FOK! gehackt, belangrijke info!

Algemeen • Geschreven door Danny Roodbol op 22-08-2009 @ 21:57
print 

Zoals wellicht bekend was FOK! eerder vandaag het slachtoffer van een hacker. Door gebruik te maken van een fout in de weblogsoftware wist hij zich toegang te verschaffen tot de database. Hier heeft de persoon in kwestie een onbekend aantal MD5 hashes (passwords in gecodeerde vorm) weten te bemachtigen.

Middels een website die MD5 hashes berekent via een combinatie van dictionary attacks, rainbow attacks en brute force attacks heeft hij daaruit minstens twee passwords van crewleden, waaronder die van mij, gevonden.

Dankzij de inspanningen van Glowmouse is het lek gedicht, waarvoor dank. De downtime was een DDoS aanval die geen verband lijkt te houden met de hack van vanmiddag.

Een ieder die wil voorkomen dat hij zich alsnog toegang verschaft tot zijn of haar account wordt verzocht een nieuw wachtwoord in te stellen.

 




Lees ook:

» 02/05 Prijswinnaars van de maand april2
» 04/04 Prijswinnaars van de maanden februari en maart3
» 04/02 Prijswinnaars van de maand januari4
» 01/02 FOK!weblog bestaat 10 jaar4


delen | eKudos nujij

49844 views / 210 reacties
Reacties op dit bericht
50  van 210 reacties op deze pagina. Pagina  1 2 3 4 5
onbekend Manueltje22 22-08-2009 @ 21:59 fotoboek no homepage
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)
man matthendriks 22-08-2009 @ 21:59 fotoboek no homepage
man Meddo 22-08-2009 @ 21:59 fotoboek no homepage
userIcon
Snel gereageerd!
man klappernoot2000 22-08-2009 @ 21:59 fotoboek no homepage
userIcon
doe ik morgen wel..
man Thomas B. 22-08-2009 @ 21:59 fotoboek no homepage
userIcon
really?
man Ik_ben_doof 22-08-2009 @ 22:00 fotoboek homepage
quote:
Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)
Dat maakt niet uit, Hij had fok niet moeten plat gooien en rommelen..
das net als huis inbraak!.
man NrTH 22-08-2009 @ 22:00 fotoboek no homepage
userIcon
Breaking news
man GeileSoeplepel 22-08-2009 @ 22:01 fotoboek homepage
userIcon
MD5? Srsly?

Dat is al zo oud en onveilig, stap aub over op iets als Whirlpool of Sha512
man flexino 22-08-2009 @ 22:01 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)
Gewoon niet van die standaardwachtwoorden gebruiken.
man Danny (Administrator) 22-08-2009 @ 22:01 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:00 schreef NrTH het volgende:
Breaking news
Het lijkt me van belang dat zoveel mogelijk mensen hun password inderdaad aanpassen. Zo'n blok op de index draagt daar wel aan bij lijkt me.
man Danny (Administrator) 22-08-2009 @ 22:03 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:01 schreef GeileSoeplepel het volgende:
MD5? Srsly?

Dat is al zo oud en onveilig, stap aub over op iets als Whirlpool of Sha512
dat boeit geen kont. De manier om het te hacken is hetzelfde. Hoe korter en simpeler je wachtwoord hoe sneller iemand het kan hacken als hij de hashversie van je pass heeft.
man Gehannes 22-08-2009 @ 22:03 fotoboek no homepage
Huh wat heeft zo'n gozer eraan als hij mijn passwoord weet? Dan kan hij onder mijn naam posten maar wat boeit dat voor de rest, net alsof die gozer daar echt wat aan heeft.
man mcintosh 22-08-2009 @ 22:03 fotoboek no homepage
userIcon
een DDOS en een hack en dat houdt geen verband?

Of is een DDOS dagelijkse kost
man Zero2Nine 22-08-2009 @ 22:03 fotoboek no homepage
quote:
Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)
Je kan niet zomaar even de hele DB omgooien lijkt me. Of je moet de gehashte wachtwoorden zelf omzetten in SHA1, al heb je dan weer het 'probleem' dat je bij het inloggen dus dubbel moet hashen. plain -> MD5 -> SHA1.
vrouw Sannydance 22-08-2009 @ 22:03 fotoboek no homepage
sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen
man Geqxon 22-08-2009 @ 22:03 fotoboek no homepage
userIcon
Je huidig password, of staan er in de database ook nog je vorige passwords?
onbekend Genietmachine 22-08-2009 @ 22:04 fotoboek no homepage
mja, 12345 is ook geen echt bijzonder wachtwoord
man mouthman (Redactie Frontpage) 22-08-2009 @ 22:04 fotoboek homepage
userIcon
Altijd alfanumerieke onzin wachtwoorden.
man Danny (Administrator) 22-08-2009 @ 22:05 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Geqxon het volgende:
Je huidig password, of staan er in de database ook nog je vorige passwords?
oude passwords worden niet opgeslagen.
man beantherio 22-08-2009 @ 22:05 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:04 schreef Genietmachine het volgende:
mja, 12345 is ook geen echt bijzonder wachtwoord
HOE WEET JIJ MIJN PASSWORD!?!
man moonmovies 22-08-2009 @ 22:05 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:01 schreef Danny het volgende:

[..]

Het lijkt me van belang dat zoveel mogelijk mensen hun password inderdaad aanpassen. Zo'n blok op de index draagt daar wel aan bij lijkt me.
Een idee:

Je kunt ook iedereen zijn wachtwoord veranderen (softwarematisch) , en dit nieuwe wachtwoord mailen, dan kunnen ze zelf deze veranderen.
man DrDarwin 22-08-2009 @ 22:05 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Zero2Nine het volgende:

[..]

Je kan niet zomaar even de hele DB omgooien lijkt me. Of je moet de gehashte wachtwoorden zelf omzetten in SHA1, al heb je dan weer het 'probleem' dat je bij het inloggen dus dubbel moet hashen. plain -> MD5 -> SHA1.
Zo hé, die is goed met wachtwoorden......
man charon 22-08-2009 @ 22:05 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Sannydance het volgende:
sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen
Probeer het op de forumpagina
man GlowMouse (Forum Moderator) 22-08-2009 @ 22:05 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Sannydance het volgende:
sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen
http://forum.fok.nl/user/profile
man Ron.Burgundy 22-08-2009 @ 22:06 fotoboek no homepage
userIcon
Danny, ik heb je een PM gestuurd. Kun je geen push-PM sturen en/of een pop-up met daarin de mogelijkheid om het wachtwoord te veranderen?
man Stephan1237 22-08-2009 @ 22:06 fotoboek no homepage
userIcon
Bedankt, even wachtwoord veranderd
man flexino 22-08-2009 @ 22:06 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:05 schreef Danny het volgende:
oude passwords worden niet opgeslagen.
Jullie zouden ervoor kunnen zorgen dat de gebruikers bijvoorbeeld minimaal één cijfer en één bijzonder teken in hun password moeten hebben. Dat kan al heel veel schelen.
man Ron.Burgundy 22-08-2009 @ 22:07 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:06 schreef flexino het volgende:

[..]

Jullie zouden ervoor kunnen zorgen dat de gebruikers bijvoorbeeld minimaal één cijfer en één bijzonder teken in hun password moeten hebben. Dat kan al heel veel schelen.
Als de passwords uit de database gehaald worden dan maakt het niets uit.
man Danny (Administrator) 22-08-2009 @ 22:07 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Sannydance het volgende:
sorry, maar ik kan nergens vinden waar ik mijn wachtwoord moet wijzigen
http://forum.fok.nl/user/profile
man ne0n 22-08-2009 @ 22:08 fotoboek homepage
zo. paswoord changed
man buachaille 22-08-2009 @ 22:08 fotoboek homepage
userIcon
En stel ook gelijk een nieuw wachtwoord voor je e-mail in als dat hetzelfde is.
man Koekie2 22-08-2009 @ 22:08 fotoboek no homepage
userIcon
Ik zag in de itemstracker op tweakers.net op een gegeven moment ook alleen maar berichten staan met de headline "De Koran nu ook als luisterboek beschikbaar"

Zal wel weer zo'n kut marrokaan zijn geweest dus.
man Roflpantoffel 22-08-2009 @ 22:09 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 21:59 schreef Manueltje22 het volgende:
LOL, iedereen weet dat MD5 zo uit is dacht ik? Dat allemaal wegens veiligheidslekken, stap over op SHA1 / SHA512 zou ik zeggen :-)
Wieuw wieuw nerd alert wieuw wieuw.
man Freakingme 22-08-2009 @ 22:09 fotoboek no homepage
salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts, salts. (Get the idea? )
man Core2 22-08-2009 @ 22:09 fotoboek no homepage
userIcon
Klinkt allemaal niet echt professioneel aan de achterkant van fok! als ik eerlijk ben. Het ingestelde rechtensysteem van de database laat gewoon toe dat gevoelige info opgevraagd wordt?
man Shizzles 22-08-2009 @ 22:10 fotoboek no homepage
userIcon
heeft hij echt alleen passwords gepakt uit de database of passwords EN e-mailadressen van iedereen?
man Nevermind 22-08-2009 @ 22:10 fotoboek no homepage
userIcon
Geen salt in het gehashte wachtwoord? Zo'n kleine moeite, had zoveel problemen gescheeld.
man Zero2Nine 22-08-2009 @ 22:10 fotoboek no homepage
quote:
Op zaterdag 22 augustus 2009 @ 22:07 schreef Ron.Burgundy het volgende:

[..]

Als de passwords uit de database gehaald worden dan maakt het niets uit.
Nou die zijn iig iets lastiger te raden dan een woordenboekwoord zonder deze tekens. Hoewel dat tegenwoordig denk ik inderdaad niet zoveel meer uitmaakt. Van wachtwoorden als woord + cijfer of woord + uitroepteken zijn de hashes ook vast al een keer uitgerekend.
onbekend Dark_Byte 22-08-2009 @ 22:11 fotoboek no homepage
Nog even een tip, als je dezelfde toegangscode gebruikt als voor je e-mail (een hoop mensen zijn zo stom) verander dan ook je e-mail password voordat iemand je mail gaat lezen en zo verdere passwords verkrijgt zoals paypal en dergelijke
man Ferdo (Eindredactie Frontpage) 22-08-2009 @ 22:11 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Gehannes het volgende:
Huh wat heeft zo'n gozer eraan als hij mijn passwoord weet? Dan kan hij onder mijn naam posten maar wat boeit dat voor de rest, net alsof die gozer daar echt wat aan heeft.
En dan krijg je een permban. Had "jij" maar geen porno moeten posten of de crew voor SS'ers uit moeten maken, en die doodsbedreiging naar de admins moeten sturen. Of je ziet in je profiel ineens staan dat "jij" gek op kinderporno bent en dat je admin op Stormfront bent.

Je begrijpt nu vast wel wat ik bedoel. Het is natuurlijk ook niet gezegd dat zo'n hacker dat echt gaat doen en echt jouw inloggegevens heeft, maar wil je zekerheid hebben dat het niet gebeurt dan kun je beter even je wachtwoord veranderen.
man HQ-Design 22-08-2009 @ 22:12 fotoboek homepage
userIcon
Ik dacht dat het aan mijn vers geinstalleerde Vista-PC lag, ik kon de site namelijk meer openen, terwijl andere sites wel fatsoendelijk werkten.
man beantherio 22-08-2009 @ 22:12 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:09 schreef Core2 het volgende:
Klinkt allemaal niet echt professioneel aan de achterkant van fok! als ik eerlijk ben. Het ingestelde rechtensysteem van de database laat gewoon toe dat gevoelige info opgevraagd wordt?
Als de misbruikte fout in externe software zat dan kun je het fok! bijna niet kwalijk nemen. Als je daarmee bij de database kunt komen dan sta je feitelijk al binnen. Dat je dan wel of niet een dikker slot op je kastjes hebt is dan bijzaak.
man SeanFerdi 22-08-2009 @ 22:13 fotoboek no homepage
userIcon
als jullie er SHA hashes (mag best een 512 bits zijn, zo vaak hoeft het wachtwoord niet omgezet te worden, en dit mag sowieso al clientside gebeuren) van maken, met netjes een salt erbij.

dan voorkom je niet dat iemand met accounts aan de slag gaat, maar wel dat de wachtwoorden van mensen (die ze misschien ook nog wel op andere site's gebruiken) na het simpele kraken van de md5, op straat liggen.


dit geeft best wel een kutgevoel dat jullie zo brak met wachtwoorden omgaan...
man Core2 22-08-2009 @ 22:13 fotoboek no homepage
userIcon
Bij een fatsoenlijke dichtgetimmerde database kan een hacker alleen doodleuk via de rechten die de applicatie heeft blogitems of commentjes ophalen. Dus niet "SELECT * FROM USERS".
man GeileSoeplepel 22-08-2009 @ 22:13 fotoboek homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Danny het volgende:

[..]

dat boeit geen kont. De manier om het te hacken is hetzelfde. Hoe korter en simpeler je wachtwoord hoe sneller iemand het kan hacken als hij de hashversie van je pass heeft.
Hashen is een manier om informatie te beveiligen voor het geval de DB gekraakt wordt, wat nu dus blijkbaar gebeurd is. Hoe veiliger de hash (liefst ook nog met een salt derbij) hoe moeilijker het is om die weer op zichzelf te kraken en hoe langer dat dan ook duurt via rainbow tables etc. Zomaar even iedereen vragen zijn wachtwoord opnieuw in te stellen is idd een onmogelijke opgave, maar, zoals hierboven al werd genoemd door iemand (sorry te lui om te kijken wie het zei nu ik dit typ) om alle MD5's weer door te hashen naar Whirlpool/Sha1/Sha256/whatever zou ik wel aanraden imho.
man glasbak 22-08-2009 @ 22:13 fotoboek homepage
userIcon
Is dit de rede waarom ik vandaag rond 13:00 uur een mailtje kreeg om mijn passwordaanvraag te bevestigen?
man countdelafey666 22-08-2009 @ 22:15 fotoboek no homepage
userIcon
Had wel een leuke 1 aprilgrap geweest.
man Migwi 22-08-2009 @ 22:16 fotoboek no homepage
userIcon
quote:
Op zaterdag 22 augustus 2009 @ 22:03 schreef Gehannes het volgende:
Huh wat heeft zo'n gozer eraan als hij mijn passwoord weet? Dan kan hij onder mijn naam posten maar wat boeit dat voor de rest, net alsof die gozer daar echt wat aan heeft.
Inderdaad.
Maar van de andere kant, sommige mensen gebruiken hun password voor AL hun dingetjes online. En dat is dan weer minder slim.
Maar ja, whatever. Bedankt voor de mededeling in ieder geval hè
50  van 210 reacties op deze pagina. Pagina  1 2 3 4 5


Lees ook:

» 02/05 Prijswinnaars van de maand april2
» 04/04 Prijswinnaars van de maanden februari en maart3
» 04/02 Prijswinnaars van de maand januari4
» 01/02 FOK!weblog bestaat 10 jaar4


delen | eKudos nujij

inloggen
» of registreer je eerst even
Gebruikersnaam 
Wachtwoord
 
online adverteren www.m4n.nl
Video's

meest gelezen

meer Algemeen site nieuws




True ©1999-2012 FOK! INTERNET SITES  |  gratis nieuws op je site?  |  algemene voorwaarden