Helpmij.nl
Algemeen Helpmij.nl account
- Lid geworden
- 8 sep 2000
- Berichten
- 671
Onlangs ontdekten wij dat iemand zich, via een lek in de door ons gebruikte bannersoftware, toegang had verschaft tot onze database. Wij waren er erg snel bij waardoor de persoon slechts korte tijd toegang heeft gehad tot onze server. Nadat dit is ontdekt, hebben we deze ingang onmiddellijk geblokkeerd, het waarschijnlijke lek gedicht en steeds checks uitgevoerd. Ondertussen hebben wij ook verdere maatregelen genomen om herhaling te voorkomen. Hoewel niet zeker, zijn er aanwijzingen dat de hacker mogelijk ook toegang heeft gekregen tot het administratie gedeelte van de vBulletin software en heeft kunnen kijken in onze gebruikersdatabase. Om het zekere in dit geval voor het onzekere te nemen hebben we besloten de wachtwoorden van alle Helpmij.nl gebruikers te resetten.
De banner software stond al enige jaren op de nominatie om vervangen te worden door software die we zelf ontwikkelen. Dit wordt nu vooruit geschoven. Verder zijn alle andere pagina’s en subdomainen nagekeken op mogelijke lekken. Daarnaast zijn de toegang tot het administratie gedeelte, alsook het Modcp verplaatst en verder beveiligd.
De wachtwoorden op Helpmij.nl
De wachtwoorden van de gebruikers van Helpmij.nl staan niet rechtstreeks in onze database, maar gecodeerd met een zogenaamde md5-hash met een per user verschillende salt. Zo'n md5-hashing is een encryptie die niet in omgekeerde vorm uit te voeren is. Wie de gebruikersdatabase zou hebben, kan dus niet zomaar alle wachtwoorden zichtbaar maken. Wanneer je inlogt op de site, wordt het wachtwoord dat je invoert ook via md5 gehashed en wordt het resultaat daarvan vergeleken met wat in onze database staat; is er een overeenkomst, dan is de login gelukt.
Maar, de encryptie van md5 is zeker niet feilloos; wie er heel veel rekenkracht tegenaan gooit zou de wachtwoorden brute-force kunnen kraken. Vandaar dat verschillende partijen er bij de makers van de vBulletin-software, welke wij gebruiken voor het forum en de gebruikersauthenticatie, op hebben aangedrongen om een complexere encryptiemethode te gebruiken. Er zijn websites die ondertussen hun eigen encryptie methode toepassen op de paswoorden om zo de veiligheid nog te verbeteren. We zijn zelf ook een dergelijke aanpassing aan het ontwikkelen.
Alle wachtwoorden gereset
Nogmaals: voor de zekerheid hebben we de wachtwoorden van alle gebruikers gereset. Om weer te kunnen inloggen, moet men een nieuw wachtwoord aanvragen. Dat kan op onderstaande URL:
http://www.helpmij.nl/forum/login.php?do=lostpw
Als je je e-mailadres invoert op bovenstaande URL krijg je direct een nieuw wachtwoord in je mailbox. Dit wachtwoord kun je indien gewenst later veranderen. Hoewel we niet de kleinste aanwijzing hebben dat de hacker oude wachtwoorden heeft gekraakt, raden we toch iedereen aan om een nieuw wachtwoord te kiezen.
Mocht je je oude wachtwoord ook op andere sites gebruikt hebben, is het aan te raden het ook daar te veranderen. Zeker indien je dezelfde gebruikersnaam / wachtwoord combinatie gebruikt!
Vragen?
Eventuele vragen over deze situatie kan je mailen aan beheer@helpmij.nl.
De banner software stond al enige jaren op de nominatie om vervangen te worden door software die we zelf ontwikkelen. Dit wordt nu vooruit geschoven. Verder zijn alle andere pagina’s en subdomainen nagekeken op mogelijke lekken. Daarnaast zijn de toegang tot het administratie gedeelte, alsook het Modcp verplaatst en verder beveiligd.
De wachtwoorden op Helpmij.nl
De wachtwoorden van de gebruikers van Helpmij.nl staan niet rechtstreeks in onze database, maar gecodeerd met een zogenaamde md5-hash met een per user verschillende salt. Zo'n md5-hashing is een encryptie die niet in omgekeerde vorm uit te voeren is. Wie de gebruikersdatabase zou hebben, kan dus niet zomaar alle wachtwoorden zichtbaar maken. Wanneer je inlogt op de site, wordt het wachtwoord dat je invoert ook via md5 gehashed en wordt het resultaat daarvan vergeleken met wat in onze database staat; is er een overeenkomst, dan is de login gelukt.
Maar, de encryptie van md5 is zeker niet feilloos; wie er heel veel rekenkracht tegenaan gooit zou de wachtwoorden brute-force kunnen kraken. Vandaar dat verschillende partijen er bij de makers van de vBulletin-software, welke wij gebruiken voor het forum en de gebruikersauthenticatie, op hebben aangedrongen om een complexere encryptiemethode te gebruiken. Er zijn websites die ondertussen hun eigen encryptie methode toepassen op de paswoorden om zo de veiligheid nog te verbeteren. We zijn zelf ook een dergelijke aanpassing aan het ontwikkelen.
Alle wachtwoorden gereset
Nogmaals: voor de zekerheid hebben we de wachtwoorden van alle gebruikers gereset. Om weer te kunnen inloggen, moet men een nieuw wachtwoord aanvragen. Dat kan op onderstaande URL:
http://www.helpmij.nl/forum/login.php?do=lostpw
Als je je e-mailadres invoert op bovenstaande URL krijg je direct een nieuw wachtwoord in je mailbox. Dit wachtwoord kun je indien gewenst later veranderen. Hoewel we niet de kleinste aanwijzing hebben dat de hacker oude wachtwoorden heeft gekraakt, raden we toch iedereen aan om een nieuw wachtwoord te kiezen.
Mocht je je oude wachtwoord ook op andere sites gebruikt hebben, is het aan te raden het ook daar te veranderen. Zeker indien je dezelfde gebruikersnaam / wachtwoord combinatie gebruikt!
Vragen?
Eventuele vragen over deze situatie kan je mailen aan beheer@helpmij.nl.
Laatst bewerkt door een moderator:
