Hold Security hekelt negatieve publiciteit na grote datadiefstal
Het Amerikaanse beveiligingsbedrijf Hold Security dat vorige week de diefstal van 1,2 miljard wachtwoorden bekendmaakte hekelt de negatieve publiciteit die het de afgelopen dagen ontving. Het bedrijf liet via de NY Times weten dat het een bende cybercriminelen op het spoor was gekomen.
De bende had op meer dan 400.000 sites ingebroken en daarbij allerlei databases met gebruikersgegevens via SQL Injection buitgemaakt. In totaal zou het om 1,2 miljard unieke inloggegevens gaan. Verdere details werden door Hold Security niet gegeven. Daarnaast verwees het bedrijf naar een eigen website waar consumenten wachtwoordgegevens moesten invullen als ze wilden weten of ze getroffen waren. Websites die wilden weten of ze gehackt waren moesten een abonnement nemen dat 120 dollar per jaar kost.
De werkwijze kwam Hold Security op veel kritiek te staan. Sinds de openbaarmaking vorige week werd de pers vermeden, hoewel het beveiligingsbedrijf tegenover The Register liet weten dat van de 1,2 miljard gestolen inloggegevens er 2,28 miljoen Australische e-mailadressen gebruikten. Daarnaast zouden 5929 Australische websites zijn gehackt. Verder werden er wederom geen details vrijgegeven.
In Forbes geeft Alex Holden, oprichter van Hold Security, voor het eerst een reactie. Daarin vertelt hij dat alle negatieve publiciteit ook invloed heeft op de partijen die het bedrijf financieel ondersteunen. "We doen het helemaal niet voor de publiciteit om ervan te profiteren, we proberen niet onze diensten op te dringen. Sterker nog, we proberen niet failliet te gaan." Holden erkent dat de communicatie rond de ontdekking beter had gekund.
De beveiliger merkt op dat hij de gestolen wachtwoorden op een "dark web hacker exchange" ontdekte dat door zijn team werd gemonitord. Hij wilde met de openbaarmaking twee zaken aantonen, namelijk de slechte beveiliging van websites en dat wachtwoorden niet meer voldoende zouden zijn.
Tegenover Forbes vertelt Holden dat niet alle wachtwoorden bij aanvallen op websites zijn buitgemaakt, maar dat veel er mogelijk zijn gekocht. Wat de verdeling is kan Holden echter niet zeggen. Daarnaast heeft hij er opzettelijk voor gekozen de getroffen bedrijven en websites niet in te lichten, aangezien dit een zeer langdurig en kostbaar proces zou worden.
Wel mooi dat zo iemand zich voor het karretje laat spannen ($$$$).
Zelfde met de klantgegevens. ik wil helemaal geen wachtwoorden invoeren. Laat mij gewoon zoeken op mijn emailadres. En geef daarbij aan bij welke bedrijven deze bekend is, pas ik daar wel mijn wachtwoord aan.
Als ik op een voor mij onbekende website mijn inloggegevens moet gaan checken, en dat ik daar ook nog eens voor moet betalen, daar winnen ze mijn vertrouwen niet mee. Sterker nog: ik vertrouw die website helemaal niet. Iedereen kan wel zeggen dat hij koning Willem Alexander of president Obama is...
Het lijkt mij in deze situatie verstandiger om al je wachtwoorden te wijzigen, in plaats van je wachtwoorden prijs te geven aan een dubieuze website.
Zelfs al zegt die website een match gevonden te hebben, dan nog vertrouw ik het niet. Een phishingsite bijv. kan ook legitieme informatie laten zien. Anders is het wel een gevalletje van cold reading.
Nee, maar ondertussen wel geld verdienen aan andermans inloggegeven... in één woord walgelijk!
Bovendien: als ze de getroffen websites niet prijsgeven, hoe weet je dan welke inloggegevens je moet checken? Al mijn wachtwoorden, gebruikersnamen en zelfs e-mailadressen zijn voor ieder account uniek. En in totaal zijn dat er nogal wat!
Het zou enorm dom zijn om een lijst te publiceren, want dat leidt direct tot meer hacks en het zou tot (terechte) aansprakelijkheidstellingen kunnen leiden.
Zoals bekend vraagt hij geen geld van individuen. Geld vragen van bedrijven lijkt mij meer dan redelijk. Brood moet ergens van worden betaald. Hij verkoopt geen gebakken lucht verpakt in appliances, hij is een researcher.
Overigens is het nog steeds zo dat je je wachtwoorden niet moet afgeven op een site van derden (van wie dan ook). Als je wilt weten of je wachtwoorden gecompromeerd zijn, wijzig je ze gewoon.
[.....]
Overigens is het nog steeds zo dat je je wachtwoorden niet moet afgeven op een site van derden (van wie dan ook). Als je wilt weten of je wachtwoorden gecompromeerd zijn, wijzig je ze gewoon.
- garandeert dat het wachtwoord lokaal op de PC goed gehasht (niet verersleuteld!) wordt
- de ontvanger de hash in de praktijk niet kan decoderen (vanwege de tijdsduur)
Dit los van je advies het wachtwoord eerst te veranderen, dat is in dit geval gewoon wat je moet doen.
Ik blijf het vreemd vinden dat Hold Security over de hashes beschikt en blijf mij afvragen of zij de klare tekst wel hebben 'verkregen'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
