Gehashte wachtwoorden en codes voor het opnieuw instellen van wachtwoorden zijn gelekt in een enorme Tokopedia-datalek

Vorige week zag de dienst voor het monitoren van gegevenslekken Under the Breach een interessant bericht op een populair hackforum. De auteur bood volledig gratis 15 miljoen gebruikersrecords aan die gestolen waren van Tokopedia, een van de grootste e-commerceplatforms van Indonesië. De gegevens zijn in maart van dit jaar gestolen en de persoon die het deelt, beweerde dat het deel uitmaakte van een veel grotere dump, waarmee hij geld wilde verdienen. Een dag later zei Under the Breach zelfs dat "dezelfde acteur" maar liefst 91 miljoen Tokopedia-records verkocht voor $ 5 duizend op een darkweb-marktplaats.

Zoals te verwachten was, begonnen mensen vragen te stellen en, in plaats van de schending te ontkennen, hield Tokopedia een bijeenkomst met vertegenwoordigers van enkele Indonesische overheidsinstanties om de zaken op te helderen. Volgens The Jakarta Post was Johnny Plate, de minister van Communicatie en Informatie van het land, ervan verzekerd dat de gebruikersaccounts en financiële gegevens van kopers veilig zijn. Maar is dat wel zo?

Hackers hebben gehashte wachtwoorden gestolen en proberen een manier te vinden om ze te kraken

In het begin lijkt het misschien een beetje vreemd. Aan de ene kant zijn gegevens inderdaad gestolen, maar aan de andere kant hoeven mensen zich geen zorgen te maken over hun accounts. De verwarring komt voort uit het feit dat The Jakarta Post geen technische details deelde met zijn lezers. Gelukkig deed ZDNet dat.

Het goede nieuws is dat Tokopedia wachtwoorden niet in platte tekst opslaat. Toen hij de eerste 15 miljoen records gratis deelde, vroeg de persoon die verantwoordelijk was voor de inbreuk zijn collega-hackers om hem te helpen de inloggegevens in de database te kraken. Volgens ZDNet is dit geen sinecure. De wachtwoorden waren blijkbaar gehasht met SHA2-384 en de hacker gaf zelf toe dat hij de cryptografische zouten die werden gebruikt om de beveiliging van het hash-algoritme te verbeteren niet kon achterhalen. Als gevolg van dit alles zou het behoorlijk moeilijk zijn om de hashes om te zetten in wachtwoorden met platte tekst en in te loggen op de accounts van mensen.

Dit is de reden waarom Johnny Plate zei dat de accounts van Tokopedia-gebruikers veilig zijn, en daarom verkoopt de hacker de dump voor een relatief bescheiden $ 5000. Helaas betekent dit niet dat mensen zich moeten ontspannen.

Getroffen Tokopedia-gebruikers worden met een aantal bedreigingen geconfronteerd

Zoals ZDNet opmerkte, kan SHA2-384 als veilig worden beschouwd, maar dit betekent niet dat het onfeilbaar is. Onlangs hebben hackers bijvoorbeeld een database gestolen van Quidd, een platform voor het verhandelen van digitale verzamelobjecten, en ze waren aanvankelijk teleurgesteld toen ze hoorden dat de wachtwoorden waren gehasht met bcrypt, een ander sterk hash-algoritme. Sommige oplichters besloten echter om het eens te proberen, en onvermijdelijk was een deel van de hasj gebarsten.

Zelfs zonder de wachtwoorden zouden de mensen die de Tokopedia-gegevens in handen krijgen, naar een aantal aanvalsmogelijkheden kunnen kijken. Na het doorbladeren van een kopie van de eerste dump, zei ZDNet dat de records vrij veel persoonlijke informatie bevatten zoals namen, e-mails, geboortedata en een heleboel profielspecifieke details zoals het aanmaken van accounts, locatiegegevens, onderwijs, about-me velden, enz. Blijkbaar zijn ook codes voor het opnieuw instellen van wachtwoorden gelekt, hoewel het onduidelijk blijft of ze geldig zijn.

Het was een enorm datalek en de hacker vertrok met behoorlijk wat informatie, wat cybercriminelen kan helpen bij het bedenken van een aantal verschillende oplichting. Eigenaars van Tokopedia-accounts moeten vanaf nu wat voorzichtiger zijn.