Gehackt Evernote verzwijgt details aanval
50 miljoen gebruikers van notitiesoftware Evernote moeten hun wachtwoorden wijzigen nadat het bedrijf verdachte activiteiten op het netwerk ontdekte, maar details blijven achterwege. De maker van de in 2008 gelanceerde software zegt dat het vermoedelijk een 'gecoördineerde poging' ontdekte om toegang tot beveiligde gedeelten van de Evernote Service te krijgen.
Uit voorzorg werd vervolgens besloten van alle 50 miljoen gebruikers hun wachtwoord te wijzigen. Verder onderzoek liet zien dat er geen bewijs is dat informatie die mensen in Evernote bewaren is benaderd, aangepast of verdwenen. Ook zou er geen betaalinformatie van klanten zijn buitgemaakt.
Wel zouden gebruikersnamen, e-mailadressen en versleutelde wachtwoorden zijn gestolen. Daarbij probeert Evernote gebruikers gerust te stellen dat de wachtwoorden gehasht en gesalt zijn. Wat voor hashing-algoritme werd gebruikt laat het bedrijf niet weten. Zo zijn met MD5 gehashte wachtwoorden eenvoudiger te kraken dan wachtwoorden die met SHA1 gehasht zijn.
Salting
Door het gebruik van een salt wordt het lastiger voor aanvallers om standaard rainbow-tabellen in te zetten. Hierbij gebruiken aanvallers vooraf berekende hashwaardes van allerlei woorden. Vervolgens hoeft de hashwaarde van de gehackte database alleen in de rainbow-tabel worden opgezocht om het bijbehorende wachtwoord te achterhalen.
Een salt zorgt ervoor dat een aanvaller een aparte rainbow-tabel moet aanleggen. Door de rekenkracht van moderne videokaarten is het echter mogelijk om miljoen hashes per seconde te berekenen. Bij de meeste hacks weten de aanvallers ook de salt te achterhalen. Nu zijn er verschillende implementaties van salting mogelijk, maar wederom blijven details achterwege.
Informatie
De voornaamste vraag is echter hoe de aanvallers toegang tot het Evernote-netwerk wisten te krijgen. Daar wordt niets over verteld. De waarschuwing van Evernote is er één in een lange reeks van gehackte bedrijven die wel waarschuwen, maar kritieke informatie niet delen.
Onlangs gaf beveiligingsbedrijf Bit9, dat vorig jaar zelf werd gehackt, nog allerlei details over de aanval vrij. Het deed dit bewust zodat anderen ook van de informatie konden leren en zichzelf konden beschermen.
"Je kunt er zeker van zijn dat onze vijanden inlichtingen delen, in informatie handelen en elkaar gebruiken om effectiever te worden. Wij als verdedigers zouden hetzelfde moeten doen", aldus Bit9 CTO Harry Sverdlove.
enige idee wat voor inzichten je kan halen uit alleen de wachtwoorden lijst (50 miljoen!!) en wat voor handel er gaande is? er word grof geld betaald voor alleen al de wachtwoord lijst>
Lijkt me leuke test voor bruteforcen..
Ik kreeg pas na paar keer synchroniseren de melding dat het ww niet goed was. lol.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
