Mogelijk gehashte wachtwoorden buitgemaakt bij phpBB-hack
Bij een aanval op de website van de populaire forumsoftware phpBB hebben de aanvallers gehashte wachtwoorden kunnen buitmaken. Dat heeft phpBB bekendgemaakt. Eerder adviseerde de forumsoftware gebruikers van zijn website uit voorzorg al om wachtwoorden te wijzigen.
Nieuws over de hack kwam maandag al naar buiten. Volgens phpBB blijkt nu dat de aanvallers toegang hebben gekregen tot de databases van phpBB.com en Area51, de ontwikkelomgeving van phpBB. Dat betekent dat er versleutelde logingegevens kunnen zijn buitgemaakt. Ook zouden de aanvallers een sniffer hebben geïnstalleerd om tussen 12 en 15 december alle logins te loggen, al zou de hashing-tool van phpBB het moeilijk maken om de plaintext-wachtwoorden te achterhalen.
PhpBB heeft het algoritme bcrypt met factor gebruikt om de wachtwoorden te versleutelen. De in de database aanwezige wachtwoorden waren daarnaast voorzien van een salt, waarmee kan worden voorkomen dat ze via rainbow tables kunnen worden achterhaald. Het is niet duidelijk of dat ook geldt voor de gesniffte wachtwoorden. PhpBB adviseert gebruikers die hun wachtwoord op phpBB.com of Area51 ook elders gebruiken om hun wachtwoord te wijzigen.
De aanvallers hebben niet geknoeid met de installatiebestanden van phpBB, beloven de makers van de forumsoftware. De aanvallers zijn bovendien niet binnengekomen via een lek in de forumsoftware, maar wisten de logingegevens van een phpBB-teamlid te achterhalen. PhpBB belooft binnenkort met meer duidelijkheid te komen over de maatregelen die na de hack zijn genomen. Op het moment van schrijven is de phpBB-site nog altijd offline.
Deze post is geschreven door tweakers.net en te lezen op:
http://tweakers.net/nieuws/100306/mogelijk-gehashte-wachtwoorden-buitgemaakt-bij-phpbb-hack.html