phpBB.com-gehackt

• Deel op LinkedIn
• Deel op Facebook
• Deel op Nu Jij
• Deel op Hyves
• Deel op Twitter

Mogelijk gehashte wachtwoorden buitgemaakt bij phpBB-hack

Bij een aanval op de website van de populaire forumsoftware phpBB afgelopen zondag, hebben aanvallers gehashte wachtwoorden kunnen buitmaken. phpBB heeft dat bekendgemaakt.

Nieuws over de hack kwam afgelopen maandag al naar buiten. Volgens phpBB blijkt nu dat de aanvallers toegang hebben gekregen tot de databases van phpBB.com en Area51, de ontwikkelomgeving van phpBB. Dat betekent dat er versleutelde logingegevens kunnen zijn buitgemaakt. Ook zouden de aanvallers een sniffer hebben geïnstalleerd om tussen 12 en 15 december alle logins te loggen, al zou de hashing-tool van phpBB het moeilijk maken om de plaintext-wachtwoorden te achterhalen.

PhpBB heeft het algoritme bcrypt met factor gebruikt om de wachtwoorden te versleutelen. De in de database aanwezige wachtwoorden waren daarnaast voorzien van een salt, waarmee kan worden voorkomen dat ze via rainbow tables kunnen worden achterhaald. Het is niet duidelijk of dat ook geldt voor de gesniffte wachtwoorden. PhpBB adviseert gebruikers die hun wachtwoord op phpBB.com of Area51 ook elders gebruiken om hun wachtwoord te wijzigen.

De aanvallers hebben niet geknoeid met de installatiebestanden van phpBB, zeggen de makers van de forumsoftware. De aanvallers zijn bovendien niet binnengekomen via een lek in de forumsoftware, maar wisten de logingegevens van een phpBB-teamlid te achterhalen. PhpBB belooft binnenkort met meer duidelijkheid te komen over de maatregelen die na de hack zijn genomen. Op het moment van schrijven is de phpBB-site nog altijd offline.