'Nederlands' botnet steelt twee miljoen logingegevens

Een botnet dat vanaf een Nederlandse command-and-control-server wordt beheerd, is gebruikt om twee miljoen gebruikersnamen en wachtwoorden buit te maken. Daaronder waren logins voor sociale netwerken, maar ook voor een salarisadministratie.

Onder de twee miljoen buitgemaakte logingegevens waren 1,5 miljoen accounts voor websites, ontdekte Trustwave. Daaronder waren honderdduizenden Facebook-logins, maar ook logins voor Yahoo, Twitter en Google. Ook zijn er circa 8000 logingegevens aanwezig voor ADP, een systeem dat door bedrijven wordt gebruikt om informatie over hun medewerkers bij te houden. Die gegevens bevatten onder meer volledige loonstrookjes. Hoeveel logingegevens van ADP van Nederlanders zijn, is niet te achterhalen.

Daarnaast zijn circa 320.000 e-mailaccounts buitgemaakt, evenals 41.000 ftp-accounts, 3000 logins voor het remote desktop-protocol en evenzoveel ssh-accounts. Veel buitgemaakte wachtwoorden waren eenvoudig: '123456' was het meestgebruikte wachtwoord, gevolgd door '123456789' en '1234'. Ook 'password' en 'admin' waren populair.

Het botnet zou zijn gebaseerd op de Pony Botnet-controller, waarvan de broncode onlangs uitlekte. Hoewel deze aanval vanaf een Nederlandse command-and-control-server zou hebben plaatsgevonden, lijkt het botnet zich in ieder geval deels op Rusland te hebben gericht. Er zijn namelijk ook accounts buitgemaakt van Odnoklassniki en VKontakte, twee Russische sociale netwerken.

Op welke landen het botnet zich precies heeft gericht, is lastig te zeggen. Het overgrote deel van de botnet-verbindingen, ruim 97 procent, verliep waarschijnlijk via een proxyserver, die eveneens in Nederland werd gehost. Daardoor lijkt het alsof bijna alle geïnfecteerde pc's uit Nederland afkomstig waren. Onder de geïnfecteerde pc's die rechtstreeks met de command-and-control-server verbonden waren slachtoffers uit onder meer Thailand, Duitsland, Singapore, Indonesië en de Verenigde Staten.

Botnets bestaan uit pc's die geïnfecteerd zijn met malware en die verbinding maken met een centrale server, de 'command-and-control-server', om nieuwe instructies te krijgen. Daardoor heeft de beheerder van het botnet veel computercapaciteit tot zijn beschikking, die bijvoorbeeld kan worden gebruikt om te spammen of Bitcoins te minen.

Gestolen wachtwoorden per dag

IT-banen

Reacties (51)

tweaker2010 4 december 2013 10:14

Hoeveel logingegevens van ADP van Nederlanders zijn, is niet te achterhalen.

Waarom is dat niet te achterhalen? Dat kun je toch zien aan de mailadressen en gebruiksnamen etc?
En hoeveel inloggegevens zijn van dezelfde gebruikers? Dit hoeven toch geen 2 miljoen verschillende mensen te zijn?

mad_max234 @tweaker2010 • 4 december 2013 10:44

Je weet dat we veel meer buitenlandse achternamen hebben dan Nederlandse? Was van week nog in het nieuws.

Na tweede wereld oorlog waren er 125K verschillende achternamen, sindsdien zijn er 175K bijgekomen. Kans dat je dus veel Nederlanders mis met tellen door op de naam te selecteren is heel groot. Rest van je voorstellen geeft ook geen enkele zekerheid dat je maar in buurt komt van het echte aantal Nederlanders, te veel onzekerheden om tot globale schatting te komen, niet haalbaar dus.

Edit/
Er staat toch 2 miljoen inloggegevens, niet 2 miljoen gebruikers. Of is het artikel weer eens aangepast zonder dat er melding van gemaakt word, altijd handig, not!

[Reactie gewijzigd door mad_max234 op 30 juli 2024 05:40]

tweaker2010 @mad_max234 • 4 december 2013 11:01

Je weet dat we veel meer buitenlandse achternamen hebben dan Nederlandse? Was van week nog in het nieuws.

Ja dat snap ik, maar er kan dan alvast een schatting worden gemaakt aan de hand van de 'Nederlandse' namen. Iemand die als gebruiksnaam JanJansen heeft, lijkt me duidelijk een Nederlander, alleen het totaal is dan niet te achterhalen, je weet dan wel hoeveel er minimaal getroffen zijn.

TheKmork @tweaker2010 • 4 december 2013 11:29

Dat hoeft overigens niet het geval te zijn. Er zijn genoeg mensen met een Nederlandse achternaam die naar het buitenland verhuisd zijn, en dit kan ook al generaties geleden zijn. Namen zeggen dus helemaal niets over de nationaliteit helaas.

mad_max234 @tweaker2010 • 4 december 2013 11:58

[...]

Ja dat snap ik, maar er kan dan alvast een schatting worden gemaakt aan de hand van de 'Nederlandse' namen. Iemand die als gebruiksnaam JanJansen heeft, lijkt me duidelijk een Nederlander, alleen het totaal is dan niet te achterhalen, je weet dan wel hoeveel er minimaal getroffen zijn.

Ja dan heb je inderdaad aantal Nederlanders, maar hoeveel je er gemist hebt weet je niet dus je weet dus helemaal niks over de totaal aantal Nederlanders. Dus hoeveel van de ADP gestolen inloggegevens van Nederlanders zijn is niet bekend of te achterhalen. (waar jij naar quote)

Dat er aantal waarschijnlijk van Nederlanders zijn is wel te achterhalen met bepaalde onzekerheid wel te verstaan, 100% zeker is dat ook niet, maar aannemelijk kan het wel zijn.

[Reactie gewijzigd door mad_max234 op 30 juli 2024 05:40]

Furinax @tweaker2010 • 4 december 2013 10:54

ADP gebruikt voor zover ik weet onder andere gebruikersnaam@debtornummer.adp als inlognaam.
Dit is wereldwijd zo, dus het is niet te achterhalen uit welk land de gebruiker komt.

Mopperman @Furinax • 4 december 2013 11:52

www.mijnloonstrook.nl (== werknamers login vann adp NL) gebruikt anders gewoon het email adres.
Maar ook daar is niet veel aan af te leiden

Vaan Banaan @Mopperman • 4 december 2013 20:57

Ik kan op de site geen enkele melding kan vinden over een onderzoek van mogelijke diefstal en heb ook geen mail heb ontvangen.
Mijn gebruikersnaam is een vorm van iets@nogiets.nl, dus dat is wel te zien.
Net even ingelogd en moest direct mijn wachtwoord wijzigen. Dat kan toeval zijn, want dat is bij mij elke 3 maanden verplicht.

Overigens zit er al jaren een fout in de beveiliging: als je een bestaande loginnaam in typt met een willekeurig wachtwoord, krijg je de melding dat het wachtwoord niet klopt.
Als je zomaar wat intypt bij de loginnaam en wachtwoord, krijg je deze melding niet.

Chayan71 4 december 2013 10:16

Wordt het onderhand niet tijd om te verplichten dat ieder besturingssysteem beschikt over goede beveiligingssoftware? Zonder deze software gewoon geen toegang meer tot het internet!

bartvincke @Chayan71 • 4 december 2013 10:27

het gaat eerder om de user te verplichten

iedere default installatie van windows komt tegenwoordig reeds met Firewall ON, Antivirus ON, anti-malware ON, UAC ON ( out of the box )
wat nadien vaak gebeurd is dat UAC wordt afgezet ( domste zet die je kan doen behalve in ZEER specifieke omstandigheden ), Firewall wordt afgezet etc...

En laten we eerlijk zijn, Windows wordt wel meer secure met de versie.
De tijden van Windows XP waar er waarschijnlijk duizende lekken inzaten is toch al even geleden.
Uiteraard zijn er nog steeds bugs, het is en blijft software maar steeds minder en ze worden ook beter behandeld.

halofreak1990 @bartvincke • 4 december 2013 10:34

"De tijden van Windows XP waar er waarschijnlijk duizende lekken inzaten is toch al even geleden."
Er zitten nog zat mensen op XP, hoor (het werkt toch nog?

).
Zou me niets verbazen als bijna alle computers in dit botnet XP draaien.

