Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

De Amerikaanse nieuwssite Cnet is slachtoffer geworden van een Russische hackersgroep. De hackers hebben de database met gebruikersinformatie weten te stelen maar zeggen geen kwade bedoelingen te hebben. Ze willen vooral aandacht genereren voor de veiligheid van websites.

Via een beveiligingslek in de implementatie van het Symfony-framework wisten de hackers dit weekend binnen te komen op de servers van Cnet, meldt de nieuwssite. De groep kopieerde vervolgens de database met gebruikersinformatie. Een woordvoerder, met schuilnaam w0rm, stelde Cnet via een Twitterbericht op de hoogte van het lek. In totaal gaat het om informatie van meer dan een miljoen gebruikers. Cnet heeft het lek inmiddels gedicht.

De hackers zeggen geen kwaadaardige bedoelingen te hebben en willen met het bekendmaken van de hack de veiligheid van het internet vergroten. Cnet zou gekozen zijn als doelwit omdat het een grote bekende website is. De informatie in de database was versleuteld en w0rm zegt dat de groep niet van plan is om de informatie te ontsleutelen.

W0rm zou wel hebben aangeboden om de database voor één bitcoin te verkopen, dit zou volgens de hacker alleen gedaan zijn om meer aandacht te genereren voor de hack. De hackers claimen eerder de websites van de BBC, Adobe en de Bank of America te hebben gekraakt om aandacht te vragen voor de veiligheid van websites.

Moderatie-faq Wijzig weergave

Reacties (28)

Ik heb de source code doorgespit en het gaat om de spaanse versie van cnet (http://www.cnet.com/es/)

Als je de html bekijkt van cnet.com en cnet.com/es/ gaat het om verschillende versies van de applicatie. Waarschijnlijk deelden ze wel 1 database, dus zodoende hebben ze alle gegevens kunnen downloaden.

Overigens de versie van Symfony die cnet.com/en/ gebruikt is 2.3.4.
Als ik de composer.lock laat checken kom ik hier op uit:

swiftmailer/swiftmailer (v5.0.1)

Sendmail transport arbitrary shell execution
symfony/symfony (v2.3.4)

Possible DOS attack with long user-submitted passwords — CVE-2013-5958


Dus waarschijnlijk hebben ze swiftmailer gebruikt.

[Reactie gewijzigd door phex op 15 juli 2014 15:15]

De CVE matched niet met de bug van swiftmailer. Die is overigens gerelateerd aan https://www.djangoproject.com/weblog/2013/sep/15/security/ maar dat terzijde.
Wie zegt dat ze het echt niet gaat doorverkopen? Vind het wel fijn dat CNET de database versleuteld heeft in bepaalde zin, veel websites hebben dat toch nog steeds niet op orde.
Doorverkopen of niet; je kan/mag als buitenstaander niet eenvoudig bij de database komen (al dan niet voor latere decryptie). Dat is wat ze willen aantonen: zorg dat niemand meer op kritieke systemen kan komen.
Dus ze breken de wet om aan te geven dat mensen de wet niet mogen breken? :?
Ze breken de wet om aan te tonen dat het niet mogelijk moet zijn om de wet te breken.

Een soort schijnvertoning van 'White Hat' hacking.
Dat zeg ik ook altijd tegen oom agent. Ik reed 160 om aan te tonen dat het niet mogelijk moet zijn om zo hard te rijden. :+

Ik snap natuurlijk prima wat je bedoelt, maar ergens is het belachelijk. Als ze echt geen kwade bedoeling hebben dan hadden ze het lek ook zonder het stelen van data kunnen melden. Maar ja, dan haal je het nieuws natuurlijk niet. De data is nu in hun handen en ze kunnen ermee doen wat ze willen. Verwijderen zal niet n van de opties zijn ben ik bang.
Op deze manier vergroten ze de belangstelling voor hun -zelfverklaarde- doel; een beetje als protesten van actiegroepen, maar dan virtueel.

Bovendien heeft zo'n actie een 2e mooi effect voor zo'n groep: ze krijgen niet enkel aandacht, maar door zulke stunts vergaren ze wel een zekere credibiliteit voor andere (grotere?) projecten (hacks dus) in de toekomst.

Volgende keer dat de groep een claim maakt, zullen veel meer mensen er sneller van op de hoogte zijn, en eerder geneigd zijn er geloof aan te hechten.

Of de gekozen methode de juiste is, is erg subjectief natuurlijk.
Straks dan toch maar even de ruiten bij de buren ingooien om de belangstelling voor zwak glas te vergroten.
"Ik protesteer enkel maar tegen de vrije beschikbaarheid van wapens. Een crimineel zou immers zonder enig probleem dit kunnen doen:" RATATAT PANG PANG
Een betere vergelijking zou zijn:
"een crimineel zou immers zonder enig probleem dit kunnen doen en vervolgens laten zien hoe makkelijk het is een ongeregistreerd (of gestolen) wapen te verkrijgen is. (wat inderdaad makkelijker is als een legaal wapen verkrijgen...)

jouw vergelijking zou opgaan wanneer de hackersgroep de gegevens zou ontsleutelen en op het web zou gooien...

[Reactie gewijzigd door the-dark-force op 15 juli 2014 20:00]

Door het voor 1 bitcoin te koop aan te bieden hebben ze het toch feitelijk op het web gegooid?
Ik denk dat ze bedoelen aan de rechtmatige eigenaar (CNET in dit geval), en niet aan iedereen die een Bitcoin bied.
Misschien zijn deze kerels idd niet zo nobel als ze zich doen voorkomen. Maar mcht het zo zijn dat ze dat wel zijn, dan hebben ze zker een punt. Wat mij betreft zouden "databeheerders" (in welke vorm dan ook) best eens wat meer verantwoordelijk gesteld mogen worden voor het onveilig opslaan (i.e. de deur open laten staan) van andermans gegevens.

Wat mij betreft zou er wel een soort puntensysteem mogen bestaan. Zo zouden bepaalde typen informatie meer punten kosten dan andere (adresgegevens meer dan alleen gebruikersnaam/wachtwoord, en creditcard gegevens nog weer wat meer). Dan kan je bij een dergelijke hack gewoon iets doen als het aantal records x de punten voor de typen gegevens die zijn gestolen en op basis daarvan een boete. Daar kan nog een flink extraatje bovenop als de DB niet versleuteld en/of gesalt bleek te zijn.

Op die manier zullen bedrijven terughoudender worden met het vragen en opslaan van veel informatie omdat het gewoon een bedrijfsrisico is, ipv dat ze alle mogelijke data maar opslaan "zodat we het maar hebben".
"Ze breken de wet" is geen Nederlands.
Dat is wat ze zeggen wat ze willen aantonen. De vraag is of ze niet alsnog van plan zijn om de informatie te verkopen. ;)
Dat weet je nooit, maar voor het zelfde geld hadden ze helemaal niks gezegd en hem meteen doorverkocht. Ik weet nooit wat ik van dit soort actie's moet denken, goed of kwaad. Feit is dat het ze gelukt is en dat is al vervelend genoeg...
Hebben ze in het verleden de andere hacks ook niet commercieel uitgebuit? Dan weet je wat je kan verwachten.
Iemand een linkje naar de exploit die ze hebben gebruikt? Kan ik me eigen site ook ff checken :)
http://symfony.com/doc/cu...buting/code/security.html

Als je daarna zoekt op de CVE's, kan je vaak wel "bovengrondse" sites vinden die 95% van de info verstrekken over het daadwerkelijke probleem. De overige 5% informatie zit vaak achter invite/betaal-muren en dat is precies het verschil tussen scriptkiddies en daadwerkelijke hackers :)
Dat ze kunnen betalen? Lijkt me niet. Verschil tussen hackers en scriptkiddies is dat die laatste groep alleen kan (mis/ge)bruiken, maar niet produceren, wat die eerste groep maakt.
Het zijn dus geen hackers maar scriptkiddies die een exploit misbruiken, verder stelen ze ook nog even de database wat ze niet hadden hoeven doen. Uiteraard hebben ze geen kwade bedoelingen behalve de mailadressen doorverkopen aangezien dat behoorlijk wat oplevert.
Scriptkiddies gaan in ieder geval dit NIET op zo'n manier naar buiten brengen:
"Het is ons gelukt, en wij deden dit alleen om aan te tonen dat het mogelijk is.
Wij zullen de database niet decrypten en/of doorverkopen, maar bij wijze van stunt hem wel aanbieden voor 1 BTC. Maar dew transactie zal niet dorgaan natuurlijk."

Scriptkiddies bieden het op de volgende manier an:
"Hax))Rzz! Het izzz gelukt!!!I! We zeiden het toch? Now, all your databse are belong to us!!!I!I! Encryptie ook heel makkelijk, maar we doen het niet, want dat is niet goed man! Hebbuh?!?!?! 1 BTC!!!"

Dit doet mij vermoeden, dat de mensen die dit gedaan hebben, "goede" doelen voor ogen hadden.
Het aantonen van een lek. Ok, en misschien ook voor de lol op een vrijdagavondje.
Uiteraard hebben ze geen kwade bedoelingen behalve de mailadressen doorverkopen aangezien dat behoorlijk wat oplevert
Dan moeten ze dus eerst door de encryptie heenkomen.
Lezen aub. :)
Denk eerder dat ze eindelijk blij zijn dat het gelukt is en dus op deze manier reageren, Als je deze meuk wilt verkopen ga je dit niet doen via twitter, daar zijn genoeg alternatieven voor
1 bitcoin is tegenwoordig meer dan een symbolisch bedrag. dat is toch 400-500 euro. Ze kunnen maar beter anoniem blijven, want ik weet niet of meneer Putin dit leuk vind.
Vertel mij eens wat putin met een amerikaanse nieuwssite te maken heeft ?
Denk dat de beheerder hier meer problemen mee heeft als putin.
Als je er niets mee doet dan hoef je het ook niet te downloaden. Zonde van de bandbreedte. Dus... ze doen er wel iets mee. Het effect zien we over een aantal weken wel terugkomen met een spamgolf met zeer bekende afzendadressen e.d.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True