myDiary hack
Een zwarte dag in de geschiedenis van myDiary.
Iemand heeft de site kunnen hacken door een zero-day exploit (net echt).
Oftewel, er zat een bug in de code die we zelf nog niet ontdekt hadden.
Heel lang geleden, toen myDiary net bestond, hebben we dat ook eens gehad (een andere bug), maar in plaats van er misbruik van te maken werd ik toen netjes gebeld met de melding dat er zo'n lek gevonden was.
Wat was er nu aan de hand?
Gisterenavond zat er iemand op de chat (ik vertel de versie zoals ik hem gehoord heb, ik was er zelf niet bij) en die beweerde de boel te kunnen hacken. Hij deed dat vervolgens ook bij 1 account. Niet veel later deed hij het ook bij nog andere accounts van mensen in de chat. Uiteindelijk heeft hij alle accounts op eenzelfde mailadres gezet inclusief wat basisprofielinformatie.
Concreet gezien kon deze persoon, door het mailadres van een account aan te passen (en dag wachtwoord recovery toe te passen), toegang krijgen tot specifieke accounts. Dit is handwerk geweest, dus hij zal slechts een paar accounts bekeken hebben.
We hebben een bug gevonden in de code van de profielpagina waarmee we vermoedden dat de hack gepleegd is. Uiteraard is dit nu verholpen en niet langer mogelijk. We hopen uiteraard dat dit ook daadwerkelijk de bug was die misbruikt is. Uiteraard doorzoeken we de code nog verder op mogelijk vergelijkbare bugs.
We hebben nu de back-up van gisteren teruggezet zodat alle e-mailadressen en profielinformatie weer correct is. Helaas zijn er hierbij wel wat verhalen van de afgelopen 24 uur verloren gegaan.
We zijn ook nog bezig met het achterhalen van de hacker en kijken welke maatregelen we tegen hem kunnen nemen.
Uiteraard zijn we bepaald niet blij met deze actie. Helaas is het in de praktijk nooit te garanderen dat een website 100% veilig is.
Moet je jouw wachtwoord veranderen?
Het kan nooit kwaad om regelmatig een nieuw wachtwoord te nemen. Echter, wachtwoorden worden bij ons versleuteld opgeslagen. Deze kunnen dus niet ingelezen worden. Daarnaast is er volgens ons ook geen toegang tot de database geweest. Er is alleen een script gedraaid om de bug uit te buiten voor alle accounts.
Goed, het is een beetje rommelig verhaal geworden.
Vragen kun je uiteraard stellen.
Iemand heeft de site kunnen hacken door een zero-day exploit (net echt).
Oftewel, er zat een bug in de code die we zelf nog niet ontdekt hadden.
Heel lang geleden, toen myDiary net bestond, hebben we dat ook eens gehad (een andere bug), maar in plaats van er misbruik van te maken werd ik toen netjes gebeld met de melding dat er zo'n lek gevonden was.
Wat was er nu aan de hand?
Gisterenavond zat er iemand op de chat (ik vertel de versie zoals ik hem gehoord heb, ik was er zelf niet bij) en die beweerde de boel te kunnen hacken. Hij deed dat vervolgens ook bij 1 account. Niet veel later deed hij het ook bij nog andere accounts van mensen in de chat. Uiteindelijk heeft hij alle accounts op eenzelfde mailadres gezet inclusief wat basisprofielinformatie.
Concreet gezien kon deze persoon, door het mailadres van een account aan te passen (en dag wachtwoord recovery toe te passen), toegang krijgen tot specifieke accounts. Dit is handwerk geweest, dus hij zal slechts een paar accounts bekeken hebben.
We hebben een bug gevonden in de code van de profielpagina waarmee we vermoedden dat de hack gepleegd is. Uiteraard is dit nu verholpen en niet langer mogelijk. We hopen uiteraard dat dit ook daadwerkelijk de bug was die misbruikt is. Uiteraard doorzoeken we de code nog verder op mogelijk vergelijkbare bugs.
We hebben nu de back-up van gisteren teruggezet zodat alle e-mailadressen en profielinformatie weer correct is. Helaas zijn er hierbij wel wat verhalen van de afgelopen 24 uur verloren gegaan.
We zijn ook nog bezig met het achterhalen van de hacker en kijken welke maatregelen we tegen hem kunnen nemen.
Uiteraard zijn we bepaald niet blij met deze actie. Helaas is het in de praktijk nooit te garanderen dat een website 100% veilig is.
Moet je jouw wachtwoord veranderen?
Het kan nooit kwaad om regelmatig een nieuw wachtwoord te nemen. Echter, wachtwoorden worden bij ons versleuteld opgeslagen. Deze kunnen dus niet ingelezen worden. Daarnaast is er volgens ons ook geen toegang tot de database geweest. Er is alleen een script gedraaid om de bug uit te buiten voor alle accounts.
Goed, het is een beetje rommelig verhaal geworden.
Vragen kun je uiteraard stellen.
28 jan 2015
- meld ongepast verhaal
-
Elja
woensdag 28 januari 2015 23:38
Ohja, de 'dagboek'-pagina (om je eigen verhalen te bekijken) werkt momenteel niet.
Hier zijn we nog mee bezig. -
kruidje
woensdag 28 januari 2015 23:40
Wat een gedoe! Maar dank dat jullie hier zoveel tijd ingestoken hebben.
-
Nonnus
woensdag 28 januari 2015 23:47
Super Elja en Dex! Jullie doen goed werk!
-
Imagimary (opgeheven op 14-06-2022)
woensdag 28 januari 2015 23:48
Toestanden, toestanden. Ik ben blij dat de site weer in de lucht is, laten we hopen dat dit nooit meer gebeurt. En ik hoop ook echt dat er niets wordt gedaan met de info die handmatig bekeken is, gezien mijn account er daar een van was. Bluh. Waar mensen al niet hun lolletje uit halen.
-
speciaal
woensdag 28 januari 2015 23:49
Elja en Dex, bedankt voor het oplossen van het probleem!
-
Kamanda4 (opgeheven op 24-3-2015)
woensdag 28 januari 2015 23:55
Fijn dat het gelukt is zo snel op te lossen
-
Jaim
donderdag 29 januari 2015 00:16
Goed werk van jullie beiden!
-
BlackDahlia (opgeheven op 21-11-2015)
donderdag 29 januari 2015 00:27
Dank je wel voor het oplossen
-
ViveLeHans
donderdag 29 januari 2015 00:27
WB MD!
-
Roch
donderdag 29 januari 2015 00:37
Wat je zegt; internet is niet veilig. Dit kunnen we dan ook niet van MyDiary gegarandeerd verwachten. Alles dat je op internet zet, of in de cloud, dat wordt gewoon opgeslagen. Maar dit is wel even een eye-opener dat je dus, zelfs op MD, voorzichtig moet wezen met wat je neerzet..
Heel fijn dat jullie zo snel alles gefixt hebben!!
-
CintaSejati
donderdag 29 januari 2015 02:15
Wat naar zeg. Ik zie het antwoord al op mijn vraag van daarnet. Ik kan de post alleen niet verwijderen, duh...
Goed werk verder!! -
Marelle (opgeheven op 16-2-2015)
donderdag 29 januari 2015 05:28
@jaantje77 je kunt boven in je pagina bewerken en dan, als je het weg wilt hebben, tijdelijk prive zetten
-
Dex
donderdag 29 januari 2015 07:49
Heb het probleem met de dagboek pagina ook opgelost.
-
afl_x
donderdag 29 januari 2015 08:09
@dex ik kan nog niet op mn dagboek pagina...
-
koffiekaat
donderdag 29 januari 2015 08:57
aan de afgelopen 24 uur is niet veel verloren gegaan, alleen veel moddergooien
-
NewGirl
donderdag 29 januari 2015 08:59
Bedankt voor jullie inspanningen!
-
sadness
donderdag 29 januari 2015 09:23
Blij dat alles weer oke is, maar een van mijn verhalen is wel weg. Niets meer aan te doen dus? (Het was belangrijk voor mij wat er in stond, vandaar dat ik er naar vraag.)
-
Elja
donderdag 29 januari 2015 09:29
@Sadness; we kunnen de tekst uit het verhaal waarschijnlijk nog wel uit de oude database halen als je dat wilt. Maar dat is relatief veel werk. Stuur er anders even een pb over.
Kan iedereen inmiddels weer bij hun dagboek? -
grapjas
donderdag 29 januari 2015 09:48
Ik heb geen foutmeldingen meer in ieder geval @Elja.
Thanks guys. -
kruidje
donderdag 29 januari 2015 13:35
Bij mij werkt alles prima @Elja.
-
Nagellakje
donderdag 29 januari 2015 13:38
Ik denk dat ik namens heel MD kan spreken wanneer ik zeg dat het echt heel fijn is dat jullie, ondanks jullie eigen drukke schema´s, de tijd en moeite hebben genomen om het zo snel mogelijk op te lossen. Reuze bedankt!
-
Zuko (opgeheven op 13-05-2020)
donderdag 29 januari 2015 16:00
Gelukkig is alles goed nu. Thanks beheerders!
-
jenaveve (opgeheven op 29-12-2015)
donderdag 29 januari 2015 19:32
Is iedereen wiens account gehackt was ook inmiddels ervan op de hoogte ? Maw kan het zo zijn dat je gehacked bent maar het niet weet ?
-
Imagimary (opgeheven op 14-06-2022)
donderdag 29 januari 2015 19:40
Iedereen was gehacked @jenaveve
-
jenaveve (opgeheven op 29-12-2015)
donderdag 29 januari 2015 19:54
Dus iedereen zijn profielpagina en emailadres was veranderd ? (en nu weer terug gezet ?)
-
Dex
donderdag 29 januari 2015 19:57
@jenaveve klopt
-
jenaveve (opgeheven op 29-12-2015)
donderdag 29 januari 2015 20:24
Dex, had de hack(st)er ook toegang tot reeds verwijderde nicks en bijbehorende verhalen ? Of is dat waarmee bedoeld wordt dat de hacker niet in de database is geweest ?
-
Dex
donderdag 29 januari 2015 21:14
Alle verwijderde verhalen (of de verhalen van verwijderde accounts) worden altijd echt gedelete. Dus daar kan een hacker nooit meer bij.
-
*.Angel.*
donderdag 29 januari 2015 22:15
Top dat jullie zo adequaat en goed gehandeld hebben! @Elja @Dex
-
Scorpio
vrijdag 30 januari 2015 07:16
Heel fijn dat jullie er zo veel tijd in gestoken hebben!
-
Gazzelle
woensdag 26 juli 2017 13:41
ja.
Log in om een reactie te plaatsen.
- O 24 okt 2023 myDiary verhuisd ( 21 )
- O 11 jan 2016 Lief Dagboek: je dagboek voorlezen bij RTL4 ( 4 )
- O 18 feb 2015 Je dagboek voorlezen bij RTL4 ( 14 )
- O 28 jan 2015 myDiary hack ( 31 )
- O 17 nov 2012 Huwelijk Bart & Carlijn ( 25 )
- O 15 sep 2012 Vera geboren! ( 69 )
- O 20 aug 2012 Mika en mama's buik ( 28 )
- O 31 jul 2012 Updatetje.. ( 2 )
- O 21 apr 2012 20 weken echo ( 7 )
- O 23 mrt 2012 Reacties nu direct in de e-mail.. ( 10 )
- O 01 mrt 2012 Uitbreiding van de familie.. ( 53 )
- O 27 feb 2012 ex-myDiary schrijver verdacht van moord.. ( 35 )
- O 19 sep 2011 Boek: 10 jaar myDiary ( 76 )
- O 19 sep 2011 myDiary 10 jaar! ( 62 )
- O 29 dec 2010 Pro accounts verlengen.. ( 11 )