Onzin, reclamestunt om zoveel mogelijk tools te verkopen die ineens al beschikbaar is. Geloof er geen hol van.

Ow ja, wij van wc eend.. gebruik ons tooltje en het komt allemaal goed.. Zal best dat er gegevens van sites lekken door sql injection maar als je site zo brak is heb je 't ook aan jezelf te danken.

iets uitgebreider: http://q13fox.com/2014/08/05/internet-scare-1-2-billion-user-names-passwords-stolen-by-russian-gang/

nog uitgebreider: http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html?_r=0

Het is erger: "wil je weten of jouw account in de lijst staat, betaal ons dan $10 per maand."

Peter

Heerlijk dit, geef ze groot gelijk en top gedaan en nu ook even uploaden op het internet dan hebben we der allemaal wat aan want ja de meesten nemen toch geen andere mailadres en zijn ook nog een zo simpel om niet hun wachtwoord te veranderen onder de mom van ze weten toch al alles!

En voor de getroffen websites ik hoop dat die lijst snel online komt kunnen we eens zien welke fappers het niet begrijpen want het is behoorlijk bekend dat je de zaakjes moet fixen voor dat een idioot langs komt en je database gaat plunderen, alleen vind ik het wel sneu voor de slachtoffers die hebben hier niet om gevraagd.

Online checking tools ?


* Wat behelst de tool dan?
Ze is er nog niet maar je kan je er wel alvast voor inschrijven, dan kom je op de volgende pagina;

http://www.holdsecurity.com/services/deep-web-monitoring/hold-identity/

Terms of service pagina (je wil toch even zien waarmee je akkoord zou moeten gaan niet?)
Klikje en een pagina verder;

http://www.holdsecurity.com/services/deep-web-monitoring/hold-identity/tos/

Een password protected terms of service??
Nieuwe manier om klanten ongelezen akkoord te laten gaan? (Zie geen captcha functie of iets dergelijks) Dat hoeft zo toch helemaal niet.
Succes verzekerde aanrader : doe nou maar een "ja! Akkoord!"-vinkje ergens, succes verzekerd voor ongelezen akkoord door vrijwel elke potentiële gebruiker (dagelijkse praktijk).
Nu gaan 'we' waarschijnlijk niet (meer) blindelings akkoord.

Maar goed, mijns inziens een veel belangrijker punt om in 'de groep te gooien' is het volgende :


* Gezonde Paranoia : Argumenten tegen en rondom online checkers van persoonsgegevens - Privacy!

- Helpt het gebruik van de tool tegen iets wat zeer waarschijnlijk al gebeurd is?
(kans van 1 op 15/30 .?.? dat je ertussen zit?)
Nee, je draait het er niet mee terug.
Krijg jij of je vrienden ineens meer spam van een adres dat van jou is is dat ook wel een indicatie in dit geval.

- Maakt het uit of je een sterk of zwak password had als argument de checker te gebruiken en zodoende te beoordelen om wel of niet je passwords te veranderen?
Nee, want het zijn gestolen gegevens van websites die de beveiliging niet genoeg op orde hadden en de wachtwoorden dan waarschijnlijk ook niet beveiligd genoeg bewaarden.

- Wat helpt er wel tegen?
Direct werk maken van het veranderen van al je gebruikte passwords of dan toch in ieder geval van je belangrijkste accounts. Wanneer je passwords voor meerdere soorten online accounts gebruikte is er geen enkel excuus meer om niet voor alle (online/web) accounts je passwords te veranderen.

- Database, wat moet men ermee?
De database is al winst voor het bedrijf, bezit van data is geld (Er niets mee doen is niet meer van deze tijd en gebeurt waarschijnlijk ook niet, dus wel).
Maar het is in ieder geval ook winst voor een geïnteresseerde overheid van betreffende land dat vast wel ideeën heeft met welke bestempelde papieren verzoekjes het een kopie van alle data verplicht kan laten afstaan.

