Hold Security hekelt negatieve publiciteit na grote datadiefstal
Het Amerikaanse beveiligingsbedrijf Hold Security dat vorige week de diefstal van 1,2 miljard wachtwoorden bekendmaakte hekelt de negatieve publiciteit die het de afgelopen dagen ontving. Het bedrijf liet via de NY Times weten dat het een bende cybercriminelen op het spoor was gekomen.
De bende had op meer dan 400.000 sites ingebroken en daarbij allerlei databases met gebruikersgegevens via SQL Injection buitgemaakt. In totaal zou het om 1,2 miljard unieke inloggegevens gaan. Verdere details werden door Hold Security niet gegeven. Daarnaast verwees het bedrijf naar een eigen website waar consumenten wachtwoordgegevens moesten invullen als ze wilden weten of ze getroffen waren. Websites die wilden weten of ze gehackt waren moesten een abonnement nemen dat 120 dollar per jaar kost.
De werkwijze kwam Hold Security op veel kritiek te staan. Sinds de openbaarmaking vorige week werd de pers vermeden, hoewel het beveiligingsbedrijf tegenover The Register liet weten dat van de 1,2 miljard gestolen inloggegevens er 2,28 miljoen Australische e-mailadressen gebruikten. Daarnaast zouden 5929 Australische websites zijn gehackt. Verder werden er wederom geen details vrijgegeven.
In Forbes geeft Alex Holden, oprichter van Hold Security, voor het eerst een reactie. Daarin vertelt hij dat alle negatieve publiciteit ook invloed heeft op de partijen die het bedrijf financieel ondersteunen. "We doen het helemaal niet voor de publiciteit om ervan te profiteren, we proberen niet onze diensten op te dringen. Sterker nog, we proberen niet failliet te gaan." Holden erkent dat de communicatie rond de ontdekking beter had gekund.
De beveiliger merkt op dat hij de gestolen wachtwoorden op een "dark web hacker exchange" ontdekte dat door zijn team werd gemonitord. Hij wilde met de openbaarmaking twee zaken aantonen, namelijk de slechte beveiliging van websites en dat wachtwoorden niet meer voldoende zouden zijn.
Tegenover Forbes vertelt Holden dat niet alle wachtwoorden bij aanvallen op websites zijn buitgemaakt, maar dat veel er mogelijk zijn gekocht. Wat de verdeling is kan Holden echter niet zeggen. Daarnaast heeft hij er opzettelijk voor gekozen de getroffen bedrijven en websites niet in te lichten, aangezien dit een zeer langdurig en kostbaar proces zou worden.
Wel mooi dat zo iemand zich voor het karretje laat spannen ($$$$).
Zelfde met de klantgegevens. ik wil helemaal geen wachtwoorden invoeren. Laat mij gewoon zoeken op mijn emailadres. En geef daarbij aan bij welke bedrijven deze bekend is, pas ik daar wel mijn wachtwoord aan.
Als ik op een voor mij onbekende website mijn inloggegevens moet gaan checken, en dat ik daar ook nog eens voor moet betalen, daar winnen ze mijn vertrouwen niet mee. Sterker nog: ik vertrouw die website helemaal niet. Iedereen kan wel zeggen dat hij koning Willem Alexander of president Obama is...
Het lijkt mij in deze situatie verstandiger om al je wachtwoorden te wijzigen, in plaats van je wachtwoorden prijs te geven aan een dubieuze website.
Zelfs al zegt die website een match gevonden te hebben, dan nog vertrouw ik het niet. Een phishingsite bijv. kan ook legitieme informatie laten zien. Anders is het wel een gevalletje van cold reading.
Nee, maar ondertussen wel geld verdienen aan andermans inloggegeven... in één woord walgelijk!
Bovendien: als ze de getroffen websites niet prijsgeven, hoe weet je dan welke inloggegevens je moet checken? Al mijn wachtwoorden, gebruikersnamen en zelfs e-mailadressen zijn voor ieder account uniek. En in totaal zijn dat er nogal wat!
Het zou enorm dom zijn om een lijst te publiceren, want dat leidt direct tot meer hacks en het zou tot (terechte) aansprakelijkheidstellingen kunnen leiden.
Zoals bekend vraagt hij geen geld van individuen. Geld vragen van bedrijven lijkt mij meer dan redelijk. Brood moet ergens van worden betaald. Hij verkoopt geen gebakken lucht verpakt in appliances, hij is een researcher.
Overigens is het nog steeds zo dat je je wachtwoorden niet moet afgeven op een site van derden (van wie dan ook). Als je wilt weten of je wachtwoorden gecompromeerd zijn, wijzig je ze gewoon.
[.....]
Overigens is het nog steeds zo dat je je wachtwoorden niet moet afgeven op een site van derden (van wie dan ook). Als je wilt weten of je wachtwoorden gecompromeerd zijn, wijzig je ze gewoon.
- garandeert dat het wachtwoord lokaal op de PC goed gehasht (niet verersleuteld!) wordt
- de ontvanger de hash in de praktijk niet kan decoderen (vanwege de tijdsduur)
Dit los van je advies het wachtwoord eerst te veranderen, dat is in dit geval gewoon wat je moet doen.
Ik blijf het vreemd vinden dat Hold Security over de hashes beschikt en blijf mij afvragen of zij de klare tekst wel hebben 'verkregen'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.