Gisteren is onze webserver, via een lek in de door ons gebruikte vBulletin forumsoftware, gehackt door een persoon uit Rusland. Hoewel we er snel bij waren, heeft die persoon gedurende enige tijd toegang gehad tot onze server. Nadat we dit gisteren hebben ontdekt, hebben we de toegang voor hem direct onmogelijk gemaakt, het vermoedelijke lek gedicht en continue controles uitgevoerd. Inmiddels hebben we verdere maatregelen genomen: Hardware.Info, FotoVideo.nu en ICTWijzer zijn inmiddels overgezet naar een nieuwe server en de softwareinstallatie van de gehackte server wordt vernietigd. Hoewel we geen aanwijzingen hebben dat de hacker met onze gebruikersdatabase aan de haal is gegaan, hebben we toch voor de zekerheid de wachtwoorden van alle Hardware.Info, FotoVideo.nu en ICTWijzer gebruikers gereset. Tegelijkertijd hebben we een plan om de wachtwoordencryptie van vBulletin op te waarderen van md5 naar bcrypt versneld uitgevoerd.
Alle wachtwoorden gereset
Voor de zekerheid hebben we de wachtwoorden van alle gebruikers gereset. Om weer te kunnen inloggen, moet je een nieuw wachtwoord aanvragen. Dat kan op onderstaande URL:
Als je je e-mailadres invoert op bovenstaande URL krijg je direct een nieuw wachtwoord in je mailbox. Dit wachtwoord kun je indien gewenst later veranderen. Hoewel we geen aanwijzingen hebben dat de hacker oude wachtwoorden heeft kunnen bemachtigen, raden we toch iedereen aan om een nieuw wachtwoord te kiezen. Mocht je je oude wachtwoord ook op andere sites gebruikt hebben, is het aan te raden het ook daar te veranderen.
Let wel: je nieuwe wachtwoord werkt net als vroeger direct op Hardware.Info, FotoVideo.nu en ICTWijzer. Je nieuwe wachtwoord wordt direct op de aanzienlijk veiligere bcrypt-methode (achtergrondinformatie) op onze servers opgeslagen.
Techniek: Wachtwoorden op Hardware.Info, FotoVideo.nu en ICTWijzer
De wachtwoorden van de door Hardware.Info, FotoVideo.nu en ICTWijzer gedeelde gebruikersdatabase staan niet rechtstreeks in onze database, maar gecodeerd met een zogenaamde md5-hash met een per user verschillende salt. Zo'n md5-hashing is een encryptie die niet in omgekeerde vorm uit te voeren is. Wie de gebruikersdatabase zou hebben, kan dus niet zomaar alle wachtwoorden zichtbaar maken. Wanneer je inlogt op één van de sites, wordt het wachtwoord dat je invoert ook via md5 gehashed en wordt het resultaat daarvan vergeleken met wat in onze database staat; is er een overeenkomst, dan is de login gelukt.
Maar, de encryptie van md5 is zeker niet feilloos; wie er veel rekenkracht tegenaan gooit kan in potentie wachtwoorden brute-force kraken. Vandaar dat verschillende partijen er bij de makers van de vBulletin-software, die wij gebruiken voor het forum en de gebruikersauthenticatie, op hebben aangedrongen om een complexere encryptiemethode te gebruiken. Omdat de ontwikkelaars van vBulletin aan dat verzoek geen gehoor willen geven, hebben we een tijdje geleden al besloten om zelf de encryptie aan te passen, naar het veel complexere bcrypt. Die aanpassing hebben we nu versneld doorgevoerd: vanaf nu worden alle wachtwoorden met deze nieuwe encryptiemethode opgeslagen. Voor het idee: het verwerken van één hash duurt ongeveer 3 seconden op een relatief snelle processor. Dat maakt het brute force kraken van wachtwoorden in de nieuwe situatie vrijwel onmogelijk.
Vragen?
Vragen over deze situatie kun je stellen in de thread onder dit artikel of via e-mail naar info@hardware.info. We zullen alle vragen zo spoedig mogelijk beantwoorden.
