Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 73, views: 23.333 •
Submitter: kaasdude

EA heeft naar eigen zeggen uit voorzorg de Battlefield Heroes-servers uit de lucht gehaald. De uitgever wil de mogelijke gevolgen onderzoeken van de database-dump die de hackergroepering LulzSec afgelopen zondag publiceerde.

Op de website van de gratis te spelen mmog Battlefield Heroes is te lezen dat de site tot nader order is gesloten. Electronic Arts stelt dat het een intern onderzoek is gestart naar een vermoedelijk door LulzSec uitgevoerde hack.

Bij de hack zijn ruim 500.000 gebruikersnamen en versleutelde wachtwoorden van een bètaversie van Battlefield Heroes buitgemaakt. EA stelt dat er naar alle waarschijnlijkheid geen persoonlijke informatie zoals e-mailadressen of creditcardnummers zijn gestolen in de zondag gepubliceerde 'dump' van LulzSec.

De inmiddels opgeheven hackersgroepering heeft de afgelopen maanden diverse malen zijn pijlen gericht op speluitgevers. Zo werden Nintendo en gameontwikkelaar Bethesda aangevallen. Hoewel er geen data van Nintendo door LulzSec is gepubliceerd, plaatsten de hackers wel gebruikersgegevens van Bethesda online.

Update, 13:45: Battlefield Heroes is inmiddels weer speelbaar. Electronic Arts heeft de service hervat na eigen onderzoek. Dat onderzoek is nog niet afgerond, maar kennelijk acht EA het veilig genoeg om weer te spelen. Volgens de uitgever zijn nicknames en wachtwoorden gestolen van een vroege bètatest van het spel, maar geen persoonlijke data als e-mailadressen en creditcardnummers.

Reacties (73)

Is dit dus alleen voor de mensen die de beta van BFH hebben gespeeld?
Jah maar een deel van die mensen hebben na de beta tests een gewoon account aangemaakt met misschien wel dezelfde gegevens.
Beta accounts doen het ook gewoon in de huidige versie.
Precies had ook een beta account waar ik daarna gewoon mee verder kon spelen. Heb gelukkig deze gebruikersnaam en wachtwoord nergens anders gebruikt.
godver, ik dus wel. bij sega hadden ze mn spul ook al te pakken. Dit is niet leuk meer.
godver, ik dus wel.
Je had dat wachtwoord elders ook had gebruikt?
Stout, tweakert... Stout! En nu niet meer doen, he... :P
De mensen die misbruik zouden maken na de openbaring van deze groepering zouden ze in feite net zo hard moeten straffen dan de straf die Lulzsec leden zouden kunnen krijgen.
Misschien wel erger, aangezien data verkrijgen via een illegale manier volgens mij minder hoog ligt dan misbruik maken van iemand anders zijn gegevens (fraude / identiteitsdiefstal).

Als men dat zou verkondigen in de media, kan het zijn dat de huis tuin en keuken mensen deze gegevens in ieder geval niet misbruiken, terwijl ze dat misschien nu wel doen na publicatie.
De mensen die misbruik zouden maken na de openbaring van deze groepering zouden ze in feite net zo hard moeten straffen dan de straf die Lulzsec leden zouden kunnen krijgen.
Misschien wel erger, aangezien data verkrijgen via een illegale manier volgens mij minder hoog ligt dan misbruik maken van iemand anders zijn gegevens (fraude / identiteitsdiefstal).

Als men dat zou verkondigen in de media, kan het zijn dat de huis tuin en keuken mensen deze gegevens in ieder geval niet misbruiken, terwijl ze dat misschien nu wel doen na publicatie.
Jij gaat uit van een zwaardere straf als afschrikwekkend effect om de markt van vraag en aanbod te be´nvloeden. Dat gaat niet helpen: de huidige straffen zijn al zwaar, terwijl hackers en misbruikers toch doorgaan. Soms moet je je afvragen op wat voor andere manieren je het probleem kan oplossen.

Zo is bijvoorbeeld LulzSec slecht bezig volgens velen, maar gaan de ontwikkelaars/onderhouders van systemen ook niet geheel vrijuit. Tot nu toe zijn de hacks van LulzSec geen technische hoogstandjes: de meeste gegevens worden verkregen via SQL/code injectie.

Al wil je een afschrikwekkend effect hebben dat wel effectief zal zijn: straf de organisaties die de gehackte systemen in beheer hebben en die beschermers van de verloren gegevens zijn net zo hard als de hackers gestraft zouden worden. Straf ze niet voor de hacks zelf of de beveiligingsgaten, maar voor het lekken van gegevens van derden. Dat zijn gegevens waar organisaties verantwoordelijk voor zijn. Zo'n afschrikwekkend effect zal lijden tot een voorkomend effect, omdat het plots voor organisaties voordeliger wordt om na een risicoanalyse toch maar te kiezen voor betere beveiliging.

[Reactie gewijzigd door The Zep Man op 27 juni 2011 14:10]

Dat gaat niet helpen: de huidige straffen zijn al zwaar, terwijl hackers en misbruikers toch doorgaan
Dat komt natuurlijk weer door een enorme wetteloosheid en anonimiteit op het internet. Als de pakkans verhoogd zal het aantal mensen dat dit soort dingen probeerd dalen.
Je werkt zeker bij de overheid?
Dit heeft uiteraard niks te maken met enige wetteloosheid of anonimiteit op het internet.
Mocht dit een reden zijn om regels op internet te verscherpen onder het mom van veiligheid, dan durf ik te wedden dat lulsec gewoon is ingehuurd door diezelfde mannetjes die die regels in willen voeren.

(zullen we gelijk ook alle kinderen een chip geven zodat we ze kunnen vinden als ze ontvoerd worden door evil priests)
Zo is bijvoorbeeld LulzSec slecht bezig volgens velen, maar gaan de ontwikkelaars/onderhouders van systemen ook niet geheel vrijuit.

Lulzsec gaat overdreven om met mineure foutjes. Als lulzsec niet zo n00b zou zijn zouden ze genoeg targets kunnen vinden waardoor ze een breed scala van het publiek een plezier mee zouden doen en waarbij ze een soort robin hood prestige zouden kunnen verwerven. Nu zijn het enkel een bende vervelende amateuristische scriptkiddies die de rest van de wereld de les wil spellen op basis van idiote exploits.
Zo is bijvoorbeeld LulzSec slecht bezig volgens velen, maar gaan de ontwikkelaars/onderhouders van systemen ook niet geheel vrijuit. Tot nu toe zijn de hacks van LulzSec geen technische hoogstandjes: de meeste gegevens worden verkregen via SQL/code injectie.
Geen een systeem is feilloos, dat is maar weer keer op keer bewezen. Het gaat hier dan ook niet om het feit dat zij systemen hacken, dat gebeurd sowieso op grote schaal overal op het internet. Of het nou wordt gedaan dood LulSec of door andere dat maakt dan niet uit. Waar het hier om gaat is dat LulSec persoonlijke informatie van mensen die eigenlijk niks te maken hebben met het bedrijf online zetten en daar ook nog een grapjes over maken. Als je een fout in het systeem uitwijst is het toch al genoeg, waarom moeten ze databases online zetten?
Ik ben het niet eens met jouw tekst. Ontwikkelaars hebben uiteraard een plicht om hun systemen zo secuur mogelijk te maken zodat 3den niet bij gevoelige informatie kunnen komen. Echter bevat elke programmatuur fouten gezien mensen de codes schrijven en mensen nu eenmaal fouten maken. Software van vele grotere bedrijven krijgen met regelmaat updates welke alleen security fixes bevatten. Volgens jouw statement zouden al deze bedrijven in hun eerste release aansprakelijk zijn geweest en zouden deze aangeklaagd moeten worden.

Jouw statement gaat leiden tot langdurige rechtszaken en is in mijn ogen niet te handhaven. Waar trek je de grens. Woord je aangeklaagd als iemand het bedrijf infiltreert en van binnenuit 4 firewalls en 2 proxy servers omzeilt dmv zeer geavanceerde tools of ben je pas strafbaar als je systeem van buitenaf te benaderen is met de username Admin en het paswoord Welkom2011? Elk systeem is te kraken waardoor een "afschrikwekkend effect" zal veroorzaken dat de systemen waaraan we ondertussen gewend zijn niet meer online worden gebracht en gewoon wegblijven of dat de prijzen omhoog schieten, omdat bedrijven een spaarpot moeten creŰren voor de rechtszaken welke ze aan hun broek krijgen.
"Service has been restored on Battlefield Heroes following a short hiatus related to a security breach. Our investigation is ongoing, however it appears screen names and encrypted passwords associated with an early beta version of Heroes have been compromised. To the best of our knowledge, it appears that no personal data was compromised – no emails, account history, credit card numbers or payment methods. Any further updates will be posted on this page. We apologize for any inconvenience."

Aldus de site van EA (http://www.battlefieldheroes.com/en/).

(@fragneck Dit was geplaatst voor de update, zie de tijd van dit bericht en de tijd van de update.)

[Reactie gewijzigd door Skohsl op 27 juni 2011 15:03]

Ja, dat staat ook in het bericht van Tweakers, maar dan in het Nederlands...
Met uitzondering dat de service weer hersteld zou zijn...

edit:
Waarom wordt dit naar beneden gemodereerd? Het bericht van Skohsl is dubbelop, en daarom overbodig in mijn ogen, en deze wordt hier als 'spotlight' gemodereerd? :?

Of zijn de moderatieregels de afgelopen weken gewijzigd of zo?

[Reactie gewijzigd door FragNeck op 27 juni 2011 13:42]

Tijd om je Engels-Nederlands een beetje op te halen.

Het bericht van Skohsl verteld dat het tweakers bericht out-of-date is, en dat de servers juist weer online gemaakt zijn.
Meer on-topic en informatief dan zo'n bericht is amper mogelijk.

[Reactie gewijzigd door Rapier op 27 juni 2011 13:48]

Wachtwoorden waren encrypted in MD5 voor de genen die dit wouden weten.
Hoe weet ik dit? Mijn acount was ook gehackt en mijn eigen wachtwoord ingevuld in een MD5 Encrypter en het resultaat was precies hetzelfde als het gehackte wachtwoord uit hun database.

Dat betekent dus wel dat ze geen salt hebben gebruikt in hun encryptie wat tegenwoordig toch wel gebruikelis is.
Ik kwam er anders niet aan uit..

Trouwens je account is nooit gehacked geweest, ze hebben een hash en je username bemachtigd.
MD5 is geen encryptie maar een hashing algoritme. Dit betekend dat mensen dus random wachtwoorden moeten hashen om vervolgens het resultaat te vergelijken met jou paswoord hash.

Het is dus niet te decoderen of iets in die richting.
Het is inderdaad niet te decoderen, maar men HOEFT het ook niet te decoderen.
Als je de MD5 hash hebt, en we weten nu dat ie niet gesalt is, dan kunnen we gewoon opzoeken in een rainbow table wat we als wachtwoord kunnen gebruiken.

Da's nog makkelijker dan iets moeten decrypten :)
@Mastermaarten Jah ;) hier http://dazzlepod.com/lulzsec/final/ kun je kijken of jou email adres er ook tussen zit. Mijne zit er wel tussen Grrr al snel ff van verschillende dingen wachtwoord verandert maar gelukkig nog niets gemerkt.

Maar kon nergens mijn eigen wachtwoord vinden dus misschien is het ook wel alleen de user database zonder wachtwoorden of zo.

[Reactie gewijzigd door Jouster-Patrick op 27 juni 2011 13:32]

Dit is volstrekte onzin wat je hier uitkraamt. Bij de Bfheroes hack heeft Lulzsec GEEN e-mailadressen achterhaald. Slechts nicknames + encrypted(sorry, hashed passwords heb ik me net laten vertellen, mijn excuses) password zoals ook te lezen in het artikel. Een voorbeeld van de data die ze gehackt hebben en ook gepubliceerd hebben op hun website:
koubar... b78c5b1fea207f6ce76b822.....
Thoru.... ae73c61120cf10ce21885af.....
baetz.... 6cd7718b475a9ef76a721dc2.....
johan.... 05cea049b2e5b055290f362c......
Ragn..... 3bbd91d5a1fd0a9d743707.....
rmal.... 4defc9b4d24be054ad885ea6d5.....
Trump..... 0bb9719f847f6370219c33ec.....
nie...... c40dd5f419f8d527445918d7......
Wozz..... 5a1580824b40133a166b0b080.....
MGlobe...... 01dc479ecd73dcd4f7d9d21bc64.....
....'jes neergezet vanwege privacy redenen.

Op de site die Jouster-Patrick aanhaalt kan je dus wel zoeken of je Bfheroes username er tussen staat maar niet de e-mail zoals hij beweert.

[Reactie gewijzigd door Coltragon op 27 juni 2011 15:02]

Zijn geen encrypted passwords, zijn hashes van passwords. Van al die hashes is een wachtwoord snel achterhaald.
Hoe veilig zijn nou die encrypted passwords? Kan je daaruit nog iemands wachtwoord halen?
Encrypted password kun je decrypten, hashed password gaan maar een kant op, ten zijn er gebruteforced wordt.
Dit is dus niet waar. Zie post hieronder van mij, of: http://project-rainbowcrack.com/buy.php

@hieronder
Ik vind dit meer zoeken dan bruteforcen.
Gewoon ctrl+F en zoeken maar, zo kan je Google ook bruteforce noemen.

[Reactie gewijzigd door Limaad op 27 juni 2011 15:52]

Wachtwoorden achterhalen met rainbowtables is toch echt Brute-forcen, zoals thof1 suggereert.

[Reactie gewijzigd door chaozz op 27 juni 2011 20:04]

Hoe veilig zijn nou die encrypted passwords? Kan je daaruit nog iemands wachtwoord halen?
Om een voorbeeld te schetsen: neem een gegevensbestand met 10.000 gebruikersnamen, e-mailadressen en gehashde wachtwoorden. Neem ook een softwarepakket zoals John the Ripper en een paar grote dictionary bestanden die toepasselijk zijn voor het soort gebruiker (grote kans dat ze Engelstalig zijn en dat hun wachtwoorden daarom ook op Engelse woorden zijn gebaseerd, dus een dictionary bestand met alledaagse Engelse woorden en misschien wat typische Britse/Amerikaanse namen).

Deel het gegevensbestand op in het aantal cores op de machine die je hiervoor wilt inzetten. Start per core een instantie van John the Ripper op een gegevensbestand met de genoemde dictionary bestanden en laat hem ook testen op variaties van woorden (dus password, p@ssword, Password, Password0, etc.). Met een beetje vlotte machine en aangenomen dat er geen password policies op de wachtwoorden zitten (verplicht gebruik van hoofdletters, kleine letters, cijfers, speciale tekens, een minimale lengte, etc.) heb je binnen een dag de helft van de hashes herleid tot de originele wachtwoorden. Laat hem een week knorren en beschouw de rest van de niet behaalde wachtwoorden als verlies.

Combineer de verkregen wachtwoorden met bijbehorende e-mailadressen uit het gegevensbestand en de kans is groot dat je met een stapel 'gehackte' mailaccounts eindigt.

Nee, dit is geen brute-force aanval waarmee je met voldoende tijd 100% van de wachtwoorden zal terugleiden. Effectief (in tijd) is het wel. Natuurlijk zijn er nog andere middelen (die veel effectiever kunnen zijn), zoals rainbow tables. Mijn voorbeeld schetst maar ÚÚn enkele situatie (van de velen!) die iemand met of-the-shelf apparatuur kan verwezenlijken.

Om jouw vraag te beantwoorden: de veiligheid van gehashde wachtwoorden (iets anders dan gecodeerde wachtwoorden, maar veel vaker gebruikt) is net zo veilig als hoe de gebruiker en de bewaker ermee omgaan. Een gehashed wachtwoord is bijvoorbeeld zeer veilig als het gelekt wordt, de bewaker dit meldt en de gebruiker zijn wachtwoord voldoende complex heeft gemaakt en daarmee voldoende tijd heeft om hetzelfde wachtwoord bij andere gebruikte diensten te wijzigen. Er is ook een manier om hashed wachtwoorden van wat extra bescherming te voorzien: salt.

[Reactie gewijzigd door The Zep Man op 27 juni 2011 14:36]

En voor de volledigheid nog even de veiligheid in dit specifieke geval:
Het hashingalgoritme wat door EA wordt gebruikt wordt in het algemeen veel gebruikt, en er zijn dus op internet kant-en-klare rainbow tables te vinden met de oplossingen voor honderden miljoenen veel voorkomende wachtwoorden. Je bent in dit geval alleen veilig als je wachtwoord niet een bestaand woord is in welke taal dan ook, langer is dan 8 tekens en in ieder geval kleine letters, hoofdletters en cijfers bevat, en het liefst ook nog andere tekens. Is dat niet het geval dan kun je er van uitgaan dat je wachtwoord zo is op te zoeken.
Dit zijn hashes van passwords, en totaal onveilig.
MD5 is zelfs geen beveiliging in mijn ogen. Kijk voor de grap maar eens op:

http://project-rainbowcrack.com/buy.php

Alle soorten en maten rainbowtables. 99,9% finished.


edit:
99,9% finished, niet 99%

[Reactie gewijzigd door Limaad op 27 juni 2011 14:13]

Of, mocht je er niet voor willen betalen en ze niet zelf willen genereren, dan kun je ook tables downloaden van http://www.freerainbowtables.com/fr/tables/
Van mij is wel de gebruikersnaam te vinden die ik ingame gebruik maar geen e-mail. Reden om toch alle wachtwoorden na te lopen?

[Reactie gewijzigd door Vae Victus op 27 juni 2011 13:38]

Paswoord is niet zichtbaar op die site, zijn allemaal afgeschermd met drie sterretjes. Maar in de dump zal de versleutelde versie van jou (oude) paswoord wel te vinden zin.

[Reactie gewijzigd door mad_max234 op 27 juni 2011 14:42]

Dit is wel het verstandigste, kwaadwillenden kunnen zo maar ergens je BFH username zien te koppelen aan een e-mail adres of andere account (bijv. zelfde nickname in een ander spel) en zo andere accounts kraken. Het is natuurlijk nooit slim om hetzelfde wachtwoord op meerdere plaatsen te gebruiken (maar wie maakt zich er daar niet eens schuldig aan bij iets onbenulligs als een gratis spelletje).

Het feit dat de verkregen wachtwoorden gehasht zijn zegt niks, hecht hier dan ook geen waarde aan en ga er van uit dat je BFH wachtwoord op straat ligt.
site is hier gewoon online, dus uhmm? :?
Ze bedoelen ook de game servers, niet de web servers ;)
ik begin een beetje ziek te worden van die gasten. Laat mensen gewoon lekker hun games spelen/werk doen etc.

Ook van de game developers trouwens (en andere internet bedrijven).

Als je wilt dat ik je product koop, moet je zorgen dat dat veilig is!
Als je dat niet kunt dan regel je maar dat ik onder rembours mijn spullen kan afrekenen ofzo.
Ik heb nou al 4 e-mail adressen die ik gebruik voor allemaal random shit. Alleen om dit soort dingen te voorkomen. Ik begin er moe van te worden dat na 30 jaar nogsteeds het Internet een soort Wilde Westen is.

(tweakers heeft natuurlijk wel mijn "Echte" e-mail adres :D)
En dat zal het ook altijd blijven, als je nog steeds denkt dat het internet ooit "veilig" zal worden kun je nu net zo goed je internet abbo opzeggen ;)
Waarom? Is het zo raar om te verwachten dat OOIT!? (ik zeg niet morgen) gewoon regels gehandhaafd worden, ook in de virtuele wereld?

Als jij IRL jezelf opsluit in een gebouw van EA (bijvoorbeeld). om na sluitingstijd even snel een paar mappen te jatten uit hun kasten met de adres gegevens van hun klanten. en deze vervolgens per post opstuurd naar alle kranten en andere media dan schreewt iedereen moord en brand. Wat is nu het verschil met wat deze gasten doen?
En ooit worden er zeker ook geen inbraken meer gepleegd en leven we allemaal de regels na, en kunnen de gevangenissen dicht. Het zijn onrealistische doelen die ze stellen en ze verstoren alleen maar hoop plezier en geld van andere. Niks en ook niks is 100% te beveiligen, valt altijd wel manier te vinden om iets weg te halen. Banken steken er miljarden in en nog lukt het niet altijd om geld veilig te houden.

En als het veiliger word dan moeten eerst de gasten zoals LulzSec opgepakt worden want die zorgen nu juist dat het onveiliger word dan veiliger, hoop ook dat alle kosten en schade verhaald kan worden en het niet op de spelers van de games verhaald word. Laatst zal waarschijnlijk gebeuren, de gamers zullen de rekening betalen van de schade die LulzSec heeft aangericht.
Damn mijn naam staat er ook tussen. Maar in het artikel staat dat de wachtwoorden vergrendeld zijn, dus in principe ben je wat dat betreft safe toch?
Het zijn slechts plain-text MD5 hashes zonder salt. Een vlotte google van de hash van mijn eigen wachtwoord (ik zat er ook bij :( ) leverde meteen al het echte wachtwoord op.

Best slecht van EA dat ze dat zo opslaan. Ga er dus niet van uit dat je wachtwoord veilig is!

edit: het was gelukkig wel mijn oude wachtwoord van voor de Bioware hack van enkele dagen geleden.

[Reactie gewijzigd door cpt.skydiver op 27 juni 2011 13:49]

Battlefield Play4Free is ook currently not available.

Vraag me af of LulzSec daar ook bezig is geweest en of dat EA voorzorg maatregelen aan het treffen is.
Alle BF accounts zijn gekoppeld aan je EA account, dus deze passwords staan gelijk aan EA accounts.
Voor de mensen die willen weten of hun gegevens ook ergens op internet ronddwalen na al die Lulzsec gerelateerde hacks

https://shouldichangemypassword.com
Dank je wel voor het advies. Kreeg dit als antwoord.
Your email, username, and password have been compromised at least 1 time(s).

Zal waarschijnlijk van deze actie zijn aangezien als datum 25 Juni erbij staat en via de facepun.ch website mijn adres voorkwam.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013