Grayshift afgeperst voor bitcoin na datalek

Door: Rajno van Wilgenburg - 19 reacties
Grayshift, graykey, afpersen

Grayshift zit in een lastig parket. Vorige week lekte de broncode van de GrayKey iPhone Hacking tool uit, sindsdien zijn ze in het vizier van (een) afperser(s) terecht gekomen. De uitbuiters eisen nu een flinke geldsom van Grayshift. Als ze daar geen gehoor aan geven, dreigen ze om de broncode publiekelijk te publiceren.  

“Due [to] a network misconfiguration at a customer site, a GrayKey unit’s UI was exposed to the internet for a brief period of time earlier this month,” Grayshift said in a statement. “During this time, someone accessed the HTML/Javascript that makes up our UI. No sensitive IP or data was exposed, as the GrayKey was being validation tested at the time. We have since implemented changes to help our customers prevent unauthorized access.”

Grayshift heeft in een statement aangegeven dat het lekken van de GrayKey’s code een onfortuinlijke fout was. Het bedrijf was zelf snel op de hoogte van de lek, maar hackers hebben toch genoeg tijd gehad om de broncode te inspecteren en kopiëren. Grayshift meldt dat de data van gebruikers niet in de handen van de afpersers is gevallen.

Grayshift, graykey, afpersen

Betalen in bitcoin

De afpersers zijn vooralsnog niet geïdentificeerd. De anonieme partij heeft al twee kleine snippets van de broncode gelekt. Het grote publiek zou hier niet veel mee kunnen doen, maar het bewijst dat de code die zij bemachtigd hebben authentiek is. De hackers eisen dat Grayshift hun twee bitcoin betalen. Omgerekend  19.000 dollar.

GrayKey: dit kleine kastje kraakt iedere iPhone

GrayKey is een klein kastje dat in slechts enkele minuten een 4-digit inlogcode kan kraken. Het is een apparaatje dat de FBI al eerder gebruikte om in iPhones van terroristen te breken. Het is daarom van imperatief belang dat deze code niet zomaar in verkeerde handen valt. De code is altijd beschermd gebleven tot vorige week en die code is genoeg om in te breken bij een iPhone gebruiker.

De hacker(s) zijn nu in het bezit van de code en dat is al beangstigend genoeg. Ze hebben Grayshift nu een dwangsom opgelegd, maar zijn daarnaast met een tweede bitcoin adres aan het adverteren bij schimmige partijen. De ‘wild bidders’ kunnen bieden op de code in bitcoin. Het kan zijn dat de anonieme partij op deze manier nog meer druk wil op Grayshift uitoefenen, maar het is dus niet uitgesloten dat ze geen snode plannen met de bemachtigde informatie hebben.

Reacties

19 reacties
  • Profielfoto
    Basket Case

    Het is niet de ideale weg, maar druk op Grayshift is wel goed. Ze hadden de kwetsbaarheden waar ze gebruik van maken moeten melden bij Apple. In plaats daarvan gebruiken ze het om geld mee te verdienen.

    Het is vrij zeker dat de betreffende kwetsbaarheden niet alleen door Grayshift ontdekt zijn. Zolang de kwetsbaarheden niet verholpen worden is het voor alle iOS apparaten in feite een wilde westen. Genoeg geheime diensten en andere organisaties die dit zolang mogelijk zullen proberen te handhaven. Zeer ernstig en topprioriteit voor Apple om te repareren.

  • Profielfoto
    bartvdv

    Het is niet de ideale weg, maar druk op Grayshift is wel goed. Ze hadden de kwetsbaarheden waar ze gebruik van maken moeten melden bij Apple. In plaats daarvan gebruiken ze het om geld mee te verdienen.

    Wat een onzin.

  • Profielfoto
    Ziegler

    Het is van imperatief belang? Wat betekent dat?

  • Profielfoto
    marco.nl

    Ziegler op 26 april 2018 12:19
    Het is van imperatief belang? Wat betekent dat?

    Dan druk ik eventjes op het woord imperatief en selecteer zoek op:

    Bijvoeglijk naamwoord. Gebiedend, dwingend, bindend mandaat

    asjeblieft

     

     

  • Profielfoto
    KarelWillem

    Nou eigenlijk betekent dat vooral niets. .;)

    Want het is geen woord dat je in een dergelijk verband hoort te gebruiken.

    Maar men wil dit zeggen:

  • Profielfoto
    Ziegler

    Precies mijn punt: het betekent in dit verband volgens he-le-maal niets.

    De schrijver bedoelt volgens mij gewoon dat het heel erg belangrijk is.

  • Profielfoto
    Q-collective

    Het is gewoon een slechte vertaling uit het Engels…

  • Profielfoto
    ArtHarg

    <sarcasm>Maar als dit de toegang tot een achterdeur in een encryptiesysteem was geweest, dan was dit nóóit gebeurd. Want die zijn in goede handen bij de instanties.</sarcasm>

  • Profielfoto
    Ziegler

    Q-collective op 26 april 2018 13:48
    Het is gewoon een slechte vertaling uit het Engels…

    Dat zal het zijn.

  • Profielfoto
    Alexander Henket

    Knurften. Hacks voor jezelf houden en dan huilie huilie doen als je hacks openbaar worden. Melden bij Apple was ethischer geweest. Nu groeit de groep met toegang tot de hacks als een virus dat is ontsnapt uit een laboratorium.

  • Profielfoto
    pannekoek

    Karma is a bitch, hoe vertaald dat?

    Die gasten droomden van bergen poen. En laten we eerlijk zijn, ze mogen van geluk spreken dat het hackers zijn. Genoeg onfrisse types die, na een iOs update, je knieschijven komen her-modeleren om levenslange garantie af te dwingen. Dat risico is een stuk minder groot geworden nu de code op straat ligt.

  • Profielfoto
    koen

    Karma is een teef

  • Profielfoto
    Dashter

    Natuurlijk niet OK, maar voor het achterliggende debat is het een zegen dat dit gebeurt. Het dient voorstanders van achterpoortjes van antwoord op een krachtige manier, namelijk dat bewust achtergehouden lekken net zo goed misbruikt kunnen worden.

    Het fysieke equivalent (een bedrijf waar alle huissleutels van NED+BEL opgeslagen liggen voor het geval de overheid ze nodig heeft bv.) wordt als absurd beschouzd, maar virtueel kan het voor velen wel…

  • Profielfoto
    bartvdv

    Het dient voorstanders van achterpoortjes van antwoord op een krachtige manier, namelijk dat bewust achtergehouden lekken net zo goed misbruikt kunnen worden.

    Dat zie ik er helemaal niet in.

    En dat fysieke equivalent, dat bestaat al en wordt gebruikt door de overheid en heet ‘de slotenmaker’.

  • Profielfoto
    Dashter

    bartvdv op 26 april 2018 16:06

    Het dient voorstanders van achterpoortjes van antwoord op een krachtige manier, namelijk dat bewust achtergehouden lekken net zo goed misbruikt kunnen worden.

    Dat zie ik er helemaal niet in.

    En dat fysieke equivalent, dat bestaat al en wordt gebruikt door de overheid en heet ‘de slotenmaker’.

    Dat is inderdaad het probleem, dat velen het er helemaal niet in zien. Het is nochtans geen rocket science.

  • Profielfoto
    csteelooper

    Ik snap de heisa eigenlijk niet helemaal… Dit ding kan een 4-cijferige code kraken. iOS11 raadt actief een 6-cijferige code aan, dus je mag aannemen dat de meerderheid van de gebruikers in ieder geval 6 cijfers voor de code gebruikt. Zelf zit ik al sinds iOS7 op een 8-cijferige code en sinds m’n iPhone 6S (ook alweer bijna 3 jaar) gebruik ik Touch ID in combinatie met een behoorlijk lange alfanumerieke code.
    Dat laatste geldt ook voor iedereen in mijn kennissenkring bij wie ik ook maar enigszins invloed heb gehad in hoe de toestellen werden geconfigureerd.

    Lang verhaal kort: gewoon een sterkere code instellen en klaar is Klara.

  • Profielfoto
    Spinozo

    Ook 6 cijfers is in een paar uurtjes gedaan met dit apparaat. Zet je een bitcoin miner in dan is die alfanumerieke code van jou ook in een paar dagen gekraakt. Apple moet dit gat gewoon dichten maar het is waarschijnlijk hun eigen achterdeurtje die ze gebruiken als de FBI met een gerechtelijk bevel langskomt. Daar moeten ze dus nog iets voor verzinnen en daarom duurt het zo lang.

  • Profielfoto
    bartvdv

    Dat is inderdaad het probleem, dat velen het er helemaal niet in zien. Het is nochtans geen rocket science.

    Volgens mij snap jij het eigenlijk niet goed. Het is nochtans geen rocket science. Dat eeuwige gezeur altijd over privacy. Over de eeuwen heen is er nooit privacy geweest. Privacy is een illusie.

    Alleen al door hier een profiel aan te maken en Big Data weet “iedereen” al heel wat over jou. De bank kent exact jouw bestedingsprofiel en heeft dat al in mooie grafiekjes gegoten.

    En ondertussen maar overal profielen aanmaken, bonuskaart aanvragen bij AH, enz.

    Maar owee als de overheid de inhoud van jouw gsm te weten zou komen.

    Het gaat helemaal niet om ‘privacy’ maar wel om wie, wat met die informatie kan doen. Ik vind het helemaal niet erg om een deel van mijn privacy op te geven als mijn leven daardoor veiliger en comfortabeler kan gemaakt worden (bv. medisch dossier vrijgeven aan gemachtigde hulpverleners). En de risico’s die neem ik er wel bij. Dat is al eeuwen zo.

  • Profielfoto
    draugminaion

    Spinozo op 27 april 2018 08:19
    Ook 6 cijfers is in een paar uurtjes gedaan met dit apparaat. Zet je een bitcoin miner in dan is die alfanumerieke code van jou ook in een paar dagen gekraakt.

    Nee. De hack maakt het mogelijk om een paar codes per seconde te proberen, zonder dat de extra wachttijd bij een paar keer fout gokken actief wordt. Een alfanummierieke code van 10 posities duurt dan miljoenen eeuwen.