Gegevensdiefstal van TYPO3.org
Categorie: artikelenDoor: Patrick Broens
Deze week doen wilde verhalen de ronde over het incident dat heeft plaats gevonden op typo3.org. Om wat licht in de duisternis te brengen hier een aantal zaken op een rij ter verduidelijking van een en ander.
Afgelopen week heeft een ongeautoriseerd persoon toegang gehad tot het backend van typo3.org middels admin rechten.
De overtreder heeft toegang gehad tot de gebruikersgegevens van bezoekers (FE-users) van de website, inclusief de bijbehorende wachtwoorden. Er zijn meldingen geweest dat deze informatie is misbruikt om toegang te verkrijgen tot andere websites. De verwachting is dat de informatie ook is doorgespeeld aan derden.
Er is geen enkel bewijs gevonden dat typo3.org gehacked zou zijn middels een bekende of onbekende bug. De overtreder heeft toegang verkregen middels een gestolen wachtwoord. De wachtwoorden stonden versleuteld in de database, maar met een zwakke beveiliging.
De TYPO3 Association is op de hoogte van de identiteit van de overtreder en is begonnen wettelijke maatregelen te nemen met betrekking tot dit onderwerp.
Omdat op diverse TYPO3 sites single sign-on gebruikt werd, zijn deze voor onbepaalde tijd voor login gesloten. Alle wachtwoorden zijn direct verwijderd.
Het securityteam noch de TYPO3 Association zullen geen verdere mededelingen geven over dit incident voordat het helemaal is opgelost.
Het securityteam heeft een waarschuwing uitgebracht voor iedereen die hetzelfde wachtwoord gebruikt voor meerdere sites waaronder de login van de websites van TYPO3. De wachtwoorden van TYPO3 stonden versleuteld in de database, zij het middels een te zwakke beveiliging. Zoals hierboven omschreven zijn er meldingen geweest dat de informatie is misbruikt om toegang te verkrijgen tot andere websites. Iedereen die hieronder valt wordt ten sterkste aangeraden dit wachtwoord te wijzigen op de sites waar deze ook wordt gebruikt.
De zwakke schakel binnen een middels gebruikersnaam en wachtwoorden beveiligde omgeving blijft de mens. Een wachtwoord kan eenvoudigweg gestolen worden door bij iemand over de schouders mee te kijken tijdens het inloggen. Ik heb dit al meerdere keren zien gebeuren tijdens bijvoorbeeld conferenties of gebruikersdagen, waarbij de houder van het wachtwoord de toehoorders teveel vertrouwd. Grotere issues zijn bijvoorbeeld keylogging of het afluisteren van een netwerk. Op dit moment is niet duidelijk hoe het wachtwoord gestolen is. Het securityteam doet hier geen uitspraken over en zal dit hoogstwaarschijnlijk nooit doen.
We raden iedereen aan gebruik te maken van een wachtwoord management programma, zoals 
KeePass. Dit is een open source programma wat voor diverse platforms te verkrijgen is, waaronder de gangbare besturingssystemen maar ook mobiele apparaten. Een versie voor de iPhone is op dit moment in productie.
In een wachtwoord management programma kun je al je gebruikte gebruikersnamen met bijbehorende wachtwoorden opslaan. Wachtwoorden kunnen voor elke site random aangemaakt worden met hoge beveiligingsniveaus (lengte, gebruikte karakters, etc.). Je hoeft dus zelf geen wachtwoorden te onthouden, wat ook een onmogelijke opdracht is met zoveel wachtwoorden. Een goed wachtwoord management programma kan vervolgens de login voor je verzorgen door gebruikersnaam en wachtwoord voor je in te vullen. KeePass doet dit middels een zogenaamde hotkey, een toetscombinatie. Hierdoor is keylogging onmogelijk. De beste methode is om voor elke site random wachtwoorden te laten maken en deze op te slaan in de database van zo'n programma. KeePass kan beveiligd worden middels een wachtwoord, een zogenaamde keyfile, of een combinatie van beiden. Voor uitwisseling tussen computers kan bijvoorbeeld gebruik gemaakt worden van diverse synchronisatiemethodes of opslag op een intern netwerk.
Denk in het geval van TYPO3 logins ook eens na over het gebruik van een SSL certificaat op de login pagina om het verkeer via https te laten verlopen.
Patrick Broens
TYPO3 Core Team Member
