Versleutelde wachtwoorden van Kickstarter-gebruikers buitgemaakt bij hack

Kwaadwillenden hebben bij een hack van crowdfundingsite Kickstarter onder meer versleutelde wachtwoorden buitgemaakt. Omdat de wachtwoorden met krachtige computers kunnen worden gekraakt, raadt Kickstarter gebruikers aan om alle wachtwoorden te wijzigen.

Kickstarter had de wachtwoorden versleuteld met SHA-1 en vervolgens enkele keren gesalt en die beveiliging is niet genoeg om te voorkomen dat de wachtwoorden met krachtige computers en genoeg tijd alsnog kunnen worden achterhaald, waarschuwt Kickstarter op het eigen blog.

Het crowdfundbedrijf raadt gebruikers aan om hun wachtwoord te wijzigen bij de dienst zelf en bij alle andere sites en services waar ze dat zelfde wachtwoord gebruiken. Omdat de criminelen ook e-mailadressen en gebruikersnamen hebben buitgemaakt, zouden ze met die informatie op andere diensten kunnen inloggen.

Bij twee accounts is informatie uit de hack misbruikt. Kickstarter kwam erachter doordat het bedrijf op de hoogte is gesteld door autoriteiten. Dat gebeurde afgelopen woensdagnacht Nederlandse tijd. Na onderzoek besloot het bedrijf al zijn gebruikers op de hoogte te stellen. Facebook-logins en creditcardgegevens zijn niet buitgemaakt bij de hack.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 16-02-2014 08:49
45 • submitter: Tead

16-02-2014 • 08:49

45

Submitter: Tead

Lees meer

Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online
Accountgegevens miljoenen Bit.ly- en Kickstarter-gebruikers verschijnen online Nieuws van 6 oktober 2017
UserVoice meldt diefstal sha1-hashes van wachtwoorden na hack
UserVoice meldt diefstal sha1-hashes van wachtwoorden na hack Nieuws van 10 mei 2016
Facebook geeft gebruikers meer controle over privégegevens bij inloggen apps
Facebook geeft gebruikers meer controle over privégegevens bij inloggen apps Nieuws van 30 april 2014
LaCie: hackers konden jaar lang creditcard-betalingen inzien
LaCie: hackers konden jaar lang creditcard-betalingen inzien Nieuws van 15 april 2014
Crowdfundingsite Kickstarter staat Nederlandse projecten toe
Crowdfundingsite Kickstarter staat Nederlandse projecten toe Nieuws van 7 april 2014
Kickstarter opent zijn deuren voor Nederlandse projecten
Kickstarter opent zijn deuren voor Nederlandse projecten Nieuws van 4 februari 2014
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (45)

-Moderatie-faq
45
44
34
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 16 februari 2014 09:03
Dit is de mail die ze uitstuurde:
On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.

No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account.

While no credit card data was accessed, some information about our customers was. Accessed information included usernames, email addresses, mailing addresses, phone numbers, and encrypted passwords. Actual passwords were not revealed, however it is possible for a malicious person with enough computing power to guess and crack an encrypted password, particularly a weak or obvious one.

As a precaution, we strongly recommend that you change the password of your Kickstarter account, and other accounts where you use this password.

To change your password, log in to your account at Kickstarter.com and look for the banner at the top of the page to create a new, secure password. We recommend you do the same on other sites where you use this password. For additional help with password security, we recommend tools like 1Password and LastPass.

We’re incredibly sorry that this happened. We set a very high bar for how we serve our community, and this incident is frustrating and upsetting. We have since improved our security procedures and systems in numerous ways, and we will continue to do so in the weeks and months to come. We are working closely with law enforcement, and we are doing everything in our power to prevent this from happening again.

Kickstarter is a vibrant community like no other, and we can’t thank you enough for being a part of it. Please let us know if you have any questions, comments, or concerns. You can reach us at accountsecurity@kickstarter.com.

Thank you,

Yancey Strickler
Kickstarter CEO

[Reactie gewijzigd door Verwijderd op 28 juli 2024 18:09]

ViperXL @Verwijderd16 februari 2014 11:28
Ik schrok er bijna van dat ik deze email ontving :P Nette, duidelijke en snelle communicatie van Kickstarter. Zijn jammerlijk erg weinig bedrijven die zo transparant handelen wanneer het gaat om beveiliging, daar wordt je blij van! Ook al is het natuurlijk wat minder omdat het een hack betreft maar +1 voor Kickstarter in dit geval :)

Aanvulling n.a.v. reacties: Een wachtwoord is altijd te kraken als men alle tijd ervoor heeft, hoef je niet eens een krachtige computer voor te hebben alleen scheelt het in tijd natuurlijk. De encryptie die gebruikt wordt in dit geval is relatief gezien erg sterk maar je zal er met een half jaar maar achterkomen dat het ze toch gelukt is en je hebt je wachtwoord niet gewijzigd ;) Alles wat is beveiligd kan gekraakt worden, tis alleen de vraag is de tijd die het in beslag neemt snel genoeg om er gebruik van te kunnen maken.

[Reactie gewijzigd door ViperXL op 28 juli 2024 18:09]

Apie! @Verwijderd16 februari 2014 13:37
Apart, ik heb geen mail gehad :?

Edit: Gisteravond op de site ingelogd en toen zag ik de Security waarschuwing op de site pas. Ik heb m'n wachtwoord aangepast en vanmorgen kwam het mailtje met de Security warining van Kickstarter binnen.

[Reactie gewijzigd door Apie! op 28 juli 2024 18:09]

Verwijderd 16 februari 2014 09:43
Het is supernetjes dat ze dit communiceren maar om nu te stellen dat je bij met krachtige hardware een hash met sha1 + nette salt snel naar voren krijgt vind ik ook wat vergezocht. Maargoed, ze moeten wel. Zelfs al gebruik je de top-10 meest voor de hand liggende wachtwoorden dan gooit nog steeds de salt roet in het eten. Tenzij deze ook bekend is.
MrVulcan @Verwijderd16 februari 2014 14:07
En toch is dit al een tijd het geval. Troy Hunt heeft 2 jaar geleden een video gemaakt van een brute-force aanval op een gelekte database. De wachtwoorden daarvan waren netjes gehasht met SHA-1 en hadden een per-user salt. Daarvan dacht ik altijd dat het superveilig was. Na 45 minuten had hij al 25000 wachtwoorden gekraakt. Zelfs met goede hashing en salting blijft het belangrijk om sterke wachtwoorden te gebruiken.
Dorank @Verwijderd16 februari 2014 11:57
Er is geen reden om de salt geheim te houden, de gedachte achter een salt is om hetzelfde wachtwoord een andere hash te geven. Het genereren van alle sha1 hashes (40^16) is hiermee niet een simpele manier om het plaintext wachtwoord te achterhalen.

Overigens zal de site allang onder bruteforce attacks liggen om de meeste simpele wachtwoorden te proberen voor logins.
Verwijderd @Dorank16 februari 2014 18:59
Als het salt geheim is kun je niet gemakkelijk de andere kant op rekenen. (Dus wachtwoord raden, salt eraan vastplakken en hash uitrekenen). Wachtwoorden hebben vaak veel minder entropie dan een random hash. Dat is het idee erachter.
Dorank @Verwijderd16 februari 2014 20:03
Hoe groot is de kans dat indien de hashed vorm op straat ligt, de salt ook compromised is? Het controle process heeft beide tegelijk nodig, als je op de goede plek de boel kan plunderen heeft een geheime salt 0,0 voordeel.

De toegespaste keystretching is veel belangrijker, als het aantal iteraties hoog genoeg ligt is de attack zoals in de video hieronder gepost door MrVulcan "iets" duurder.
Verwijderd @Dorank16 februari 2014 21:57
Misschien is het een idee om het "salten" dan in een aparte hardware unit te laten plaatsvinden (PCI-kaart). Dus dan stuurt je CPU een wachtwoord (of een hash ervan) op, de unit plakt de salt eraan vast en berekent een nieuwe hash, en stuurt die terug over de PCI bus. Op die manier kun je de salt altijd geheim houden (of de hacker moet fysiek de kaart uit het systeem trekken).
Jasper Janssen @Verwijderd17 februari 2014 14:36
Ik denk niet dat je helemaal doorhebt wat een salt is.

Salt moet gewoon in de database staan naast de hash van het password. Het kritieke punt is namelijk dat hij uniek is voor iedere gebruiker, en juist niet dat hij geheim is. Dat is niet waar salts voor zijn.
Verwijderd @Jasper Janssen17 februari 2014 15:37
De salt kan uniek zijn voor de gebruiker. Maar dat hoeft niet.

Je kan de salt ook in 2 stukken verdelen: een uniek deel per gebruiker en een vast deel.
LopendeVogel 16 februari 2014 08:55
Waarom in hemelsnaam een goed project als kickstarter? Er worden zoveel positieve zaken mee gedaan (voor zover ik weet). Ik hoop niet dat hun gebruikers de vertrouwen kwijt zijn en dat kickstarter de beveiliging aanscherpt.

Jammer dat hun de klos zijn, er zijn veel te weinig projecten als kickstarter op deze planeet..
Scorpinus @LopendeVogel16 februari 2014 19:10
Ik zeg in elk geval binnenkort mijn kickstarter account op. Het is mij nu al een paar keer overkomen dat er niets van het beloofde wordt geleverd.

De creator van het project krijgt lekker het geld (soms tonnen) en kickstarter krijgt zijn deel van de buit en voor de rest is het maar aan mij om ook daadwerkelijk iets te krijgen. Kickstarter helpt je 0,0 in deze. Behalve een kleine nietszeggende zin in hun voorwaarden.

Het is overduidelijk dat kickstarter er alleen maar in zit voor het geld, en niet voor ons.
Mothyl @Scorpinus17 februari 2014 00:40
Het is natuurlijk aan jou om de keuze te maken om ze te proberen te helpen, veel mensen zien Kickstarter als een winkel, maar dat is het op lange na niet. De creator moet ook altijd aangeven waardoor het project zou kunnen mislukken, dus zover ik kan opmaken uit je comment zie jij Kickstarter als een winkel en heb jij je niet diep genoeg verdiept in het project en snap je dus helemaal niet waar Kickstarter projecten om gaan.
Scorpinus @Mothyl17 februari 2014 15:51
Nee dat klopt niet. Ik zie het zeker niet als winkel en ben mij bewust van de gevaren. Het is alleen veel te makkelijk om iets op te zetten en dan uiteindelijk niets te leveren.

Ik steun bijvoorbeeld een project om een nieuw soort sleutelhanger te maken. Dat wordt goed uitgelegd, video's van producten en werking etc lijkt allemaal goed. Uiteindelijk is er met reden uitstel na uitstel wat resulteert in een laatste bericht in december vorig jaar. Daarna blijft het stil. De creator heeft uiteindelijk een paar duizend pond in zijn zak gestoken en is nu onvindbaar.

Mijn allereerste project wat ik gesteund heb was voor het maken van een sci-fi film. Zag er allemaal veel belovend uit, met art work, trailers etc en de creator heeft uiteindelijk 65.000 dollar van kickstarter ontvangen. Waar kickstarter een leuk percentage van krijgt. Inmiddels is het laatste contact met de creator ergens in 2011 of 2012 geweest. Meneer is onvindbaar met 65k!

Dat zijn voorbeelden waarin het voor een maker van een project veel te makkelijk is om er met je geld vandoor te gaan. Tenzij je in hetzelfde land woont dan zou je nog een rechtszaak kunnen beginnen...maar goed wie doet dat voor 100 dollar of minder.
The Zep Man
@LopendeVogel16 februari 2014 09:01
Waarom in hemelsnaam een goed project als kickstarter?
Dezelfde redenen als dat andere organisaties gehackt worden: omdat het kan, financieel gewin (mailadres + wachtwoord dat ook voor PayPal wordt gebruikt = grote kans op winst), etc.
Jammer dat hun de klos zijn, er zijn veel te weinig projecten als kickstarter op deze planeet..
Ik geef nooit geld weg via crowdfunding om vervolgens maar te hopen dat ik er iets voor terug krijg, maar volgens mij zijn er verschillende alternatieven.

[edit]
Uit hun FAQ:
How were passwords encrypted?

Older passwords were uniquely salted and digested with SHA-1 multiple times. More recent passwords are hashed with bcrypt.
Het is handig als Kickstarter ook aangeeft wanneer de overschakeling naar bcrypt is gemaakt en hoeveel iteraties van bcrypt gebruikt worden. Daarmee kunnen slachtoffers een betere risicoanalye maken.

Overigens geldt hierbij het aloude advies: gebruik niet overal op Internet hetzelfde wachtwoord. Een password manager, bijvoorbeeld het open-source Keepass, kan willekeurige wachtwoorden genereren en narigheid door de fouten van anderen voorkomen.

[Reactie gewijzigd door The Zep Man op 28 juli 2024 18:09]

LopendeVogel @The Zep Man16 februari 2014 09:05
Klopt dat van Paypal en etc begrijp ik. Maar er zijn zoveel bedrijven die alleen aan nu/geld denken, pak dan hun als je iemand wilt pakken. Maar niet een bedrijf dat het met onze toekomst goed voor heeft.
Kan maar zo zijn dat hun kinderen, of die van jou of mij later bij een bedrijf gaat werken dat gefinancierd is door kickstarter.

Maar goed deze hackers zullen hoogst waarschijnlijk geen vrouw of kinderen hebben/krijgen.
The Zep Man
@LopendeVogel16 februari 2014 09:15
Klopt dat van Paypal en etc begrijp ik. Maar er zijn zoveel bedrijven die alleen aan nu/geld denken, pak dan hun als je iemand wilt pakken. Maar niet een bedrijf dat het met onze toekomst goed voor heeft.
Kickstarter, Inc. is een commercieel bedrijf. Commerciele bedrijven hebben 1 doel: winst maken. Of ze daarbij mensen helpen of niet is alleen maar een factor op de kosten-batenanalyse.
Kan maar zo zijn dat hun kinderen, of die van jou of mij later bij een bedrijf gaat werken dat gefinancierd is door kickstarter.
Het kan ook zo zijn dat kinderen nooit aan een baan komen door een bedrijf dat gefinancieerd is door Kickstarter. Kom niet bij mij aan met een think of the children argument.
Maar goed deze hackers zullen hoogst waarschijnlijk geen vrouw of kinderen hebben/krijgen.
Een domme en ongefundeerde aanname dat niets bijdraagt aan de discussie.

[Reactie gewijzigd door The Zep Man op 28 juli 2024 18:09]

SG @LopendeVogel16 februari 2014 10:46
Hacken kan voor crimenele doeleinden gedan en gebruikt worden.
Ten eerste maakt het niet uit welk bedrijf gehacked wordt. Voor hun is het imago deuk. Maar de klanten zijn er de dupe van.

PSN of EA of Kickstarter of ... De klant de consument is de zak.

En ik zie het verband niet met hebben van kinderen..

Hoog uit dat zoon ego triper crimi hacker aan zijn kinder pats hoe slim die wel niet is.
Zer0 @The Zep Man16 februari 2014 10:39
Het is handig als Kickstarter ook aangeeft wanneer de overschakeling naar bcrypt is gemaakt en hoeveel iteraties van bcrypt gebruikt worden. Daarmee kunnen slachtoffers een betere risicoanalye maken.
Niet echt, want iteraties, bcrypt en risicoanalyzes zegt het merendeel van de gebruikers geen ene reet. Dat is leuke info voor een techt blog, maar niet voor een waarschuwing aan doorsnee gebruikers.
The Zep Man
@Zer016 februari 2014 13:25
[...]

Niet echt, want iteraties, bcrypt en risicoanalyzes zegt het merendeel van de gebruikers geen ene reet. Dat is leuke info voor een techt blog, maar niet voor een waarschuwing aan doorsnee gebruikers.
Een tech blog kan het vervolgens analyseren en aangeven in niet-technische taal of het een risico is of niet.
Zer0 @The Zep Man16 februari 2014 14:23
Dan is het ook aan de betreffende blog om die informatie te achterhalen. Het is zeker geen info waar normale gebruikers wat aan hebben, en aangezien we hedentendage toch al overspoeld worden met informatie is het goed om daar selectief mee om te gaan.
Smobbo @LopendeVogel16 februari 2014 09:13
Euh, dit soort hackers zijn gewoon criminelen...
Dus het is gewoon slim om een website waar veel gegevens van gebruikers te halen zijn binnen te dringen.
Die lijst kun je verkopen.

Het is geen statement tegen kickstarter ofzo, maar gewoon inbraak.
huntedjohan @LopendeVogel16 februari 2014 11:10
dus omdat kickstarter in jou ogen een goede zaak is, mag het niet gehacked worden, en een ander bedrijf of instelling met (in jou ogen) mindere doelen mag dat dan wel? Elke hack is verwerpelijk, het maakt volgens mij niet uit of het bij kickstarter gebeurt of bij EA.
m4ikel 16 februari 2014 18:02
Daarom moet men dus ook niet het volledige password opslaan, maar enkel onderdelen ervan zodat het uniek "genoeg" is in combinatie met een username / e-mail adres.

Voorbeeld hoe ik het ongeveer heb ingericht:
mijnwachtwoord + hash bla12345 == 345mijnwacht4woordbla12 -> gebruik hiervan 7 karakters
------------------------
Wachtwoord in is dan bv: wa1iom4.

Vervolgens whirlpool eroverheen en done! Al weet je deze string met een rainbow attack te kraken, het originele wachtwoord is never nooit meer te achterhalen en de users lopen geen gevaar.

Niet uniek genoeg? Dan vergroot je het aantal karakters in bovenstaande voorbeeld.

[Reactie gewijzigd door m4ikel op 28 juli 2024 18:09]

MrQuincle @m4ikel16 februari 2014 18:12
Interessant... Dus jij vervangt een groot stuk van mijn wachtwoord van 20 tekens met een eigen wachtwoord dat je gebruikt voor alle gebruikers en slaat er slechts een paar tekens van op... Ik hoop dat het nergens live staat. :-D

Wel sympathiek dat je mensen die hetzelfde wachtwoord overal gebruiken tegen zichzelf beschermt.
m4ikel @MrQuincle16 februari 2014 18:20
Ik heb de code niet bij de hand. Maar het principe wel. Zolang je met bovenstaande oplossing een minimum lengte van een wachtwoord vereist en enkele onderdelen van het wachtwoord gebruikt dan mag jij mij vertellen wat de kans op een collision is.

(en ja, als je wachtwoord abc hebt, wordt het lastig ;) )

Zoals ik al aangaf, rekening houdend dat er voldoende unieke karakters worden overgehouden.

De vraag is dan ook wat de balans is tussen access control & veiligheid, en ik denk dat juist daar dus de oplossing ligt. Waarom zou je uberhaupt het volledige wachtwoord willen weten?

Vergelijk het maar even met een fietsensloten. Er zijn maar 30.000 type sleutels in de omloop. Wat is de reële kans dat je "net" het juiste slot treft? 1/30.000 toch?

[Reactie gewijzigd door m4ikel op 28 juli 2024 18:09]

Gomez12 @m4ikel16 februari 2014 22:47
Vergelijk het maar even met een fietsensloten. Er zijn maar 30.000 type sleutels in de omloop. Wat is de reële kans dat je "net" het juiste slot treft? 1/30.000 toch?
Dat denkt de naieve fietseigenaar, de echte fietsendief weet echter dat in januari 2012 de politie / overheid een gigantische campagne gehouden heeft over fietssloten en dat er toen massaal fietssloten verkocht zijn en dat er toendertijd er maar 10 sleutels zijn uitgegeven.

Het gaat niet om het totale aantal, het gaat om de verhouding totale aantal / aantal uitgegeven.

Het kan best zijn dat er 29.990 enkel uitgegeven zijn aan extra beveiligde sloten a xxx euro en dat de andere 10 toegepast zijn in alle sloten van xx euro. Dan heb je als fietsendief maar 10 sleutels nodig om >90% van alle fietsen open te maken
MrQuincle @m4ikel19 februari 2014 23:09
Ik ben niet tegen het gebruik van een salt, ook niet tegen het hashen (whirlpool of bcrypt of iets anders waar mensen over hebben nagedacht).

Echter, als jij maar een paar letters van mijn wachtwoord gebruikt heb je gewoon zwakker gemaakt, punt. :-)

Maar nogmaals, ik vind het sympathiek van je i.v.m. mensen die hetzelfde wachtwoord overal gebruiken.
Dorank @m4ikel16 februari 2014 20:07
En hoe groot is dat je algoritme op straat ligt indien je database op straat ligt?
frennek 16 februari 2014 11:42
En daarom heb ik voor elke online dienst een uniek wachtwoord.

Je ziet ook overal de trend dat je e-mail adres ook direct je username is. Bijzonder handig, maar brengt ook een extra risico met zich mee als je wachtwoord achterhaald wordt en je overal hetzelfde wachtwoord hebt gebruikt.
Dorank @frennek16 februari 2014 11:59
Je zou dan ook overal een uniek emailadres kunnen gebruiken.
Verwijderd 16 februari 2014 23:16
Verstandig om te vertellen hoe je je wachtwoorden versleuteld!
Verwijderd @Verwijderd17 februari 2014 07:54
Daar kan je zo achter komen hoor?

Anyway, niet zo'n big deal als je het mij vraagt.
Ze hebben ze goed ge-encrypt dus mensen die gehackt worden hadden maar een beter wachtwoord moeten bedenken.
gimbal @Verwijderd17 februari 2014 11:33
Helemaal mee eens. Jammer genoeg is dat zo moeilijk te verkopen; het is voor de gemiddelde pipo niet genoeg om te zeggen 'het is zo', dat moet je in drievoud onderbouwen en dat is in dit geval een behoorlijk technisch 'ene oor in, andere weer uit' verhaal. Tot die tijd is het een computerding en computerdingen zijn het probleem van techneuten, niet van meneer pipo.

Je kunt je wel bedenken dat voor kickstarter betere wachtwoorden afgedwongen dienen te worden na dit voorval.
Verwijderd @Verwijderd17 februari 2014 13:32
Maar je maakt het de hackers nóg een stukje makkelijker! :) Er zijn enorm veel encryptiestandaarden en je kunt ze allemaal door elkaar gebruiken! Om dan je hackers te vertellen dat je een aantal keer SHA1 gebruikt, encrypt je rainbow tables een paar keer en je hebt het in een kwartiertje achterhaald...
WokeBroke 16 februari 2014 09:47
eindelijk worden er eens wachtwoorden gehackt die wel goed beveiligd zijn. Ik betwijfel of de wachtwoorden te achterhalen zijn, maar het is natuurlijk verstandig om jezelf in te dekken.
Amanoo 16 februari 2014 15:06
Gelukkig was Kickstarter net een website waar ik een ander wachtwoord gebruikte dan op de meeste andere van mijn accounts.
BtM909 16 februari 2014 15:30
law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data.
Dit is wat ik nog t meest wazig aan de email vond. Waarom en in welke situatie zouden law enforcement officials Kickstarter op de hoogte brengen van deze hack?

Sterker nog Kickstarter heeft t zelf niet eens doorgehad, wat impliceert dat de hack al eerder heeft plaatsgevonden.

Wellicht waren de hackers op zoek naar gegevens van project owners om geld te stelen van uitgekeerde (succesvolle) projecten.
[Remmes] 16 februari 2014 15:51
Waarom moet ik dit op Tweakers lezen en krijg ik geen mail?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq