Strato - Brute Force aanval

Vooral even reactie van Strato afwachten lijkt me.

Ik lees hier niet dat je wachtwoord ook daadwerkelijk achterhaald is (en je account dus misbruikt is)

een brute-force aanval is niets anders dan heel snel heel veel wachtwoorden proberen. Dit is relatief makkelijk te detecteren en is dus ook actie op te ondernemen. Wat dit bericht nu precies betekend is dus wat onduidelijk...

Kek schreef op woensdag 30 juni 2021 @ 11:33:
Ik lees hier niet dat je wachtwoord ook daadwerkelijk achterhaald is

+

Bij deze aanval heeft de hacker het juiste wachtwoord gebruikt, maar geen toegang gekregen tot je postvak.

ZicoDon schreef op woensdag 30 juni 2021 @ 11:12:
Hallo!

Afgelopen nacht kreeg ik de volgende mail vanuit Strato waar ik mijn email host:


[...]


De mail zit er verder legit uit en er is een phishing mail in de omloop van Strato maar dat gaat niet hierom. Overigens staan er ook geen actie links in de mail dus die ziet er legit uit.

Nu vraag ik me alleen af hoe dit mogelijk is aangezien ik een 128-bit generated password gebruik voor al mijn accounts..

Overigens heb ik Strato ook om een reactie gevraagd.. ben benieuwd.

Gebruik je dat zelfde 128 bit password ook elders?

ZicoDon schreef op woensdag 30 juni 2021 @ 11:43:
[...]


Nee zijn allemaal identiek en opgeslagen in Bitwarden.

Gok dat je uniek bedoelt.

En je toegang tot Bitwarden is wel secure?

En de computer waar je dit op genereert heeft geen keylogger o.i.d. die alles netjes bijhoudt voor derden?

Wat Sypie zegt. Het klinkt alsof de "hacker" de complete lijst van al je 128 bit wachtwoorden tegen je site aan heeft gegooid. (ik vermoed dat ze niet gegenereerd zijn, dat is wat complex)

pagani schreef op woensdag 30 juni 2021 @ 11:54:
Wat Sypie zegt. Het klinkt alsof de "hacker" de complete lijst van al je 128 bit wachtwoorden tegen je site aan heeft gegooid. (ik vermoed dat ze niet gegenereerd zijn, dat is wat complex)

Tis een aanname. Ik zou beginnen bij Strato: ze zeggen dat er toegang is verkregen, maar niet is geweest, door hun beveiligingsmaatregelen. Wat betekent dat? En hoe weten ze dan dat er daadwerkelijk toegang is geweest, of is het volgens hun aannemelijk c.q. grote kans? Of hebben ze een grote lading klanten/accounts waar dit mogelijk is voorgevallen geinformeerd?

Als het zo zou zijn dan is het knap dat ze de toegang precies hebben weten te ontzeggen op het moment dat het juiste wachtwoord geraden werd. Als ze het exacte wachtwoord namelijk wisten, was het niet raden. Als ze random gingen bruteforcen hadden ze hopenlijk cool-down policy's op het inloggen staan met een lockout?

Kortom: begin bij het begin - de e-mail van Strato. Ik vind het nog niet per se aannemelijk namelijk dat TS z'n accounts kwijt is geraakt. Dan zou je wellicht iets meer impact ervaren dan je Strato e-mailaccount.

Als naam+wachtwoord bekend waren was er geen brute force geweest, dan was er meteen ingelogd. Er moet dus inderdaad een aantal geprobeerd zijn. Of random - wat bij een 128b gegenereerd password wel even kan duren, en zou ik inderdaad verwachten dat er voor het raden al een blokkade is gezet. Meestal:*

Of inderdaad bijv de lijst uit bitwarden. Al zou ik dan verwachten dat ze niet alleen de passwords hebben.

Kortom: vreemd.

Edit: wachtwoord aanpassen kan nooit kwaad. En natuurlijk, daarbij nooit een link in de mail gebruiken maar zelf naar de site gaan.

[ Voor 11% gewijzigd door F_J_K op 30-06-2021 12:13 ]

Strato schreef:
Er is een brute force-aanval op je STRATO e-mailaccount mailto:xxxxxxxx .nl geconstateerd.
Bij deze aanval heeft de hacker het juiste wachtwoord gebruikt, maar geen toegang gekregen tot je postvak.

Knap!
Bij mij komt een "hacker" niet verder dan 3 inlog pogingen voordat het IP wordt geblacklist voor 1 dag.
Stel de hacker heeft 255 IP's tot zijn beschikking, dan zijn dat maar 765 inlog pogingen.
Knappe jongen die dan je 128bit (16 tekens) wachtwoord raad.

Trouwens, jouw '128bit' is niet echt 128bit. Je kan namelijk niet elk ASCII teken in 8bit gebruiken.
Neem aan dat jouw 128bit wordt omgezet naar iets als base32 of base64 om het "wachtwoord raden" nog moeilijker te maken?

[ Voor 3% gewijzigd door DJMaze op 30-06-2021 12:47 ]

Zonder meer info van Strato giswerk..

Misschien dat Strato van jouw 128 bit wachtwoord alleen de eerste 8 karakters gebruikt.

Of dat Strato gegevens is "kwijtgeraakt" en dat daarop een offline-bruteforce is uitgevoerd, en jouw wachtwoord in theorie ook is gevonden..

Of gewoon een onduidelijke mail van Strato..

Ik kreeg dit mailtje ook en een klant van mij ook. Beide kregen we dit vannacht. Het vreemde is dat mijn klant dit ook iets van 3-4 weken geleden kreeg. Het was toen al een sterk wachtwoord (20 tekens random) en hebben we daarna aangepast. Nu vannacht was het bij hem weer raak volgens de mail. Lijkt mij wel erg vreemd dat hij 2x in één maand gekraakt wordt, waarbij beide keren een uniek 20 teken wachtwoord is gebruikt.

Bij mij was het de eerste keer. Maar het feit dat jij, ik en mijn klant alledrie vannacht dit hebben gehad, vind ik op zn minst opmerkelijk.

Update: ik heb zojuist Strato gebeld en de situatie uitgelegd. De mail is inderdaad een beetje houterig geschreven (omdat het ooit in het Duits was en dan zo steeds vertaald is etc). Maar zolang ze geen toegang hebben tot je mailbox, is je wachtwoord ook niet gekraakt (wat idd ook echt niet zomaar kan met 20 random tekens en unieke passwords).

[ Voor 23% gewijzigd door ASNNetworks op 30-06-2021 16:49 ]

Ik vind het een heel vreemd verhaal. De tekst van Strato zegt toch echt dat er een correct wachtwoord is gebruikt. De hele tekst over "makkelijk te raden" suggereert dat ook. En als dan meerdere mensen hier aangeven dat er "veilige" wachtwoorden werden gebruikt dan moet er toch iets aan de hand zijn.

De meest logische verklaring is natuurlijk dat er inderdaad een datalek is namelijk bij Strato zelf, en dat ze wel de wachtwoorden te pakken hebben gekregen maar niet de bijhorende usernames. Dat is de enige combinatie van factoren die ik kan bedenken waarbij je een 'brute force' aanval doet en daarbij correct gebruik maakt van lange random wachtwoorden.

ASNNetworks schreef op woensdag 30 juni 2021 @ 16:41:
Maar het feit dat jij, ik en mijn klant alledrie vannacht dit hebben gehad, vind ik op zn minst opmerkelijk.

ZicoDon schreef op woensdag 30 juni 2021 @ 18:50:
Vindt het ook een bijzondere gang van zaken, zeker als ik niet de enige ben. Ergens moeten ze die gegevens vandaan hebben. Dat de mail houterig is oké.. maar een vertaalfout vind ik wel iets te ver gaan, ik vind dat er toch duidelijk staat dat het wachtwoord gevonden is. Maar goed..

Trouwens nog een mooi detail, het e-mail adres wat ze probeerde binnen te komen heb ik echt pas net en ook zo goed als geen mails vanuit gestuurd. Koppelingen met derden loopt via aliassen.

Het zou me in ieder geval niks verbazen als er bij Strato aan de achterkant iets niet lekker zit.

We gaan het in de gaten houden..

ik weet dat er al even niet gereageerd is, maar door de vakantie gemist.

Enige tijd geleden had ik ook zo'n mail van strato.
Toen heb ik gekeken op zo'n site of je mail adres in een datalek naar voren kwam, en toen bleek dat dat inderdaad zo was.

heb in dezelfde periode (begin dit jaar) ook een mail gehad van een website dat er klantgegevens van hun waren gelekt. en later ook van een andere site (autodealer)

Na die mails kreeg ik ineens van microsoft de melding dat er was ingelogd op een nieuw device.
En ook van google.
Hierop in dikke paniek alles veranderd met behulp van bitwarden (automatisch gegenereerde passwords)
In 2 weken tijd nog van diverse sites meldingen gehad dat er was ingelogd of dat het wachtwoord zelfs was veranderd.

Ik had passwords waarin de sitenaam voorkwam.
Dus eigenlijk was de helft van mijn paswoord overal hetzelfde.
Als iemand dan door heeft dat de sitenaam alleen verschilt dan vogel je zo de andere paswoorden uit.

Ook had ik 1 email adres overal in gebruik.
Belangrijke zaken heb ik nu op een aparte email.
Mijn google/microsoft/Strato/etc account heeft een andere user email dan mijn tweakers/volvoforum/facebook account.
Zo hoop ik een extra stap te maken naar accounts die meer gevolgen hebben als ze gehackt worden.

Waar mogelijk gebruik ik ook 2 factor authenticatie, helaas werkt strato hier niet mee (zover ik weet)

De mailtjes lijken mij verkeerd opgesteld, want je krijgt NOOIT zo'n mail als je vanaf een wildvreemde computer inlogt met de juiste gegevens.
Het lijkt er dan inderdaad op dat er verkeerde inloggegevens zijn gebruikt.

OF hun beveiliging detecteert vanaf een bepaalde computer tientallen/honderden logins met verkeerde gegevens, en dan 1x de juiste gegevens waardoor ze hem blokkeren.
Dan zou de mail wel kloppen.