Maker van antidiefstal-app voor Android meldt database-hack

Hackers zijn erin geslaagd om toegang te krijgen tot de database van de Android-beveiligingsapp Cerberus. De aanvallers hebben echter alleen toegang weten te krijgen tot gebruikersnamen en versleutelde wachtwoorden. Het gaat om 96.564 accounts.

Het bedrijf achter de antidiefstall-app Cerberus, LSDroid, laat in een e-mail aan alle getroffen gebruikers weten dat ze een ander wachtwoord moeten kiezen, ondanks dat de wachtwoorden versleuteld waren. De dienst gebruikte SHA-1 voor de versleuteling en de hashes zijn enkele keren gesalt. LSDroid verklaart nu binnenkort te migreren naar bcrypt. Gebruikers kunnen hun wachtwoord herstellen via de officiële website van de app. De hackers hebben geen toegang weten te krijgen tot persoonlijke data als toestelinformatie en e-mailadressen, claimt LSDroid.

Op Google+ geeft het bedrijf wat meer informatie over het incident. In totaal zijn van 96.564 accounts de gegevens gestolen, en deze accounthouders verplicht LSDroid dan ook om de wachtwoorden te veranderen na een reset. De aanvallers hebben op drie accounts daadwerkelijk ingelogd en bij deze accounts heeft LSDroid alle activiteit geblokkeerd. Voor zover bekend hebben de verantwoordelijken de gestolen data niet openbaar gemaakt.

Reacties (46)

Rossi 27 maart 2014 12:08

Het is wel pijnlijk. Het gaat hier om een beveiligingsapp, daar telt security minstens 2x zo zwaar.
En het is ook niet de eerste keer dat deze app in opspraak raakt. Zo was er al een keer eerder een exploit mogelijk waardoor je op andere accounts kon inloggen:
http://www.ifc0nfig.com/c...oit-accessing-any-device/

Ik gebruik deze app wel en moet zeggen dat het vertrouwen in de app een flinke knauw heeft gekregen.

M4x 27 maart 2014 13:48

Goede services van Cerberus wel, ondanks de hack is het dus in principe niet gelukt om daadwerkelijk op accounts in te loggen (behalve die 3 dus), en de wachtwoorden liggen ook niet op straat doordat ze goed beveiligd waren (desondanks ga ik wel plekken waar ik zelfde wachtwoord gebruikte toch ook maar aanpassen).

Er worden nou eenmaal pogingen gedaan om te hacken, en die lukken ook regelmatig, dat er in dit geval eigenlijk geen zware consequenties aan hebben gezeten spreekt alleen maar voor Cerberus (kan LinkedIn nog wat van leren). De communicatie is ook goed, ik heb een mail gehad die duidelijk uitlegde wat te doen. Enige wat ik niet handig vond was dat de link zelf al de URL bevatte voor password-reset, als je iets leert van banken-spam is het dat je dergelijke links niet moet aanklikken

MurtnR 27 maart 2014 11:43

Ik maak gebruik van deze dienst. Na her verkrijgen van de email waarin werd gemeld dat ik me wachtwoord moest wijzigen, heb ik me wel paar keer achter mn oor gekrabd. Her set je toch aan het denken of je het blijft gebruiken. Overigens wel goed dat ze het netjes aangeven

gimbal @MurtnR • 27 maart 2014 11:53

Het was beter geweest als het wachtwoord al voor je gereset was met een tijdelijk gegenereerd wachtwoord en dat je dan verplicht wordt om zelf weer een nieuw wachtwoord in te vullen om eerlijk te zijn. In mijn mening gaat men een beetje te laks om met dit soort inbraken. Het is op dat moment niet meer op eigen risico van de gebruiker om het wel of niet te doen - preventief ingrijpen in plaats van afwachten.

Bij een "antidiefstal" app vind ik dat nog eens dubbel zo zwaar tellen

thefal @gimbal • 27 maart 2014 14:39

Waarom had dat beter geweest? Ik vind de manier die ze nu hebben gedaan beter:

je kan NIET meer inloggen met je oude wachtwoord
VERPLICHT een wachtwoord reset aanvragen.

