Hackers proberen Pepper-wachtwoorden te kraken
RTL waarschuwt gebruikers van datingsite Pepper.nl om hun wachtwoord te wijzigen, nu er aanwijzingen zijn dat er geprobeerd wordt de gestolen wachtwoord-hashes te kraken. Dit weekend wist anonieme internetbeweging AnonymousIRC de database van de datingsite te stelen en maakte die vervolgens via internet openbaar.
"We hebben de pepper.nl database al een tijdje in handen. Wilden het niet misbruiken, maar als wij het hebben, heeft iemand met slechtere
bedoelingen het ook. Het is daarom beter dat we je het vertellen", zo liet de groep via Twitter weten.
Wachtwoorden
In de databases staan e-mailadressen, gebruikersnamen en gecodeerde wachtwoorden van ruim 53.000 mensen. RTL, dat eigenaar van de website is, waarschuwde de gebruikers via e-mail, maar liet weten dat de gepubliceerde inloggegevens "onbruikbaar" waren. "Dus buitenstaanders kunnen niet inloggen op jouw account en uit jouw naam handelingen verrichten." Toch kreeg men het advies een nieuw wachtwoord te kiezen.
Dat advies werd gisteren herhaald, mede vanwege het kraken van de hashes. "De gedecodeerde wachtwoorden zijn onbruikbaar, maar wij hebben aanwijzingen dat er via internet wordt geprobeerd om de wachtwoorden te decoderen."
Profielen
Verder meldt RTL dat er geen profielen zijn gelekt, iets dat via Twitter beweerd werd. Het mediabedrijf zegt dat het op dit moment met man en
macht met de autoriteiten samenwerkt om te onderzoeken waar het is misgegaan en hoe het verdere schade kan voorkomen. Betalende klanten
krijgen in ieder geval hun geld terug.
In het tekstbestand met 53.648 gebruikers vond Security.nl ook een e-mailadres van het Ministerie van Defensie. Eerder werden ook al vijftien andere e-mailadressen van Defensiepersoneel in een gelekt databestand aangetroffen.
leuk dat in samenwerking met de ing ontwerp fail waarmee je prive gegevens kon achterhalen mhua ben benieuwd hoeveel INGers er in mn buurt wonen met een dating account
Sjonge jonge,
Wat heeft het nou voor nut om zonder reden al die info op straat te gooien van een ander?
Beetje zieke actie van dat groepie!
a) de reactie van pepper.nl dat de gebruikers zelf maar door moeten krijgen dat ze hun wachtwoord (bij pepper.nl EN andere diensten waar ze deze ook gebruiken) maar beter kunnen wijzigen;
b) dat pepper.nl de oude wachtwoorden ongeldig maakt en via de mailadressen een URL geeft waar de ontvanger van de mail een nieuw wachtwoord moet instellen.
Ik zeg a), pepper.nl geeft al aan dat het niet zeker is dat de wachtwoorden niet achterhaald zullen worden maar er is genoeg tijd om de gebruikers die werkelijk actief zijn verplicht een nieuw wachtwoord in te laten stellen. Nadeeltje: wat als de aanvaller met hetzelfde wachtwoord kan inloggen op het mail account... tja, dat is voor risico van die gebruiker - het is niet slim om credentials op meerdere plaatsen hetzelfde te hebben.
Verplicht leesvoer voor iedereen die iets met gevoelige gegevens doet.
Conclusie van het artikel is om geen hashes te gebruiken voor een wachtwoord, maar _echte_ encryptie! Zo wordt het stukken moeilijker om een gelijkende waarde te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
