myDiary hack

Een zwarte dag in de geschiedenis van myDiary.
Iemand heeft de site kunnen hacken door een zero-day exploit (net echt).
Oftewel, er zat een bug in de code die we zelf nog niet ontdekt hadden.

Heel lang geleden, toen myDiary net bestond, hebben we dat ook eens gehad (een andere bug), maar in plaats van er misbruik van te maken werd ik toen netjes gebeld met de melding dat er zo'n lek gevonden was.

Wat was er nu aan de hand?
Gisterenavond zat er iemand op de chat (ik vertel de versie zoals ik hem gehoord heb, ik was er zelf niet bij) en die beweerde de boel te kunnen hacken. Hij deed dat vervolgens ook bij 1 account. Niet veel later deed hij het ook bij nog andere accounts van mensen in de chat. Uiteindelijk heeft hij alle accounts op eenzelfde mailadres gezet inclusief wat basisprofielinformatie.

Concreet gezien kon deze persoon, door het mailadres van een account aan te passen (en dag wachtwoord recovery toe te passen), toegang krijgen tot specifieke accounts. Dit is handwerk geweest, dus hij zal slechts een paar accounts bekeken hebben.

We hebben een bug gevonden in de code van de profielpagina waarmee we vermoedden dat de hack gepleegd is. Uiteraard is dit nu verholpen en niet langer mogelijk. We hopen uiteraard dat dit ook daadwerkelijk de bug was die misbruikt is. Uiteraard doorzoeken we de code nog verder op mogelijk vergelijkbare bugs.

We hebben nu de back-up van gisteren teruggezet zodat alle e-mailadressen en profielinformatie weer correct is. Helaas zijn er hierbij wel wat verhalen van de afgelopen 24 uur verloren gegaan.

We zijn ook nog bezig met het achterhalen van de hacker en kijken welke maatregelen we tegen hem kunnen nemen.

Uiteraard zijn we bepaald niet blij met deze actie. Helaas is het in de praktijk nooit te garanderen dat een website 100% veilig is.

Moet je jouw wachtwoord veranderen?
Het kan nooit kwaad om regelmatig een nieuw wachtwoord te nemen. Echter, wachtwoorden worden bij ons versleuteld opgeslagen. Deze kunnen dus niet ingelezen worden. Daarnaast is er volgens ons ook geen toegang tot de database geweest. Er is alleen een script gedraaid om de bug uit te buiten voor alle accounts.

Goed, het is een beetje rommelig verhaal geworden. vrolijk
Vragen kun je uiteraard stellen.
28 jan 2015 - meld ongepast verhaal
Weet je zeker dat je dit verhaal wilt rapporteren? Ja | Nee
Profielfoto van Elja
Elja, man, 47 jaar
   
Log in om een reactie te plaatsen.   vorige volgende