Waarschuwing: Synthforum gehackt

Dr van Lansberg

Gepokt en gemazeld
Lid sinds
18 februari 2011
Berichten
11.028
Locatie
Amsterdam
Vanaf gisterenochtend (donderdag 3 oktober) zijn er meldingen binnengekomen over vreemd gedrag van het forum. Sommige Android gebruikers meldden dat er een Chinese webwinkel werd getoond als ze naar synthforum.nl wilden gaan. Op 25 september heeft een hacker een kwetsbaar stuk code gevonden in de vBulletin software. Tot onze grote spijt heeft vBulletin ons op geen enkele wijze hierover geïnformeerd (direct of indirect) met een hack als gevolg.

De beheerder heeft geconstateerd dat er op onze de server door onbekenden bestanden zijn geplaatst die ervoor zorgden dat Android gebruikers werden doorgelinkt naar de webwinkel. Voor nu lijkt het een generieke hack te zijn geweest. Deze bestanden zijn gisterenavond in quarantaine geplaatst waardoor ze onschadelijk zijn gemaakt. Vooralsnog zijn er geen aanwijzingen dat men toegang heeft gehad tot de database.

In de database worden naast alle posts van het forum, ook alle gebruikersgegevens bewaard. Deze gebruikersgegevens bestaan onder meer uit je gebruikersnaam, je mailadres en je wachtwoord. Het wachtwoord wordt echter versleuteld bewaard waardoor het niet leesbaar is.

Inmiddels is er een patch geïnstalleerd die de kwetsbare vBulletin code heeft vervangen.

De beheerder is nu bezig met het analyseren van de serverlogs om meer zekerheid te krijgen over de vraag wat men precies heeft gedaan en welke gevolgen dit eventueel nog meer kan hebben. Dit kan enige dagen duren.

Wat moet je doen?

Als voorzorgsmaatregel raden we je aan om direct je wachtwoord te wijzigen. Zorg voor een sterk, uniek en willekeurig wachtwoord. Hoewel wachtwoorden versleuteld worden bewaard, geven we je volgens goed gebruik toch dit advies. Als je op de Chinese website hebt geklikt, adviseren we je voor alle zekerheid om je device door een virusscanner te laten scannen.

Zodra we meer relevante informatie voor je hebben, zullen we dat hier posten.
 
In de database worden naast alle posts van het forum, ook alle gebruikersgegevens bewaard. Deze gebruikersgegevens bestaan onder meer uit je gebruikersnaam, je mailadres en je wachtwoord.

Hmm ja, en ook wel eens uitwisseling van prive-gegevens, bij (ver)koop-transacties. Die gegevens staan niet versleuteld vrees ik?

Bedankt voor de waarschuwing!
 
... niet versleuteld....

ok, dat is sowieso gewoon kut. Sorry, website 101. Al vidnd ik dit forum nog zo fijn.

Nu tweede. Als dit gehacked zou zijn, weet ik dan dat mijn gegevens nu wel veilig zijn? kan zo maar injectie zitten. Nu kan ik dit wel vinden, maar hier heb ik weinig trek in. In ieder geval, als de nieuwe wachtwoorden niet versleuteld erin zitten, en /of eventuele XSS/loggers zitten, dan maakt nieuw wachtwoord invoeren niet veel beter....

niet om pessimistisch te zijn, maar ik houd liever mijn zelfde wachtwoord dan een nieuw wachtwoord in dit geval. Snap dat 't niet relaxed is voor iedereen natuurlijk.
 
... niet versleuteld....

ok, dat is sowieso gewoon kut. Sorry, website 101. Al vidnd ik dit forum nog zo fijn.

Nu tweede. Als dit gehacked zou zijn, weet ik dan dat mijn gegevens nu wel veilig zijn? kan zo maar injectie zitten. Nu kan ik dit wel vinden, maar hier heb ik weinig trek in. In ieder geval, als de nieuwe wachtwoorden niet versleuteld erin zitten, en /of eventuele XSS/loggers zitten, dan maakt nieuw wachtwoord invoeren niet veel beter....

niet om pessimistisch te zijn, maar ik houd liever mijn zelfde wachtwoord dan een nieuw wachtwoord in dit geval. Snap dat 't niet relaxed is voor iedereen natuurlijk.

De wachtwoorden zijn toch wel versleuteld? Het gaat over de prive berichten.

Los daarvan: nooit een goed idee om hetzelfde paswoord voor verschillende sites te houden. Services zoals LastPass zijn er voor een reden.
 
... niet versleuteld....

Nu tweede. Als dit gehacked zou zijn, weet ik dan dat mijn gegevens nu wel veilig zijn? kan zo maar injectie zitten.

Een upgrade van de forum software werd ondermeer doorgevoerd, dat eventueel gecompromitteerde bestanden overschrijft.
 
Het is toch van de zotte dat je software steeds moet updaten? Waarom werkt het vanaf het begin niet gewoon 100% goed?
Moeten we in de toekomst ook onze muziekverzameling updaten omdat er in de compositie foutjes zijn geslopen? :-S
Maar ik heb het hier weleens met een applicatieontwikkelaar over gediscussieerd en die was het er niet mee eens....... :D
 
Het is toch van de zotte dat je software steeds moet updaten? Waarom werkt het vanaf het begin niet gewoon 100% goed?
Moeten we in de toekomst ook onze muziekverzameling updaten omdat er in de compositie foutjes zijn geslopen? :-S
Maar ik heb het hier weleens met een applicatieontwikkelaar over gediscussieerd en die was het er niet mee eens....... :D

Tja als je zo'n opmerking plaatst heb je totaal geen kaas gegeten van software ontwikkeling en wat daar bij komt kijken
 
Tja als je zo'n opmerking plaatst heb je totaal geen kaas gegeten van software ontwikkeling en wat daar bij komt kijken

Tja, moet je voorstellen hoe de wereld er uit zou zien als iedereen software ontwikkelaar was.
 
Netjes, de juiste acties uitgevoerd.
Software, en vooral datgene wat ontsloten wordt via het grote boze internet is altijd kwetsbaar.
De opmerking 100% goed, is onmogelijk. Vandaag is het goed, morgen is er een exploit.
Belangrijkste is dat de boel juist wordt bijgehouden, dus updates zsm doorvoeren (wel vooraf testen natuurlijk)
Forumsoftware is altijd kwetsbaar, daar is voor kwaadwillenden het meeste te halen, vaak ook als gevolg van het opzetten, groeien, druk, drukker drukst, te weinig tijd om iets bij te houden, te updaten etc etc.
Niet alleen de voorkant van je website is belangrijk, de achterkant is vaak nog veel belangrijker, databases, versleuteling, algorythmes........

Succes met het doorspitten van de loggingen en keep up the good work!
 
Het is toch van de zotte dat je software steeds moet updaten? Waarom werkt het vanaf het begin niet gewoon 100% goed?

Omdat software erg complex is en daarnaast vaak afhankelijk is van andere componenten die aan verandering onderhevig zijn of zelf foutjes bevatten. In een gesloten systeem is dit vaak niet zo'n probleem, maar in een open omgeving als een website worden er constant van alle kanten aanvallen aangevoerd om te proberen een zwakke plek te vinden en die zijn er toch altijd wel - is het niet in je eigen applicatie dan wel in de componenten die je gebruikt of het systeem waar het op draait - hoe goed je alles ook dichtgetimmerd denkt te hebben. Kat & muis spelletje dus.
 
Tja als je zo'n opmerking plaatst heb je totaal geen kaas gegeten van software ontwikkeling en wat daar bij komt kijken

Waarom zou er geen software ontwikkeld kunnen worden, waar geen fouten inzitten en geen exploits mogelijk zijn?
Mijn vermoeden is dat veel software te vroeg op de markt wordt gebracht en dat de klant als testpanel mag functioneren.

om te proberen een zwakke plek te vinden en die zijn er toch altijd wel.

Waarom zijn die er toch altijd wel?

Maar misschien geraak ik off-topic.. :-)
 
Maar hoe ingewikkeld is het om alle privé berichten te versleutelen? Lijkt me toch wel een beetje de achilleshiel van dit forum met zijn marktplaats-activiteiten.
 
Maar hoe ingewikkeld is het om alle privé berichten te versleutelen? Lijkt me toch wel een beetje de achilleshiel van dit forum met zijn marktplaats-activiteiten.

Dank voor je bijdrage captain hinesight.
 
hindsight, met een d... De vraag zit vooral in de eerste zin, misschien even anders formuleren: is het ingewikkeld om pb's te versleutelen om dit forum, heb geen idee nl.

Beter?
 
hindsight, met een d... De vraag zit vooral in de eerste zin, misschien even anders formuleren: is het ingewikkeld om pb's te versleutelen om dit forum, heb geen idee nl.

Beter?

Ja!
 
Versleutelen van pb's heeft niet zoveel zin omdat je de sleutels ook in de database zou moeten opslaan als je wil dat de ontvanger de pbs nog kan lezen.

Versleutelen van wachtwoorden werkt anders. Die kan je op een manier opslaan dat je er nooit meer bij kan. Bij het controlleren van een wachtwoord wil je namelijk alleen maar weten of het nieuw ingevoerde wachtwoord hetzelfde is als het oude. Dus door het nieuwe wachtwoord op dezelfde manier te versleutelen en dan de versleutelde wachtwoorden te vergelijken kan je ervoor zorgen dat het oorspronkelijke wachtwoord nooit meer terug te halen is. (Behalve door alle mogelijke wachtwoorden te proberen)
 
Back
Top