Nieuws
image

Replit waarschuwt gebruikers dat personeel toegang tot plaintext wachtwoorden had

woensdag 6 november 2024, 11:05 door Redactie, 7 reacties

Softwareontwikkelplatform Replit heeft gebruikers gewaarschuwd dat medewerkers toegang tot hun plaintext wachtwoorden hadden. In een e-mail aan klanten laat het bedrijf weten dat het onlangs een 'beveiligingsconfiguratieprobleem' ontdekte waardoor Replit-medewerkers toegang hadden tot de plaintext wachtwoorden van een 'klein aantal' Replit-gebruikers. Om wat voor probleem het precies gaat en het aantal getroffen klanten zijn niet bekendgemaakt.

Replit zegt geen aanwijzingen te hebben dat er misbruik van het probleem is gemaakt. Uit voorzorg adviseert het bedrijf gebruikers om hun wachtwoord te wijzigen en dit ook te doen voor andere diensten waar hetzelfde wachtwoord wordt gebruikt. Replit biedt een platform voor het ontwikkelen en uitrollen van software. Het bedrijf claimt meer dan dertig miljoen gebruikers te hebben.

Image

Reacties (7)
Reageer met quote
Vandaag, 11:16 door Anoniem
onlangs een 'beveiligingsconfiguratieprobleem' ontdekte waardoor Replit-medewerkers toegang hadden tot de plaintext wachtwoorden

Dat is niet één beveiligingsprobleem maar in ieder geval 2:
1- Medewerkers kunnen bij plain-text wachtwoorden
2- Wachtwoorden staan plain-text opgeslagen!

Advies is om het wachtwoord te wijzingen, waarna deze weer plain-text opgeslagen wordt!?!?!? Nu nog even wachten totdat een kwaadwillende binnenkomt en de wachtwoorden as-is meeneemt.
Reageer met quote
Vandaag, 12:07 door Anoniem
Mee eens. Als Replit gevoelige persoonsgegevens zou verwerken, dan kan de AP een fikse boete uitschrijven wegens grove nalatigheid. Nu kan je alleen maar aannemen dat Replit het niet zo erg vind *wanneer* de systeemontwikkeling van haar klanten in gevaar komt.
Reageer met quote
Vandaag, 13:05 door Anoniem
Door Anoniem:
onlangs een 'beveiligingsconfiguratieprobleem' ontdekte waardoor Replit-medewerkers toegang hadden tot de plaintext wachtwoorden

Dat is niet één beveiligingsprobleem maar in ieder geval 2:
1- Medewerkers kunnen bij plain-text wachtwoorden
2- Wachtwoorden staan plain-text opgeslagen!

Advies is om het wachtwoord te wijzingen, waarna deze weer plain-text opgeslagen wordt!?!?!? Nu nog even wachten totdat een kwaadwillende binnenkomt en de wachtwoorden as-is meeneemt.

Hoho, niet zo snel conclusies trekken.
Het zou bijvoorbeeld ook kunnen dat wachtwoorden bij wijziging ergens gelogd werden, bijvoorbeeld als onderdeel van een webserver log waar ze bijvoorbeeld in de URL terecht komen.
Het zou kunnen dat (een deel van de) medewerkers bij de logs kunnen komen en daardoor (een deel van) de wachtwoorden konden zien, terwijl in de database de wachtwoorden keurig gehashed zijn.
Reageer met quote
Vandaag, 13:08 door Anoniem
Door Anoniem: Mee eens. Als Replit gevoelige persoonsgegevens zou verwerken, dan kan de AP een fikse boete uitschrijven wegens grove nalatigheid. Nu kan je alleen maar aannemen dat Replit het niet zo erg vind *wanneer* de systeemontwikkeling van haar klanten in gevaar komt.
Dit soort configuraties maakt de gevaren van een "supply chain attack" aanzienlijk groter voor de klanten van de Replit klanten. Je zou 2FA verplicht moeten stellen voor online ontwikkelomgevingen.
Reageer met quote
Vandaag, 14:19 door Anoniem
Door Anoniem:
Door Anoniem:
onlangs een 'beveiligingsconfiguratieprobleem' ontdekte waardoor Replit-medewerkers toegang hadden tot de plaintext wachtwoorden

Dat is niet één beveiligingsprobleem maar in ieder geval 2:
1- Medewerkers kunnen bij plain-text wachtwoorden
2- Wachtwoorden staan plain-text opgeslagen!

Advies is om het wachtwoord te wijzingen, waarna deze weer plain-text opgeslagen wordt!?!?!? Nu nog even wachten totdat een kwaadwillende binnenkomt en de wachtwoorden as-is meeneemt.

Hoho, niet zo snel conclusies trekken.
Het zou bijvoorbeeld ook kunnen dat wachtwoorden bij wijziging ergens gelogd werden, bijvoorbeeld als onderdeel van een webserver log waar ze bijvoorbeeld in de URL terecht komen.
Het zou kunnen dat (een deel van de) medewerkers bij de logs kunnen komen en daardoor (een deel van) de wachtwoorden konden zien, terwijl in de database de wachtwoorden keurig gehashed zijn.

Zeg Kerstman (Hoho), klopt dat je niet te snel conclusies moet trekken, maar de tekst is toch duidelijk?
toegang hadden tot de plaintext wachtwoorden
2- Wachtwoorden staan plain-text opgeslagen!
Reageer met quote
Vandaag, 14:22 door Anoniem
Door Anoniem: Hoho, niet zo snel conclusies trekken.
Het zou bijvoorbeeld ook kunnen dat wachtwoorden bij wijziging ergens gelogd werden, bijvoorbeeld als onderdeel van een webserver log waar ze bijvoorbeeld in de URL terecht komen.
Het zou kunnen dat (een deel van de) medewerkers bij de logs kunnen komen en daardoor (een deel van) de wachtwoorden konden zien, terwijl in de database de wachtwoorden keurig gehashed zijn.
Dat de toegang tot de plaintext-wachtwoorden van een klein aantal gebruikers zou zijn geweest maakt een dergelijk scenario inderdaad waarschijnlijker dan dat ze alle wachtwoorden plaintext opslaan en dat medewerkers daar toegang toe hadden.
Reageer met quote
Vandaag, 15:26 door Anoniem
Vraag me af of er met deze paswoorden toegang was tot de signing keys van de software van ontwikkelaars, want dan kunnen blackhats malafide software ondertekenen en uitrollen onder de massa's.
Zaten er overheidsprojecten bij de software van de gehackte ontwikkelaars?
Een hoop onzekerheid.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure