image

Ars Technica gehackt via slordig opgeslagen back-up

woensdag 17 december 2014, 11:00 door Redactie, 2 reacties

Afgelopen maandag wist een aanvaller de website van de populaire techwebsite Ars Tecnica te hacken en de hoofdpagina te defacen, waarbij mogelijk ook de wachtwoorden van gebruikers zijn gecompromitteerd. Volgens de redactie wist de aanvaller op 14 december toegang tot één van de webservers van de website te krijgen en probeerde vervolgens een uur lang om van die webserver een meer centrale machine te benaderen.

Uiteindelijk slaagde de aanvaller hierin dankzij een "slordig opgeslagen back-upbestand", aldus de redactie. De volgende dag logde de aanvaller weer in op de centrale machine en veranderde de hoofdpagina van Ars Technica met een nummer van de band Dual Core. Zestien minuten later was de defacement verwijderd. Vervolgens besloot de website alle interne wachtwoorden en certificaten te vervangen en de webservers verder te beveiligen.

Database

Uit analyse van de logbestanden blijkt dat de aanvaller de mogelijkheid heeft gehad om de gebruikersdatabase te kopiëren. Deze database bevat e-mailadressen en gehashte wachtwoorden. De wachtwoorden zijn met 2048 iteraties van het MD5-algoritme gehasht en gesalt met een willekeurige verzameling karakters. Gebruiker krijgen het advies om hun wachtwoord, als ze dat ook voor andere websites gebruikten, te wijzigen.

Vooral het gebruik van het MD5-algoritme, wat als onveilig wordt beschouwd, zorgde voor veel kritiek onder lezers. De redactie laat weten dat er naar veiligere alternatieven wordt gekeken. Op dit moment gebruikt Ars Technica phpBB voor de reacties op de website en deze software gebruikt hiervoor MD5. Mogelijk dat er dan ook uiteindelijk op een alternatief voor phpBB wordt overgestapt.

Reacties (2)
17-12-2014, 12:19 door Anoniem
MD5 is niet onveilig voor dit doel door de collisions, maar door de snelheid. Door het 2000 keer te hashen en te salten werk je dit redelijk tegen. Er zijn echter veel betere oplossingen, de beste op dit moment is scrypt.
18-12-2014, 11:33 door Anoniem
Door Anoniem: MD5 is niet onveilig voor dit doel door de collisions, maar door de snelheid. Door het 2000 keer te hashen en te salten werk je dit redelijk tegen. Er zijn echter veel betere oplossingen, de beste op dit moment is scrypt.

Het lijkt me ook een goed idee om te zorgen dat iemand er NIET met de gebruikersdatabase vandoor kan gaan. Beveiliging in laagjes, zeg maar...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.