image

Hold Security hekelt negatieve publiciteit na grote datadiefstal

woensdag 13 augustus 2014, 12:04 door Redactie, 6 reacties

Het Amerikaanse beveiligingsbedrijf Hold Security dat vorige week de diefstal van 1,2 miljard wachtwoorden bekendmaakte hekelt de negatieve publiciteit die het de afgelopen dagen ontving. Het bedrijf liet via de NY Times weten dat het een bende cybercriminelen op het spoor was gekomen.

De bende had op meer dan 400.000 sites ingebroken en daarbij allerlei databases met gebruikersgegevens via SQL Injection buitgemaakt. In totaal zou het om 1,2 miljard unieke inloggegevens gaan. Verdere details werden door Hold Security niet gegeven. Daarnaast verwees het bedrijf naar een eigen website waar consumenten wachtwoordgegevens moesten invullen als ze wilden weten of ze getroffen waren. Websites die wilden weten of ze gehackt waren moesten een abonnement nemen dat 120 dollar per jaar kost.

De werkwijze kwam Hold Security op veel kritiek te staan. Sinds de openbaarmaking vorige week werd de pers vermeden, hoewel het beveiligingsbedrijf tegenover The Register liet weten dat van de 1,2 miljard gestolen inloggegevens er 2,28 miljoen Australische e-mailadressen gebruikten. Daarnaast zouden 5929 Australische websites zijn gehackt. Verder werden er wederom geen details vrijgegeven.

In Forbes geeft Alex Holden, oprichter van Hold Security, voor het eerst een reactie. Daarin vertelt hij dat alle negatieve publiciteit ook invloed heeft op de partijen die het bedrijf financieel ondersteunen. "We doen het helemaal niet voor de publiciteit om ervan te profiteren, we proberen niet onze diensten op te dringen. Sterker nog, we proberen niet failliet te gaan." Holden erkent dat de communicatie rond de ontdekking beter had gekund.

De beveiliger merkt op dat hij de gestolen wachtwoorden op een "dark web hacker exchange" ontdekte dat door zijn team werd gemonitord. Hij wilde met de openbaarmaking twee zaken aantonen, namelijk de slechte beveiliging van websites en dat wachtwoorden niet meer voldoende zouden zijn.

Tegenover Forbes vertelt Holden dat niet alle wachtwoorden bij aanvallen op websites zijn buitgemaakt, maar dat veel er mogelijk zijn gekocht. Wat de verdeling is kan Holden echter niet zeggen. Daarnaast heeft hij er opzettelijk voor gekozen de getroffen bedrijven en websites niet in te lichten, aangezien dit een zeer langdurig en kostbaar proces zou worden.

Reacties (6)
13-08-2014, 12:15 door Anoniem
Gelukkig heeft security guru Brian Krebs zijn veto er over uitgesproken en is alles OK.
Wel mooi dat zo iemand zich voor het karretje laat spannen ($$$$).
13-08-2014, 13:13 door Whacko
Wat nou langdurig en kostbaar proces? post gewoon een lijst met de bedrijven die gehackt zijn. Kunnen ze zelf checken. Als ze dan willen weten hoe, kloppen ze wel bij je aan.
Zelfde met de klantgegevens. ik wil helemaal geen wachtwoorden invoeren. Laat mij gewoon zoeken op mijn emailadres. En geef daarbij aan bij welke bedrijven deze bekend is, pas ik daar wel mijn wachtwoord aan.
13-08-2014, 13:19 door Anoniem
Als wachtwoorden allemaal netjes met verschillende salts zijn gehashed is het probleem bij een database die gestolen is minder erg. Natuurlijk is het nog steeds zeer vervelend dat de andere gegevens wel zomaar te bekijken zijn, maar dat staat los van wachtwoorden. En als de website met SSL beveiligd is, is het wachtwoord sniffer ook geen optie. Tenzij er een man in the middle zit.
13-08-2014, 13:39 door Anoniem
Tja, die negatieve publiciteit, daar vragen ze zelf om.
Als ik op een voor mij onbekende website mijn inloggegevens moet gaan checken, en dat ik daar ook nog eens voor moet betalen, daar winnen ze mijn vertrouwen niet mee. Sterker nog: ik vertrouw die website helemaal niet. Iedereen kan wel zeggen dat hij koning Willem Alexander of president Obama is...
Het lijkt mij in deze situatie verstandiger om al je wachtwoorden te wijzigen, in plaats van je wachtwoorden prijs te geven aan een dubieuze website.
Zelfs al zegt die website een match gevonden te hebben, dan nog vertrouw ik het niet. Een phishingsite bijv. kan ook legitieme informatie laten zien. Anders is het wel een gevalletje van cold reading.

Daarnaast heeft hij er opzettelijk voor gekozen de getroffen bedrijven en websites niet in te lichten, aangezien dit een zeer langdurig en kostbaar proces zou worden.

Nee, maar ondertussen wel geld verdienen aan andermans inloggegeven... in één woord walgelijk!
Bovendien: als ze de getroffen websites niet prijsgeven, hoe weet je dan welke inloggegevens je moet checken? Al mijn wachtwoorden, gebruikersnamen en zelfs e-mailadressen zijn voor ieder account uniek. En in totaal zijn dat er nogal wat!
13-08-2014, 18:18 door Anoniem
Het is niet realistisch te verwachten dat 1 persoon wel even duizenden gehackte sites gaat waarschuwen dat is manjaren werk. Die gehackte site eigenaren zijn al laks en/of onwetend, en ermee communiceren is alsof je ze nog moeten leren praten. Ondoenlijk.

Het zou enorm dom zijn om een lijst te publiceren, want dat leidt direct tot meer hacks en het zou tot (terechte) aansprakelijkheidstellingen kunnen leiden.

Zoals bekend vraagt hij geen geld van individuen. Geld vragen van bedrijven lijkt mij meer dan redelijk. Brood moet ergens van worden betaald. Hij verkoopt geen gebakken lucht verpakt in appliances, hij is een researcher.

Overigens is het nog steeds zo dat je je wachtwoorden niet moet afgeven op een site van derden (van wie dan ook). Als je wilt weten of je wachtwoorden gecompromeerd zijn, wijzig je ze gewoon.
14-08-2014, 11:06 door Dick99999 - Bijgewerkt: 14-08-2014, 11:07
Door Anoniem:
[.....]
Overigens is het nog steeds zo dat je je wachtwoorden niet moet afgeven op een site van derden (van wie dan ook). Als je wilt weten of je wachtwoorden gecompromeerd zijn, wijzig je ze gewoon.
En wat als die derde
- garandeert dat het wachtwoord lokaal op de PC goed gehasht (niet verersleuteld!) wordt
- de ontvanger de hash in de praktijk niet kan decoderen (vanwege de tijdsduur)
Dit los van je advies het wachtwoord eerst te veranderen, dat is in dit geval gewoon wat je moet doen.

Ik blijf het vreemd vinden dat Hold Security over de hashes beschikt en blijf mij afvragen of zij de klare tekst wel hebben 'verkregen'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.