Door Sander den Heijer

Product Lead

Feedback • 03-10-2022 09:00 74

Aansluiting op No More Leaks - Development-iteratie #243

03-10-2022 • 09:00

74

In de afgelopen sprint hebben we gewerkt aan de samenwerking die we zijn aangegaan met de politie in het kader van het project No More Leaks. Verder hebben we wat puntjes op de i gezet voor de nieuwe moderatierechtenactivatie. Hieronder lees je er meer over.

No More Leaks

In het nieuwsbericht en comments nieuws: Man krijgt taakstraf van 50 uur voor hackpogingen op Tweakers-account... van 1 augustus ging het er al even over: met Tweakers zijn we aangehaakt bij het project No More Leaks van de Nederlandse politie.

DatalekIn de afgelopen jaren zijn honderden miljoenen e-mailadres-wachtwoordcombinaties onrechtmatig openbaar geworden via datalekken. Lijsten met uitgelekte inloggegevens worden door criminelen aangeboden op het internet en worden door de politie ook aangetroffen in strafrechtelijke onderzoeken.

No More Leaks is een project waarin de politie deze data deelt met partners als Tweakers om misbruik met inloggegevens te voorkomen. Doel is om samen met andere bedrijven een bijdrage te leveren aan het digitaal veiliger maken van de samenleving en daarmee het misbruik van online accounts en daaruit voortkomende criminaliteit te verminderen.

We ontvangen gehashte e-mailadres-wachtwoordcombinaties die de politie rechtmatig heeft verkregen in het kader van haar opsporingsbevoegdheid. Deze gebruiken wij om te controleren of de gegevens overeenkomen met e-mailadressen van mensen met een Tweakers-account. We geven verder geen persoonsgegevens door aan de politie; we delen met de politie alleen statistieken van het aantal hits voor het meten van de effectiviteit van No More Leaks.

Als jouw e-mailadres-wachtwoordcombinatie mogelijk betrokken is bij een datalek, herkennen we dat dus in het vervolg door een check uit te voeren op de data die we via de politie ter beschikking hebben gekregen. Op relevante plekken bij het registreren van en inloggen op een Tweakers-account controleren we of het hier gaat om, eerder uitgelekte, onveilige data. Is dat het geval, dan zullen we de bezoeker die deze onveilige data gebruikt, waarschuwen en waar nodig forceren een ander wachtwoord of een andere e-mailadres-wachtwoordcombinatie te kiezen.

No more leaks melding
Bij registratie tonen we een melding, in rood, dat er sprake is van onveilige data.

Dit klinkt wellicht als veel extra veiligheid voor 'slechts' een Tweakers-account, maar ervaringen uit het verleden leren ons dat oude en gebruikte Tweakers-accounts gewild zijn bij oplichters, zodat hun advertenties betrouwbaar overkomen en ze meer slachtoffers kunnen maken voordat ze tegen de lamp lopen.

Meer informatie over No More Leaks lees je op de site van de politie: https://www.politie.nl/onderwerpen/no-more-leaks.html.

Bugfixes moderatierechten

Nadat we vorige week de nieuwe flow voor het activeren van moderatierechten live hadden gezet, kwam er een aantal bugmeldingen binnen. De volgende bugs hebben we na de livegang gefixt.

  • In bepaalde mobiele weergaven werd een inactieve knop getoond bij het doorlopen van de instructies.
  • Bij het modereren van een reactie die in de tussentijd al verwijderd was, werd geen duidelijke foutmelding getoond.
  • Op de profielpagina werd de gemiddelde reactiescore weergegeven met één decimaal achter de komma. Om verwarring over de eisen te voorkomen, is dat nu aangepast naar drie decimalen.
  • De omschrijvingen van reactieniveaus onder artikelen en in de lay-outinstellingen zijn gelijkgetrokken met de omschrijvingen in de moderatiepop-up.

Servers- en netwerkwerkzaamheden

Zeven jaar geleden hebben we voor het laatst serieus aan het netwerk voor de servers gewerkt. De apparatuur die we toen hebben geplaatst, is al weer gedeeltelijk vervangen, met name de Fortinet-firewalls zijn allemaal vervangen door een nieuwere versie. Het netwerk zelf is echter sinds die .plan niet meer wezenlijk veranderd, op de toevoeging van twee Netgear-switches voor Hardware Info na.

Dit alles heeft als gevolg dat ons netwerk uit switches van vier verschillende leveranciers bestaat, met verschillende snelheden en aansluitingsmogelijkheden. Verder zitten de 10Gbit-switches met 24 poorten helemaal vol en kunnen we geen nieuwe servers meer aansluiten. Samen met Quanza hebben we daarom een plan gemaakt om dit allemaal gelijk te trekken en op woensdag 28 september zijn de eerste (management- en back-up-) switches in het rack gehangen. Meer hierover volgt binnenkort, maar bij deze een sneakpreview:

Tweakers netwerk preview
En nu hangen er vijf leveranciers in onze racks.

En verder

  • Het gebruik van Tweakers-smileys in je biografie was stuk. Dat werkt nu weer.
  • Het geven van een rating in V&A naar aanleiding van je eigen advertentie kon van invloed zijn op hoeveel karma je met die advertentie verdiende, zowel positief als negatief. Dat telt nu niet meer mee.
  • Je ziet nu ook als je geen toestemming hebt gegeven voor de embedded weergave van YouTube-video's, de titel en placeholderafbeelding in redactionele artikelen. Zo heb je meer inzicht in waar de video over gaat.

YT embed placeholder

Lees meer

Reviewvernieuwing en No More Leaks-automatisering - Development-iteratie #255
Reviewvernieuwing en No More Leaks-automatisering - Development-iteratie #255 .Plan van 20 maart 2023
Pricewatch-prijsdalers en uitfasering Plus - Development-iteraties #246/247/248
Pricewatch-prijsdalers en uitfasering Plus - Development-iteraties #246/247/248 .Plan van 13 december 2022
Forumherindeling Beeld en geluid en dealsfilter - Development-iteraties #244/245
Forumherindeling Beeld en geluid en dealsfilter - Development-iteraties #244/245 .Plan van 31 oktober 2022
Aanpassingen moderatiesysteem - Development-iteraties #241/242
Aanpassingen moderatiesysteem - Development-iteraties #241/242 .Plan van 22 september 2022
Wij willen een vriendelijker Tweakers
Wij willen een vriendelijker Tweakers .Plan van 21 september 2022
Nieuwe moderatiepop-up en een afscheid - Development-iteratie #239/240
Nieuwe moderatiepop-up en een afscheid - Development-iteratie #239/240 .Plan van 18 augustus 2022
Meer producten en artikelen
Webdevelopment

Reacties (74)

-Moderatie-faq
74
72
55
4
0
14
Wijzig sortering
ShadLink 3 oktober 2022 09:09
Dus in feite worden e-mailadressen en wachtwoorden (of statistieken hiervan) nu bij de politie/overheid opgeslagen? Dat lijkt mij een gigantisch privacy-probleem.

Waarom kiezen we niet, zoals veel bedrijven tegenwoordig doen, voor een passwordless systeem? Wachtwoorden zijn onveilig, dus het beste is om er helemaal vanaf te stappen. Je hebt nu al bv systemen met authenticators van Microosft of het nieuwe Passkey systeem van Apple.
Kees BOFH @ShadLink3 oktober 2022 09:24
Dus in feite worden e-mailadressen en wachtwoorden (of statistieken hiervan) nu bij de politie/overheid opgeslagen? Dat lijkt mij een gigantisch privacy-probleem.
Klopt inderdaad, de politie komt deze gegevens tegen tijdens hun werk omdat criminelen er gebruik van maken. Dit moeten ze dan sowieso bewaren omdat het bewijs is.

Om maar een voorbeeld uit de praktij te nemen waar ik ervaring mee heb: Iemand probeerde met heel veel verschillende accounts op Tweakers in te loggen, elke keer 1 poging op een mailadres + wachtwoord. Ik kon de dader identificeren, maar omdat dat niet genoeg is, is de politie bij hem/haar op de koffie geweest en heeft al hun apparatuur meegenomen. Op die apparatuur stonden veel mailadressen en wachtwoorden, en door die lijsten te linken aan de pogingen op Tweakers kon de politie weer een stukje bewijs leveren; de emailadressen waar een poging op werd gedaan stonden allemaal op de computer van de verdachte.

En daarnaast; wat maakt het uit dat de politie ze ook heeft? Deze gegevens zijn vrij eenvoudig te googlen als je weet waar je op moet zoeken. In het verleden heb ik ook wel eens naar zulke 'compilatielijsten' gezocht, en dan vind je al snel torrents met miljarden combinaties (niet allemaal van een even hoog nivo) alhoewel het hebben van dit soort plain-tekst lijsten an-sich tengenwoordig ook strafbaar is geloof ik. Als je gaat verbieden dat de politie dit soort lijsten heeft, en dat de 'good guys' geen lijsten met hashes mogen gebruiken om accounts te checken, dan blijven alleen criminelen over die dit soort lijsten hebben en vrij kunnen gebruiken.
kodak @Kees3 oktober 2022 10:06
Het gaat niet alleen om gegevens die eenvoudig te googlen zijn. Maar dat ze misschien makkelijk te vinden zijn is niet relevant. Het gaat er om dat ze verwerkt worden.

Het probleem voor privacy is natuurlijk niet dat anderen die je hoort te kunnen vertrouwen je persoonsgegevens verwerken, maar dat het te vaak mis gaat. Maar daar bestaat iets anders voor, persoonsgegevens horen bijvoorbeeld niet zomaar voor iedereen toegankelijk te zijn en niet langer dan nodig verwerkt te worden.

Wat mij alleen niet duidelijk is, is hoe lang de bedrijven die aan dit project mee doen die nogal persoonlijke gegevens mogen verwerken, zeker als er geen overeenkomst met gegevens van klanten is.
Kees BOFH @kodak3 oktober 2022 10:14
Wat betreft het laatste punt: Wij (en andere bedrijven) krijgen geen persoonsgegevens zoals maialdressen en wachtwoorden van de politie. De hashes die wij krijgen kunnen wij niet terugleiden naar persoonsgegevens tenzij wij een 'hit' krijgen, en op dat moment hebben wij inderdaad tijdelijk de kennis dat een combinatie van e-mail adres en wachtwoord eerder gelekt is op het internet en in handen is van criminelen.

Overigens hadden wij daarvoor ook al (afentoe, en tijdelijk) toegang tot die gegevens, alleen wisten wij niet of ze veilig waren. Elke keer als je inlogt krijgen wij jouw emailadres en wachtwoord binnen op onze servers zodat wij die kunnen verifieren met het emailadres en gehashte wachtwoord dat wij in onze database hebben staan.

[Reactie gewijzigd door Kees op 23 juli 2024 02:15]

Olaf van der Spek @Kees3 oktober 2022 10:57
Elke keer als je inlogt krijgen wij jouw emailadres en wachtwoord binnen op onze servers zodat wij die kunnen verifieren met wat wij (ook gehashed) in onze database hebben staan.
Email adressen worden gewoon als tekst (niet gehashed) opgeslagen toch?

[Reactie gewijzigd door Olaf van der Spek op 23 juli 2024 02:15]

Kees BOFH @Olaf van der Spek3 oktober 2022 10:59
Klopt, omdat we de emailadressen ook gebruiken om bijvoorbeeld notificaties en prijsalerts te sturen, als dat een hash zou zijn dan zouden we alleen je mailadres hebben op het moment dat je inlogt. Ik zal even verduidelijken dat we alleen het wachtwoord gehashed opslaan.
Mangu429 @Kees3 oktober 2022 14:56
Deze gegevens zijn vrij eenvoudig te googlen als je weet waar je op moet zoeken.
Contradictio in terminis.
Rabb @Mangu4294 oktober 2022 08:44
Zoek op het email adres, vind het wachtwoord en vice versa. Je hoeft niet op beide te zoeken om ze te vinden.
crisp Senior Developer
@ShadLink3 oktober 2022 09:14
De politie levert hashes aan van (hun) bekende gelekte username/e-mail-wachtwoordcombinaties. Deze downloaden wij en wij checken hier lokaal op. Er wordt verder niets met de politie gedeelt, op wat statistieken na over het aantal positieve hits.
ShadLink @crisp3 oktober 2022 09:22
Ja, maar alleen het aanleveren van positieve hits is al voldoende. De politie kent de hashes, en ze kennen ook de originele data (verkregen via hacks). Stel de politie levert 10.000 records aan, en je statistieken geven aan dat er 9000 hits zijn. Dan heeft elk e-mailadres + wachtwoord 90% kans van dat het in de Tweakers database voorkomt.
Nou doe dit bij alle grote sites en het wordt voor de politie héél eenvoudig een profiel van een e-mailadres te maken.
ACM Software Architect
@ShadLink3 oktober 2022 09:32
De statistieken die wij bewaren is letterlijk 2 cijfers per dag.
- Het aantal keer dat we kijken of een combinatie in de lijst voorkomt
- Het aantal keer dat ie daadwerkelijk in de lijst staat

Dus niet per hash die cijfers, maar het totaal. Daarmee is door de politie niets meer te achterhalen over welke hash dan bij ons bekend is.

De reden dat de politie die statistieken wil hebben, is domweg om te beoordelen of dit project succesvol is. Ze willen helemaal niet weten of de logingegevens van ShadLink bij Tweakers overeenkomen met die uit hun systeem.
crisp Senior Developer
@ShadLink3 oktober 2022 09:26
Die verhoudingen liggen veel verder uit elkaar; wat betreft het aantal hashes moet je denken aan miljoenen, en aantal hits aan tientallen op een dag.
pietje63 @ShadLink3 oktober 2022 09:27
Alleen zullen de percentages wat lager zijn, waardoor het wel een stuk lastiger is.

Heb je hier moeite mee, dan kun je jezelf eenvoudig wapenen door voor elke site een uniek wachtwoord te kiezen. Dat is sowieso aanbevolen, dus win-win.
drakiesoft @crisp3 oktober 2022 09:19
Daarmee impliceert je dat de politie de oorspronkelijke gelekte niet gehashte gegevens hebben.
crisp Senior Developer
@drakiesoft3 oktober 2022 09:22
Die zullen ze inderdaad in bezit hebben, waarschijnlijk deels uit de bekende bronnen, maar ook uit eigen bron.
drakiesoft @crisp3 oktober 2022 09:25
En hoe wordt de check gedaan? Via api richting politiedatabase of ontvangen jullie de gehele database en is de check intern?
crisp Senior Developer
@drakiesoft3 oktober 2022 09:30
Dat laatste :)
Gropah @drakiesoft3 oktober 2022 09:57
Dat zou niet per se moeten hoeven.

Als de politie gehashde data aanlevert en aangeeft op welke manier die hash is gemaakt, kan een afnemer van de hashes (zoals tweakers) haar gegevens op dezelfde manier hashen en vergelijken. Als er een match is, is de kans groot dat het een gecompromitteerd account is en kun je een reset afdwingen. Dan geeft de politie geen expliciete persoonsgegevens uit, maar kun je wel dit soort dingen afvangen.

edit: verkeerd gelezen, dacht dat er werd gesuggereerd dat tweakers ongehashde gegevens zou krijgen

[Reactie gewijzigd door Gropah op 23 juli 2024 02:15]

drakiesoft @Gropah3 oktober 2022 10:05
De hash wordt gedeeld met tweakers. Staat ook in het artikel. Waar ik het over heb is dat bij gelekte data het kan gaan om hashes of plain text gebruikersnaam of wachtwoorden die dan in het bezit zijn van de politie. De politie zou van de plain text bestanden hashes met jullie delen. Het is dus niet uitgesloten dat de politie nog databases in het bezit heeft van plain text gebruikersnamen en wachtwoorden.
Creesch @drakiesoft3 oktober 2022 09:27
Waarbij de context belangrijk is, de reden dat de politie deze zal bezitten is omdat deze op het internet staan als onderdeel van datalekken. Het is dus niet specifiek de politie die de data bezit, de script kiddie die naast je woont kan dezelfde dataset ook gedownload hebben.
TimDJ @crisp3 oktober 2022 09:20
Hoe vergelijken jullie die wachtwoord combinaties want ik neem aan dat jullie een andere hash hebben door gebruik van een andere salt? of doe je bij inloggen? Indien het laatste dan heb je dus pas statistieken als een groot deel van de gebruikers een keer is ingelogt?
crisp Senior Developer
@TimDJ3 oktober 2022 09:24
We doen de vergelijking inderdaad op de momenten dat wij (tijdelijk) beschikken over het ongehaste wachtwoord, zoals bij inloggen of wijzigen van het wachtwoord :)
Cristan @crisp3 oktober 2022 10:15
Je zou het ook pro-actief kunnen checken. Als een gebruiker op de site komt, kijk in de databases welke uitgelekte wachtwoorden een e-mailadres heeft die overeen komt met deze gebruiker en doe hier dezelfde check met de uitgelekte wachtwoorden als je zou doen als die persoon zou proberen in te loggen. Lukt dit? Dan komt het wachtwoord overeen en moet de gebruiker gewaarschuwd worden.

Het zal best wat CPU kracht kosten, maar je hoeft dit maar 1 keer te doen per uitgelekte set die jullie binnen krijgen. Zo weten de tweakers gebruikers een heel stuk sneller dat hun wachtwoord onveilig is en dat die zo snel mogelijk veranderd moet worden.
crisp Senior Developer
@Cristan3 oktober 2022 10:19
Nee, dat kunnen we niet. De hashes bestaan uit de combinatie van e-mail adres en wachtwoord. We kunnen dus niet kijken of er hashes zijn voor een specifiek e-mail adres.
.oisyn Moderator Devschuur® @crisp3 oktober 2022 11:19
Het is jammer dat ze er zelf zo geheimzinnig over zijn.
Om deze combolijsten met inloggegevens te kunnen delen, worden de inloggegevens gehasht met een sterk wiskundige algoritme. De precieze werkwijze van dit hashen kan hier niet worden gedeeld.
:z
.oisyn Moderator Devschuur® @crisp3 oktober 2022 09:30
Top! Ik vroeg me ook al af hoe dat was geregeld. Wellicht handig om dat in het artikel te vermelden, of een nieuw uitgebreid artikel te schrijven dat hierop in gaat, in het kader van full disclosure :)
NielsFL @ShadLink3 oktober 2022 13:40
Ik vind het vooral interessant te lezen dat Tweakers deze data krijgt, en deze kennelijk niet openbaar is.

Daarmee sta je als beginnende/kleine website meteen weer een stukje achter op de bestaande/grote concurrentie.
ACM Software Architect
@NielsFL3 oktober 2022 16:45
Het is mij niet duidelijk wat de plannen van de politie hieromtrent zijn en wellicht bij ook domweg nog niet.

Het is vziw op zich niet hun bedoeling dit voor e.o.a. eliteclubje exclusief aan te bieden; maar ze zitten zelf ook nog in een heel pril stadium van dit project. Dan zijn een paar grote websites met eigen technische teams wel handiger om mee samen te werken dan allerlei kleine partijtjes.

Tegelijkertijd is helemaal openbaar maken mogelijk ook niet hun bedoeling; dan kunnen criminelen tenslotte ook checken of ze exclusieve inloggegevens hebben weten te verkrijgen... Dat is ook wel terug te zien in het feit dat ze een 'convenant' laten ondertekenen door de partnersites.
No More Leaks @ACM4 oktober 2022 08:44
Om structureel politiegegevens aan derden te mogen verstrekken is een samenwerkingsverband nodig. Het convenant beschrijft dit samenwerkingsverband. Het betreft politiegegevens omdat de uitgelekte inloggegevens door de politie verwerkt zijn, daarmee worden het automatisch politiegegevens. Structureel wilt zeggen dat de politie meer dan éénmalig gegevens verstrekt.

No More Leaks is bedoeld voor iedere website die account takeovers en/of misbruik met uitgelekte inloggegevens wilt voorkomen. Wel moet gerealiseerd worden dat er op dit moment bijvoorbeeld geen API aangeboden wordt en deelname dus een eigen infrastructuur vereist. Ook het implementeren binnen een inlogsysteem vereist technische kennis.
T i M @ShadLink3 oktober 2022 09:10
Neen. Enkel de hashes van deze combinaties :)
drakiesoft @T i M3 oktober 2022 09:15
Dan ga je er vanuit dat ze de bron voor deze hashes verwijderd hebben?
Martinspire @drakiesoft3 oktober 2022 14:53
Maar die kunnen ze sowieso opslaan, want de gegevens zijn gelekt. En de politie hacken om data te verkrijgen die elders al op internet staat, is mijn inziens niet echt logisch.
drakiesoft @Martinspire3 oktober 2022 18:01
Privacywetgeving geldt hier volgens mij. Het gaat om dat ze iets doen met jouw persoonsgegevens zonder toestemming. Dat het elders ook beschikbaar is doet er niet toe. Tenzij voor de politie andere wetten gelden?
Martinspire @drakiesoft3 oktober 2022 18:20
Volgens mij heeft de politie nog altijd te maken met het beschermen van mensen. Je kunt je afvragen of dit eronder valt, maar ik verwacht dat er best een zaak van te maken is dat dit onder hun taak kan vallen. Het lek is gebeurd, daar doe je weinig aan, maar als je mensen daar niet van op de hoogte stelt, in hoeverre bescherm je de burger dan nog?
drakiesoft @Martinspire3 oktober 2022 18:39
Het punt is dat vanuit de politie niemand rechtstreeks van die gelekte databases op de hoogte is gesteld. Dat zou niet zo moeilijk kunnen zijn, want ze hebben reeds het email adres. Nu dus indirect een service bieden en dat daarmee dus gebruik gemaakt wordt van jouw illegaal verkregen persoonsgegevens zonder dat je de keuze krijgt om daar toestemming voor te geven. Als het om gedeelde gehashte gegevens gaat, dan nog weet ik niet of de oorspronkelijk databases met verkregen gegevens nog ergens op een server staan bij de politie.

De goede bedoelingen staan los van de wetgeving en ben gewoon benieuwd hoe dit zit. Wie o wie weet dit?
Stoelpoot @ShadLink3 oktober 2022 09:23
Ik heb nou nog nooit een passwordless systeem in de praktijk gezien. Vaak de optie, maar nooit een systeem waarbij je helemaal geen wachtwoord gebruikt.
Rabb @Stoelpoot4 oktober 2022 09:00
De bank met pin generator is volgens mij password less.
Stoelpoot @Rabb4 oktober 2022 16:03
Bij de Rabobank heb ik daar nog steeds het "wachtwoord" (pincode) van m'n pinpas nodig. De app op m'n telefoon ondersteunt wel biometrische verificatie, maar ook daarbij is een toegangscode de standaard die altijd blijft werken.
ACM Software Architect
@ShadLink3 oktober 2022 09:27
Dat deed de politie al, ze kwamen die data tenslotte tegen tijdens onderzoeken. De precieze ins en outs daarvan hebben ze niet met ons gedeeld, dus ook niet of er kale email+wachtwoordcombinaties bij ze bekend zijn of alleen (nog) deze hashes.

Maar dat betekent sowieso dat die combinaties dus al bekend zijn bij minimaal 1 (verdachte van) crimineel (gedrag).

Wat ze toegevoegd hebben is dat ze van die combinaties ook een hash delen met een aantal Nederlandse bedrijven, waaronder Tweakers, om zo het effect van misbruik ervan te beperken.
Verwijderd @ShadLink3 oktober 2022 09:35
Dat is nog steeds niet wachtwoordloos, want je wordt toch om je wachtwoord gevraagd als je iets wil met accountherstel of wanneer je een nieuw device opzet. Ik heb ook van alles wachtwoordloos of met Touch/FaceID, maar af en toe komt er toch iets wat m'n Apple of MS wachtwoord wil hebben.
DaFeliX Developer
@ShadLink3 oktober 2022 11:40
Overigens is passwordless ook niet het foutloos. Een recente hackaanval was mede mogelijk bij een bedrijf dat passwordless werkte: Je vulde je gebruikersnaam in en kreeg een push-notificatie op je telefoon om toegang te geven. De aanvaller bleef het systeem toen zo lang bestoken met login-aanvragen, totdat er 1 van de medewerkers toegang had gegeven aan de aanvaller. Wellicht omdat diegene toevallig zelf ook net bezig was met inloggen, of omdat hij de vele push-meldingen zat was.

Ik denk dat de combinatie gebruikersnaam/wachtwoord met een tweede externe factor (TOTP/hardware keys) een goede oplossing is voor de meeste bedrijven, maar ook dát biedt geen 100% veiligheid. De ultieme oplossing bestaat helaas niet.
ShadLink @DaFeliX3 oktober 2022 12:38
Dan is dat geen goed systeem. Enkel een notificatie is natuurlijk niet voldoende, ook moet er een cooldown zijn na een x-aantal aanvragen (5 bv). En bv bij Microsoft's systeem moet je een controlegetal geven.

[Reactie gewijzigd door ShadLink op 23 juli 2024 02:15]

kuurtjes @ShadLink4 oktober 2022 14:26
Je impliceert dat mensen geen probleem hebben om Microsoft en Apple te gebruiken.
ShadLink @kuurtjes4 oktober 2022 14:44
Het waren voorbeelden, je kan ook een geheel open source systeem opzetten voor authenticatie.
kuurtjes @ShadLink4 oktober 2022 16:16
Tegenover een wachtwoord invullen is dat overkill.

Verder ben ik natuurlijk voor de mogelijkheid om te kiezen hoe je inlogt.
Martinspire 3 oktober 2022 14:55
Uit interesse: hoe vaak wordt de data vanuit de Politie ontvangen en hoe vaak controleren jullie die hashes in jullie database? Moet ik dan denken aan een maandelijkse actie of vaker/minder
ACM Software Architect
@Martinspire3 oktober 2022 16:38
Dat eerste: geen vaste frequentie, hangt van de toegevoegde data aan hun kant af. En we moeten nog afwachten hoe dat in de praktijk uitpakt. Het is wel onze bedoeling dat we snel na een nieuwe release die ook lokaal overnemen.

Ik weet niet helemaal zeker wat je met het tweede deel bedoeld, maar voor de zekerheid:

er wordt bij iedere plek waar je je bestaande wachtwoord invoert of waar je een nieuwe mag invoeren gecontroleerd of die in combinatie met jouw e-mailadres er in staat. We kunnen het ook alleen dan controleren, want dat is het enige moment dat we tijdelijk de niet versleutelde versie van het wachtwoord hebben.
kuurtjes @ACM4 oktober 2022 14:28
Kan je iets kwijt over hoeveel hashes er al aangeleverd zijn en hoe snel het scannen gaat?
ACM Software Architect
@kuurtjes4 oktober 2022 14:39
Scannen is niet de juiste term hier. Er wordt alleen een query gedaan bij inloggen, registreren, etc, met de inloggevens die je dan meegeeft. En dan ook steeds maar één query (behalve bij wachtwoord wijzigen, dan een voor het huidige en een voor het nieuwe wachtwoord).

We doen een hele simpele select query, zoiets:
SELECT hash FROM compromised_hashes WHERE hash = 'theUserHashInbinary'

Komt daar resultaat uit, dan is er een match, komt er niks uit, dan dus niet.
Aangezien MySQL bij het uitvoeren van die query een (b-tree) index gebruikt op die hashes en er altijd maximaal precies één resultaat is, is dat heel snel. Dan praat je over maximaal enkele milliseconden.

Het totaal aantal hashes is in de honderden miljoenen en kost bij ons ongeveer 36GB aan opslag, maar de precieze cijfers laat ik even achterwege aangezien ik dat de Politie ook nergens publiek heb zien noemen :)
kuurtjes @ACM4 oktober 2022 16:19
Bedankt voor de info. :Y)
Martinspire @ACM3 oktober 2022 18:24
Ah, ik dacht even dat het een soort maandelijkse scan was, maar dit zit dus meer vast aan inlogpogingen en wanneer je sessie dus verlopen is of je op nieuwe devices inlogt. Met een check om het te controleren op dat moment. En die database draait dan weer als kopie bij jullie lokaal, waardoor het qua performance ook verwaarloosbaar is.

Dan begrijp ik het denk ik. Benieuwd of dit nog een ding wordt bij meer sites en of er nog andere diensten opkomen om dergelijke data te checken. Misschien wel beter dat dit dan vanuit de overheid komt, zodat je weet dat er niet een winstbejag aan vast zit.
Da Rock 3 oktober 2022 09:15
Ik had dan toch liever https://haveibeenpwned.com/ gebruikt voor dit soort zaken in plaats van de Nederlandse Politie die hun zaakjes zeker weten niet op orde hebben.
drakiesoft @Da Rock3 oktober 2022 09:21
Tja daarmee verifieer je jouw email adres bij deze partij. Wie is eigenlijk de eigenaar van deze bron data? Blijf voor mij nog steeds een vaag verhaal.
Da Rock @drakiesoft3 oktober 2022 09:38
Troy Hunt is de bedenker en oprichter van HaveIBeenPwnd. Hij staat bekend als een van de grootste en beste security specialisten.
drakiesoft @Da Rock3 oktober 2022 12:40
Troy Hunt is de bedenker en oprichter van HaveIBeenPwnd. Hij staat bekend als een van de grootste en beste security specialisten.
Zo goed is hij blijkbaar niet. Ik kan op de website onbeperkt email adressen checken zonder captcha of wat dan ook en met een beetje fatsoenlijk naam/ woordenboek generator daardoor bestaande "gepownde" email adressen extraheren.

[Reactie gewijzigd door drakiesoft op 23 juli 2024 02:15]

batjes @drakiesoft3 oktober 2022 15:53
En? Alles wat daar in die lijst staat, is al publiekelijk bekend. Dan kan je beter de pastebins of torrents met die gegevens binnen trekken.
drakiesoft @batjes3 oktober 2022 17:55
Het lijkt me dat de site de zaakjes niet goed voor elkaar heeft. Een captcha was hier op zijn plaats geweest. Datde gegevens elders gevonden zouden kunnen worden doet er niet toe.

[Reactie gewijzigd door drakiesoft op 23 juli 2024 02:15]

Kees BOFH @drakiesoft3 oktober 2022 09:31
Nee, ook bij haveibeenpwned deel je geen gegevens met een derde partij. havibeenpwnd werkt volgens mij met een api waarbij jij lokaal een hash maakt van een usernaam/emailadres+wachtwoord en dan bij haveibeenpwnd aan de hand van de eerste 5 characters van die hash een lijst met hashes opvraagt en dan lokaal weer checked of de hash die jij hebt in die lijst voorkomt.

Dus haveibeenpwnd heeft geen idee of er uberhaubt een hit is geweest, ze hebben mischien wel 20000 hashes opgestuurt naar de website, maar ze weten niet of 1 daarvan de correcte was, en zoja welke, en aangezien er in theorie miljoenmiljarden hashes zouden kunnen zijn weten ze echt helemaal niets over de originele gegevens.

[Reactie gewijzigd door Kees op 23 juli 2024 02:15]

.oisyn Moderator Devschuur® @Da Rock3 oktober 2022 09:38
Wat een vreemd statement. Het niet samenwerken voorkomt niet dat de politie zijn zaken niet op orde heeft. Het verandert dus niets aan de situatie. Samenwerken met de politie zorgt er daarentegen ook voor dat je ze enigszins kan sturen. Daarnaast kun je relevante gebruikers alarmeren bij een evetueel door de politie ontdekt datalek. Waarom zou je dus niet samenwerken?
Da Rock @.oisyn3 oktober 2022 09:46
De politie heeft zelfs bevestigd dat hun systemen zeer verouderd zijn. Daarnaast worden er miljoenen euro's in ICT projecten gepompt waarvan 80% als nog mislukt. Ik zou niet willen samenwerken met een partij waarvan ik zie dat de systemen niet op orde zijn. (Ik werk zelf in de ICT en voornamelijk beveiliging) Zeker niet omdat Tweakers wel systemen heeft die op orde zijn en dan met een partij in zee gaan die vise versa heeft.
Cloud @Da Rock3 oktober 2022 11:40
Dát de politie systemen heeft die verouderd zijn betekent niet dat dus alle systemen van de politie verouderd zijn hè. Die veroudering zal vooral zitten in de systemen die ze al heel lang gebruiken voor taken die ze al heel lang hebben.

Ik kan me niet voorstellen het achterliggende systeem voor dit redelijk nieuw project is nu al verouderd is. De manier waarop het geïmplementeerd lijkt te zijn vanuit het perspectief van Tweakers is ook niet erg raar. Dus ik zou niet weten waarom Tweakers dan al bij voorbaat zou zeggen dat ze niet met de politie samen willen werken. Dan doen ze hun gebruikers echt tekort :)
locke960 @Da Rock3 oktober 2022 09:26
Waar ben je precies bang voor? Dit zijn gegevens die de politie gedurende hun werkzaamheden aantreft. Met andere woorden, ze liggen al op straat, je veiligheid is al gecompromitteerd.

Hoeveel erger kan het worden als de politie die gegevens, in gehashte vorm, deelt met een aantal websites? Zoals ik het zie:
voordeel: je kan gewaarschuwd worden.
nadeel: De hashing wordt gehacked, of de politie maakt een fout: nu weten een paar mensen meer jou wachtwoord. Maar gecompromitteerd was je al. Nu weet je het tenminste.

[Reactie gewijzigd door locke960 op 23 juli 2024 02:15]

ACM Software Architect
@Da Rock3 oktober 2022 09:39
Het grote verschil tussen haveibeenpwned en deze dataset van de politie, is dat haveibeenpwned alleen een API biedt om te testen of het wachtwoord al een keer in een eerdere hack is uitgelekt.

Het is niet mogelijk om te controleren of de combinatie van email+wachtwoord daarin staat. Dat geeft dus wat meer kans op false positives en maakt het minder aantrekkelijk om bijvoorbeeld inloggen helemaal te verbieden (aka eerst je wachtwoord veranderen via de wachtwoordreset-functie).

[Reactie gewijzigd door ACM op 23 juli 2024 02:15]

corset 3 oktober 2022 11:54
Ik zie een reactie van @Kees en moet toch even reageren,

Dat vind ik wel echt een heel, heel slecht argument..
Deze gegevens zijn vrij eenvoudig te googlen als je weet waar je op moet zoeken
Als iemand die tijdenlang in een medische omgeving zijn werk heeft gemaakt van privacy, is dit wel echt de ultieme Professionele variant op "Ja maar als je niks hebt te verbergen is er toch geen probleem?"

Hieronder lees ik heel leuk dat er Hashes gedeeld worden, en dat zou perfect zijn. Echter in hoeverre moeten we hierop vertrouwen? In het artikel staat namelijk dat er gebruikersnamen gedeeld worden, niet hashes. Zo'n verduidelijking zou binnen Tweakers wel het minste zijn.

Ik mis heel veel verduidelijking in dit artikel, heel veel feitelijke data. Het is vooral emotie geroep "Dit gaat zoveel helpen!" "Het wordt allemaal handiger"

Maar:

geen feiten over hoe de data wordt verstuurd/opgeslagen (Zou niet de eerste keer zijn in mijn ervaring dat gevoelige data naar de politie gaat via Dropbox/WeTransfer)
geen gegevens wat het oplevert/hoeveel sites hier al baat bij hebben gehad.

Het is allemaal veels te vaag, en juist die verdieping mis ik in dit soort artikelen. Minder inspelen op emotie, meer objectiviteit.
Kees BOFH @corset3 oktober 2022 12:54
Als iemand die tijdenlang in een medische omgeving zijn werk heeft gemaakt van privacy, is dit wel echt de ultieme Professionele variant op "Ja maar als je niks hebt te verbergen is er toch geen probleem?"
Ik zeg juist: Je hebt wel iets te verbergen, maar dat verbergen is mislukt, en dus is het geen slim idee om die geheimen nog verder te gebruiken. De politie heeft vanwege diverse onderzoeken deze lijsten ook al en om te voorkomen dat er misbruik van word gemaakt delen zij die met bedrijven.

De vraag is dus eerder of de politie deze data die van specifieke onderzoeken afkomstig zijn voor een ander doel mag gebruiken dan opsporing en veroordeling in die onderzoeken. Waarbij het doel is om misbruik van die lijsten te voorkomen en 'het publiek' beter te beschermen.

[Reactie gewijzigd door Kees op 23 juli 2024 02:15]

No More Leaks @Kees3 oktober 2022 16:25
De data die de politie in het kader van No More Leaks verwerkt, mag uitsluitend gebruikt worden om misbruik met uitgelekte inloggegevens te voorkomen. De data in No More Leaks mag niet voor opsporing gebruikt worden.

[Reactie gewijzigd door No More Leaks op 23 juli 2024 02:15]

crisp Senior Developer
@corset3 oktober 2022 12:07
In het artikel staat namelijk dat er gebruikersnamen gedeeld worden, niet hashes.
Waar haal je dat uit?

In het artikel staat:
We ontvangen gehashte e-mailadres-wachtwoordcombinaties die de politie rechtmatig heeft verkregen in het kader van haar opsporingsbevoegdheid. Deze gebruiken wij om te controleren of de gegevens overeenkomen met e-mailadressen van mensen met een Tweakers-account. We geven verder geen persoonsgegevens door aan de politie; we delen met de politie alleen statistieken van het aantal hits voor het meten van de effectiviteit van No More Leaks.
In de comments verduidelijken we nog eens dat we deze hashes puur en alleen aan onze kant controleren, en er daar dus geen communicatie is met de politie. Uiteindelijk rapporteren we alleen dat van de x-duizend checks er y een match hadden (maar niet op welke hashes, puur de aantallen).
ACM Software Architect
@corset3 oktober 2022 14:54
geen feiten over hoe de data wordt verstuurd/opgeslagen
Los van dat het wellicht technisch interessant is, waarom vind je dat we dit per se hadden moeten melden?

Het is een hash, er zijn maar weinig manieren waarop je dat op een universele manier kunt delen. De data wordt aangeleverd met die hashes in een gecomprimeerd txt-bestand waar ze per stuk op losse regels in hexadecimaal staan.

Wij slaan die op in een tabel met 1 kolom in onze centrale mysql-database. En dat met datatype "binary" (ipv hex-string), zodat het relatief compact (hoewel de tabel alsnog 36GB nodig heeft) en snel te doorzoeken is.

Hoe de politie het aan hun kant heeft opgeslagen en wat ze wel/niet met de 'ongehashde' varianten doen weten wij ook niet.
(Zou niet de eerste keer zijn in mijn ervaring dat gevoelige data naar de politie gaat via Dropbox/WeTransfer)
Hoewel email+wachtwoord als losse data gevoelig is, zou ik zelf de hash van die combinatie niet meer als gevoelig kwalificeren. Overigens gaat het niet via dropbox/wetransfer ;)
geen gegevens wat het oplevert/hoeveel sites hier al baat bij hebben gehad.
Het is net geïmplementeerd... we hebben nog geen cijfers van wat het oplevert. Voor de andere partners; dat is aan de Politie om te melden, niet aan ons. Maar besef daarbij wel dat het ook voor de politie nog heel nieuw is, dus die kunnen daar ook nog weinig zinnigs over zeggen. Bovendien willen ze blijkbaar daar vooralsnog terughoudend in zijn gezien de summiere informatie op hun publieke informatiepagina's.
AW_Bos 3 oktober 2022 10:35
Mooi ontwikkelingen met de wachtwoorden. Is er inmiddels ook voortgang met het Wysiwyg-editor project?
crisp Senior Developer
@AW_Bos3 oktober 2022 11:16
We hopen het wysiwyg-project eerdaags weer te gaan hervatten. Het was even op de plank gelegd ivm andere urgentere projecten.
G_Dragon 3 oktober 2022 09:14
Bedankt voor alle verbeteringen en inzet voor de toekomst! Extra veiligheid is altijd welkom in deze tijd waar er steeds vader Cyberaanvallen plaatsvinden, ik hoop het nooit meer te maken dat mijn account gehackt word.
Rud5G 8 oktober 2022 23:22
Is het voor de normale webshop mogelijk om zich bij dit project "no more leaks" aan te melden, uiteraard indien er iemand is met voldoende technische kennis?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq