Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 52, views: 18.459 •

De database met accountgegevens en het officiŽle forum van Lord of the Rings Online bleken zonder inloggegevens via het internet toegankelijk. Ook was het forum vatbaar voor sql-injectie. Ontwikkelaar Turbine heeft beide offline gehaald.

Gebruiker 'freundlich' van het onofficiële LotroCommunity-forum ontdekte dat de accountdatabase van de mmog Lord of the Rings Online vatbaar was voor sql-injectieaanvallen. De database werd voor zowel het spel als het officiële forum gebruikt en bevat onder meer gebruikersnamen, md5-hashes van wachtwoorden, ip-adressen en persoonsgegevens. Er zouden ook betalingsgegevens beschikbaar zijn. Gebruiker Amrundir ontdekte dat de database ook via het internet voor iedereen toegankelijk was.

De gebruiker heeft het lek gemeld bij ontwikkelaar Turbine, die de database en het forum offline heeft gehaald. Via Twitter meldt Turbine slechts dat het forum momenteel niet beschikbaar is. Ook de fora van Asheron's Call en Dungeons & Dragons Online, die eveneens uit de stal van Turbine komen, zijn momenteel niet beschikbaar.

Turbine introduceerde in december 2009 de uitbreiding Siege of Mirkwood en nam daarbij een nieuwe communitywebsite in gebruik. Bij deze nieuwe website werden gamers gedwongen om dezelfde gebruikersnaam-wachtwoordcombinatie te gebruiken voor het spel en het forum, iets waarvoor de ontwikkelaar kritiek kreeg te verduren. Turbine nam op 1 juni het beheer van de Europese LotrO-servers over van Codemasters en voegde deze samen met zijn Amerikaanse servers en diensten.

LotrO-hack LotrO-hack

Reacties (52)

En the story continues... de laatste tijd is het echt overal raak.... en het zou me ook niets verbazen als het bij veel het zelfde probleem/problemen is/zijn.
Natuurlijk is het veel hetzelfde probleem.
Je ziet immers steeds maar weer dezelfde fouten: SQL-injectie, buffer overflows, domme wachtwoorden, totaal verouderde software gebruiken waarvan al jaren bekend is dat 't zo lek is als een mandje... En nog een paar standaard fouten.
Dan heb je misschien al 90% van alle veiligheidsgaten te pakken.
+1!
Dat is het hele probleem in 1 compacte strakke post.

Ik vind het wel een vage manier van zaken bij deze.
Een aanhanger van LotrO 'ontdekt' zomaar even dat de site toegankelijk is als anonieme gebruiker...

Ik ga als fan van tweakers.net ook niet proberen de site te hacken toch?
Wat zet hem aan dit wel te doen? Voorkennis? Er zit een verdacht smaakje aan het verhaal.
hoezo is dat zo verdacht?
ik begrijp dat best hoor, dat mensen kijken hoe veilig hķn account/betalingsgevens nou eigenlijk zijn

als je daar als amateur (neem aan dat het geen proffesionele hacker is) zo binnen komt met idd de standaard dingetjes vind ik het ťcht niet gek dat iemand dat vroeger of later probeert

liever vroeger en iemand die het meld, dan later iemand die er kwade bedoelingen mee heeft

bovendien, welke tweaker kan eerlijk zeggen dat ie toen hij/zij nog een klein tweakertje was nooit eens heeft geprobeerd dingen te doen die niet mogen op een school/thuis-netwerk/PC? ik niet }>
Het kan overigens prima dat 'professionele' hackers ook games als LotRo spelen, he... :)
En hoe lang is het al on-line?

Dat bedoelde ik met verdacht, want zo vroeg is het niet meer :P ...
Ik denk dus dat er wel misbruik van is gemaakt, maar dat die mensen het natuurlijk niet meldden.

En ik heb inderdaad ook wel als klein tweakertje dingen geprobeerd op school/thuis-pc die niet mochten. Botnetje van RAT gemaakt, VBS-script gemaakt die zich over het netwerk verspreid en de gebruiker in staat stelt SOL te starten (was verwijderd bij ons, maar stond nog in dllcache :D ) en een VBS script gemaakt die de pc ECHT op slot zet voor andere leerlingen zodat ik bij een wc-pauze mijn pc nog heb.

Natuurlijk 'wel' alles ongedaan gemaakt toen ik 2 maanden te vroeg hoorde dat ik mijn examen niet mocht doen.
Uhm SQL-injection lekken zijn niet altijd even spectaculair, maar hier was de complete master-database gewoon via anonymous MySQL-shell te benaderen met global select-rechten, inclusief alle salts en resulterende hashes. Ergo, complete DB-compromised, middagje spelen met een dictionary attack en je hebt tienduizenden forumaccounts gekraakt. Oh wacht, die hebben verplicht hetzelfde password als de in-game accounts!

Dit is dus echt geen 'standaard SQL lekje' hoor....
Met een klein beetje geluk kun je uit die tienduizenden accounts een paar paypal accounts of mailaccounts halen :)
Dat lukt zelfs zonder geluk.
Dit verklaart hoe mijn Trion account door een chinees ip adres benaderd kon worden terwijl mijn email en pc niet gekraakt waren. Secundaire gmail account (voor niet persoonlijke zaken zoals deze accounts) van mijn vriendin had ook ineens logins uit china en de VS, pc was ook safe.

Het lijkt er sterk op dat die dictionary attack reeds heeft plaats gevonden.

[Reactie gewijzigd door sdk1985 op 12 oktober 2011 17:49]

Misschien moet je dan maar je wachtwoord-beleid aanpassen en niet dezelfde passwords gebruiken voor verschillende services ;-)
Ongelofelijk hoe een zichzelf respecterend bedrijf zijn complete gebruikersdatabase niet alleen publiekelijk toegankelijk maakt maar ůůk nog eens anonieme toegang toestaat. Daar heeft daadwerkelijk iemand moeite voor moeten doen om het op die manier op te zetten. De verantwoordelijke persoon of personen mogen hun ICT-vergunning wel inleveren. 8)7
Zijn daar vergunningen voor dan?
"You need a license to drive, but they let every fool with a computer access the internetz."
Kijk zo kan het ook. Je vindt een lek, je meldt het aan de ontwikkelaar zonder schade te berokkenen en vertelt nadat het niet meer toegankelijk is dat je het hebt gevonden om eventueel een eervol klopje te krijgen. Honderd keer beter dan alle gegevens online te gooien als een soort 'kijk ons eens stoer/geniaal/toonaangevend zijn!'.
Nee, zo ging het niet. Die jongen kreeg geen reactie op zondagavond in-game, geen reactie na het inseinen van de admins via email, geen reactie op emails naar support. Zijn topic hierover op het officiele forum werd getrashed zonder uitleg, zoals gewoonlijk. Pas toen het op LOTROCommunity.com werd gepost en een van de community managers werd ingeseind, is de boel per direct offline gehaald en werd het lek gedicht. Hij wilde eerlijk en integer zijn, maar het bedrijf Turbine hielp niet mee.

Behalve dat detail heb je gelijk ja :)

[Reactie gewijzigd door MueR op 12 oktober 2011 15:07]

Maakt in principe niet uit. Het komt op hetzelfde neer: Deze hacker verdient een schouderklopje voor z'n manier van werken en het geduld waarmee hij/zij de ontwikkelaars heeft willen waarschuwen.
Ik vind hacker al een groot woord voor iemand die merkt dat een database gewoon niet beveiligd is (want anoniem toegankelijk).
Iemand die een open staande kluis vindt is toch ook geen kluizenkraker?

Hoe dan ook goed dat hij geprobeerd heeft het netjes bij het bedrijf te melden.
En dan nu maar eens het password daar gaan wijzigen *zucht*
Je moet de definitie van hacker even goed nalezen :) Een hacker is niet altijd een inbreker met kwade zin.
Ik ben me ervan bewust dat er geen kwade bedoelingen vereist zijn.
Uit jou link is de meest passende beschrijving echter "Iemand die tracht om via andere dan de officiŽle wegen een computersysteem binnen te dringen teneinde een beveiligingsprobleem te kunnen aantonen en mogelijk verhelpen" en ik vind dit dus nogal vergezocht voor iemand die niets hoeft te doen om binnen te dringen omdat de deur al open staat ;)
Beetje hetzelfde als degene die voor de miljoenennota 2010 in 2011 veranderde in de URL, is dat nou een hacker?
Anyway, off topic ^_^

[Reactie gewijzigd door Marijn_ op 12 oktober 2011 15:35]

en ik vind dit dus nogal vergezocht voor iemand die niets hoeft te doen om binnen te dringen omdat de deur al open staat
Doet me denken aan "gehackte" hotmail-accounts in m'n kennissenkring een tijdje terug. Blijkt dat ze dan als geheime (?) vraag hebben: "Wie is mijn favoriete tovenaarsleerling?"

Tja, hoeveel tovenaarsleerlingen zijn er waarover 7 succesvolle boeken zijn geschreven? :D

Zo'n mensen troggel ik met plezier hun geld af om hun "PC" te "beveiligen". En dan durven ze het "gehackt" noemen, zOMG.

Een slotenmaker komt ook niet gratis nieuwe sloten installeren omdat jij je sleutel met een adreslabel eraan hebt laten rondslingeren.

[Reactie gewijzigd door Tokkes op 12 oktober 2011 18:09]

Nee, maar iemand die ziet dat de deur openstaat is ook niet meteen een beveiligingsexpert ;)
tja, dat zoiets gebeurd is natuurlijk al knullig, maar dat ze er niets over communiceren is schandalig;

't is dat ik een lifetime abo heb dus in principe gratis kan spelen, maar anders zou ik d'r nu wel mee gaan stoppen, wat een incompetentie daar.
Lol, dus omdat er fouten gemaakt worden stop je met een spel dat je op zich wel bevalt. Overal waar mensen werken worden fouten gemaakt.
Dit is niet zomaar een "oeps". In een standaard mysql installatie op een linux bak kan dit namelijk niet. De MySQL poort staat niet naar buiten open, de anonieme user mag alleen van localhost connecten. Hier heeft iemand moeite gedaan om dit mogelijk te maken.
Waarschijnlijk heeft iemand moeite gedaan om iets (anders) mogelijk te maken, maar is er sprake van collateral damage. Collateral damage is vrij gebruikelijk als er fouten worden gemaakt bij het aanpassen / installeren van netwerken/netwerkonderdelen.
nee, als ik er voor had moeten blijven betalen ;) maar omdat 't gratis is, vind ik 't niet zo'n probleem.

Grote probleem daar is dat er niet naar de customers geluisterd worden en ze totaal niet communiceren. Het spel zelf is leuk en goed, maar de randzaken zijn soms echt verschrikkelijk
Ik verwacht dat met een tijdje deze game helemaal gratis wordt, en dat je voor items enzo moet betalen.
Dat is al zo sinds het begin van de zomer...
En het legt Turbine beslist geen windeieren. De winst is behoorlijk gestegen en het aantal spelers ook. Al met al is het volgens mij een goede zet geweest die de game weer een nieuwe impuls heeft gegeven.
Ehh... dat is al zo sinds vorig jaar!
Hmm vraag me af of ze ook creditcard gegevens hebben, heb namelijk wel eens ingame wat turbinepoints gekocht voor lotro. Het staat er wel niet bij, maar ze zullen het ook niet snel toegeven dat zoiets is gehackt

[Reactie gewijzigd door twister00004 op 12 oktober 2011 14:42]

Als je dat voor 1 juni gedaan hebt ben je waarschijniljk veilig, want toen werd lotro nog beheerd door Codemasters. Na 1 juni is het wel mogelijk, afhankelijk van de manier waarop je betaald hebt.

Dom van ze, maar het lijkt goed af te lopen.
Zoals freundlich bevestigt in het topic, ja, betalingsgegevens waren ook toegankelijk :(
Ik zal niet verbaasd opkijken als tweakers vatbaar is voor sql-injecties. Zoveel websites die lek zijn.
Natuurlijk niet. Als je een degelijk ORM library correct gebruikt zoals ActiveRecord dan is je website gewoon niet vatbaar voor SQL injections.

Elke zichzelf respecterende web developer moet uiteraard op de hoogte zijn van web app exploits en de security guide van het gebruikte framework.
Ik zie niet in hoe dat relevant is. Zoals curry684 hierboven al zegt is dit nogal wat erger dan een simpele SQL-injectiefout. Het is volledige en onvoorwaardelijke toegang tot elk stukje data in de database. Persoonsgegevens, betalingsgegevens, wachtwoorden, de hele mikmak. Veel succes met dat voor elkaar krijgen bij Tweakers. :z
Ik zeg ook niet dat iedere SQL openstaat voor een -A connectie, :)
Maar inderdaad, dit is gewoon een grove fout.
Ik zou er wel van opkijken, en ik zou het graag willen weten (en er dan ook op reageren uiteraard).
md5-hashes van wachtwoorden
Jammer dat dit nog steeds gebruikt wordt, MD5 is al lang niet meer veilig als wachtwoordhash.
Ligt eraan wat je wachtwoord vereisten zijn. Bij een verplichting van minimaal 1 hoofdletter, 1 normale letter, 1 cijfer en 1 raar tekentje met een minimale lengte van 14 karakters kan het nog wel eens lastig zijn om van een complete database de wachtwoorden te achterhalen ;)
vergeet alleen niet dat het misschien wel veiliger is om dat te doen, maar ook irritanter...geen van mijn standaard wachtwoorden hebben speciale tekens....twee van mijn standaard wachtwoorden bevatten hoofdletters en 2 bevatten cijfers...
Lengte van een wachtwoord zegt veel meer over de entropie dan de gebruikte tekens. Je kan beter een wachtwoord van 30 alfabetische karakters en spaties hebben dan dat je een wachtwoord van 14 karakters hebt dat aan de eisen voldoet die jij hier omschrijft. ;)

Daarnaast is MD5 helemaal niet per se slecht. Als jij een MD5-hash maakt van een salted SHA-1-hash van een wachtwoord (waarbij de salt user-speicifiek is), dan is die lastig genoeg om te kraken; rainbow tables werken dan al niet meer, en je zal je dan moeten beroepen op dictionary attacks en brute force. Dat moet je bij andere encryptiemethoden ook. ;)
Echt Jammer van een bedrijf als Turbine. Het spel is zeer vermakelijk maar dit is zeker niet goed voor het Imago.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013