Ubartu @bartvincke • 4 december 2013 11:00

wat nadien vaak gebeurd is dat UAC wordt afgezet ( domste zet die je kan doen behalve in ZEER specifieke omstandigheden )

Naar mijn idee is het domste wat ze bij Microsoft hadden kunnen doen is niet denken aan hoe de gemiddelde gebruiker werkt en een systeem lanceren dat zo ongebruiksvriendelijk is dat iedereen deze direct uit zet.

Daarnaast bewijst Microsoft security essentials zich in tests bijna altijd als een van de slechtste beveiligingsprogramma's: AV-test: 2011 2012 2013

zanza006 @bartvincke • 4 december 2013 10:56

Een anti-virus zit standaart niet in windows. Die moet apart worden geinstalleerd via update.

Ramon @zanza006 • 4 december 2013 11:02

Antivirus zit standaard wél in Windows. Vanaf versie 8 om precies te zijn.

fluffy1 @zanza006 • 4 december 2013 11:07

Als ik het goed heb dan zit Microsoft Security Essentials standaard geïnstalleerd in Windows 8. Voor windows 7 moet dit inderdaad via een update.

Carlos0_0 @fluffy1 • 5 december 2013 08:38

In windows 7 en misschien vista ook heb je standaard windows defender zitten, oke microsoft security essentials is wel een verbetering erop dan.

Maar er zit standaard dus wel een virusscanner in dat die goed is hoor je me niet zeggen

[Reactie gewijzigd door Carlos0_0 op 30 juli 2024 05:40]

killer2 @Chayan71 • 4 december 2013 10:19

tja wat is goede beveiliging? Er heeft zelfs malware in windows installatie software gezeten.....
Plus het d-link verhaal kortom zo simpel is het niet.....daarnaast zijn er veel pc/servers besmet zonder dat het bekend is..

Jiriki @Chayan71 • 4 december 2013 10:24

Er zijn al providers die hetzelfde opperen, maar dat is dan weer alleen in Nederland, hoe kan je dat in Rusland of Zuid Korea verplichten?

Daarnaast, wie gaat dan selecteren en controleren welke software voldoende veilig is of of deze wel is bijgewerkt? Privacy wordt dan wel een groot issue.

Verwijderd @Chayan71 • 5 december 2013 03:45

Nee want anders kan je alleen nog maar pong doen op fb ipv Candy crush

Dr.Root 4 december 2013 10:16

Een goede buit zo te zien. Deze gegevens kun je verkopen als een idioot.. Vervelend voor de slachtoffers. Wel beetje lame dat er in deze tijd nog zulke makkelijke passwords worden gebruikt.. waarschijnlijk hebben ze niet eens 1 hash hoeven kraken maar gewoon even een password listje moeten gebruiken.. gewoon 1 miljoen gegevens, ff rockyou.txt er tegenaan xD 320k not bad..

Grappig dat dit geen toevoeging tot het artikel is.

[Reactie gewijzigd door Dr.Root op 30 juli 2024 05:40]

Fireshade @Dr.Root • 4 december 2013 10:25

Ik begrijp niet goed uit het artikel hoe deze login-gegevens met een botnet zijn buitgemaakt.
Uit de bron ziet het er naar uit dat het puur met brute forcing via de zombie-pc's is gedaan, maar dat wordt ook niet zo hard gesteld.
Als dat zo is, dan gelijk al je wachtwoorden maar veranderen...

[Reactie gewijzigd door Fireshade op 30 juli 2024 05:40]

Standeman @Fireshade • 4 december 2013 11:02

Zodra je een PC geinfecteerd hebt met malware kan je vrij eenvoudig alle wachtwoorden die in firefox, opera, safari, IE, etc opgeslagen zijn achterhalen met de gebruikersaccounts erbij. Dat geld ook voor e-mail clients zoals thunderbird of FTP clients zoals filezilla. Sommige programma's doen niets eens hun best om die passwords te 'verbergen' en zijn ze gewoon plaintext opgeslagen in een xml bestandje (filezilla).
Als je de malware gewoon laat scannen naar dit soort bestanden en deze upload naar de C&C server kan het heel hard gaan aangezien op een gemiddeld gebruikeraccount toch wel tussen de 10 en 100 useraccounts voor websites bevat.

