Keybase-directeur verving al zijn computers na inbraak bij Slack
Minstens honderdduizend mensen, en mogelijk veel meer, werden vier jaar geleden het slachtoffer van een inbraak bij zakelijke berichtendienst Slack. Eén van de slachtoffers was de directeur van Keybase, een berichtenplatform dat gebruikers versleutelde berichten op socialmediaplatformen zoals Facebook en Twitter laat versturen.
Slack liet gisteren weten dat aanvallers vier jaar geleden kwaadaardige code op de website hadden geïnjecteerd waardoor ze inloggegevens van gebruikers in plaintext konden onderscheppen. Bij gebruikers die sindsdien niet hun wachtwoord hadden gewijzigd besloot Slack de wachtwoorden te resetten. Het ging om 1 procent van alle Slack-gebruikers, wat neerkomt op zo'n 100.000 gebruikers.
Van hoeveel mensen de aanvallers de inloggegevens destijds wisten te stelen heeft Slack niet bekendgemaakt. Een onbekend aantal slachtoffers heeft in de tussentijd zijn wachtwoord gewijzigd en is daarom niet in het percentage van Slack meegenomen. Eén van de slachtoffers was Max Krohn, de directeur van Keybase. Hij kreeg begin dit jaar een melding dat er op zijn Slack-account was ingelogd vanaf een Nederlands ip-adres.
Krohn gebruikt naar eigen zeggen voor al zijn accounts unieke en sterke wachtwoorden. Dit zou inhouden dat Slack was gecompromitteerd, zijn wachtwoordmanager of zijn computers. De Keybase-directeur mailde het Slack-securityteam maar kreeg een antwoord terug dat het probleem aan zijn kant lag en hij slordig met zijn security was geweest. Krohn was er zo goed als zeker van dat Slack was gecompromitteerd. "Als directeur van een securitybedrijf kon ik geen enkele risico's nemen", merkt hij op.
De dagen na de melding dat er op zijn account was ingelogd resette hij al zijn wachtwoorden, gooide hij al zijn computers weg, kocht hij nieuwe computers, voerde een fabrieksreset van zijn telefoon uit en roteerde al zijn Keybase-apparaten. "Het kostte Keybase en mij veel tijd, geld en stress." Krohn spendeerde 5.000 dollar aan nieuwe hardware en was zo'n 60 uur aan het incident kwijt. Uiteindelijk bleek hij het toch bij het juiste eind te hebben, aangezien Slack wel was gecompromitteerd.
"Wat nog veel erger was geweest, vele malen erger, was als ons team Slack had gebruikt voor iets anders dan het bespreken van storingen in ons eigen product", laat Krohn weten. Als er bijvoorbeeld bedrijfsgeheimen of andere vertrouwelijke gegevens waren uitgewisseld had de aanvaller hier toegang toe kunnen krijgen en die vervolgens op elk moment kunnen lekken.
Dat was mijn reactie ook toen ik dat bericht las. Dat gaat dan om hooguit twee tot 4 computers. Als dat alle computers zijn van het bedrijf waarvan hij directeur is, dan is zijn personeel waarschijnlijk op één hand te tellen.
Ik denk dat je het hele punt van dit artikel finaal hebt gemist. Het gaat niet alleen om de hardware kosten, maar dat Slack volhoudt niet gehackt te zijn, terwijl ze dat wel waren. Vervolgens de impact die dit heeft op een ander bedrijf dat van Slack gebruikmaakt, en hoe de directeur van dit bedrijf reageert omdat hij denkt dat Slack toch gehackt is en daarom uit voorzorg al zijn computers vervangt en telefoon reset. Zou zo een handleiding voor incident response kunnen zijn...
Wel handig om op deze manier zijn slack alternatief even in het nieuws te krijgen.
Daarnaast is het wel een beetje vreemd dat hij slack gebruikt. Waarom gebruikt hij niet keybase. :)
Wel handig om op deze manier zijn slack alternatief even in het nieuws te krijgen.
Daarnaast is het wel een beetje vreemd dat hij slack gebruikt. Waarom gebruikt hij niet keybase. :)
Nogmaals, het gaat niet alleen om computers....
It cost Keybase and me a lot of time, money and stress. In the end, I was pretty sure but not 100% convinced that if I had been "rooted", that the attackers couldn't follow me to my new setup. But with these things, you can never know for sure. It's a really scary thing to go through.
Niet het meest belangrijke aspect van het bericht, het geldbedrag. Was het artikel interessanter geweest indien het 50k of 500k was geweest ?
Wel handig om op deze manier zijn slack alternatief even in het nieuws te krijgen.
Daarnaast is het wel een beetje vreemd dat hij slack gebruikt. Waarom gebruikt hij niet keybase. :)
Keybase is absoluut geen slack alternatief, heeft er niets mee te maken.
Als je het linkje naar het originele verhaal van hem volgt zie je aan het eind van zijn verhaal
een linkje naar een Slack-to-Keybase team importer. Toch een beetje slack onderuit halen en keybase promoten.
"By contrast, Keybase currently runs all of its mission critical chat applications over Keybase itself. Our people-to-people conversations and our bots. And as always, Keybase messages are end-to-end encrypted, and only our users control their decryption keys. A break-in our of our servers, even one injecting code, cannot yield unencrypted messages or jeopardize message integrity.
Update: for those asking, there is a pretty simple Slack-to-Keybase team importer.
Cheers!
???? Max Krohn, Keybase CEO "
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
