
Mijn wachtwoord voor <site naam> is P@ssw0rd

Dit lijkt misschien onveilig, als de template gekraakt wordt kunnen ze overal inloggen. Maar de kans van het kraken van het wachtwoord is klein. Zeker bovenstaande template is >256bits lang. Dus wordt het gereduceerd in SHA2. Er zal dus zeker een collision gebruikt worden voor authenticatie. Verder is door het gebruik van een variable de unseeded hash voor elke site anders.

Het grootste probleem dat je zal hebben met templates is achterlijke password rules op sites die een maximum lengte vereisen.
Een risico dat je hierbij loopt zijn sites waarbij het wachtwoord niet gehasht wordt, maar geëncrypt, of erger nog: in plain text wordt opgeslagen. Er hoeft er maar één tussen te zitten en je wachtwoord kan geraden worden voor alle sites waarvoor je deze template gebruikt.

Dit risico kan je reduceren door een kryptische template aan te houden:
dkkdkvdtevdtihm (de kat krabt de krullen van de trap en van de trap in het mandje) en dit te injecteren met een ceasar verschuiving van de site:

"tweakers" (+1 verschuiving) wordt "uxfblfst", injecteren met een 3-3 patroon: dkkuxfblfdkvstdtevdtihm

Nadeel dat dit redelijk complex wordt. Er zijn wel truccen om het simpel te houden, maar dat maakt het raden ook weer simpel.
Wat is er mis met het feit dat je afhankelijk bent van je password database? Ik gebruik mijn wachtwoorden alleen voor online gebruik en het synchroniseren van de database gaat altijd automatisch - na het inloggen - dus hier heb je geen last van. LastPass zorgt er voor dat je inderdaad niet meer dan één wachtwoord nodig hebt (lees: je master password ofwel de sleutel van de wachtwoord-kluis).

Stappen om LastPass te gebruiken
  • Verzin een moeilijk wachtwoord - op een manier zoals AutCha hierboven aangeeft en gebruik deze als het master password voor LastPass.
  • Installeer LastPass, maak een account aan bij deze firma
  • Neem een Premium af waarmee je het bedrijf beloont voor deze geweldige oplossing én je Multifactor Authentication kan gebruiken (met bijvoorbeeld een Yubikey)

[Reactie gewijzigd door Junketsu op 18 november 2013 11:25]

En dan wordt lastpass gehacked. Wat dan?

Je kan ook kiezen voor keepass in combinatie met dropbox. Hou je alles een beetje in de hand.
Doe wel even wat onderzoek voordat je wat gaat spuien over LastPass: LastPass bewaart enkel jouw kluis - dus een bestand met eentjes en nulletjes - ofwel de DropBox in jouw tegenargument. Als je internet offline of LastPass.com dan gebruikt de plugin de lokale kopie van de kluis.

Het decrypten van de kluis a.d.h.v. het Master Password wordt client-side met javascript uitgevoerd. LastPass weet daarom ook helemaal niks van de wachtwoorden af behalve dat jij een kluis ben hun hebt liggen.

Het nadeel van Keepass (als ik even snel keek) en soorgelijke oplossingen is dat het een applicatie is en géén browser plugin dus automatisch invullen lukt niet. Je moet telkens zelf zoeken, kopieren en plakken én zelf wachtwoorden invoeren. Het automatisch invullen (kan ook uit worden gezet) en opslaan (dit wordt gevraagd) is juist hét mooie en gebruiksvriendelijke aspect van LastPass.

[Reactie gewijzigd door Junketsu op 19 november 2013 12:14]

Waarom zouden hackers de moeite doen om versleutelde wachtwoorden te stelen?
Denken ze dat de wachtwoorden binnen afzienbare tijd toch wel gekraakt kunnen worden?
Quote uit het announcement hierboven:

There are log indications that forum user tables for vb.com and vb.org were accessed

ze hebben in die tabellen gekeken. Mogelijk is hun reactie dus 'bah, encrypted' terwijl de leverancier zegt 'ze zijn in de tabellen geweest, mogelijk is alles gestolen!'.
simplemachines.org, de site van Simple Machines Forum (SMF), is een paar maanden terug ook al gehacked. Dat was dankzij een hack van een aantal andere sites waarbij een administrator op een van die fora lid was en t zelfde wachtwoord gebruikt had.

Ben benieuwd of vBulletin hier nu ook van zo'n type aanval de dupe van is.
Ik kreeg deze mail ook vanochtend, ik was toch al van plan om over te stappen naar Xenforo maar daar ga ik nu wel extra vaart achter zetten.
Want Xenforo is unhackable?
Want Xenforo is unhackable?
Nee, maar als je huidige software REEDS gehackt is kan dat toch best een redeen zijn om over te stappen? De matige veligheid van vBulletin was voor mij ook een van de redenen om over te stappen?
Als je even verder had gelezen en de eerste reacties had bekeken had je al tot de conclusie kunnen komen dat het hier helemaal niet gaat om een exploit in de forumsoftware zelf :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True