Je kan het voorkomen door dit soort software nooit de wachtwoorden op te laten slaan (dus alles met de hand invullen) of door masterpassword te gebruiken waarmee je opgeslagen wachtwoorden versleuteld kunnen worden.

[Reactie gewijzigd door Standeman op 30 juli 2024 05:40]

eL-Prova @Fireshade • 4 december 2013 10:59

Wat je inderdaad aangeeft.
Het artikel vertelt wel wat er gebeurde. Maar mis beetje de achtergrond, zoals wie is hem op het spoor gekomen? is die inmiddels uit de lucht gehaald? Is er samengewerkt met meerdere partijen? Was de hoster hiervan op de hoogte of stond het "stiekem" geinstalleerd?

Dr.Root @Fireshade • 4 december 2013 11:03

Het staat in het artikel vermeldt:
''Een botnet dat vanaf een Nederlandse command-and-control-server wordt beheerd, is gebruikt om twee miljoen gebruikersnamen en wachtwoorden buit te maken. Daaronder waren logins voor sociale netwerken, maar ook voor een salarisadministratie.''

Een botnet zijn zombie pc's. Een bruteforce kun je natuurlijk uitoefenen via een botnet...

Wat meer achtergrond was wel fijn geweest in het artikel ja. Nu blijft het maar een beetje oppervlakkig

Check:
http://blog.spiderlabs.co...at-i-found-moar-pony.html

[Reactie gewijzigd door Dr.Root op 30 juli 2024 05:40]

Verwijderd 4 december 2013 10:21

Tja goede beveiligingssoftware ? een ding is zeker het gebeurd wel vaker dat een hacker de beveiligingssoftware ontwikkelaars een stapje voor is, en toch BANKgegevens van een klant [en] kan stelen

wordt vervolgd

killer2 @Verwijderd • 4 december 2013 10:23

klopt over het algemeen lopen we 1, 2 of zelfs meer stappen achter de feiten aan....

Carlos0_0 @killer2 • 4 december 2013 10:32

Ja idd je kan wel een dure security hebben voor je pc maar ze lopen toch wel voor, want ja een update komt pas uit als een lek ontdekt is en word misbruikt.

Ik ben eigenlijk wel benieuwd of er nog een lijst komt met welke accounts, aangezien constant je wachtwoord veranderen ook niet echt handig is.
Ik heb bijv adp via me werk zou toch wel willen weten of mijn gebruikersnaam erbij zat.

[Reactie gewijzigd door Carlos0_0 op 30 juli 2024 05:40]

Dr.Root 4 december 2013 11:07

Voor meer en diepgaandere informatie dan Tweakers verschaft over deze aanval zie:
Onderzoekers van beveiligingsbedrijf Trustwave ontdekten:
http://blog.spiderlabs.co...at-i-found-moar-pony.html

Pablo 4 december 2013 11:12

de "gestolen" Credentials staan niet online ergens toch ?
Ik vind het altijf fijn om met dit soort berichten te checken of mijn gegevens er niet ergens bij staan

R4gnax 4 december 2013 11:50

Fijn als je nagaat wat je in Nederland qua aanvragen allemaal al digitaal voor elkaar kunt krijgen met een simpel afschrift van een loonstrook + kopie paspoort of ID kaart (wat naar alle waarschijnlijkheid ook wel in een adminstratie systeem als ADP zal hangen).

Weer een extra rondje slachtoffers identiteitsfraude binnenkort dus...

[Reactie gewijzigd door R4gnax op 30 juli 2024 05:40]

kdekker 4 december 2013 14:34

Bij ADP moet je wel om de zoveel tijd (ik dacht half jaar) je wachtwoord wijzigen. Ik weet niet of er een controle gedaan wordt op de sterkte van het wachtwoord (d.w.z. 123456789 bijv. tegengehouden wordt).

In het systeem zitten volgens mij alleen je loonstroken, maar daar staat ook je BSN op.
Ik heb nog nooit een online systeem gezien waar kopie paspoort te benaderen was.

Anoriel 4 december 2013 14:50

dergelijke wwen gebruiken? Sorry maar dan geen medelijden. das smeken om problemen

relativity 4 december 2013 19:14

Waar kan je die source code eigenlijk vinden? Ben toch wel eens benieuwd hoe dat eruit ziet

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: