Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Submitter: Tead

Kwaadwillenden hebben bij een hack van crowdfundingsite Kickstarter onder meer versleutelde wachtwoorden buitgemaakt. Omdat de wachtwoorden met krachtige computers kunnen worden gekraakt, raadt Kickstarter gebruikers aan om alle wachtwoorden te wijzigen.

Kickstarter had de wachtwoorden versleuteld met SHA-1 en vervolgens enkele keren gesalt en die beveiliging is niet genoeg om te voorkomen dat de wachtwoorden met krachtige computers en genoeg tijd alsnog kunnen worden achterhaald, waarschuwt Kickstarter op het eigen blog.

Het crowdfundbedrijf raadt gebruikers aan om hun wachtwoord te wijzigen bij de dienst zelf en bij alle andere sites en services waar ze dat zelfde wachtwoord gebruiken. Omdat de criminelen ook e-mailadressen en gebruikersnamen hebben buitgemaakt, zouden ze met die informatie op andere diensten kunnen inloggen.

Bij twee accounts is informatie uit de hack misbruikt. Kickstarter kwam erachter doordat het bedrijf op de hoogte is gesteld door autoriteiten. Dat gebeurde afgelopen woensdagnacht Nederlandse tijd. Na onderzoek besloot het bedrijf al zijn gebruikers op de hoogte te stellen. Facebook-logins en creditcardgegevens zijn niet buitgemaakt bij de hack.

Moderatie-faq Wijzig weergave

Reacties (45)

Dit is de mail die ze uitstuurde:
On Wednesday night, law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data. Upon learning this, we immediately closed the security breach and began strengthening security measures throughout the Kickstarter system.

No credit card data of any kind was accessed by hackers. There is no evidence of unauthorized activity of any kind on your account.

While no credit card data was accessed, some information about our customers was. Accessed information included usernames, email addresses, mailing addresses, phone numbers, and encrypted passwords. Actual passwords were not revealed, however it is possible for a malicious person with enough computing power to guess and crack an encrypted password, particularly a weak or obvious one.

As a precaution, we strongly recommend that you change the password of your Kickstarter account, and other accounts where you use this password.

To change your password, log in to your account at Kickstarter.com and look for the banner at the top of the page to create a new, secure password. We recommend you do the same on other sites where you use this password. For additional help with password security, we recommend tools like 1Password and LastPass.

We’re incredibly sorry that this happened. We set a very high bar for how we serve our community, and this incident is frustrating and upsetting. We have since improved our security procedures and systems in numerous ways, and we will continue to do so in the weeks and months to come. We are working closely with law enforcement, and we are doing everything in our power to prevent this from happening again.

Kickstarter is a vibrant community like no other, and we can’t thank you enough for being a part of it. Please let us know if you have any questions, comments, or concerns. You can reach us at accountsecurity@kickstarter.com.

Thank you,

Yancey Strickler
Kickstarter CEO

[Reactie gewijzigd door jreijmer op 16 februari 2014 09:03]

Ik schrok er bijna van dat ik deze email ontving :P Nette, duidelijke en snelle communicatie van Kickstarter. Zijn jammerlijk erg weinig bedrijven die zo transparant handelen wanneer het gaat om beveiliging, daar wordt je blij van! Ook al is het natuurlijk wat minder omdat het een hack betreft maar +1 voor Kickstarter in dit geval :)

Aanvulling n.a.v. reacties: Een wachtwoord is altijd te kraken als men alle tijd ervoor heeft, hoef je niet eens een krachtige computer voor te hebben alleen scheelt het in tijd natuurlijk. De encryptie die gebruikt wordt in dit geval is relatief gezien erg sterk maar je zal er met een half jaar maar achterkomen dat het ze toch gelukt is en je hebt je wachtwoord niet gewijzigd ;) Alles wat is beveiligd kan gekraakt worden, tis alleen de vraag is de tijd die het in beslag neemt snel genoeg om er gebruik van te kunnen maken.

[Reactie gewijzigd door ViperXL op 16 februari 2014 11:32]

Apart, ik heb geen mail gehad :?

Edit: Gisteravond op de site ingelogd en toen zag ik de Security waarschuwing op de site pas. Ik heb m'n wachtwoord aangepast en vanmorgen kwam het mailtje met de Security warining van Kickstarter binnen.

[Reactie gewijzigd door Apie! op 17 februari 2014 07:57]

Het is supernetjes dat ze dit communiceren maar om nu te stellen dat je bij met krachtige hardware een hash met sha1 + nette salt snel naar voren krijgt vind ik ook wat vergezocht. Maargoed, ze moeten wel. Zelfs al gebruik je de top-10 meest voor de hand liggende wachtwoorden dan gooit nog steeds de salt roet in het eten. Tenzij deze ook bekend is.
En toch is dit al een tijd het geval. Troy Hunt heeft 2 jaar geleden een video gemaakt van een brute-force aanval op een gelekte database. De wachtwoorden daarvan waren netjes gehasht met SHA-1 en hadden een per-user salt. Daarvan dacht ik altijd dat het superveilig was. Na 45 minuten had hij al 25000 wachtwoorden gekraakt. Zelfs met goede hashing en salting blijft het belangrijk om sterke wachtwoorden te gebruiken.
Er is geen reden om de salt geheim te houden, de gedachte achter een salt is om hetzelfde wachtwoord een andere hash te geven. Het genereren van alle sha1 hashes (40^16) is hiermee niet een simpele manier om het plaintext wachtwoord te achterhalen.

Overigens zal de site allang onder bruteforce attacks liggen om de meeste simpele wachtwoorden te proberen voor logins.
Als het salt geheim is kun je niet gemakkelijk de andere kant op rekenen. (Dus wachtwoord raden, salt eraan vastplakken en hash uitrekenen). Wachtwoorden hebben vaak veel minder entropie dan een random hash. Dat is het idee erachter.
Hoe groot is de kans dat indien de hashed vorm op straat ligt, de salt ook compromised is? Het controle process heeft beide tegelijk nodig, als je op de goede plek de boel kan plunderen heeft een geheime salt 0,0 voordeel.

De toegespaste keystretching is veel belangrijker, als het aantal iteraties hoog genoeg ligt is de attack zoals in de video hieronder gepost door MrVulcan "iets" duurder.
Misschien is het een idee om het "salten" dan in een aparte hardware unit te laten plaatsvinden (PCI-kaart). Dus dan stuurt je CPU een wachtwoord (of een hash ervan) op, de unit plakt de salt eraan vast en berekent een nieuwe hash, en stuurt die terug over de PCI bus. Op die manier kun je de salt altijd geheim houden (of de hacker moet fysiek de kaart uit het systeem trekken).
Ik denk niet dat je helemaal doorhebt wat een salt is.

Salt moet gewoon in de database staan naast de hash van het password. Het kritieke punt is namelijk dat hij uniek is voor iedere gebruiker, en juist niet dat hij geheim is. Dat is niet waar salts voor zijn.
De salt kan uniek zijn voor de gebruiker. Maar dat hoeft niet.

Je kan de salt ook in 2 stukken verdelen: een uniek deel per gebruiker en een vast deel.
Waarom in hemelsnaam een goed project als kickstarter? Er worden zoveel positieve zaken mee gedaan (voor zover ik weet). Ik hoop niet dat hun gebruikers de vertrouwen kwijt zijn en dat kickstarter de beveiliging aanscherpt.

Jammer dat hun de klos zijn, er zijn veel te weinig projecten als kickstarter op deze planeet..
Ik zeg in elk geval binnenkort mijn kickstarter account op. Het is mij nu al een paar keer overkomen dat er niets van het beloofde wordt geleverd.

De creator van het project krijgt lekker het geld (soms tonnen) en kickstarter krijgt zijn deel van de buit en voor de rest is het maar aan mij om ook daadwerkelijk iets te krijgen. Kickstarter helpt je 0,0 in deze. Behalve een kleine nietszeggende zin in hun voorwaarden.

Het is overduidelijk dat kickstarter er alleen maar in zit voor het geld, en niet voor ons.
Het is natuurlijk aan jou om de keuze te maken om ze te proberen te helpen, veel mensen zien Kickstarter als een winkel, maar dat is het op lange na niet. De creator moet ook altijd aangeven waardoor het project zou kunnen mislukken, dus zover ik kan opmaken uit je comment zie jij Kickstarter als een winkel en heb jij je niet diep genoeg verdiept in het project en snap je dus helemaal niet waar Kickstarter projecten om gaan.
Nee dat klopt niet. Ik zie het zeker niet als winkel en ben mij bewust van de gevaren. Het is alleen veel te makkelijk om iets op te zetten en dan uiteindelijk niets te leveren.

Ik steun bijvoorbeeld een project om een nieuw soort sleutelhanger te maken. Dat wordt goed uitgelegd, video's van producten en werking etc lijkt allemaal goed. Uiteindelijk is er met reden uitstel na uitstel wat resulteert in een laatste bericht in december vorig jaar. Daarna blijft het stil. De creator heeft uiteindelijk een paar duizend pond in zijn zak gestoken en is nu onvindbaar.

Mijn allereerste project wat ik gesteund heb was voor het maken van een sci-fi film. Zag er allemaal veel belovend uit, met art work, trailers etc en de creator heeft uiteindelijk 65.000 dollar van kickstarter ontvangen. Waar kickstarter een leuk percentage van krijgt. Inmiddels is het laatste contact met de creator ergens in 2011 of 2012 geweest. Meneer is onvindbaar met 65k!

Dat zijn voorbeelden waarin het voor een maker van een project veel te makkelijk is om er met je geld vandoor te gaan. Tenzij je in hetzelfde land woont dan zou je nog een rechtszaak kunnen beginnen...maar goed wie doet dat voor 100 dollar of minder.
Waarom in hemelsnaam een goed project als kickstarter?
Dezelfde redenen als dat andere organisaties gehackt worden: omdat het kan, financieel gewin (mailadres + wachtwoord dat ook voor PayPal wordt gebruikt = grote kans op winst), etc.
Jammer dat hun de klos zijn, er zijn veel te weinig projecten als kickstarter op deze planeet..
Ik geef nooit geld weg via crowdfunding om vervolgens maar te hopen dat ik er iets voor terug krijg, maar volgens mij zijn er verschillende alternatieven.

[edit]
Uit hun FAQ:
How were passwords encrypted?

Older passwords were uniquely salted and digested with SHA-1 multiple times. More recent passwords are hashed with bcrypt.
Het is handig als Kickstarter ook aangeeft wanneer de overschakeling naar bcrypt is gemaakt en hoeveel iteraties van bcrypt gebruikt worden. Daarmee kunnen slachtoffers een betere risicoanalye maken.

Overigens geldt hierbij het aloude advies: gebruik niet overal op Internet hetzelfde wachtwoord. Een password manager, bijvoorbeeld het open-source Keepass, kan willekeurige wachtwoorden genereren en narigheid door de fouten van anderen voorkomen.

[Reactie gewijzigd door The Zep Man op 16 februari 2014 09:25]

Klopt dat van Paypal en etc begrijp ik. Maar er zijn zoveel bedrijven die alleen aan nu/geld denken, pak dan hun als je iemand wilt pakken. Maar niet een bedrijf dat het met onze toekomst goed voor heeft.
Kan maar zo zijn dat hun kinderen, of die van jou of mij later bij een bedrijf gaat werken dat gefinancierd is door kickstarter.

Maar goed deze hackers zullen hoogst waarschijnlijk geen vrouw of kinderen hebben/krijgen.
Klopt dat van Paypal en etc begrijp ik. Maar er zijn zoveel bedrijven die alleen aan nu/geld denken, pak dan hun als je iemand wilt pakken. Maar niet een bedrijf dat het met onze toekomst goed voor heeft.
Kickstarter, Inc. is een commercieel bedrijf. Commerciele bedrijven hebben 1 doel: winst maken. Of ze daarbij mensen helpen of niet is alleen maar een factor op de kosten-batenanalyse.
Kan maar zo zijn dat hun kinderen, of die van jou of mij later bij een bedrijf gaat werken dat gefinancierd is door kickstarter.
Het kan ook zo zijn dat kinderen nooit aan een baan komen door een bedrijf dat gefinancieerd is door Kickstarter. Kom niet bij mij aan met een think of the children argument.
Maar goed deze hackers zullen hoogst waarschijnlijk geen vrouw of kinderen hebben/krijgen.
Een domme en ongefundeerde aanname dat niets bijdraagt aan de discussie.

[Reactie gewijzigd door The Zep Man op 16 februari 2014 09:20]

Hacken kan voor crimenele doeleinden gedan en gebruikt worden.
Ten eerste maakt het niet uit welk bedrijf gehacked wordt. Voor hun is het imago deuk. Maar de klanten zijn er de dupe van.

PSN of EA of Kickstarter of ... De klant de consument is de zak.

En ik zie het verband niet met hebben van kinderen..

Hoog uit dat zoon ego triper crimi hacker aan zijn kinder pats hoe slim die wel niet is.
Het is handig als Kickstarter ook aangeeft wanneer de overschakeling naar bcrypt is gemaakt en hoeveel iteraties van bcrypt gebruikt worden. Daarmee kunnen slachtoffers een betere risicoanalye maken.
Niet echt, want iteraties, bcrypt en risicoanalyzes zegt het merendeel van de gebruikers geen ene reet. Dat is leuke info voor een techt blog, maar niet voor een waarschuwing aan doorsnee gebruikers.
[...]

Niet echt, want iteraties, bcrypt en risicoanalyzes zegt het merendeel van de gebruikers geen ene reet. Dat is leuke info voor een techt blog, maar niet voor een waarschuwing aan doorsnee gebruikers.
Een tech blog kan het vervolgens analyseren en aangeven in niet-technische taal of het een risico is of niet.
Dan is het ook aan de betreffende blog om die informatie te achterhalen. Het is zeker geen info waar normale gebruikers wat aan hebben, en aangezien we hedentendage toch al overspoeld worden met informatie is het goed om daar selectief mee om te gaan.
Euh, dit soort hackers zijn gewoon criminelen...
Dus het is gewoon slim om een website waar veel gegevens van gebruikers te halen zijn binnen te dringen.
Die lijst kun je verkopen.

Het is geen statement tegen kickstarter ofzo, maar gewoon inbraak.
dus omdat kickstarter in jou ogen een goede zaak is, mag het niet gehacked worden, en een ander bedrijf of instelling met (in jou ogen) mindere doelen mag dat dan wel? Elke hack is verwerpelijk, het maakt volgens mij niet uit of het bij kickstarter gebeurt of bij EA.
Daarom moet men dus ook niet het volledige password opslaan, maar enkel onderdelen ervan zodat het uniek "genoeg" is in combinatie met een username / e-mail adres.

Voorbeeld hoe ik het ongeveer heb ingericht:
mijnwachtwoord + hash bla12345 == 345mijnwacht4woordbla12 -> gebruik hiervan 7 karakters
------------------------
Wachtwoord in is dan bv: wa1iom4.

Vervolgens whirlpool eroverheen en done! Al weet je deze string met een rainbow attack te kraken, het originele wachtwoord is never nooit meer te achterhalen en de users lopen geen gevaar.

Niet uniek genoeg? Dan vergroot je het aantal karakters in bovenstaande voorbeeld.

[Reactie gewijzigd door m4ikel op 16 februari 2014 18:11]

Interessant... Dus jij vervangt een groot stuk van mijn wachtwoord van 20 tekens met een eigen wachtwoord dat je gebruikt voor alle gebruikers en slaat er slechts een paar tekens van op... Ik hoop dat het nergens live staat. :-D

Wel sympathiek dat je mensen die hetzelfde wachtwoord overal gebruiken tegen zichzelf beschermt.
Ik heb de code niet bij de hand. Maar het principe wel. Zolang je met bovenstaande oplossing een minimum lengte van een wachtwoord vereist en enkele onderdelen van het wachtwoord gebruikt dan mag jij mij vertellen wat de kans op een collision is.

(en ja, als je wachtwoord abc hebt, wordt het lastig ;) )

Zoals ik al aangaf, rekening houdend dat er voldoende unieke karakters worden overgehouden.

De vraag is dan ook wat de balans is tussen access control & veiligheid, en ik denk dat juist daar dus de oplossing ligt. Waarom zou je uberhaupt het volledige wachtwoord willen weten?

Vergelijk het maar even met een fietsensloten. Er zijn maar 30.000 type sleutels in de omloop. Wat is de reële kans dat je "net" het juiste slot treft? 1/30.000 toch?

[Reactie gewijzigd door m4ikel op 16 februari 2014 18:25]

Vergelijk het maar even met een fietsensloten. Er zijn maar 30.000 type sleutels in de omloop. Wat is de reële kans dat je "net" het juiste slot treft? 1/30.000 toch?
Dat denkt de naieve fietseigenaar, de echte fietsendief weet echter dat in januari 2012 de politie / overheid een gigantische campagne gehouden heeft over fietssloten en dat er toen massaal fietssloten verkocht zijn en dat er toendertijd er maar 10 sleutels zijn uitgegeven.

Het gaat niet om het totale aantal, het gaat om de verhouding totale aantal / aantal uitgegeven.

Het kan best zijn dat er 29.990 enkel uitgegeven zijn aan extra beveiligde sloten a xxx euro en dat de andere 10 toegepast zijn in alle sloten van xx euro. Dan heb je als fietsendief maar 10 sleutels nodig om >90% van alle fietsen open te maken
Ik ben niet tegen het gebruik van een salt, ook niet tegen het hashen (whirlpool of bcrypt of iets anders waar mensen over hebben nagedacht).

Echter, als jij maar een paar letters van mijn wachtwoord gebruikt heb je gewoon zwakker gemaakt, punt. :-)

Maar nogmaals, ik vind het sympathiek van je i.v.m. mensen die hetzelfde wachtwoord overal gebruiken.
En hoe groot is dat je algoritme op straat ligt indien je database op straat ligt?
En daarom heb ik voor elke online dienst een uniek wachtwoord.

Je ziet ook overal de trend dat je e-mail adres ook direct je username is. Bijzonder handig, maar brengt ook een extra risico met zich mee als je wachtwoord achterhaald wordt en je overal hetzelfde wachtwoord hebt gebruikt.
Je zou dan ook overal een uniek emailadres kunnen gebruiken.
Verstandig om te vertellen hoe je je wachtwoorden versleuteld!
Daar kan je zo achter komen hoor?

Anyway, niet zo'n big deal als je het mij vraagt.
Ze hebben ze goed ge-encrypt dus mensen die gehackt worden hadden maar een beter wachtwoord moeten bedenken.
Helemaal mee eens. Jammer genoeg is dat zo moeilijk te verkopen; het is voor de gemiddelde pipo niet genoeg om te zeggen 'het is zo', dat moet je in drievoud onderbouwen en dat is in dit geval een behoorlijk technisch 'ene oor in, andere weer uit' verhaal. Tot die tijd is het een computerding en computerdingen zijn het probleem van techneuten, niet van meneer pipo.

Je kunt je wel bedenken dat voor kickstarter betere wachtwoorden afgedwongen dienen te worden na dit voorval.
Maar je maakt het de hackers nóg een stukje makkelijker! :) Er zijn enorm veel encryptiestandaarden en je kunt ze allemaal door elkaar gebruiken! Om dan je hackers te vertellen dat je een aantal keer SHA1 gebruikt, encrypt je rainbow tables een paar keer en je hebt het in een kwartiertje achterhaald...
eindelijk worden er eens wachtwoorden gehackt die wel goed beveiligd zijn. Ik betwijfel of de wachtwoorden te achterhalen zijn, maar het is natuurlijk verstandig om jezelf in te dekken.
Gelukkig was Kickstarter net een website waar ik een ander wachtwoord gebruikte dan op de meeste andere van mijn accounts.
law enforcement officials contacted Kickstarter and alerted us that hackers had sought and gained unauthorized access to some of our customers' data.
Dit is wat ik nog t meest wazig aan de email vond. Waarom en in welke situatie zouden law enforcement officials Kickstarter op de hoogte brengen van deze hack?

Sterker nog Kickstarter heeft t zelf niet eens doorgehad, wat impliceert dat de hack al eerder heeft plaatsgevonden.

Wellicht waren de hackers op zoek naar gegevens van project owners om geld te stelen van uitgekeerde (succesvolle) projecten.
Waarom moet ik dit op Tweakers lezen en krijg ik geen mail?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True