Sitedeals draait op vBulletin 4.2.5. Als het goed is wordt er gebruik gemaakt van de password_hash functie.
Maar zolang daar geen bevestiging van wordt gegeven is niks zeker natuurlijk..

Overigens lees ik op internet dat het gebruik van vBulletin 4.x op eigen risico is.
Versie 5 is 11 jaar geleden al uitgebracht..

Mijn vraag is dan ook, wanneer wordt Sitedeals ge-update naar de nieuwste versie?

Zonder dit bericht had ik het zeker niet geweten, dankjewel!

Goed dat je dit topic hebt geopend. Heb mn wachtwoord maar even aangepast. Overigens ook geen email gehad.

Bedankt voor het delen.
Heb ook geen e-mail ontvangen, en natuurlijk zag ik dat bericht onderaan ook niet zomaar.

Dit voorval onderstreept het belang van zoveel als mogelijk wisselende wachtwoorden te gebruiken.
En niet teveel data te delen in forums e.d., maar beter via mail.

Slordig van de eigenaar hoe ook hiermee omgegaan is. En verder totaal 0,0 follow-up -> directe betrokkenheid tonen.
Maar ja, aangezien niemand een beter alternatief heeft om webmasters bij elkaar te brengen, blijven we maar hangen.

Origineel gepost door J. Bosman

Zie:
https://www.sitedeals.nl/sd-info/417050-datalek.html

Ik maak dit topic aan omdat het originele topic zeer slecht te vinden is (onderaan de hoofdpagina).
Heb ook geen mail gehad verder, terwijl het me vrij belangrijk lijkt om ZSM je wachtwoord aan te passen.

Ik begrijp niet waarom er niet in grote rode letters op heel SD staat, wijzig direct je wachtwoord. En er zou een sticky topic moeten zijn waarin het probleem wordt toegelicht.

Ik heb dit topic sticky gemaakt. Er is een mailing dezelfde dag de deur uitgegaan naar het hele gebruikers bestand. Het kan zijn dat er een vertraging in zit omdat de mailer niet in 1 sec duizenden mails kan verzenden. Dit is waarschijnlijk ook de reden dat er vertraging kan zitten in wachtwoord reset mails.

De wachtwoorden zijn wel versleuteld, echter doet het geen afbreuk aan het feit dat deze gelekt zijn. Ik ben niet bekend met de huidige stand van decryptie, maar het lijkt me mogelijk dat zwakke wachtwoorden met wat rekenkracht wel te ontcijferen zijn.

De wachtwoord reset zal in de loop van de middag van toepassing worden. In de zin van leden met een wachtwoord van voor de lek zullen niet meer in kunnen loggen zonder een nieuw wachtwoord aan te maken.

Volgens mij is dit topic niet Sticky (meer)...

Nee, niet sticky op dit moment. Als de forum software echt 11 jaar oud is, geven ze dan nog wel beveiligingsupdates uit?

Ik had blijkbaar de verkeerde gesticked. Bij deze gecorrigeerd.

Bij deze is ook de "forced" wachtwoord reset effectief.

Ik heb met de server beheerder gekeken naar of het kan voorkomen dat niet alle emails de deur uit zijn gegaan, en het blijkt dat er een max zit aan het aantal mails dat verzonden kan worden. Deze instelling is er voor om te voorkomen dat als men toegang heeft tot de mailer er niet eindeloos spam kan worden verstuurd. De instelling is verhoogt en de mail zal opnieuw verzonden worden. Het kan dus zijn dat leden die de mail wél hebben gekregen deze nogmaals zullen krijgen.

Tot slot. Ik heb begrip voor de gefrustreerde reacties. Echter klopt het niet dat dat er slordig is opgetreden. Binnen een uur na ontdekking dat er daadwerkelijk sprake was van een datalek is er een mail uitgegaan, een pubicatie op de website geplaatst en de melding gemaakt bji autoriteit .persoonsgegevens. Het is duidelijk dat niet alles correct is verlopen mbt tot de mailing. In die zin kun je stellen dat er fouten zijn gemaakt. Je moet je wel realiseren dat op een dergelijk moment je met veel dingen tegeljik bezig bent, en dus niet de tijd hebt om over alles rustig en rationeel over na te denken. Ook de server beheerder had op dat moment niet de mail-cap paraat, ook niet op het moment dat ik zei dat ik de mailing er uit ging doen.

Al met al geen fijne gebeurtenis, voor geen enkele betrokken partij. Ik wens het niemand toe.

Origineel gepost door J. Bosman

Sitedeals draait op vBulletin 4.2.5. Als het goed is wordt er gebruik gemaakt van de password_hash functie.
Maar zolang daar geen bevestiging van wordt gegeven is niks zeker natuurlijk..

Overigens lees ik op internet dat het gebruik van vBulletin 4.x op eigen risico is.
Versie 5 is 11 jaar geleden al uitgebracht..

Mijn vraag is dan ook, wanneer wordt Sitedeals ge-update naar de nieuwste versie?

Alle software gebruik je op eigen risico. Ik loop bewust 1 volle versie achter omdat de meeste fouten voorkomen in de nieuwe versie. Ik stop over naar 5 als versie 6 uitkomt en er geen exploit reports meer verschijnen.

Betreft encryptie het is Md5 + salt. De reden dat ik dat er niet bij heb vermeld, is omdat ik men niet het idee wil laten hebben dat er word gedacht, oh het is encrypted, dus waarom zou ik het wijzigen (ook op andere sites). Encrypted of niet, het wachtwoord ligt op straat. Vroeg of laat kan men het wellicht decrypten.

Wachtwoorden worden plain text per email verstuurd door Sitedeals, ik raad dus ook sterk aan als je deze vaker gebruikt (foei!) deze overal te wijzigen.

Wachtwoord(en) zijn niet zo'n probleem als je deze auto-generated hebt staan maken. Volgens mij was dat standaard hierzo, ik heb altijd gebruik gemaakt van de remember login details op mijn browser. Dus ook met wachtwoord, kon men feitelijk weinig.

Enige waar wel interesse zit is natuurlijk het mail adres, maar ja. @Job

Als je verouderde software draait, dat is in de regel niet zo'n issue, maar draai dan wel iets mee dat hacken feitelijk onmogelijk maakt. Modsecurity met OWASP ruleset bijv. Zo kan je je lekke website nog steeds beveiligen met malafide acties naar je server toe. Het is in ieder geval iets.. Een sql injectie had hiermee voorkomen kunnen worden.

De mailing is opnieuw verzonden.

Origineel gepost door Vincent

Wachtwoorden worden plain text per email verstuurd door Sitedeals, ik raad dus ook sterk aan als je deze vaker gebruikt (foei!) deze overal te wijzigen.

Ik ben aan het onderzoeken of er een alternatieve manier is tov verzenden per mail.

Origineel gepost door J van der Linde

...
Als je verouderde software draait, dat is in de regel niet zo'n issue, maar draai dan wel iets mee dat hacken feitelijk onmogelijk maakt. Modsecurity met OWASP ruleset bijv. Zo kan je je lekke website nog steeds beveiligen met malafide acties naar je server toe. Het is in ieder geval iets.. Een sql injectie had hiermee voorkomen kunnen worden.

Bij mijn weten draait dit al (ook voor de hack).

Qua gebruikte hashing op wachtwoorden, heel dat MD5 + salt is outdated en kan relatief makkelijk gekraakt worden: https://robinverton.de/blog/cracking...5-with-hashcat

En met tegenwoordig GPU rekenkracht is dat niet uren maar amper minuten voor een gigantische lijst met username/password combi's. Hoop echt dat men niet een 1 en hetzelfde wachtwoord overal heeft staan gebruiken.

Dat is brute force waarschijnlijk. Ik heb me laten vertellen dat een complex wachtoord, dus geen "normaal woord" een stuk lastiger is. Hoe dan ook ik geen expert.