image

"Bende steelt 1,2 miljard wachtwoorden via SQL Injection"

woensdag 6 augustus 2014, 08:38 door Redactie, 20 reacties

Een bende cybercriminelen heeft door middel van SQL Injection 1,2 miljard unieke wachtwoorden en bijbehorende gebruikersnamen weten te stelen, zo claimt een Amerikaans beveiligingsbedrijf. De gegevens werden bij zo'n 420.000 websites buitgemaakt, aldus Hold Security.

Volgens het beveiligingsbedrijf zou de bende eerst databases hebben gekocht en gebruikt die door andere cybercriminelen waren gestolen. Deze gegevens werden vervolgens gebruikt om spam te versturen. Begin dit jaar wijzigde de bende de werkwijze en besloot de databases zelf te stelen. Hiervoor gebruikte het SQL Injection. Een probleem dat sinds eind 1998 bekend is en eenvoudig kan worden verholpen. Toch komt het nog altijd in tal van websites voor. Via SQL Injection kan een aanvaller direct toegang tot de database van een website krijgen, waaronder opgeslagen gebruikersgegevens.

De aanvallers hadden het zowel op kleine als grote websites voorzien. In totaal leverde dit 4,5 miljard inloggegevens op. Verder onderzoek wees uit dat het om 1,2 miljard unieke combinaties van wachtwoorden en gebruikersnamen zou gaan. Wordt er specifiek naar unieke e-mailadressen gekeken, die vaak als gebruikersnaam worden gebruikt, dan gaat het om 500 miljoen inloggegevens.

Het beveiligingsbedrijf adviseert websites om te controleren dat ze niet kwetsbaar voor SQL Injection zijn. Daarnaast komt er voor getroffen individuen een "elektronische identiteitsmonitoringsdienst", die de eerste 30 dagen gratis is. Via deze dienst wordt gekeken of mensen in de nu ontdekte database van gestolen inloggegevens voorkomen.

Reacties (20)
06-08-2014, 09:03 door Anoniem
Onzin, reclamestunt om zoveel mogelijk tools te verkopen die ineens al beschikbaar is. Geloof er geen hol van.
06-08-2014, 10:08 door linuxpro
Ow ja, wij van wc eend.. gebruik ons tooltje en het komt allemaal goed.. Zal best dat er gegevens van sites lekken door sql injection maar als je site zo brak is heb je 't ook aan jezelf te danken.
06-08-2014, 10:09 door Anoniem
iets uitgebreider: http://q13fox.com/2014/08/05/internet-scare-1-2-billion-user-names-passwords-stolen-by-russian-gang/
06-08-2014, 10:11 door Anoniem
nog uitgebreider: http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html?_r=0
06-08-2014, 10:43 door Anoniem
Door Anoniem: Onzin, reclamestunt om zoveel mogelijk tools te verkopen die ineens al beschikbaar is. Geloof er geen hol van.

Het is erger: "wil je weten of jouw account in de lijst staat, betaal ons dan $10 per maand."

Peter
06-08-2014, 10:46 door Anoniem
Heerlijk dit, geef ze groot gelijk en top gedaan en nu ook even uploaden op het internet dan hebben we der allemaal wat aan want ja de meesten nemen toch geen andere mailadres en zijn ook nog een zo simpel om niet hun wachtwoord te veranderen onder de mom van ze weten toch al alles!

En voor de getroffen websites ik hoop dat die lijst snel online komt kunnen we eens zien welke fappers het niet begrijpen want het is behoorlijk bekend dat je de zaakjes moet fixen voor dat een idioot langs komt en je database gaat plunderen, alleen vind ik het wel sneu voor de slachtoffers die hebben hier niet om gevraagd.
06-08-2014, 11:04 door Anoniem
Online checking tools ?


* Wat behelst de tool dan?
Ze is er nog niet maar je kan je er wel alvast voor inschrijven, dan kom je op de volgende pagina;

Consumer Hold Identity Protection Service
..
..
Please read our Terms of Service

Agree to Terms and Launch the App
http://www.holdsecurity.com/services/deep-web-monitoring/hold-identity/

Terms of service pagina (je wil toch even zien waarmee je akkoord zou moeten gaan niet?)
Klikje en een pagina verder;

Protected: TOS

This content is password protected. To view it please enter your password below:

Password:
http://www.holdsecurity.com/services/deep-web-monitoring/hold-identity/tos/

Een password protected terms of service??
Nieuwe manier om klanten ongelezen akkoord te laten gaan? (Zie geen captcha functie of iets dergelijks) Dat hoeft zo toch helemaal niet.
Succes verzekerde aanrader : doe nou maar een "ja! Akkoord!"-vinkje ergens, succes verzekerd voor ongelezen akkoord door vrijwel elke potentiële gebruiker (dagelijkse praktijk).
Nu gaan 'we' waarschijnlijk niet (meer) blindelings akkoord.

Maar goed, mijns inziens een veel belangrijker punt om in 'de groep te gooien' is het volgende :


* Gezonde Paranoia : Argumenten tegen en rondom online checkers van persoonsgegevens - Privacy!

- Helpt het gebruik van de tool tegen iets wat zeer waarschijnlijk al gebeurd is?
(kans van 1 op 15/30 .?.? dat je ertussen zit?)
Nee, je draait het er niet mee terug.
Krijg jij of je vrienden ineens meer spam van een adres dat van jou is is dat ook wel een indicatie in dit geval.


- Maakt het uit of je een sterk of zwak password had als argument de checker te gebruiken en zodoende te beoordelen om wel of niet je passwords te veranderen?
Nee, want het zijn gestolen gegevens van websites die de beveiliging niet genoeg op orde hadden en de wachtwoorden dan waarschijnlijk ook niet beveiligd genoeg bewaarden.

- Wat helpt er wel tegen?
Direct werk maken van het veranderen van al je gebruikte passwords of dan toch in ieder geval van je belangrijkste accounts. Wanneer je passwords voor meerdere soorten online accounts gebruikte is er geen enkel excuus meer om niet voor alle (online/web) accounts je passwords te veranderen.

- Database, wat moet men ermee?
De database is al winst voor het bedrijf, bezit van data is geld (Er niets mee doen is niet meer van deze tijd en gebeurt waarschijnlijk ook niet, dus wel).
Maar het is in ieder geval ook winst voor een geïnteresseerde overheid van betreffende land dat vast wel ideeën heeft met welke bestempelde papieren verzoekjes het een kopie van alle data verplicht kan laten afstaan.


- Echter, de database is nu nog vervuild met onder meer niet meer actuele gegevens.
Dat is onhandig, maar gelukkig kom je met een online checker er zo achter welke adressen kloppen en nog actief zijn. Actuele data zijn veel waardevoller.
Ook, of eigenlijk vooral met name voor de partijen die daarna met interesse aankloppen
.

- Wat kan een overheid nu met zo'n berg aan wachtwoorden die niet meer kloppen en veel email adressen?
Om te beginnen analyseren, analyseren, combineren en intern distribueren.
Verder vast vele interessante filters die je daarop los kan laten (filteren op gebruikers juist van sterke passwords bijvoorbeeld ;-) en combineren met andere gegevens.



* Geweldig eenvoudige en effectieve aanpak dus eigenlijk om nog veel meer gegevens te verzamelen (voor bedrijven en overheden).
Hoe groter de getallen hoe groter de aantrekkingskracht de tool te gebruiken, belangen kunnen ook groot zijn van de aanbieder. Hopelijk zit er geen verband tussen opgegeven aantallen en de waarde van het 'eigen'belang.

Heb de verschillende varianten de afgelopen jaren nu al een aantal keren langs zien komen, voor; emailadressen, accounts, Mac/apparaat id adressen.

Advies & overweging : Werk er niet aan mee, Doe het niet,
als je er niets mee opschiet, je geeft er alleen maar meer bruikbare persoons informatie mee weg !.

Wie bedankt wie voor welk service product ?
'Gratis'-service-alsjeblieft-dankuwel-nee-u-dankuwel-en-zeer-bedankt!,.. : een investering in een 30 dagen service aan 500 miljoen tot een miljard mensen draait niet op gratis, dat moet toch ergens weer terugverdiend gaan worden. Maar hoe?
Dat is eigenlijk niet de vraag, maar òf. Het antwoord is dàt het terugverdiend gaat worden en waarschijnlijk ben jij nogmaals (dubbel) het product (hoe goed en overtuigend de bedoelingen en argumenten verder ook zijn).



Zie ook de artikelen of de pagina's :
"YOU HAVE BEEN HACKED!"
http://www.holdsecurity.com/news/cybervor-breach/

"Russian Gang Amasses Over a Billion Internet Passwords"
http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html
06-08-2014, 12:51 door Anoniem
prachtig, zelf gebouwde identificatie autenticatie systeempjes als onderdeel van een webapplicatie.
Wees dan niet verbaasd dat het via SQL injectie open kan komen. Als je pech hebt nog van een site die toevallig op de zelfde machine zit. Dat in het geval dat de provider te weinig beveiligings isolatie (sandboxes) heeft aangebracht.

Wat hadden we ook al weer gezegd over security moet bij het begin van het ontwerp meegenomen worden.
SAML lijkt een mooi initiatief http://en.wikipedia.org/wiki/SAML_2.0
06-08-2014, 13:59 door Dick99999 - Bijgewerkt: 06-08-2014, 14:11
Merkwaardig dat er ook in de Engelse artikelen geen tot weinig onderscheid gemaakt wordt tussen wachtwoord (dat wat je intikt) en hash code(dat wat een site opslaat). DIe afgeleide code (dus niet het wachtwoord zelf) is wat een site opslaat. De rovers hebben hash codes en login namen en dus geen wachtwoorden.

Als je een sterk wachtwoord hebt, of nog beter een random wacht zin van vijf of meer woorden afhankelijk van de te beschermen 'waarde', is de kans klein dat van de hash code weer een leesbaar wachtwoord gemaakt kan worden.

Vaak is dat kraken van wachtwoord hashes, als een sterk hash en langzaam afleiding algoritme word gebruikt, zelfs onmogelijk binnen redelijke tijd, behalve wat toevalstreffers. En daar wil je niet bijzitten, dus nog een reden een sterk wachtwoord of wacht zin te gebruiken.
06-08-2014, 14:29 door Anoniem
Wie bedankt wie voor welk service product ?
'Gratis'-service-alsjeblieft-dankuwel-nee-u-dankuwel-en-zeer-bedankt!,.. : een investering in een 30 dagen service aan 500 miljoen tot een miljard mensen draait niet op gratis, dat moet toch ergens weer terugverdiend gaan worden. Maar hoe?
Dat is eigenlijk niet de vraag, maar òf. Het antwoord is dàt het terugverdiend gaat worden en waarschijnlijk ben jij nogmaals (dubbel) het product (hoe goed en overtuigend de bedoelingen en argumenten verder ook zijn).

Helder inmiddels,

Gaat om veel geld willen verdienen, een dik belegd boterham, een heel luxe slaatje slaan.
Toen dat op twitter werd opgemerkt en er vragen over werden gesteld werd kosten info van de website verwijderd en er vervolgens wat geflatteerder over de verplichte vergoedingen gesproken : "symbolical fee", " $10/month and $120/year".
Scareware in een nieuw jasje?

http://www.forbes.com/sites/kashmirhill/2014/08/05/huge-password-breach-shady-antics/
06-08-2014, 14:56 door Anoniem
Sorry, ik kon het niet laten:
http://xkcd.com/327/
Een klassieker!
06-08-2014, 15:24 door Anoniem
En Brian Krebs zit zogezegd in de advisory board van Hold Security, maar er niet over getweet of geblogd. Niet erg geloofwaardig.
06-08-2014, 15:26 door Anoniem
Ik snap alle kritiek op Hold, maar als het daadwerkelijk klopt wat er in het originele artikel staat:

" These botnets used victims’ systems to identify SQL vulnerabilities on the sites they visited. The botnet conducted possibly the largest security audit ever. Over 400,000 sites were identified to be potentially vulnerable to SQL injection flaws alone."

...dan zou het allemaal ineens wel kunnen kloppen. Ik denk alleen niet dat het de bedoeling is om wachtwoorden buit te maken (vaak behoorlijk versleuteld = zelfs voor een botnet lastig), maar vooral om te kunnen spammen & scammen.
06-08-2014, 15:57 door [Account Verwijderd]
[Verwijderd]
06-08-2014, 17:32 door Anoniem
Ja, breng de boodschapper maar om, dat is wel zo makkelijk.
06-08-2014, 23:48 door [Account Verwijderd]
[Verwijderd]
07-08-2014, 09:29 door Dick99999 - Bijgewerkt: 07-08-2014, 09:53
Het zou deze security firma eer aan doen, als als zij zouden vermelden wat het percentage hash codes is op de buitgemaakte zogenaamde wachtwoorden lijst. Dan zouden kranten en TV, vanwege de term hashcode, het nieuws genuanceerder moeten brengen ipv nu paniek zaaien.
Zelf ons Nationaal Cyber Security Centrum (NCSC) doet mee, geen woord over hash codes, zie https://www.ncsc.nl/actueel/nieuwsberichten/datadiefstal.html

Een wachtwoord
- van 15 willekeurige tekens (keuze uit alleen hoofdletters, kleine letters en cijfers, en dus geen speciale tekens, maar deze mogen wel)
of een wachtzin (pass phrase)
- van 6 willekeurige woorden (bestaande uit meer dan 20 uitsluitend kleine letters),
neemt gemiddeld nog steeds vele eeuwen om te kraken

Dat is zelfs waar nu speciale hardware meer dan 250 miljard keer per seconde kan raden http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/ naar het goede wachtwoord. Maar dat hoge aantal gissingen wordt alleen gehaald als een site een werkelijk zwakke hash methode gebruikt.
07-08-2014, 10:53 door rwk
Ik las je laatste commentaar Dick99999. Misschien suffe vraag, hebben al die websites dan die passwords in clear text opgeslagen ? Als alle websites een password hash opslaan is het volgens mij al een stuk lastiger om passwords te achterhalen. Of zit ik ernaast ?

http://stackoverflow.com/questions/13216791/php-mysql-secure-password-store

Zet de focus op systeembeheerders en website ontwikkelaars. Geen cleartext passwords meer op slaan. Het is waar als ze de database jatten is niet fijn voor de klant. Echter veel mensen gebruiken nog steeds 1 wachtwoord voor alle websites. Zouden alle websites hashed passwords opslaan (een vorm van encryptie), dan is het voor criminelen in ieder geval minder interresant om met dat soort gegevens ergens anders in proberen te loggen.
07-08-2014, 15:34 door Dick99999 - Bijgewerkt: 08-08-2014, 06:15
Door rwk: Ik las je laatste commentaar Dick99999. Misschien suffe vraag, hebben al die websites dan die passwords in clear text opgeslagen ? Als alle websites een password hash opslaan is het volgens mij al een stuk lastiger om passwords te achterhalen. Of zit ik ernaast ?

http://stackoverflow.com/questions/13216791/php-mysql-secure-password-store
[........]
Inderdaad een opgeslagen pasword hash is een stuk lastiger tot onmogelijk te kraken, daarom gaf ik de voorbeelden van kraaktijden bij gebruik van sterke wachtwoorden. Ik kan mij niet voorstellen dat alle wachtwoorden plain text zijn..........
07-08-2014, 23:48 door Anoniem
Het is wellicht enkel bedoeld om 'de russen' ook vanuit deze hoek in een kwaad daglicht te zetten i.v.m. de opbouw van een troepenmacht aan de grens van Oekraïne. Al begin dit jaar riep Obama nog op tot versterking van de Europese troepen, blijkbaar hebben ze nu een (amerikaans!) bedrijf gevonden die deze megahack wel eventjes wereldkundig wil maken voor een grote zak belastinggeld. "If you're not with us then you're against us!" Aluhoedje nu weer afzetten doet...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.