Nieuws
image

32 miljoen Facebook en MySpace wachtwoorden gestolen

woensdag 16 december 2009, 16:38 door Redactie, 12 reacties

Aanvallers zijn erin geslaagd om via SQL-injectie de wachtwoorden van 32,6 miljoen Facebook en MySpace gebruikers te bemachtigen. De kwetsbaarheid trof alleen gebruikers van de sociale netwerksites die ook widgets van RockYou gebruikten. Niet alleen was de website van RockYou lek, voorheen bekend als RockMySpace, maar waren de wachtwoorden als platte tekst opgeslagen. Uit voorzorg wordt gebruikers geadviseerd om het wachtwoord van MySpace en Facebook, alsmede hun e-mail en andere online diensten te wijzigen. RockYou bewaarde in de database namelijk ook de inloggegevens van andere partnersites. De website zou tevens het gebruik van korte wachtwoorden van 5 tot maximaal 15 karakters hebben toegestaan, wat de beveiliging ook niet ten goede komt, maar in het geval van het opslaan als platte tekst niet veel uitmaakt.

Talloze mensen gebruiken nog altijd dezelfde inloggegevens voor verschillende accounts, waarschuwt Imperva dat het lek bekend maakte. De aanval zou al veel eerder hebben plaatsgevonden. RockYou zegt zelf dat het op 4 december werd ingelicht dat de database was gestolen. Daarop werd de site uit de lucht gehaald en het SQL-injectie lek verholpen, maar de gegevens kon het niet meer redden.

Shitty shite
Na de blogposting van Imperva plaatste de vermoedelijke aanvaller een bericht online, met gegevens die tijdens de aanval zijn buitgemaakt. "Ik heb elk account van deze shitty site gedownload. Je was te langzaam, maar wat kan ik van je verwachten. Lieg niet tegen je klanten, of ik zal alles publiceren." Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

RockYou heeft inmiddels een verklaring online gezet en zal alle gebruikers via e-mail waarschuwen. "Zoals je weet neemt RockYou de privacy van onze gebruikers zeer serieus. We doen veel moeite om de gegevens van onze gebruikers tegen datalekken en aanvallen te beschermen." Opmerkelijk genoeg nam RockYou wel tien dagen de tijd om gebruikers te waarschuwen.

Reacties (12)
16-12-2009, 17:24 door Syzygy
Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

een soort single sign-on ;-) ??
16-12-2009, 17:28 door Anoniem
Het is schokkend om te zien hoeveel (grote) websites nog steeds passwords in plain-text opslaan. Er zou een wet moeten komen waarmee ik een schadevergoeding kan eisen van bedrijven die op deze manier mijn persoon schade berokkenen (voortkomende schade inclus). Dan zal het gauw afgelopen zijn met dit soort onzin.
16-12-2009, 21:09 door Anoniem
Precies.
Geef zo veel mogelijk van je gegevens aan ons om een goede match te kunnen maken met mogelijke vvvvvrienden op ons netwerk. Natuurlijk zitten al die gegevens netjes achter een gebruikersnaam en wachtwoord.
En om het je makkelijk te maken hoef je maar één keer in te loggen op onze site, waarna je op al onze partnersites ook ingelogd bent...

Dat hiermee de regel van de zwakste schakel geld. Tsja. Het is wel gratis!!
17-12-2009, 01:03 door Preddie
Door Syzygy:
Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

een soort single sign-on ;-) ??


ik denk dat het hier mensen betreft die hetzlfde wachtwoord voor meerdere systemen gebruikt...
17-12-2009, 02:51 door Anoniem
As we previously explained, one or more individuals illegally breached one of our databases that contained the usernames and passwords for about 32 million users in an unencrypted format. It also included these users' email addresses. This database had been kept on a legacy platform dedicated exclusively to RockYou.com widgets. After learning of the breach, we immediately shut the platform down to prevent further breaches.

Pff, wat een gepruts weer. Ze geven zelfs toe dat alles unencrypted is opgeslagen....

En ja, single-sign-on is natuurlijk nooit een goed idee geweest...
Maar dat is waarschijnlijk off-topic.
17-12-2009, 08:35 door Anoniem
slechte zaak, alweer een lekke site.
andere vraag: wat zijn betrouwbare mogelijkheden om je site op dit soort kwetsbaarheden te testen.
zover mij bekend is, escaped php standaard de meegegeven variablen, tenzij dit wordt uitgeschakeld.
en als je gegevens via externe sites binnenhaalt, moet je deze natuurlijk niet blindelings vertrouwen.
17-12-2009, 09:41 door Syzygy
Door Predjuh:
Door Syzygy:
Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

een soort single sign-on ;-) ??


ik denk dat het hier mensen betreft die hetzlfde wachtwoord voor meerdere systemen gebruikt...

DUHHHHHHHHHHHHHH !
17-12-2009, 12:52 door Anoniem
Door Syzygy:
Door Predjuh:
Door Syzygy:
Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

een soort single sign-on ;-) ??


ik denk dat het hier mensen betreft die hetzlfde wachtwoord voor meerdere systemen gebruikt...

DUHHHHHHHHHHHHHH !
//
LMAO!
17-12-2009, 18:02 door spatieman
32 miljoen ???
hoeveel users hebt facebook??
22-12-2009, 17:15 door nellistik
Wie kan me helpen .... Denk dat ik 1 van de 32miljoen ben . ben al 3 weken bezig om mijn wachtwoord te resetten maar krijg geen e-mail met bevestiging code van het facebook team. Wat moet ik nu doen om weer bij mijn vrienden te komen op mijn facebook?
23-12-2009, 16:18 door Anoniem
Door Predjuh:
Door Syzygy:
Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

een soort single sign-on ;-) ??


ik denk dat het hier mensen betreft die hetzlfde wachtwoord voor meerdere systemen gebruikt...
Nee, het is namelijk zo dat RockYou veel met andere sites samenwerkt... en zo zal het dus ook wachtwoorden hebben, die voor andere sites gebruikt zijn.
16-07-2010, 15:52 door Anoniem
Hoe dom wil je zijn om zo veel informatie over jezelf te geven ;p
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure