image

Franse site krijgt 380.000 euro boete voor gebruik HTTP, MD5 en trackingcookies

woensdag 17 mei 2023, 13:24 door Redactie, 7 reacties

Een Franse website die geen HTTPS-verbinding bood, het MD5-algoritme gebruikte voor het hashen van wachtwoorden, zonder toestemming cookies plaatste, gebruikersgegevens onnodig lang bewaarde en zonder toestemming gezondheidsgegevens verzamelde, heeft van de Franse toezichthouder CNIL een boete van 380.000 euro gekregen.

Het gaat om de website Doctissimo.fr, waarop allerlei gezondheidsgerelateerde informatie staat. Ook is er een forum en kunnen gebruikers allerlei tests en quizzen doen. Na een klacht van Privacy International besloot de Franse privacytoezichthouder een onderzoek naar de website in te stellen en ontdekte dat er het nodige mis was en de AVG op meerdere punten werd overtreden.

Zo bleek Doctissimo de informatie van gezondheidstests twee jaar te bewaren. Iets wat volgens CNIL een buitensporige lange bewaartermijn is. Verder bleek dat de gegevens van gebruikers die meer dan drie jaar inactief waren zonder anonimiseringsprocedure werden bewaard. De website vroeg gebruikers ook geen toestemming voor het bewaren van de gezondheidsgegevens die ze via de online tests invulden.

Ook bleek de website tot en met oktober 2019 nog gebruik te maken van het onversleutelde HTTP en werden wachtwoorden van gebruikers via het zwakke en eenvoudig te kraken MD5-algoritme gehasht. Tevens plaatste Doctissimo zonder toestemming trackingcookies en was er geen verwerkersovereenkomst. Volgens de toezichthouder waren dit bij elkaar vijf overtredingen van de AVG. Inmiddels heeft de website alle overtredingen beëindigd.

Reacties (7)
17-05-2023, 14:50 door Erik van Straten - Bijgewerkt: 17-05-2023, 15:03
werden wachtwoorden van gebruikers via het zwakke en eenvoudig te kraken MD5-algoritme gehasht.
MD5-hashes van wachtwoorden zijn niet eenvoudig te kraken.

De kraakbaarheid van MD5 bestaat eruit dat je relatief eenvoudig twee verschillende inputs kunt genereren (die, specifiek voor MD5, aan speciale criteria moeten voldoen) die tot dezelfde hashwaarde leiden. Hierbij gaat het om relatief lange inputs, niet om wachtwoorden van 20 tekens of minder. Zie het plaatje in https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities om een idee te krijgen van de lengte (2 bestanden van 128 bytes, met een paar verschillen op zeer specifieke plaatsen).

Uit https://en.wikipedia.org/wiki/MD5#Preimage_vulnerability:
Preimage vulnerability
In April 2009, an attack against MD5 was published that breaks MD5's preimage resistance. This attack is only theoretical, with a computational complexity of 2^123.4 for full preimage.
Met andere woorden, de betrouwbaarheid is met minder dan 5 (van 128) bits gedaald als je, gegeven een onbekende input (het wachtwoord), die input wilt vinden (of iets totaal anders, een "collission") die tot dezelfde MD5 hash leidt. Cryptografisch is MD5 -m.b.t. preimage attacks- "gekraakt" vanwege die afname met bijna 5 bits voor een preimage attack - echter: "This attack is only theoretical" - want 2^125 is nog steeds een astronomisch groot getal.

Elk snel hash-algoritme, ook van de nog als veilig bekend staande soorten (zoals SHA-256 of SHA-3 varianten), is ongeschikt om zwakke wachtwoorden (dat zijn ooit gelekte -ook lange en/of complexe- of voorspelbare wachtwoorden) mee te hashen - omdat je van een ellenlange lijst van die zwakke wachtwoorden alle hashes kunt uitrekenen (en desgewenst opslaan in wat een "rainbow table" wordt genoemd).

Vervolgens kun je, voor elke wachtwoordhash afkomstig van de server, checken of deze vóórkomt in je tabel. Als dat het geval is, weet je het wachtwoord. Je zou dit "kraken" kunnen noemen, maar dat vind ik onterecht; in elk geval heeft dit niets met cryptografisch kraken te maken. Sterke wachtwoorden (die nog nooit gelekt, lang genoeg en onvoorspelbaar zijn) vind je hier niet mee.

Met andere woorden: als de website SHA-256 (waar zeer snelle hardware voor ontwikkeld is) i.p.v. MD5 zou gebruiken, zou dat prima zijn geweest? NEE!

Ik vind het dus een onjuist verwijt. Het grootste probleem hier is dat veel mensen ooit eerder (niet alleen door henzelf) gebruikte wachtwoorden kiezen. Als de betreffende website ooit eerder gekozen wachtwoorden zou weigeren, en de opgeslagen wachtwoord-hashes regelmatig zou scannen op nieuwe gelekte wachtwoorden en bij gevonden "matches" de gebruikers zou dwingen (password-reset) om een ander wachtwoord te kiezen, zou zelfs MD5 in principe goed genoeg zijn.

Vanwege het feit dat MD5 voor een andere toepassing ernstig is gekraakt, en er bij softwareontwikkelaars verwarring zou kunnen onstaan over "welke toepassing ook alweer", is het onverstandig om MD5 te blijven gebruiken. Het verwijt hier "het zwakke en eenvoudig te kraken MD5-algoritme" zou echter voor een rechter geen stand moeten houden, want het is fundamenteel onjuist.

Dit nog los van het feit dat ik nergens zie dat wachtwoordhashes zouden zijn gelekt, bijv. doordat de website gehacked is. Als dat gebeurt zit het er dik in dat ook allerlei andere persoonsgegevens op straat liggen, die ongetwijfeld niet eens gehashed of versleuteld op de server staan. Wat is er erger?

Je kunt natuurlijk beargumenteren dat mensen hun eigen wachtwoorden hergebruiken en dat het vooral daarom erg is als die wachtwoorden, samen met e-mailadressen, op straat komen te liggen. Maar is hergebruik van eigen wachtwoorden de schuld van die website?

Het verstandigst is het (voor website-eigenaren) om state-of-the-art "memory-hard" algoritmes zoals Argon2id te toe te passen, maar persoonlijk heb ik liever dat ze hun hun geld en tijd (is ook geld, als je capabel personeel kunt vinden) besteden aan de beveiliging van de website en het minimaliseren van (te veel en/of te lang) opgeslagen persoonsgegevens.
17-05-2023, 16:02 door Anoniem
Door Erik van Straten:
werden wachtwoorden van gebruikers via het zwakke en eenvoudig te kraken MD5-algoritme gehasht.
MD5-hashes van wachtwoorden zijn niet eenvoudig te kraken.

De "veiligheid" heeft weinig met collision attacks te maken. Colission attacks zijn maar een fractie van de onveiligheid. De actuele veiligheid is laag omdat MD5 gewoon te snel is en je miljoenen wachtwoorden per seconde kan proberen. Plus het feit dat er "rainbow tables" zijn waar je bijna instant een hash terug naar een wachtwoord kan herleiden. (Mits deze niet te lang is)
17-05-2023, 16:07 door Anoniem
Mooi uiteen gezet Erik! Geen speld tussen te krijgen. De vraag is natuurlijk of rechters hier daadwerkelijk rekening mee gaan houden in hun uitspraken. Het persoonlijk begrip van de materie is vaak te laag en de druk van de publieke opinie te hoog.
Neemt niet weg dat lange, unieke wachtwoorden gebruiken, een absolute must is, voor iedereen.
18-05-2023, 09:39 door Erik van Straten
Door Anoniem: Mooi uiteen gezet Erik! Geen speld tussen te krijgen.
Dank!

Door Anoniem: De vraag is natuurlijk of rechters hier daadwerkelijk rekening mee gaan houden in hun uitspraken. Het persoonlijk begrip van de materie is vaak te laag en de druk van de publieke opinie te hoog.
Ik hoop vooral dat techneuten dit gaan snappen, en organisaties zoals de AP en haar Europese collega's. In dit specifieke geval kan zo'n blunder je hele case onderuit halen, terwijl er, naar verluidt, veel grotere privacy-risico's bestonden.

Door Anoniem: Neemt niet weg dat lange, unieke wachtwoorden gebruiken, een absolute must is, voor iedereen.
Klopt, en omdat meer dan enkele sterke wachtwoorden onthouden "onmenselijk" is: gebruik een wachtwoordmanager.
19-05-2023, 09:57 door Anoniem
Door Anoniem: Mooi uiteen gezet Erik! Geen speld tussen te krijgen. De vraag is natuurlijk of rechters hier daadwerkelijk rekening mee gaan houden in hun uitspraken. Het persoonlijk begrip van de materie is vaak te laag en de druk van de publieke opinie te hoog.
Neemt niet weg dat lange, unieke wachtwoorden gebruiken, een absolute must is, voor iedereen.

De rechter hoeft dat begrip ook niet te hebben. Daarvoor zijn getuige-deskundigen die dan worden gehoord. Maar ik denk niet dat de boete er alleen komt door de MD5. het zal vooral met de onrechtmatige verwerking samenhangen, aangevuld met een tekortschieten van het geheel aan informatiebeveiliging.
25-04-2024, 09:09 door Anoniem
Door Erik van Straten: Ik vind het dus een onjuist verwijt. Het grootste probleem hier is dat veel mensen ooit eerder (niet alleen door henzelf) gebruikte wachtwoorden kiezen. Als de betreffende website ooit eerder gekozen wachtwoorden zou weigeren, en de opgeslagen wachtwoord-hashes regelmatig zou scannen op nieuwe gelekte wachtwoorden en bij gevonden "matches" de gebruikers zou dwingen (password-reset) om een ander wachtwoord te kiezen, zou zelfs MD5 in principe goed genoeg zijn.

Dat is wel een van de meeste domme beveiliging sugesties ooit. Hoe zie je dat in de praktijk voor je?
Dan krijg je dezelfde troep wat je vaak met gebruikersnamen ziet die al in gebruik zijn. Mensen die boos raken door dat ze niet hun eigen gekozen alias mogen gebruiken (denk aan diensten als discord aan games etc) Maar goed dat is het menselijke deel dat intereseert me niet zo.

Maar hoe ga je voorkomen dat een crimineel niet gewoon een bot opzet voor registratie en allerlei bekende wachtwoorden probeert met de registratie in plaats van via inlog. Want als je duplicering van ieder wil voorkomen moet je dus ook naar ieder communiceren dat er een duplicaat is gevonden. Een soort wie ben ik met de server. Hoi server heb jij toevallig wachtwoord welcome01 opgeslagen staan? "Nee" Ok welcome02 dan "Ja' Thank you!

Tuurlijk daar kan je weer dan een max aantal pogingen tegen aan gooien maar gezien de gebruikers niet weten van te voren of hun wachtwoord zou werken krijg je een buttload aan support tickets als je hun legitieme registratie pogingen ook nog gaat blocken voor X duration en je conversie daalt ook enorm.

Vervolgens is het een kwestie voor de criminelen om een email lijst te bemachtigen van de gebruikers en de wachtwoorden er tegen aan te proberen die als duplicaat waren gevonden. En je weet ook die lijsten zijn er meestal binnen no time Dus wat je hiermee bewerkstellige is een soort aangepaste bruteforce medemogelijk gemaakt door deze beveiliging methode. Het stopt zeker het kraken want die heb je helemaal niet meer nodig de site doet het al lekker voor je.

Dus ja theoretisch mogelijk in de praktijk mag ik hopen niemand ooit zo dom te zijn het door te voeren.
26-09-2024, 17:09 door Erik van Straten
25-04-2024, 09:09 door Anoniem:
17-05-2023, 14:50 door Erik van Straten - Bijgewerkt: 17-05-2023, 15:03: Ik vind het dus een onjuist verwijt. Het grootste probleem hier is dat veel mensen ooit eerder (niet alleen door henzelf) gebruikte wachtwoorden kiezen. Als de betreffende website ooit eerder gekozen wachtwoorden zou weigeren, en de opgeslagen wachtwoord-hashes regelmatig zou scannen op nieuwe gelekte wachtwoorden en bij gevonden "matches" de gebruikers zou dwingen (password-reset) om een ander wachtwoord te kiezen, zou zelfs MD5 in principe goed genoeg zijn.

Dat is wel een van de meeste domme beveiliging sugesties ooit.
Alleen was het geen beveiligingssuggestie, maar waren het argumenten waarom snelle hashfuncties (waaronder MD5) in de praktijk ongeschikt zijn om zwakke wachtwoorden éénweg te verhaspelen. En waarom dat de schuld is van gebruikers van die server, en niet van de eigenaar - die, naar verluidt, onder andere voor het gebruik van MD5 voor het hashen van wachtwoorden een boete kreeg.

Ik schreef namelijk ook:
17-05-2023, 14:50 door Erik van Straten - Bijgewerkt: 17-05-2023, 15:03: Vanwege het feit dat MD5 voor een andere toepassing ernstig is gekraakt, en er bij softwareontwikkelaars verwarring zou kunnen onstaan over "welke toepassing ook alweer", is het onverstandig om MD5 te blijven gebruiken. Het verwijt hier "het zwakke en eenvoudig te kraken MD5-algoritme" zou echter voor een rechter geen stand moeten houden, want het is fundamenteel onjuist.

Dit nog los van het feit dat ik nergens zie dat wachtwoordhashes zouden zijn gelekt, bijv. doordat de website gehacked is. Als dat gebeurt zit het er dik in dat ook allerlei andere persoonsgegevens op straat liggen, die ongetwijfeld niet eens gehashed of versleuteld op de server staan. Wat is er erger?

Je kunt natuurlijk beargumenteren dat mensen hun eigen wachtwoorden hergebruiken en dat het vooral daarom erg is als die wachtwoorden, samen met e-mailadressen, op straat komen te liggen. Maar is hergebruik van eigen wachtwoorden de schuld van die website?

Het verstandigst is het (voor website-eigenaren) om state-of-the-art "memory-hard" algoritmes zoals Argon2id te toe te passen, maar persoonlijk heb ik liever dat ze hun hun geld en tijd (is ook geld, als je capabel personeel kunt vinden) besteden aan de beveiliging van de website en het minimaliseren van (te veel en/of te lang) opgeslagen persoonsgegevens.

Zie ook https://security.nl/posting/840236/Veilig_Inloggen (het is complexe materie, waarvan de uitleg véél te lang is voor één reactie. Ik ontkom er dus niet aan om naar andere postings te verwijzen - voor die mensen die meer informatie willen over een specifiek detail).

En voor waarom 2FA/MFA zuigt, zie https://security.nl/posting/859561/MFA_2FA_is_als_peniciline.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.