Gegevens 339 miljoen gebruikers AdultFriendFinder gestolen
Een aanvaller is er vorige maand in geslaagd om de gegevens van 339 miljoen gebruikers van de website AdultFriendFinder te stelen, waaronder 256.000 gebruikers met een Nederlands e-mailadres. Ook werden verschillende pornosites door de aanvaller gehackt, waaronder Penthouse.com, Stripshow.com, Cams.com en iCams.com, waar nog eens van meer dan 70 miljoen gebruikers gegevens werden buitgemaakt, zo laat de website LeakedSource weten.
Het totaal aantal gestolen gebruikersgegevens komt daarmee uit op ruim 412 miljoen. De websites, die allemaal onderdeel van het Friend Finder Network zijn, werden via een local file inclusion-kwetsbaarheid gehackt. Dit netwerk bewaarde wachtwoorden van gebruikers in platte tekst of via een geshalte sha-1-hash. De gehashte wachtwoorden zouden daarnaast naar kleine letters zijn veranderd zodat ze veel eenvoudiger te kraken zijn, aldus LeakedSource. Het houdt echter ook in dat de wachtwoorden minder nuttig voor aanvallers zijn om in het echt te gebruiken.
LeakedSource zegt dat het inmiddels 99% van alle wachtwoorden heeft achterhaald. 123456 is met 900.000 hits het meestgebruikte wachtwoord, gevolgd door 12345 dat 635.000 gebruikers hadden gekozen. Verder werden ook verschillende lange wachtwoorden gekraakt, zoals "1234tellmethatyoulovememore" en " pussy.passwordLimitExceeded:07/1". Naast de wachtwoorden is er ook een overzicht van gestolen e-mailadressen gemaakt. Daaruit blijkt dat er 256.000 gebruikers met een e-mailadres eindigend op live.nl waren.
Verder stonden er in het geval van Adult Friend Finder, dat zich als de grootste community voor swingers omschrijft, ook nog eens bijna 16 miljoen accounts van verwijderde gebruikers in de database. Hoewel de gebruikers hun account hadden opgezegd, waren de gegevens niet echt verwijderd. In tegenstelling tot een eerdere hack van Adult Friend Finder zijn er dit keer geen gegevens over seksuele voorkeur gestolen.
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
Op die laatste vraag krijg je nog antwoord als je de blog leest waarnaar wordt gelinked vanuit het artikel.
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).
Beveiliging is zo sterk als ze zwaktste schakel...
Nou, dan blijf ik voor zulk prutsites wel bij 123456 of een OTP (door steeds een reset aan te vragen). Het is toch wel een gotspe om als er zoveel wachtwoorden zo makkelijk gekopieerd kunnen worden, te gaan klagen over de gebruikers "die geen sterke wachtwoorden kiezen.".
Of is het de zoveelste SGP actie om mensen bij sekssites weg te jagen?
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).
Beveiliging is zo sterk als ze zwaktste schakel...
Ik weet niet of dat een geldig argument is. Een wachtwoord wordt niet versleuteld opgeslagen. Er wordt een algoritme op losgelaten waar een hash uitkomt. Kraken van wachtwoorden bestaat uit het uitproberen van combinaties tot de uitkomst dezelfde hash is.
Ik weet niet of dat een geldig argument is. Een wachtwoord wordt niet versleuteld opgeslagen. Er wordt een algoritme op losgelaten waar een hash uitkomt. Kraken van wachtwoorden bestaat uit het uitproberen van combinaties tot de uitkomst dezelfde hash is.
Ja dat hoop je dan, dat er een beetje fatsoenlijke hash (met salting) overheen gehaald is. Maar dat gebeurt dus niet altijd (MD4... brrr) en dan is het algoritme wel degelijk te kraken of erger nog, de wachtwoorden staan gewoon in plain text opgeslagen en dan ben je reddeloos verloren met je mooie passphrase.
Overigens is hashing wel een vorm van versleuteling, alleen gooi je als het goed is een stuk weg zodat het niet te ontsleutelen is.
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
* Huh? Klaar mee?....
- Jawel, klaar mee. Die bezoekers van dat achterlijke pornonetwerk... Die zijn er maar mooi klaar mee.
* huhuhhuh...hihihih... HAHAHAHA, ze zijn er K L A A R...M E E !
* Jawel dames en heren, 339 miljoen gebruikers zijn er maar mooi klaar mee. (en nog gratis ook...)
(kantoorhumor)
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Goed advies!
Je kunt denk ik wel middels een applicatie op je eigen systeem een md5 berekenen. De hash kun je dan veilig opzoeken in een online rainbow table.
(kantoorhumor)
't Zal dan wel het kantoor van de plaatselijke plantsoenendienst zijn als ik je bijdrage zo lees...
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Inderdaad lijsten van wachtwoorden kan je kopen en vinden, kijk eens op de volgende site, daar staan bijna een miljard wachtwoorden: http://www.mysql-password.com/database/12671
Er helemaal geen advies wordt gegeven! Hij had op zijn minst kunnen zeggen dat iedereen die gehackt zijn/haar password(s) direct moet wijzigen! Vooral wanneer je het zelfde password ook op andere websites gebruikt! Een menneke die gadgets reviewed is nog geen ITer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
