Gegevens 339 miljoen gebruikers AdultFriendFinder gestolen
Een aanvaller is er vorige maand in geslaagd om de gegevens van 339 miljoen gebruikers van de website AdultFriendFinder te stelen, waaronder 256.000 gebruikers met een Nederlands e-mailadres. Ook werden verschillende pornosites door de aanvaller gehackt, waaronder Penthouse.com, Stripshow.com, Cams.com en iCams.com, waar nog eens van meer dan 70 miljoen gebruikers gegevens werden buitgemaakt, zo laat de website LeakedSource weten.
Het totaal aantal gestolen gebruikersgegevens komt daarmee uit op ruim 412 miljoen. De websites, die allemaal onderdeel van het Friend Finder Network zijn, werden via een local file inclusion-kwetsbaarheid gehackt. Dit netwerk bewaarde wachtwoorden van gebruikers in platte tekst of via een geshalte sha-1-hash. De gehashte wachtwoorden zouden daarnaast naar kleine letters zijn veranderd zodat ze veel eenvoudiger te kraken zijn, aldus LeakedSource. Het houdt echter ook in dat de wachtwoorden minder nuttig voor aanvallers zijn om in het echt te gebruiken.
LeakedSource zegt dat het inmiddels 99% van alle wachtwoorden heeft achterhaald. 123456 is met 900.000 hits het meestgebruikte wachtwoord, gevolgd door 12345 dat 635.000 gebruikers hadden gekozen. Verder werden ook verschillende lange wachtwoorden gekraakt, zoals "1234tellmethatyoulovememore" en " pussy.passwordLimitExceeded:07/1". Naast de wachtwoorden is er ook een overzicht van gestolen e-mailadressen gemaakt. Daaruit blijkt dat er 256.000 gebruikers met een e-mailadres eindigend op live.nl waren.
Verder stonden er in het geval van Adult Friend Finder, dat zich als de grootste community voor swingers omschrijft, ook nog eens bijna 16 miljoen accounts van verwijderde gebruikers in de database. Hoewel de gebruikers hun account hadden opgezegd, waren de gegevens niet echt verwijderd. In tegenstelling tot een eerdere hack van Adult Friend Finder zijn er dit keer geen gegevens over seksuele voorkeur gestolen.
Reacties (18)
Ach, de zoveelste hack en het zal zeker niet de laatste zijn. De bevindingen zijn wederom het zelfde als bij alle vorige hacks. Het is wachten op de echt grote klapper en die is hard nodig om de mensen besef bij te brengen. Dan heb ik het over een hack bij de overheid waarbij gevoelige gegevens worden geroofd. Wat ik hier al eens eerder heb gezegd, een mens leert van vallen en op opstaan. We zijn nog niet hard genoeg gevallen.
Twee vragen:
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Door Anoniem: Twee vragen:
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
Op die laatste vraag krijg je nog antwoord als je de blog leest waarnaar wordt gelinked vanuit het artikel.
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).
Beveiliging is zo sterk als ze zwaktste schakel...
Dus enerzijds worden we opgeroepen zo sterk mogelijke wachtwoorden te bedenken, en anderzijds worden die op zo'n lousy manier opgeslagen dat de eerste de beste hacker ze boven water kan toveren. Daar gaat je voorraad goed onthoudbare sterke wachtwoorden, en daar gaat je zelfbedachte methode van genereren.
Nou, dan blijf ik voor zulk prutsites wel bij 123456 of een OTP (door steeds een reset aan te vragen). Het is toch wel een gotspe om als er zoveel wachtwoorden zo makkelijk gekopieerd kunnen worden, te gaan klagen over de gebruikers "die geen sterke wachtwoorden kiezen.".
Of is het de zoveelste SGP actie om mensen bij sekssites weg te jagen?
Nou, dan blijf ik voor zulk prutsites wel bij 123456 of een OTP (door steeds een reset aan te vragen). Het is toch wel een gotspe om als er zoveel wachtwoorden zo makkelijk gekopieerd kunnen worden, te gaan klagen over de gebruikers "die geen sterke wachtwoorden kiezen.".
Of is het de zoveelste SGP actie om mensen bij sekssites weg te jagen?
Door Anoniem:
Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).
Beveiliging is zo sterk als ze zwaktste schakel...
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).
Beveiliging is zo sterk als ze zwaktste schakel...
Ik weet niet of dat een geldig argument is. Een wachtwoord wordt niet versleuteld opgeslagen. Er wordt een algoritme op losgelaten waar een hash uitkomt. Kraken van wachtwoorden bestaat uit het uitproberen van combinaties tot de uitkomst dezelfde hash is.
Ik weet niet of dat een geldig argument is. Een wachtwoord wordt niet versleuteld opgeslagen. Er wordt een algoritme op losgelaten waar een hash uitkomt. Kraken van wachtwoorden bestaat uit het uitproberen van combinaties tot de uitkomst dezelfde hash is.
Ja dat hoop je dan, dat er een beetje fatsoenlijke hash (met salting) overheen gehaald is. Maar dat gebeurt dus niet altijd (MD4... brrr) en dan is het algoritme wel degelijk te kraken of erger nog, de wachtwoorden staan gewoon in plain text opgeslagen en dan ben je reddeloos verloren met je mooie passphrase.
Overigens is hashing wel een vorm van versleuteling, alleen gooi je als het goed is een stuk weg zodat het niet te ontsleutelen is.
Die lange passphrases kunnen eenvoudig te achterhalen zijn als ze ooit al eens zijn gecalculeerd. Daarom vul je nooit je eigen passphrase in op een publieke site om zo de MD5 of SHA2 sum te berekenen...
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Inderdaad jammer dat de krakers geen methodes blootgeven. kraken van gladiatoreetjaimelesexetjaimefum is ook merkwaardig. (gladiatore et jaime le sex et jaime fum ?)pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Gegevens 339 miljoen gebruikers AdultFriendFinder gestolen
- Nou, daar zijn degenen die op dat netwerk zaten dan maar mooi klaar mee.... * Huh? Klaar mee?....
- Jawel, klaar mee. Die bezoekers van dat achterlijke pornonetwerk... Die zijn er maar mooi klaar mee.
* huhuhhuh...hihihih... HAHAHAHA, ze zijn er K L A A R...M E E !
* Jawel dames en heren, 339 miljoen gebruikers zijn er maar mooi klaar mee. (en nog gratis ook...)
(kantoorhumor)
Ongelofelijk hè D:
Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Door Dick99999:
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Inderdaad jammer dat de krakers geen methodes blootgeven. kraken van gladiatoreetjaimelesexetjaimefum is ook merkwaardig. (gladiatore et jaime le sex et jaime fum ?)pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Door Anoniem: Die lange passphrases kunnen eenvoudig te achterhalen zijn als ze ooit al eens zijn gecalculeerd. Daarom vul je nooit je eigen passphrase in op een publieke site om zo de MD5 of SHA2 sum te berekenen...
Goed advies!
Je kunt denk ik wel middels een applicatie op je eigen systeem een md5 berekenen. De hash kun je dan veilig opzoeken in een online rainbow table.
15-11-2016, 07:55 door
PietdeVries
Door Anoniem: <snip>
(kantoorhumor)
(kantoorhumor)
't Zal dan wel het kantoor van de plaatselijke plantsoenendienst zijn als ik je bijdrage zo lees...
Door Anoniem: Ongelofelijk hè D:
Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Nee, een rainbow table kan niet, want deze SHA1 hashes gebruikte 'salt't zodat als wij het zelde wachtwoord hebben, de hash toch verschillend is. Ik neem aan uniek zout voor elk wachtwoord, maar je weet nooit welke slimmigheden site ontwikkelaars uithalen (zoals hier alles lowercase maken voor de hashing). Dat was bij de Ashley Madison kraak anders. Zij gebruikte geen zout en een 8*GPU susteem kon een kraak record zetten, ik dacht 10^15 hashes/sec.Door Dick99999:
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Inderdaad jammer dat de krakers geen methodes blootgeven. kraken van gladiatoreetjaimelesexetjaimefum is ook merkwaardig. (gladiatore et jaime le sex et jaime fum ?)pussy.passwordLimitExceeded:07/1
Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Inderdaad lijsten van wachtwoorden kan je kopen en vinden, kijk eens op de volgende site, daar staan bijna een miljard wachtwoorden: http://www.mysql-password.com/database/12671
Nou de Telegraaf heeft hun expert er ook naar laten kijken. Kijk even mee: http://www.telegraaf.nl/tv/nieuws/binnenland/27023288/__Sekssites_gehackt__dit_moet_u_doen__.html
Er helemaal geen advies wordt gegeven! Hij had op zijn minst kunnen zeggen dat iedereen die gehackt zijn/haar password(s) direct moet wijzigen! Vooral wanneer je het zelfde password ook op andere websites gebruikt! Een menneke die gadgets reviewed is nog geen ITer.
Er helemaal geen advies wordt gegeven! Hij had op zijn minst kunnen zeggen dat iedereen die gehackt zijn/haar password(s) direct moet wijzigen! Vooral wanneer je het zelfde password ook op andere websites gebruikt! Een menneke die gadgets reviewed is nog geen ITer.
15-11-2016, 10:43 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?