Hoezo is dat beter dan een gegenereerd wachtwoord genereren die op een of andere manier naar jou verstuurd moet worden (sms/mail)? Dat lijkt me alleen maar onveiliger omdat iemand theoretisch dat wachtwoord kan onderscheppen.

Sorcerer8472 27 maart 2014 11:19

Ik ben benieuwd hoeveel Tweakers naar aanleiding hiervan gaan opzeggen, of juist klant blijven vanwege dat het eigenlijk toch iedereen kan gebeuren + de openheid.

Anoniem: 120693 @Sorcerer8472 • 27 maart 2014 11:24

Het kan niet iedereen gebeuren. Een afdoende beveiliging is nog altijd mogelijk en voor een bedrijf dat beveiligings producten aanbied zou dat vanzelfsprekend moeten zijn. Ze zijn gehacked en er is met die data ingelogd. Dus beveiliging van server en van gebruikersdata was onvoldoende.

Dat ze dat snel openbaar maakte is niet meer dan normaal, zeker geen compliment waard. Dat anderen dat niet altijd doen is niet normaal en wel een negatief commentaar waardig.

Anoniem: 442208 @Anoniem: 120693 • 27 maart 2014 12:09

Helemaal mee eens, en ik begrijp niet waarom iedereen zo positief is over de berichtgeving. Als ik dit lees dan denk ik:
hack is ontdekt op 21 maart, maar wordt pas gemeld aan het publiek op 26 maart (wat is hier nou snel aan?). Waarom wordt het gemeld, omdat er al drie keer (minimaal) een account is gehacked (ik vraag me dan af; hoe kom je hier achter? Of is dat omdat er al drie mensen geklaagd hebben over gehackte accounts?). Wat is er gehacked: een log file welke username en (salted) hashed password logged (WTF) => Onze database is nooit gehacked, maar gelukkig loggen we de gebruikte usernames/passwords in een andere file....... Mooi wark jongens

Frankster @Anoniem: 442208 • 27 maart 2014 12:59

Binnen 5 dagen? Lijkt me redelijk rap! Zie bijvoorbeeld:

https://www.security.nl/p...den+van+ernstig+Flash-lek
nieuws: 'Microsoft al maanden geleden geïnformeerd over lekken'

Sorcerer8472 @Anoniem: 442208 • 27 maart 2014 13:22

Ik kan me voorstellen dat je iets ontdekt en dan nog even nodig hebt om te kijken wat de impact precies is zodat je geen vals alarm slaat. Je wil ook geen chaotische paniekindruk maken op het moment dat je nog geen 100% overzicht hebt, maar je wil wel snel, tijdig en correct alarmeren als dat kan. Daarnaast is het dichten van het gat ook wel heel belangrijk en kan het slim zijn om dat eerst te doen voordat je je klanten inlicht (ook in het belang van diezelfde klanten).

Daarnaast kan het in de VS wellicht aanvullend nog belangrijk zijn dat hun uitingen aan bepaalde juridische criteria voldoen zodat ze niet door eoa gek kunnen worden aangeklaagd tot ze half failliet zijn.

Kortom, je weet pas echt of het langzaam is als je de exacte situatie, impact etc kent. 5 dagen is niet per se heel lang.

Sorcerer8472 @Anoniem: 120693 • 27 maart 2014 11:27

Helemaal mee eens, maar ik ben vooral benieuwd naar gebruikersgedrag n.a.v. dit soort meldingen.

kiang

@Sorcerer8472 • 27 maart 2014 12:33

Ik blijf Cerberus gewoon gebruiken. Wachtwoord aangepast, en gewoon evrder doen. het is veruit de beste app om je toestel te beveiligen.

Dit is namelijk software gericht tegen ordinaire telefoondieven. 99,999% daarvan heeft helemaal geen idee van hoe ze mijn cerberus wachtwoord te pakken moeten krijgen. Laat staan dat de meesten al maar weten wat Cerberus is.

En voor de hackers: die hebben mogelijks een hash gestolen van mijn, nu gewijzigde, unieke wachtwoord. Bij mij persoonlijk kunnen ze zelfs als ze al mijn wachtwoord kunnen achterhalen uit die hash, er geen andere van mijn accounts mee gebruiken.

Nee, dit soort inbraken zou niet mogen gebeuren, maar laten we dit ook niet buiten proportie blazen: Cerberus heeft onmiddellijk en duidelijk gecommuniceerd.

[Reactie gewijzigd door kiang op 23 juli 2024 03:36]

i-chat @Anoniem: 120693 • 27 maart 2014 14:46

er zijn altijd betere 'hackers' dan jij, en er zullen er altijd betere zijn dan jij... regel 1 in elk redlijk beveiligings leerboek. er is werkelijk maar persoon op de hele wereld voor wie dit niet geld en zelfs dan zou het mogelijk kunnen zijn dat de nr 2 hem een keer aftroeft kortom fouten zul je altijd maken, veiligheid hangt dan ook niet af van de foutloosheid maar van de manier waarop je daar mee omspringt.

robvanwijk @Anoniem: 120693 • 27 maart 2014 16:48

Een afdoende beveiliging is nog altijd mogelijk en voor een bedrijf dat beveiligings producten aanbied zou dat vanzelfsprekend moeten zijn.

Als dat zo zou zijn, dan mag ik toch aannemen dat een "afdoende beveiliging" ook wel mogelijk moet zijn voor een ministerie dat over beveiliging gaat...? Niet dus; iedereen kan gehacked worden. In de perfecte wereld zou je gelijk hebben (alhoewel, daar bestaan geen hackers natuurlijk), maar in de praktijk ben je volkomen onrealistisch.

M-Opensource 27 maart 2014 11:09

Heel blij dat dit snel gemeld wordt, ik heb gelijk m'n wachtwoorden veranderd. Helaas zijn er nog bedrijven die dit soort incidenten zo lang mogelijk stil houden. Hacks als dit kunnen nu eenmaal gebeuren, je kan het immers niet 100% veilig maken als je je service via het internet aanbiedt, maar wees in godsnaam snel met het melden van eventuele inbraken

Wat mij betreft kudo's voor LSDroid!

ManDeJan 27 maart 2014 11:09

Goed dat een bedrijf hier zelf mee komt

ikt 27 maart 2014 11:23

Gisteravond op Reddit gelezen, paniekerig gereageerd, maar een paar minuten daarna werd de officiële statement op Google+ gezet en heeft het bedrijfje weer mijn vertrouwen gewonnen. Terugflashen dan maar.

Tegenwoordig zijn zulke bedrijven qua nieuwsgeving minder oprecht, voor hetzelfde geld hadden ze het kunnen negeren en stilletjes het weggemoffeld - er zouden toch geen gevolgen komen.

Prima reactie van LSDroid.

stevennekens 27 maart 2014 11:29

Gisteren mail gehad en direct wachtwoord veranderd. Een kwalijke zaak wel, want dit app'je kan, afhankelijk van de rechten die je het geeft (maar die zijn geloof ik ook via de website in te stellen), best wel wat doen met je smartphone. Volledig wissen, de gps ongemerkt opzetten en zo de gebruiker tracken... Leuk als je eigen smartphone gestolen wordt en je dat zelf wil doen maar minder interessant wanneer iemand dat ongemerkt kan doen met jouw telefoon uiteraard.

keranoz

27 maart 2014 11:06

In iedergeval goed dat ze het zelf melden en het niet in de doofpot stoppen. Gelukkig waren de wachtwoorden goed versleuteld. Ik gebruik de dienst zelf niet trouwens.

Edit: mn eerste fipo!

[Reactie gewijzigd door keranoz op 23 juli 2024 03:36]

SaiKoTiK @keranoz • 27 maart 2014 11:15

"De aanvallers hebben op drie accounts daadwerkelijk ingelogd".
Hoe kan dit dan, als de wachtwoorden effectief goed versleuteld waren?

lordfragger @SaiKoTiK • 27 maart 2014 11:21

Een wachtwoord mag zo goed versleuteld zijn als mogelijk is, als het een zwak wachtwoord is heb je het via dictionary attacks nog zo te pakken.

eL-Prova @lordfragger • 27 maart 2014 11:56

Hiervoor dien je toch nog wel een goede salt te hebben om te weten wat voor encryptie er is gebruikt toch?

Stel ik heb wel de hash van wachtwoord: "test" dien ik toch ook te weten hoe er gesalt wordt.
Maar kan natuurlijk zijn dat 3 accounts zijn binnengekomen met een aantal standaard wachtwoord gewoon hebben gebrutforced.
Ze hadden dan immers de gebruikersnaam..

lordfragger @eL-Prova • 27 maart 2014 12:58

De meest logische (en eenvoudige) verklaring is uiteraard dat ze de gebruikersnamen (die uiteraard niet versleuteld waren) gebruikt hebben om enkele veelgebruikte paswoorden te proberen. Om tussen bijna 100 000 gebruikers er 3 te vinden met een veel voorkomend paswoord lijkt me niet zo uitzonderlijk.

elpino.rv @eL-Prova • 27 maart 2014 12:03

Volgens mij hebben ze zo gewerkt, het wachtwoord 'welcome' en '12345' wordt bv. het meeste gebruikt door mensen. Als ze dezelfde salt hebben toegepast op ALLE gebruikers, dan kan je de database dus gaan zoeken naar dezelfde gehashte wachtwoorden. De meest voorkomende hash zijn van mensen die 'welcome' of '12345' hebben gebruikt en je kunt met hun username en dit password dus inloggen.

P_Tingen @elpino.rv • 27 maart 2014 12:18

Het zou dus eigenlijk al een misser zijn om voor alle gebruikers dezelfde salt toe te passen. In die zin heeft Cerberus zijn zaken dus NIET goed op orde.

mcDavid @P_Tingen • 27 maart 2014 13:58

Dat is het ook. Je gebruikt altijd voor ieder password een unieke, random salt.
Oh en je gebruikt geen SHA-1 om passwords te hashen. SHA-1 is een zeer snelle hashfunctie, waardoor dictionary attacks aanzienlijk makkelijker zijn dan met het tragere BCrypt.

Er staat in het artikel dat de hashes meerdere keren gesalt zijn. Ik neem aan dat dit een schrijffout is en dat ze "meerdere keren gehashed" bedoelen. Dan is dat in ieder geval één ding wat ze goed gedaan hebben, want hierdoor wordt de workload hoger, wat enigszins compenseert voor de misser van het gebruiken van een snelle hashfunctie.

BasieP @mcDavid • 27 maart 2014 20:16

Zowel meerdere keren hashen als meerdere keren salten is rechtstreekse onzin.

Hashes worden doorgaans niet gekraakt door te rekenen, maar door te zoeken in rainbow tables.
Hoe vaak en wat voor hash je dan hebt maakt weinig uit, als je weet welke hash algoritme's er gebruikt zijn kun je een rainbow table bouwen/downloaden.

Over dat meerder keren salten: dat is net zo nutteloos. Het gaat er om dat elke gebruiker zijn eigen unieke salt heeft. Hoe vaak je salt is dan onzin.

Met cerberus eens dus.
Verder door elke gebruiker een eigen salt te geven maak je het gebruik van rainbowtables onmogelijk

lees dit artikel is:
https://crackstation.net/hashing-security.htm

[Reactie gewijzigd door BasieP op 23 juli 2024 03:36]

mcDavid @BasieP • 28 maart 2014 10:34

Sorry maar je opvattingen zijn redelijk ouderwets. Wachtwoordhashes kraken dmv bruteforce is aan de orde van de dag. Met een beetje consumentenhardware en GPU-driven hashgenerators, maak je al gauw miljoenen SHA-1 hashes per seconde. Met zulke getallen heb je rainbow-tables helemaal niet nodig.

Het enige wat je kunt doen om je hiertegen te wapenen is een tráág hash-algoritme gebruiken, zoals bijvoorbeeld Bcrypt (waarbij de workload instelbaar is). Een SHA-1 hash een paar duizend keer uitvoeren om de workload te verhogen, zou je ook als "poor mans" oplossing kunnen beschouwen, maar SHA-1 is van begin af aan ontworpen op snelheid, en daarmee dus per definitie ongeschikt voor password-hashes.

Oh en daarnaast natuurlijk sterke (LANGE!!) wachtwoorden gebruiken. Hoe langer je wachtwoord, hoe moeilijker te bruteforcen.

Om je kennis wat aan te vullen misschien even dit artikel lezen:
http://www.bentasker.co.u...your-passwords-are-stored

-edit- Overigens wordt bij Bcrypt de (random gegenereerde) salt in de hash zelf opgenomen, de hash is dus zijn eigen salt.

[Reactie gewijzigd door mcDavid op 23 juli 2024 03:36]

Cerberus_tm

@mcDavid • 27 maart 2014 19:18

Dat maakt niet uit: de zouten zelf moeten in de databank staan, ook als je per gebruiker een ander zout gebruikt. Zouten zijn niet geheim. Het resultaat van een apart zout per gebruiker is dat twee gebruikers met hetzelfde wachtwoord toch een verschillende wachtwoord-hash krijgen (hoe kan ik dat vertalen, haché?); dan kun je dus aan de hash niet zien dat twee gebruikers hetzelfde wachtwoord hebben. Om erachter te komen moet je opnieuw heleboel wachtwoorden gaan gebruiken voor die tweede hash. Dat kost rekenkracht, dus zo vertraag je de krakers.

Yabada @SaiKoTiK • 27 maart 2014 12:05

Erg positief dat het bedrijf proactief is met het tijdig informeren van de gebruikers.

Maar, het feit dat er 'maar' drie accounts gebruik werden door hackers mag niet worden genegeerd. Of hun gebruikte encryptie is niet goed genoeg en/of het bedrijf staat het gebruik van zwakke wachtwoorden toe. Dat ze pas nu bcrypt gaan implementeren is mosterd na de maaltijd, want die encryptie technologie bestaat jaren en veel beter dan bestaande encryptie, omdat het rekening houdt met de brute snelheid waarmee bestaande goedkope hardware, zeer complexe wachtwoorden kan kraken. En zelfs als ze dat implementeren hoop ik dat ze geen zwakke wachtwoorden toestaan om mee in te loggen.

sschalkwijk @SaiKoTiK • 27 maart 2014 15:07

Kan meerdere redenen hebben. Voornamelijk de zwakke SHA-1 hash algoritme, die door zijn snelheid makkelijker te decrypten is. Daarnaast staat de salt opgeslagen in de database waardoor de hackers deze konden gebruiken tijdens het decrypten. Wanneer je van een of een paar specifieke gebruikers de wachtwoorden wilt decrypten is dat nog redelijk snel gedaan.

De goede versleuteling zorgt er echter wil voor dat de hackers vermoedelijk elke gebruiker zijn wachtwoord apart moeten decrypten. Hierdoor zijn de meeste gebruikers veilig.
Zoals hieronder inmiddels al gemeld was het gebruik van een bcrypt effectiever aangezien dit algorimte een stuk trager is dan de SHA-1 hash.
Tot slot hadden ze de discutabele "pepper" kunnen gebruiken naast de salt. In dit geval had, dat de encryptie wel degelijk beter gemaakt aangezien de hackers voor zover duidelijk echter toegang hadden tot de database.

Al met al is encryptie voornamelijk een zaak van hoe moeilijk wil je het de hackers maken, want alles is te kraken. De lange tijd die nodig is voor het decrypten maakt een beveiliging sterk.

Anoniem: 189749 @SaiKoTiK • 27 maart 2014 11:17

Waren goed versleuteld maar blijkbaar niet goed genoeg.

Kontsnorretje @Anoniem: 189749 • 27 maart 2014 11:25

Tsja, of de wachtwoorden waren gewoon te simpel. Ik heb ook wel eens 'perongeluk' in een account van iemand anders ingelogd, door het wachtwoord 12345678 (of iets dergelijks) te proberen.
Als er maar op 3 accounts ingelogd is vermoed ik eerder dat de wachtwoorden te eenvoudig waren, dan dat de versleuteling niet goed is.

kiang

@Kontsnorretje • 27 maart 2014 12:31

Inderdaad: gewoon een woordenlijst van veel voorkomende wachtwoorden gebruiken, en van elke wachtwoord de SHA1 hash nemen. Deze dan vergelijken met de gestolen wachtwoorden, en PAF! Als je een match hebt van de hashes, weet je het wachwoord.

Ik vermoed dat dit is wat ze gedaan hebben, en dat er 3 accounts waren met een zwak (=voorkomend op de lijst) wachtwoord.

SlaadjeBla

@kiang • 27 maart 2014 13:10

Inderdaad: gewoon een woordenlijst van veel voorkomende wachtwoorden gebruiken, en van elke wachtwoord de SHA1 hash nemen

Dat is onmogelijk als de hash gesalt is.

De dienst gebruikte SHA-1 voor de versleuteling en de hashes zijn enkele keren gesalt

Cerberus_tm

@SlaadjeBla • 27 maart 2014 19:15

Normaliter is het zout opgeslagen samen met de databank. Het doel van een zoutje is niet om dat geheim te houden, het is geen extra wachtwoord: het doel is alléén het onmogelijk maken van regenboogtabellen die voor verschillende databanken tegelijk werken.

indigo79 @SlaadjeBla • 27 maart 2014 13:42

Tenzij je de salting procedure kent. Je kan in dat geval niet meer vergelijken op basis van de hashes die je vindt, maar nikt houd je dan tegen om van een lijst veelvoorkomende wachtwoorden de correcte SHA1 som te berekenen.

Waarschijnlijk zaten er tussen die 95k wachtwoorden wel een paar die gelijk zijn aan de username. Drie misschien. ;-)

defixje @kiang • 27 maart 2014 13:34

Er is een SALT gebruikt. Dus wat jij roept kan helemaal niet.

edit: SlaadjeBla was me voor zie ik.

[Reactie gewijzigd door defixje op 23 juli 2024 03:36]

kiang

@defixje • 27 maart 2014 18:39

Tenzij de salting methode gelekt is natuurlijk.

Er moet ofwel een security flaw zijn, of een iets zoals de sleutel of de salt methode is gelekt.

keranoz

@Kontsnorretje • 27 maart 2014 12:27

Het waren waarschijnlijk gewoon simpele wachtwoorden gepakt met een dictionary attack.

THA_ErAsEr @Anoniem: 189749 • 28 maart 2014 08:33

Als men van 3 accounts het wachtwoord heeft kan men dan zo niet de salts bereken en mogelijk alle andere wachtwoorden decrypte?

Isotope5004 @SaiKoTiK • 27 maart 2014 17:39

Op drie accounts maar? Mijn wachtwoord was niet correct toen ik probeerde in te loggen, heb hem direct maar gewijzigd en kon toen wel inloggen. Misschien was ik wel een van de 'lucky' drie

dylan111111 @keranoz • 27 maart 2014 11:08

idd, snel maar mijn wachtwoord herstellen dan maar

Cerberus_tm

@dylan111111 • 27 maart 2014 19:13

Ik wil mezelf niet ontraden, maar Cerberus beveelt Android Lost aan: is gratis en heeft volgens mij meer mogelijkheden.
https://play.google.com/s...etails?id=com.androidlost

C-dude 27 maart 2014 11:12

Voorlopig geen mail gehad, maar toch ter voorzorg het wachtwoord aangepast.

Op dit item kan niet meer gereageerd worden.

Maker van antidiefstal-app voor Android meldt database-hack

Lees meer

Reacties (46)

Sorteer op:

Weergave: