Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

Een hacker is binnengedrongen in de infrastructuur van BrowserStack. De betaalde dienst om websites op veel browsers en besturingssystemen te testen claimt dat alleen de e-mailadressen uit een lijst zijn benaderd. Klanten kregen een mail met claims dat er meer aan de hand is.

Via Twitter bevestigt BrowserStack dat de dienst met een hack kampt en de dienst daarom offline gehaald is. In een latere update staat de claim dat na onderzoek is gebleken dat de hacker alleen toegang had tot een lijst met e-mailadressen en dat BrowserStack binnen enkele uren weer beschikbaar is. De dienst belooft snel een update te brengen met meer informatie.

De meldingen volgen op een mail die onder andere een lezer van Hacker News zondag ontving en die afkomstig leek van de support-afdeling van BrowserStack. In de mail staat de claim dat BrowserStack in zijn geheel stopt en in zijn algemene voorwaarden heeft gelogen over de beveiliging. "We maken geen gebruik van firewalls en ons beleid op het gebied van wachtwoorden is verschrikkelijk. Alle virtuele machines staan volledig open", staat in de e-mail, waarin ook een wachtwoord wordt genoemd. Waarschijnlijk is de mail afkomstig van de hacker die de e-mailadressen van klanten in bezit heeft gekregen.

BrowserStack is een dienst die met behulp van virtuele machines ontwikkelaars in staat stelt hun websites te testen op 700 browsers en 11 besturingssystemen. De betaalde dienst claimt 25.000 gebruikers te hebben en BrowserStack werkt onder andere samen met Microsoft.

Moderatie-faq Wijzig weergave

Reacties (22)



OT: Het is natuurlijk niet goed te praten dat een hacker gaat mailen vanuit BrowserStack, maar aan de andere kant wel mooi dat ie de fout/hack gebruikt om de gebruikers op de hoogte te stellen van de onvolkomenheden bij BrowserStack

[Reactie gewijzigd door Hurm op 10 november 2014 11:25]

Had ik reeds gemeld :) Spel- en tikfoutjes

Beetje een rare stunt overigens om de gebruikers op de hoogte te stellen met een mail en daarin een wachtwoord te zetten, i.p.v. BrowserStack te benaderen en daarna de publiciteit op te zoeken waarin je meldt dat er een lek is en er samen met BrowserStack aan werkt.
Als afpersen niet lukt, dan moet je waarmee je dreigt waarmaken is het niet?
ik wilde dat ook al zeggen, een bedrijf afbranden kan in sommige gevallen wenselijk zijn,
bijv een bank, die 2weken na het melden van een bepaald lek nog niet heeft gereageerd,
maar dan nog doe je zoiets via de media en ga je niet zo'n kinderachtige mail zitten sturen, alleen al daarom denk ik direct aan een scriptkiddy ofzo.
het is natuurlijk wel slordig dat lijsten met mail-adressen in handen komen van een of andere hacker, maar verder vind ik de claims nogal vaag, het gaat notabene om een dienst die systeempjes aanbied om websites in een andre browswer te bekijken, al zouden die vms zo lek als een mandje zijn zou me dat, nagenoeg nog niets kunnen schelen, die dingen reset je neem ik aan toch na elke sessie. en ik neem ook voor het gemak maar aan dat er op die vms werkelijk niets draait dat risco loopt... zelfs inloggen op admin interfaces via dergelijke vms doe je neem ik aan met een testadmin/test account op een non-productie server, met andere worden al zaten die vms vol met keyloggers ... zou dat .. hoewel behoorlijk beschammend, nog weinig kwaad kunnen...
zelfs inloggen op admin interfaces via dergelijke vms doe je neem ik aan met een testadmin/test account op een non-productie server, met andere worden al zaten die vms vol met keyloggers ... zou dat .. hoewel behoorlijk beschammend, nog weinig kwaad kunnen...
Je kunt erop rekenen dat dit op productie-systemen gebeurt met admin-logins. Veiligheid van die VMs is dus wel degelijk van belang.
De hacker in kwestie claimt ook het admin password eenvoudig te hebben achterhaald en dat deze in plaintext op elke VM stond:

"As well, our infrastructure uses the same root passwords on all machines, which is also stored in plaintext on every VM launched ("c0stac0ff33")."

Mocht dat waar zijn dan is dat wel heel slordig.
nu ben je natuurlijk wel heel erg selectief aan het quoten, want volgens mij was ik vrij specifiek over welk deel ik het had, email adressen van betalende klanten kwijt raken (lees lekken) is slordig, en daar mag je zeker een bedrijf op afrekenen, maar het hele vm platform op deze manier afkraken is gewoon zielig en op basis van de geleverde bewijzen nauwelijks op zijn plaats ... je kunt gelekte emailadressen echt niet met een strak gezicht extrapoleren naar een compleet lekke infrastructuur zonder verdere bronnen.
Die wel of niet waar zijn. Het lijkt niet echt mooi dat een hack op deze manier gebruikt wordt, los van het feit of het laster of smaad is.


OT: Het is natuurlijk niet goed te praten dat een hacker gaat mailen vanuit BrowserStack, maar aan de andere kant wel mooi dat ie de fout/hack gebruikt om de gebruikers op de hoogte te stellen van de onvolkomenheden bij BrowserStack
De vraag is, in hoeverre zijn die "onvolkomenheden" waar? Dit kan net zo goed een gefrustreerde ex-medewerker zijn of gewoon een grap van een hacker.
700 browsers? Ik neem aan dat dit dan gaat over alle browserversies op alle os'en?
Ik tel even snel een stuk of 6 verschillende IE versies, 34 verschillende Firefox versies, een stuk of 27 versies van Chrome en een stuk of 20 versies van Opera. Tel daar nog verschillende OS'en bij op, en mobile versies die geemuleerd kunnen worden en dan kom je een eind.

700 zal dan inderdaad worden bereikt door IE10 op Win7 apart te tellen van IE10 op Win8.
en wat denk je van firefox onder de verschillende ossen win lin en osx
+ heel veel Android & iOS browsers
Hier een volledig overzicht van alle browsers die ze kunnen testen:

http://www.browserstack.c...nd-platforms?product=live
Zo'n hacker beseft totaal niet dat een bedrijf waar vele mensen werken zo ten gronde gericht kan worden.
Wat mij betreft mogen ze die gast opsporen en berechten.

Als je een beveiligingslek vind hoor je deze te melden, verder niets. Misbruik maken van een lek is wat mij betreft uit den boze. Mocht je na lang wachten nog steeds geen gehoor krijgen, dan kun je wel iets publiceren (maar daar gaat eerst een goed gesprek aan vooraf!), maar niet via de infrastructuur van de hack of met data die gestolen is zoals mailadressen. Sowieso, wie bepaalt de termijn waarin het opgelost moet worden? Leuk als elke hacker straks een deadline van 24 uur gaat stellen...

Dit soort acties hebben op verschillende soorten bedrijven zeer uiteenlopende gevolgen, waardoor het niet aan een individu is om hier misbruik van te maken. Voor een ICT bedrijf kan het vergaande gevolgen hebben, maar de bakker verkoopt er geen brood minder om als zijn site gedefaced is.

Je hoort een inbreker al zeggen: "Ja de achterdeur was niet op slot, dus ik heb de TV maar meegenomen, maar ze wisten het al want de achterdeur staat altijd open, dus ben ik onschuldig".

Ik heb zelf ook eens een beveiligingslek gevonden bij een particulier. Hij heeft hetzelfde domotica systeem als ik heb en hij had guest access aangeboden om in zijn systeem te kijken voor zijn zonnepanelen opbrengst, maar wel met een lock op het schakelen van apparatuur.

Ik ken echter de achterliggende infrastructuur en zag dat hij een aantal dingen niet geblokkeerd had waardoor ik de locks er zo af kon halen en praktisch alles in zijn uit uit- en aan kon zetten. Ik kon letterlijk een kerstboom van zijn huis maken omdat er configuratiepagina's open stonden.

Dit direct gemeld (+oplossing) waardoor hij meteen zijn systeem kon beveiligen en dat heeft ie ook gedaan. Zo hoort het... Als ik echter mails was gaan rondsturen met een how-to, om van zijn huis een kerstboom te maken en zijn inverter te laten uitfikken, dan was ik strafbaar geweest, en terecht ook!

[Reactie gewijzigd door Fairy op 10 november 2014 12:11]

ik denk dat de meeste professionele hackers wel weten hoe je een lek meld,
in binnen die groep zijn er ook wel genoeg die een juiste termijn in weten te schatten,
bovendien ligt het nogal aan het gebruikte systeem, als ik morgen een lek in het EPD (of hoe dat tegenwoordig ook mag heten) vind, dan krijgen ze idd maar 24uur de tijd om het lek onklaar te maken, en stuur ik ook direct een mailtje naar tweakers.net onder embargo wat voor lek ik gevonden heb etc want mensen hebben gewoon het recht om dat soort beveiligingsfouten te weten te komen,

maar bij een systeem als dit, zolang er geen klantgegevens of betaalgegevens blood liggen kun je die termijn voor die paar mailadressen nog wel een tijdje stil houden, en voor het vm platform al helemaal ... natuurlijk is de maat ergens wel een keer vol, want een bedrijf dat 3 weken niet reageerd op een beveiligingslek kan ook niet...

en verder is het door jouw aangehaalde voorbeeld ook niet helemaal kloppend, als je namelijk zijn invertor laat uitfikken dan berokken je ernstige schade en dat is in alle gevallen strafbaar.
ook het andere mensen uitlokken (door die howto) om in iemands systeem binnen te dringen is gewoon strafbaar...
alleen toegang had tot een lijst met e-mailadressen
Dat is wat BrowserStack claimt omdat veel mensen toch al een mail hebben gehad, maar waar de hacker in werkelijkheid toegang tot heeft gehad is natuurlijk de vraag...
"alleen toegang had tot een lijst met e-mailadressen"

Zet je spambot maar goed aan... Vind het een beetje jammer dat er word gedaan of het niks voor stelt dat er email adressen zijn gestolen. In potentie kan hij dus al je gegevens hebben.
Is het zo erg dan dat je email adres is gestolen?
Als je van spam en andere zooi houd niet...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True