image

Sex06.nl lekt privégegevens 1000 Nederlanders

dinsdag 22 mei 2012, 09:25 door Redactie, 13 reacties

Een aanvaller heeft de Nederlandse sexsite Sex06.nl gehackt en daarbij de privégegevens van duizend Nederlanders buitgemaakt. Deze gegevens zijn vervolgens op Pastehtml geplaatst. Het gaat om telefoonnummers, e-mailadressen, met MD5 gehashte wachtwoorden (ongesalt), gebruikersnamen, woonplaatsen en IP-adressen.

Op Sex06.nl, is zelf niets over het lek te vinden. De website zegt tussen de 10.000 en 15.000 bezoekers per maand te krijgen.

Reacties (13)
22-05-2012, 09:44 door Nimrod
Krijg je ervan als dit soort beunhazen websites gaan maken:

http://jorinda-webdesign.nl/
22-05-2012, 10:05 door Anoniem
handig, website is nog steeds online en account wachtwoorden zijn niet gereset.
22-05-2012, 11:21 door yobi
Ik vermoed weer een sql-inject. Het vereist tegenwoordig weinig kennis met tools als havij en sqlmap. Even een url van de site invullen en de parameters goed zetten. Het programma doet dan de rest.

Het zou fijn zijn als de webdesigners deze tools ook uitproberen op door hun ontwikkelde pagina's.
22-05-2012, 11:50 door Anoniem
Tools zijn niet zaligmakend; je moet wel enige kennis hebben van zaken ipv naar tooltjes los te laten op je website en zo schijnveiligheid te creeeren.
Mensen moeten leren hoe ze hun website moeten beveiligen ipv een tool te gebruiken om te kijken of er iets te vinden is.
Het is een beperkt hulpmiddel, niks meer - niks minder.
22-05-2012, 11:55 door Anoniem
http://pastehtml.com/view/byocdssni.html

wordt door Sophos geblokkeerd:

Location: pastehtml.com/view/byocdssni.html
Access has been blocked as the threat Mal/HTMLGen-A has been found on this website.
22-05-2012, 12:27 door Patio
@Redactie: Wat betekent ongesalt? Ik dacht eerst 'ongezouten', maar dat past niet echt in deze context
22-05-2012, 12:33 door BaseMent
ja, ongezouten. Salting kan je doen als gebruiker, maar ook als systeembeheerder kan je dat doen. Dat dus alle hashes bij het hashen voorzien worden van een paar extra tekens waardoor het lastiger wordt een hash terug te vinden in tabellen met reeds bekende hashes (snap je het nog?)

Kijk voor een uitleg op:

http://nl.wikipedia.org/wiki/Salt_(cryptografie)

Of een iets langer stukje uitleg op:

http://en.wikipedia.org/wiki/Salt_(cryptography)
22-05-2012, 12:49 door Patio
Dank je, BaseMent. Handige links.

Een mens is nooit te oud om iets te leren, zoals nieuwe 'Nederengelse' werkwoorden en het verbuigen ervan. Hashen, hashde (of hashte?), gehash{d|t}, salten, saltte, gesalt... Is het nog bij te houden voor de oudere leraren Nederlands?
22-05-2012, 15:07 door BaseMent
oke dan, ik zal het proberen eenvoudig uit te leggen.

Een hash is een getal (soort van!) dat iets zegt over een tekenreeks (bestand of wachtwoord).
Het mooie ervan is, is dat je vanuit een hash niet de orginele tekenreeks terug kan maken. Een hash zegt dus wel iets over een tekenreeks, maar zegt niet wat de tekenreeks is (vergelijk met een auto die je door een versnipperaar heen haalt, de grootte en samenstelling van de berg gruis zegt wel iets over de auto, maar terugmaken lukt je niet).
De berekening (versnipperaar) die gebruikt wordt om een hash te maken is publiek.
Als jij de tekenreeks dus weet, en de berekening over de tekenreeks uitvoert, krijg je altijd dezelfde hash terug.

Veelgebruikte manieren om een hash te maken zijn bijvoolbeeld MD5 of beter SHA1.
http://nl.wikipedia.org/wiki/MD5
http://nl.wikipedia.org/wiki/SHA-familie

Let op: de berekening werkt echt maar één kant op. De hash zegt dus iets over de tekenreeks, maar deze kan niet teruggemaakt worden. Dat lijkt allemaal redelijk veilig, en dat is het ook.
Alleen, als jouw wachtwoord 1234 is, en de hash zou 5678 zijn, dan kan je die hash tegenwoordig terugvinden in tabellen op het Internet. Vooral als het een wachtwoord is dat eenvoudig te raden is (zoals 1234).
Vandaar de salt. De website voegt nu aan ieder wachtwoord automatisch en altijd die salt toe en daarmee wordt de hash anders.
dus: wachtwoord "1234" + salt "abcd" = hash "32fr".
Daarom is de salt best belangrijk, hij maakt hashes weer uniek en moelijk terugzoekbaar in databases.

De website hoeft je wachtwoord niet te weten, maar wel de hash. Want iedere keer dat jij inlogt en je wachtwoord inklopt, wordt de hash berekend, en als die hetzelfde is als degene die opgeslagen is, is je wachtwoord dus goed.
22-05-2012, 15:29 door Anoniem
Encryption vs Hashing for dummies:
http://www.youtube.com/watch?v=FYfMZx2hy_8
22-05-2012, 16:15 door Anoniem
Dus als je "12345678" eerst hashed met aaaa, dan aaab, aaac, etc.... Dan kun je een match maken in de lijst om te kijken welke hash je nodig hebt? (er van uit gaat dat 12345678 in elke database wel een keer voorkomt).
23-05-2012, 12:39 door BaseMent
En dat is dus exact de reden dat je als server beheerder een salt zult willen toevoegen. De mensen die 12345678 als wachtwoord hebben gekozen zullen dan door de server voorzien worden van extra karakters zodat de hash toch niet meer herkenbaar is. Die salt kan van alles zijn, een letter, maar het zo ook zomaar een mooie volzin kunnen zijn.

Voorbeeld

De SHA1 hash van "12345678" is 7c222fb2927d828af22f592134e8932480637c0d. Tik dat maar eens in op google, dit is een bekende hash, 600 resultaten.
De SHA1 hash van "Wïj-gebruiken-een-salt-12345678" is f96d45f92619b140fb7bb79948c7a69933b2ed6d. Tik dat ook maar eens in op google, geen resultaten.

Voor de gebruiker maakt het niets uit. Die onthoudt alleen 12345678. En als je slim bent, ga je als gebruiker dit ook doen. Maar dat is net zo'n goed advies als afraden om 12345678 als wachtwoord te gebruiken.
22-07-2012, 17:10 door Anoniem
Ik ken de maker van de website niet.
Maar als ze je willen hacken doen ze het toch wel.
AZ.nl is ook gehackt youporn.com niet al te lang geleden ook.
Zijn wat bekendere websites die niet door dezelfde bedrijf/persoon gemaakt zijn dus
geeft al aan dat als ze je willen pakken ze het toch wel doen.
En of er nou wel of niet een salt gebruikt is het is tenminste verslueteld opgeslagen,
weet iemand nog de hack van een jaar geleden op het Playstation Network van Sony??

Alle wachtwoorden in plain text opgeslagen in de database.
Het is makkelijk om te zeggen beunhaas maar weet jij wat er gebeurd is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.