Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties
Submitter: WhatsappHack

Het forum van Avast, een bedrijf dat antivirussoftware ontwikkelt, is offline gehaald nadat onbekenden het forum wisten te kraken. Daarbij is gebruikersdata buitgemaakt. Mogelijk heeft het bedrijf gebruikgemaakt van verouderde forumsoftware.

Avast! Antivirus 5.0 logo (75 pix)Avast meldt dat de aanvallers afgelopen weekend gebruikersnamen, aliassen, e-mailadressen en hashed wachtwoorden buit hebben gemaakt. Er zouden geen financiële gegevens zijn gestolen. Ondanks dat de wachtwoorden versleuteld waren, is het niet onmogelijk voor hackers om deze te ontsleutelen. Avast raadt forumgebruikers daarom aan om wachtwoorden te veranderen als deze ook op andere websites gebruikt worden.

In totaal zouden de gegevens van circa 400.000 personen zijn buitgemaakt. Onduidelijk is nog hoe hackers het Avast-forum hebben kunnen kraken. Mogelijk gaat het om verouderde forumsoftware. Avast heeft aangegeven naar een 'ander softwareplatform' over te stappen dat veiliger en sneller zou zijn. Pas als deze stap is gezet zal het forum weer worden geopend. Verder stelt de fabrikant van antivirussoftware dat het om een geïsoleerd incident gaat en biedt het bedrijf zijn excuses aan.

Moderatie-faq Wijzig weergave

Reacties (58)

Ze zijn al sinds 24 mei offline, althans 23 mei is de laatst bruikbare snapshot gemaakt. Het gaat trouwens om de volgende forumsoftware: Simple Machines. Nu ben ik toch wel benieuwd welke versie ze hadden draaien. Op het Avast forum staat © 2012 terwijl de huidige software op het Simple Machines forum voorzien is van © 2013. Nu zegt een gedateerd copyrightlogo niet heel veel maar in combinatie met deze hack sluit ik het niet uit dat ze belangrijke updates niet hebben doorgevoerd.

Update: Laatst bekende exploit dateert trouwens ook uit 2012: link

In december 2012 hebben ze nog een beveiligingsupdate uitgebracht voor een exploit in 2.0.2, waarschijnlijk hebben ze die gemist.

[Reactie gewijzigd door nanoChip op 27 mei 2014 13:19]

Klopt als een bus, en die (c) 2013 in de huidige versie was zelfs nog een foutje omdat met 2.0.7 door de devs was vergeten die string te updaten. SMF 2.0.7 zou namelijk uitgebracht worden in December 2013 om PHP 5.5 support naar de 2.x lijn te brengen; maar is uiteindelijk pas uitgebracht in Februari 2014. En claimt daardoor inderdaad nog 2013. :P

Voor zover ik heb gehoord komt 2.0.8, een versie die compatibiliteit met PHP 5.5 beter maakt (geen security fix dus ;)), binnenkort zelfs uit. Mogelijk deze week nog. Dan zou Avast intussen al ruim zo'n 6 a 7 releases achter hebben gelopen. :( En dat terwijl er kritieke updates zijn uitgebracht. Dat is toch bizar :|

In Oktober 2013 is er nog gewaarschuwd dat er ook een security lek mogelijk was in SMF 2.0.5, en 2.0.5 loste een security probleem op in 2.0.4. Om de exploits te benutten had je wel reeds admin rechten nodig, maar het was toch een probleem.

De laatste versie die nog 2012 claimde, was SMF 2.0.4. (-edit- Nope, was 2.0.3. Edit onderaan gemaakt.)
Daarop werd dus 2.0.5 enkele maanden later uitgebracht als beveiligingfix, daarna 2.0.6 als beveiligingfix, en 2.0.7 is gewoon een "new feature" versie. (Wat 2.0.8 ook zal zijn, als die inderdaad komt.)
Vanaf hier gezien is het *nieuwste* wat Avast dus kon draaien SMF 2.0.4. Zeker 3 releases achterlopend op de huidige versie. (En SMF staat nou niet bepaald bekend om hun super snelle release cycles oid... Daar zitten meestal maaaanden tijd tussen tenzij er echt haast achter zit ivm problemen.)

Dat houdt in dat ze *MINSTENS* 1 jaar en 3 maanden hun forum software niet geupdate hebben, ondanks alle waarschuwingen. (Immers is 2.0.4 het nieuwste wat ze kunnen draaien dat nog 2012 claimt. Het kan ook nog terug gaan naar SMF 2.0.2...)
Best bizar, voor een beveiligingsbedrijf. :) Zeker gezien het updaten van SMF zo extreem simpel is... 2 klikjes in het admin paneel en het is klaar, zonder downtime en zonder aanpassingen of thema's te verwijderen. Geen gelazer met FTP, etc. :P

De laatst bekende CVE dateert trouwens inderdaad uit 2012. Maar er worden volgens mij ook wel eens security fixes released zonder dat deze eerst door een derde partij door de CVE molen zijn gehaald.
Echter hadden al die exploitables reeds admin toegang nodig tot het forum, remote is er helemaal niets mogelijk in geen enkele versie boven SMF 2.0.3 als je zo de geschiedenis bekijkt. :/

Ben echt heel erg benieuwd welke versie Avast nou had draaien, maar het is wel erg duidelijk dat het al een paar versies achterliep... En dus security updates mist.


-EDIT-
Correctie. Nog even opgezocht. SMF 2.0.4 claimde wel 2013.
Dat houdt in dat ze inderdaad op 2.0.2 of 2.0.3 moeten hebben gezeten en minstens anderhalf tot 2 jaar niet geupdate hebben. :( Heel erg bizar.
(-edit2- Waarom kijkt die : ( smiley hier toch zo super boos :P)

[Reactie gewijzigd door WhatsappHack op 27 mei 2014 14:46]

Het blijft als internetter toch moeilijk, en wordt vrijwel onmogelijk. om op tientallen sites geregistreerd te staan, en overal verschillende wachtwoorden voor nodig te hebben, en regelmatig te veranderen.

Voor mijzelf helpt het om een systeem te maken met aparte wachtwoorden te maken voor
  • Bank(en)
  • Paypall
  • Creditcard
  • Email
  • Digi-D
En een paar standaard wachtwoorden te gebruiken voor.
  • Niveau1: Sociale media, frequent gebruikte webwinkels.
  • Niveau2: websites met enige prive gegevens,
  • Niveau3: overige websites
Alternatief is om software te gebruiken om wachtwoorden te beheren, dat zorgt vooral op kleinere, zwakkere en minder belangrijke websites voor gemak, en minder risico. Maar tegelijk ook voor grotere impact, op je gehele zijn als er iets misgaat met die software.

[Reactie gewijzigd door 3x3 op 27 mei 2014 12:31]

Daarom bestaan er online/offline password-managers.
Het is zeker de moeite om eens te kijken naar KeePass in combinatie met een YubiKey.

KeePass heeft plugins voor integratie met IE, Chrome en Firefox

http://keepass.info/help/kb/yubikey.html

Dit met OTP lijkt me opzich een betaalbaar en veilig mechanisme.

[Reactie gewijzigd door Mikke8 op 27 mei 2014 12:47]

En het wachten is zeker tot een van deze diensten gehacked wordt. Daarnaast is het natuurlijk een ideaal platform om in mee te kijken door onze overheid of een andere overheid die daar interesse in heeft.
En het wachten is zeker tot een van deze diensten gehacked wordt. Daarnaast is het natuurlijk een ideaal platform om in mee te kijken door onze overheid of een andere overheid die daar interesse in heeft.
Heb je eigenlijk wel gekeken daar? Keepass draait volledig offline dus ook al worden ze gehacked, dan zit er nog steeds AES256 op je lokale database. Hacken is dus geen probleem. Het enige wat je zou kunnen zeggen is dat ze bewust lekken in de encryptie kunnen laten zitten.
Ken me nog iets herinneren met een backdoor in RSA ;) Het is dus degelijk wel een probleem, maar afhankelijk van hoe veilig je je wachtwoorden wilt hebben kan je ze het beste opschrijven in een kladblok op je bureau :+
Keylogger op je PC en je bent gezien.

En het RSA algoritme is (nog) niet (publiekelijk) gekraakt.
Hier wordt uitgelegd wat er precies mis was:
http://www.youtube.com/watch?v=ulg_AHBOIQU

[Reactie gewijzigd door Mikke8 op 27 mei 2014 13:09]

Tjah ze zouden inderdaad een backdoor geinstalleerd kunnen hebben in de software van Keepass en soortgelijken. Maar op een gegeven moment moet je je afvragen waar de balans ligt.

-Kladblok opslaan is gevoelig omdat met screencapture het afgevangen kan worden.
- In je Browser opslaan is gewoon niet handig omdat het onbeveiligd is
- Op paper schrijven is niet handig omdat het niet makkelijk mee te nemen is.
- Neem je het wel mee dan is het extreem onbeveiligd.
- Keepass kun je wachtwoorden laten intypen zonder dat het afgevangen kan worden door een keylogger en zijn onzichtbaar tenzij je het wilt editten.
- Mobiel en beveiligd via Dropbox.

Nogmaals, je loopt altijd risico's en niks is volledig veilig. Maar op een gegeven moment moet je toch wat ;)
KeePass is een open-source applicatie dat je lokaal draait. De OTP authentication is een open standaard (RFC 4226).

Ik verwacht dat het hele encryptie gedoe toch wel een redelijke wiskundige onderbouwing heeft en niet zomaar te kraken valt.

[Reactie gewijzigd door Mikke8 op 27 mei 2014 13:01]

Precies!

En omdat dan het niet meer uitmaakt of je een moeilijk, makkelijk, kort of lang password gebruikt, kan je alles kiezen wat je wil!

Ikzelf zoek per site op wat de maximale lengte van het wachtwoord is, stel dat in op www.strongpasswordgenerator.com en druk een aantal keer op generate (om te voorkomen dat iemand kan achterhalen welk wachtwoord in de serie ik gebruikt heb ;-) ).

Dan heb je per site een wachtwoord dat zo complex is als de site ondersteunt. Maakt je in ieder geval weer wat minder kwetsbaar...
Als je dat iets veiliger wilt doen kun je ook Keepass installeren, die heeft een aanpasbare keygenerator. Daar zou je dan ook al je keys in kunnen opslaan natuurlijk :P, maar als je dat niet wilt heb je in ieder geval offline aangemaakte passworden :).
Ik vertrouw online password generators/testers/opslag toepassingen totaal niet. Kun je duizend keer tegen me zeggen dat ze alleen lokaal met je wachtwoord werken, ik blijf paranoļde :)
Geef mij maar KeePassX
Daarom bestaan er online/offline password-managers.
Die hebben wel nadelen:
In zijn algemeenheid:
Je kent je eigen wachtwoorden niet.

Bij een offline manager:
-gebrek aan synchronisatie over meerdere apparaten.
-Software of systeem afhankelijkheid, bij gebrekkige back-up meer risico.

Bij een online manager:
-Veiligheids risico's die impact hebben op al je wachtwoorden.

[Reactie gewijzigd door 3x3 op 27 mei 2014 12:40]

[...]

Die hebben wel nadelen:
In zijn algemeenheid:
Je kent je eigen wachtwoorden niet.

Bij een offline manager:
-gebrek aan synchronisatie over meerdere apparaten.
-Software of systeem afhankelijkheid, bij gebrekkige back-up meer risico.

Bij een online manager:
-Veiligheids risico's die impact hebben op al je wachtwoorden.
Synchronisatie kan gewoon via dropbox of iets dergelijks natuurlijk, de database zelf is voldoende veilig met een goed wachtwoord. Ik heb Keepass op m'n Windows en Linux installatie en op m'n telefoon en heb er nooit problemen mee. Het feit dat je je eigen wachtwoorden niet kent maakt dan natuurlijk helemaal niks meer uit.

Het enige nadeeltje is als je op een vreemde (maar wel betrouwbare) pc zou moeten werken en je telefoon die database moet openen en dan eerst een lang wachtwoord moet invullen en daarna ook nog eens een gegenereerd wachtwoord moet overtypen. Maar dat is het 't zeker waard. Voor dingen die ik nog wel eens handmatig moet intypen kies ik dan iets dat net iets simpeler is dan 20 random characters.
De veiligste manier (in mijn ogen)

1) Verzin een compleet absurde zin. Bijvoorbeeld:

Het paard vloog over de Eiffeltoren met 1 cornetto

2) Neem dan van ieder woord de eerste letter, inclusief hoofdletter gebruik

HpvodEm1c

3) Plaats daarachter een afkorting van de website waarvoor je het wachtwoord maakt. Bij tweakers zou dat bijvoorbeeld T.net kunnen zijn
HpvodEm1cT.net

4) Als je nog verder wilt gaat kun je hem eventueel nog omzetten naar 'l33t'
Hpv0dEm1cT.n3t

5) Plaats een standaard speciaal teken achter je wachtwoord (bijvoorbeeld %)

Hpv0dEm1cT.n3t%

Nu heb je een wachtwoord dat makkelijk te onthouden is (je hoeft immers alleen de hoofdzin te onthouden, het algoritme daarachter is gelijk voor alle wachtwoorden) en dat niet gemakkelijk door bijvoorbeeld rainbow tables te kraken is.

Wil je het nog veiliger dan neem je een andere basis zin voor iedere categorie die je noemt.

Nergens staan je wachtwoorden opgeslagen behalve in je hoofd.

Nog wat voorbeelden

World of Warcraft variant:
HpvodEm1cWoW%

PayPal
HpvodEm1cPP%

etc

[Reactie gewijzigd door NightFox89 op 27 mei 2014 13:40]

Je wachtwoord in stap 1 is vele malen veiliger dan die in stap 2.
Computers hebben niet zo'n probleem met je wachtwoord in stap 2.

My 2 cents.
Dit is lang niet zo veilig als je zelf denkt, niet omdat je oorspronkelijke wachtwoord slecht is maar wel omdat je hem hergebruikt. Een appendix voor een website is een bekende techniek en zolang die redelijk voorspelbaar en/of niet al te complex is is dat heel snel te bruteforcen. Je gaat hier vooral voorbij aan het feit dat password databases regelmatig gekraakt worden en dus het grootste en complexe deel van je wachtwoord op enig moment bekend zal zijn en je daar ook nog eens niet altijd van op de hoogte zal zijn, dan wel omdat de hack niet bekend is geworden bij de website, dan wel omdat ze het zelf niet hebben verteld, dan wel omdat je dat nieuws zelf niet hebt gelezen.

Als ze eenmaal jouw Hpv0dEm1cT.n3t% hebben dan kunnen ze ook wel jouw Hpv0dEm1cH.inf0% achterhalen.
"Nu heb je een wachtwoord dat makkelijk te onthouden is"
|:(

Toen ik het begin van je bericht las dacht ik, die gaat richting de xkcd tour met "correcthorsestaple". Maar vervolgens vlieg je volledig van het spoor af.

We moeten juist af van al die onzin cijfers en leestekens in je wachtwoord. We moeten wachtwoorden gaan aanhouden die minimaal 25 karakters kort zijn en maximaal oneindig lang.

Laat maar eens berekenen hoe lang een programma erover moet doen om:
Hpv0dEm1cT.n3t%
(4triljoen jaar)
te kraken en hoe lang ze erover doen om:
Ohmijngodwathebikeengloedhekelaanlangewachtwoordenmaarhetisiniedergevalbeterdandiekolereeisendiewevroegeraandewachtwoordenstelden
(A sextillion sexagintillion years)
of
ikbenjennyenikhouvanmijnpaardhengstigehenk
(2 tredecillion years)

Duur adhv: https://howsecureismypassword.net/

Overigens veel geluk voor een persoon om je wachtwoord af te kijken terwijl je aan het typen bent..

[Reactie gewijzigd door RadioKies op 27 mei 2014 13:22]

Tja, een wachtwoord wat over 4 triljoen jaar gekraakt wordt is in dat opzicht net zo veilig als een wachtwoord dat pas gekraakt wordt nadat de wereld is vergaan.
Ook doet de lengte van het wachtwoord er volgens mij niet zoveel toe wanneer het niet uit willekeurige tekens bestaat.
Een wachtwoord als "Supercalifragilisticexpialidocious" zou 174 duodecillion years duren, maar als een hacker het in zijn woordenlijst heeft staan dan is hij zo klaar.
Die impact is erg klein hoor, oudere versies werken prima met moderne backup bijvoorbeeld, deze backup kun je tevens encrypted op dropbox en dergelijke zetten. En deze software om passjes te beheren die runt ook nog eens op tablets en smartphones van verschillende platformen. Dus gaat het fout op je mac, dan heb je een up2date gesyncte iphone of android tablet wellicht die het prima doet.
Dit is hele slechte reclame voor een bedrijf wat pretendeert software te maken om dat juist te voorkomen. Dan zou je verwachten, dat ze hun eigen websites ook goed op orde zouden hebben.

Ik kan me ook voorstellen, dat juist dit soort bedrijven met hun websites als een rode lap op een stier kan werken.
Ze maken geen software zover ik weet om hacks te voorkomen. Maar om virussen te detecteren en te verwijderen. Maar inderdaad wel grappig om te zien dat ook zij niet veilig zijn voor de hackers.

@hieronder, wist niet dat ze ook firewall hadden die dit tegen zou moeten houden

Daarnaast zijn er genoeg virussen die niet door een virus scanner word opgemerkt.

[Reactie gewijzigd door xleeuwx op 27 mei 2014 12:48]

@xleeuwx in Avast zijn toch realtime schilden ( "File System Shield" ) te vinden wat je zou moeten beschermen tegen eventuele "malicious features", of verwar ik het nu met iets anders?
Dat klopt, maar het zou beduidend slechter zijn als deze hun eigen forum zou blokkeren omdat het triggered op een versienummer o.i.d. , ik denk dat dat zelfs een nóg slechtere reclame is voor een bedrijf als deze ;)
Maar het geeft wel goed aan dat als je verouderde software gebruikt, je meer aandacht dient te schenken aan de beveiliging. Het feit dat ze zelf deze beveiligings software verkopen (maar blijkbaar zelf niet gebruiken op hun machines die het forum bedienen) maakt het pijnlijk, (slechte reclame), duidelijk dat iemand daar behoorlijk heeft zitten slapen. Als ze dat ook met virus definities doen... |:( epic fail.

Meer reden voor ons als gebruikers om er ons van bewust te zijn dat je de beveiliging niet aan anderen moet over laten en voor elke website een andere login / passwoord combinatie moet hebben.

Hieronder worden al enkele opties voor passwoord beheer gegeven dus die zal ik niet herhalen, mijn methode: alles in eigen steno code op een creditcard formaat kaartje in een klein lettertype geprint geplasctificeerd in mijn portomonee en een kopie in die van mijn vrouw...(portomonee :o ) . :X
Dat geeft het zeker aan en dat is een taak van beheerders binnen die organisatie. Als ze een beetje slim zijn gebruiken ze dan ook niet hun eigen software op die machines vanwege afvang van claims.

Je vergelijkt peren met appels hier, ze maken een antivirus product, het is geen bedrijf dat exploits actief monitort en/of fixed voor forumsoftware van een derde.

Password-beheer is geen kunst. Alleen je wachtwoorden in een portemonnee bewaren is niet echt de meest veilige optie :+
Sorry Als beveiligingsbedrijf moet je instaan voor alle beveiligingen van je eigen firma.
Zeker als het aankomt op klant informatie.
Ook al lever je zelf die specifieke producten niet, het gaat over je visie, werkwijze, mind set, ...
Als je zelf te laks bent om je gebruikte software up2date te houden en veilig voor je gebruikers, dan is er iets mis met jouw visie en werkwijze.
Zeker gebruik maken van verouderde front end software is imho voor een dergelijk bedrijf een epic fail.

Het doet er niet toe dat ze enkel anti virus maken, trouwens ze zouden moeten weten dat er meerdere wegen zijn dan enkel virussen om op een systeem in te breken.
Ik zeg ook nergens dat ze hun beveiliging moeten versloffen, ik kaart enkel aan dat hun business iets anders is.
Dat de beheerders daar hun werk niet doen is een compleet ander verhaal :)
Ik doelde met die software die ze zelf leveren op de firewall software en vergelijk zodoende appels met appels ....dus...
Helaas zeggen ze op hun hun website over zichzelf:
"Your all-inclusive protection."
met
and keeps hackers out with its Firewall.
Ik weet niet hoor, maar is het hacken van een pc niet anders dan het hacken van een website database? Een firewall kan toch geen database beschermen?

Neemt niet weg dat dit een behoorlijke faal is voor een software beveiligingsbedrijf.
Nee, maar in principe de server configuratie wel. Je kan voorkomen dat er (makkelijk) een DUMP gedraaid kan worden van de database.


Trouwens, ik zie veel comments hier over de Avast security software. Maar is dat allemaal niet ontwikkeld voor Windows...?
Die servers zullen Linux draaien.
Het is er ook voor Android, dus zal ook wel Linux support dan hebben (aanname).
En een bank raakt nooit geld kwijt? ..
Het is meestal de klant die de dupe is.
Oh ja, noem eens een voorbeeld? Volgens mij klets je uit je nek.

In de meeste gevallen krijgt de klant gewoon de schade vergoed. Alleen als er duidelijk sprake is van fraude of nalatigheid draai je zelf voor de kosten op.

Onlangs werd ik nog gebeld dat er mijn creditcard gefraudeerd werd. Deze is meteen geblokkeerd en ik heb de valse transacties niet eens op mijn afschrift gezien. Keurig geregeld dus.
Ik bedoelde te zeggen ze men meestal als man-in-the-middle bij een eindgebruiker gaat zitten en niet rechtstreeks de bank gaat aanvallen.

Wat jij zegt lijkt me inderdaad te kloppen. Als jij je netjes aan de veiligheidsvoorschriften houdt en geen codes of wachtwoorden afgeeft dan zal jouw schade waarschijnlijk vergoed worden door de bank.
Ze maken ook firewalls, welke wel degelijk bedoeld zijn om hackers buiten te houden.
Als jij normaal wel via poortje 80 naar binnen mag, maar je stuurt nu bijvoorbeeld een sql injectie mee via poortje 80, dan ligt dat niet aan de firewall toch?

[Reactie gewijzigd door SWINX op 27 mei 2014 13:18]

Je hebt ook application based firewalls. Welke je zo kunt configureren bepaalde parameters te weren of automatisch te laten weren als blijkt dat er een injectie plaatsvind.

Zie ModSecurity bijv.: https://modsecurity.org

Uiteindelijk is het woord "Firewall" een breed begrip. Het kan van toepassing zijn op meerdere lagen van het OSI-model. Jij denkt op layer 4 niveau (transport layer), terwijl een application based firewall zit op layer 7 (applicatie niveau).

[Reactie gewijzigd door roughtodacore op 27 mei 2014 14:02]

Ik zeg ook niet dat een firewall je 100 procent hack-proof maakt. Maar dat verandert niets aan het feit dat firewalls bedoelt zijn om hackers buiten te houden.
Ze maken geen software zover ik weet om hacks te voorkomen. Maar om virussen te detecteren en te verwijderen. Maar inderdaad wel grappig om te zien dat ook zij niet veilig zijn voor de hackers.
Hun eigen software is standaard wel ongeloofelijk krampachtig met updates. Je MOET een update installeren. DAT MOET, DAT MOET NUUUUUU. Niet over 10 minuten, maar NU. En software die door de hele wereld uitgewoond kan worden, laten ze gewoon lekker ongeupdate op een server staan.

Niet erg slim bezig dus.

Het is vast een ander team dat zich daarmee bezig houdt, maar zowel hun software als hun website zijn het visitekaartje, en kunnen daarmee beide evengoed het imago schaden.
Zo zie je maar weer dat zelfs beveiligingsfirma's hun boeltje niet altijd op orde hebben. Niet goed voor de reputatie van Avast.

Anderzijds zijn websites en online fora niet bepaald de business van Avast. Hoeveel andere bedrijven ondervinden niet dit type problemen? Maar als je in de beveiligingsbranche zit, wordt het je (uiteraard) wel heel kwalijk genomen. Blijkbaar wordt de webmaster van Avast nogal stiefmoederlijk behandeld of kreeg de persoon nooit de toestemming om de boel even offline te halen om de update te kunnen uitvoeren. Want dat is natuurlijk ook een typische zaak: "je mag geen updates installeren, want dan gaat de boel even down!"
Het is natuurlijk een stukje ironie dat juist Avast hier tegen aan loopt. Een beetje bedrijf dekt zich echter goed in en neemt beveiligingssoftware van derde partijen om ondermijnende kosten en claims af te dekken. Kijk naar bijvoorbeeld een Dell waar HP hardware in de serverruimte draait.

Aan de andere kant is het natuurlijk niet hun core-business, fora, echter mag je wel verwachten dat een sysadmin z'n software geupdatet houdt om ongewenste lekken buiten de deur te houden.
Voordeel is wel weer dat ze het forum in ieder geval relatief snel offline hebben gehaald..
Dat is geen beste beurt voor Avast. Zeker als het gaat om verouderde software.

Maar ja, het kan iedereen natuurlijk gebeuren. Ooit was deze "verouderde software" modern.
Inderdaad. Als je een winkel hebt weet je dat er op een dag gestolen gaat worden, al heb je een site weet je dat je ooit gehackt gaat worden. Probleem is alleendat bij een site er gegevens van andere mensen woren gestolen, bij een winkle alleen je eigen spullen.

Wel heel goed van Alvast dat ze direct actie ondernemen en excuses aanbieden btw.
Je kan het beter met een verzekeraar of assurantiekantoor vergelijken. Die "beschermen" je ook en als er mensen inbreken, dan stelen ze geen producten maar gegevens van anderen.
Ooit was deze "verouderde software" modern.
Het lullige is natuurlijk dat alle software verouderd is, al een picoseconde nadat er een update beschikbaar is - en daar doe je ook weinig tegen.

Stel jij draait ForumSoftware v2.3. Hackers weten dat, want het staat gewoon prominent op je site, of ze kunnen er makkelijk achter komen aan de hand van welke features worden gesupport, bijvoorbeeld, en slaan jouw site ook als dusdanig op in een database, met nog duizenden anderen.

Vervolgens komt er een update naar ForumSoftware v2.3.1 - 'kleine fix' voor een vervelende bug waarbij de database van je forum beschikbaar komt - dingen die mensen als 'niet publiek' hadden gezet (e-mail adres, bijvoorbeeld) komen daarmee op straat te liggen. Jij ligt nog gewoon te pitten, want die update werd uitgebracht om 4 uur 'smorgen's. Maar de hackers niet. Die hebben binnen een paar minuten door wat het verschil is, hoe het te exploiteren, etc. Vervolgens kunnen ze er heel makkelijk voor kiezen om hun database met forums langs te gaan om te zien welke er allemaal vatbaar voor zijn, en dan kiezen welke aan te vallen.
Jij wordt vervolgens wakker, en leest op een tech nieuws website dat jouw site is gehackt en dat je mogelijk verouderde forum software draaide.

Nu zal het in de regel natuurlijk wel gaan om sterk verouderde software.
Nu zal het in de regel natuurlijk wel gaan om sterk verouderde software.
Yep, daar lijkt het wel op.
Zo te zien niet meer geupdate sinds 2012. In de tussentijd zijn er zo'n 4 nieuwe releases uitgekomen, waarvan er 1 een klein lek dichte en 1 een medium risk lek.
De vendor waarschuwt daar voor en de forum software toont, tenzij Avast er mee heeft zitten rommelen, altijd een waarschuwing in het admin paneel. (Waar je tevens ook meteen kunt upgraden, zonder dat het forum offline gaat en zonder dat er aanpassingen verloren gaan. Niet upgraden is dus gewoon oerdom, als het zo makkelijk en snel kan)

Het enige wat ik me kan voorstellen:
- Ze hebben niet geupdate
- Ze hebben niet *correct* geupdate (eg: slechts bepaalde bestanden gewijzigd, terwijl ergens anders mogelijk juist een lek gedicht werd)
- Een admin z'n wachtwoord is recycled vanaf een andere site, vanaf daar is het mis gegaan. (eg: database backup gedownload)
- Aanpassingen gemaakt die er niet in hoorden

Ben benieuwd, ik hoop stiekem dat het gewoon een menselijke fout is van een admin om 't wachtwoord te recyclen of een domme code wijziging. Maar niet patchen is wel heel erg slecht... Helaas is dat wel waar het sterk op begint te lijken.

[Reactie gewijzigd door WhatsappHack op 27 mei 2014 12:56]

Ondanks dat de wachtwoorden versleuteld waren, is het niet onmogelijk voor hackers om deze te ontsleutelen ? Eerder DANKZIJ dat ze versleuteld zijn, zeer waarschijnlijk gehashed, hopelijk met een salt en een beetje goed hash algoritme. Overigens zijn er tools als hashcat die een brute force of dictionary attack op hashed wachtwoorden enorm vereenvoudigen, dus onmogelijk is het zeker niet.
Dat staat er toch ook?!?

Avast heeft de wachtwoorden gehashed opgeslagen, maar omdat bruteforcen niet te voorkomen is, kan niet met zekerheid worden gesteld dat de hackers binnen niet al te lange tijd ook over de plain-text wachtwoorden beschikken.
Kinderen van de schoenmaker hebben toch ook altijd gaten in hun schoenzool?
Ik kan mij niet heugen dat ik op het forum geweest ben dus maak ik mij niet direct zorgen. Maar mijn grote vraag is of dit forum een eigen account heeft of dat het (automatisch?) met de avast security accounts werkt...

Natuurlijk zou ik zelf de gegevens hergebruikt hebben, maar dan is het mijn probleem.
Hoeveel berichten heeft u nog nodig om te weten dat vanaf nu niets meer veilig is? Ja, u lacht mij uit, dat mag maar tel het aantal hack en inbraak berichten van de laatste maanden eens. Het is over met de veiligheid op internet.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True