- Echter, de database is nu nog vervuild met onder meer niet meer actuele gegevens.
Dat is onhandig, maar gelukkig kom je met een online checker er zo achter welke adressen kloppen en nog actief zijn. Actuele data zijn veel waardevoller.
Ook, of eigenlijk vooral met name voor de partijen die daarna met interesse aankloppen.

- Wat kan een overheid nu met zo'n berg aan wachtwoorden die niet meer kloppen en veel email adressen?
Om te beginnen analyseren, analyseren, combineren en intern distribueren.
Verder vast vele interessante filters die je daarop los kan laten (filteren op gebruikers juist van sterke passwords bijvoorbeeld ;-) en combineren met andere gegevens.


* Geweldig eenvoudige en effectieve aanpak dus eigenlijk om nog veel meer gegevens te verzamelen (voor bedrijven en overheden).
Hoe groter de getallen hoe groter de aantrekkingskracht de tool te gebruiken, belangen kunnen ook groot zijn van de aanbieder. Hopelijk zit er geen verband tussen opgegeven aantallen en de waarde van het 'eigen'belang.

Heb de verschillende varianten de afgelopen jaren nu al een aantal keren langs zien komen, voor; emailadressen, accounts, Mac/apparaat id adressen.

Advies & overweging : Werk er niet aan mee, Doe het niet,
als je er niets mee opschiet, je geeft er alleen maar meer bruikbare persoons informatie mee weg !.

Wie bedankt wie voor welk service product ?
'Gratis'-service-alsjeblieft-dankuwel-nee-u-dankuwel-en-zeer-bedankt!,.. : een investering in een 30 dagen service aan 500 miljoen tot een miljard mensen draait niet op gratis, dat moet toch ergens weer terugverdiend gaan worden. Maar hoe?
Dat is eigenlijk niet de vraag, maar òf. Het antwoord is dàt het terugverdiend gaat worden en waarschijnlijk ben jij nogmaals (dubbel) het product (hoe goed en overtuigend de bedoelingen en argumenten verder ook zijn).


Zie ook de artikelen of de pagina's :
"YOU HAVE BEEN HACKED!"
http://www.holdsecurity.com/news/cybervor-breach/

"Russian Gang Amasses Over a Billion Internet Passwords"
http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html

prachtig, zelf gebouwde identificatie autenticatie systeempjes als onderdeel van een webapplicatie.
Wees dan niet verbaasd dat het via SQL injectie open kan komen. Als je pech hebt nog van een site die toevallig op de zelfde machine zit. Dat in het geval dat de provider te weinig beveiligings isolatie (sandboxes) heeft aangebracht.

Wat hadden we ook al weer gezegd over security moet bij het begin van het ontwerp meegenomen worden.
SAML lijkt een mooi initiatief http://en.wikipedia.org/wiki/SAML_2.0

Merkwaardig dat er ook in de Engelse artikelen geen tot weinig onderscheid gemaakt wordt tussen wachtwoord (dat wat je intikt) en hash code(dat wat een site opslaat). DIe afgeleide code (dus niet het wachtwoord zelf) is wat een site opslaat. De rovers hebben hash codes en login namen en dus geen wachtwoorden.

Als je een sterk wachtwoord hebt, of nog beter een random wacht zin van vijf of meer woorden afhankelijk van de te beschermen 'waarde', is de kans klein dat van de hash code weer een leesbaar wachtwoord gemaakt kan worden.

Vaak is dat kraken van wachtwoord hashes, als een sterk hash en langzaam afleiding algoritme word gebruikt, zelfs onmogelijk binnen redelijke tijd, behalve wat toevalstreffers. En daar wil je niet bijzitten, dus nog een reden een sterk wachtwoord of wacht zin te gebruiken.

Helder inmiddels,

Gaat om veel geld willen verdienen, een dik belegd boterham, een heel luxe slaatje slaan.
Toen dat op twitter werd opgemerkt en er vragen over werden gesteld werd kosten info van de website verwijderd en er vervolgens wat geflatteerder over de verplichte vergoedingen gesproken : "symbolical fee", " $10/month and $120/year".
Scareware in een nieuw jasje?

http://www.forbes.com/sites/kashmirhill/2014/08/05/huge-password-breach-shady-antics/

Sorry, ik kon het niet laten:
http://xkcd.com/327/
Een klassieker!

En Brian Krebs zit zogezegd in de advisory board van Hold Security, maar er niet over getweet of geblogd. Niet erg geloofwaardig.

Ik snap alle kritiek op Hold, maar als het daadwerkelijk klopt wat er in het originele artikel staat:

" These botnets used victims’ systems to identify SQL vulnerabilities on the sites they visited. The botnet conducted possibly the largest security audit ever. Over 400,000 sites were identified to be potentially vulnerable to SQL injection flaws alone."

...dan zou het allemaal ineens wel kunnen kloppen. Ik denk alleen niet dat het de bedoeling is om wachtwoorden buit te maken (vaak behoorlijk versleuteld = zelfs voor een botnet lastig), maar vooral om te kunnen spammen & scammen.

Ja, breng de boodschapper maar om, dat is wel zo makkelijk.

Het zou deze security firma eer aan doen, als als zij zouden vermelden wat het percentage hash codes is op de buitgemaakte zogenaamde wachtwoorden lijst. Dan zouden kranten en TV, vanwege de term hashcode, het nieuws genuanceerder moeten brengen ipv nu paniek zaaien.
Zelf ons Nationaal Cyber Security Centrum (NCSC) doet mee, geen woord over hash codes, zie https://www.ncsc.nl/actueel/nieuwsberichten/datadiefstal.html

Een wachtwoord
- van 15 willekeurige tekens (keuze uit alleen hoofdletters, kleine letters en cijfers, en dus geen speciale tekens, maar deze mogen wel)
of een wachtzin (pass phrase)
- van 6 willekeurige woorden (bestaande uit meer dan 20 uitsluitend kleine letters),
neemt gemiddeld nog steeds vele eeuwen om te kraken

Dat is zelfs waar nu speciale hardware meer dan 250 miljard keer per seconde kan raden http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/ naar het goede wachtwoord. Maar dat hoge aantal gissingen wordt alleen gehaald als een site een werkelijk zwakke hash methode gebruikt.

Ik las je laatste commentaar Dick99999. Misschien suffe vraag, hebben al die websites dan die passwords in clear text opgeslagen ? Als alle websites een password hash opslaan is het volgens mij al een stuk lastiger om passwords te achterhalen. Of zit ik ernaast ?

http://stackoverflow.com/questions/13216791/php-mysql-secure-password-store

Zet de focus op systeembeheerders en website ontwikkelaars. Geen cleartext passwords meer op slaan. Het is waar als ze de database jatten is niet fijn voor de klant. Echter veel mensen gebruiken nog steeds 1 wachtwoord voor alle websites. Zouden alle websites hashed passwords opslaan (een vorm van encryptie), dan is het voor criminelen in ieder geval minder interresant om met dat soort gegevens ergens anders in proberen te loggen.

Inderdaad een opgeslagen pasword hash is een stuk lastiger tot onmogelijk te kraken, daarom gaf ik de voorbeelden van kraaktijden bij gebruik van sterke wachtwoorden. Ik kan mij niet voorstellen dat alle wachtwoorden plain text zijn..........

Het is wellicht enkel bedoeld om 'de russen' ook vanuit deze hoek in een kwaad daglicht te zetten i.v.m. de opbouw van een troepenmacht aan de grens van Oekraïne. Al begin dit jaar riep Obama nog op tot versterking van de Europese troepen, blijkbaar hebben ze nu een (amerikaans!) bedrijf gevonden die deze megahack wel eventjes wereldkundig wil maken voor een grote zak belastinggeld. "If you're not with us then you're against us!" Aluhoedje nu weer afzetten doet...