Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 11, views: 14.772 •

Meer dan 50 miljoen klanten van de Amerikaanse aanbiedingensite LivingSocial moeten hun wachtwoord resetten, nadat hackers er in slaagden de systemen van de dienst te benaderen. Er zijn geen creditcardgegevens buitgemaakt en de wachtwoorden waren gehasht en gesalt.

De hack bij LivingSocial treft klanten uit landen wereldwijd, op de Filipijnen, Zuid-Korea, Thailand en Indonesië na. Hoewel ceo van de dienst Tim O’Shaughnessy in een interne mail spreekt van 'ongeoorloofde toegang tot enkele klantgegevens', blijkt de hack bij navraag van AllThingsD 50 miljoen klanten van de dienst te treffen, die allemaal hun wachtwoord uit voorzorg moeten wijzigen.

Niet duidelijk is of en zo ja hoeveel klantgegevens zijn weggesluisd, maar wel bekend is dat de hackers toegang wisten te verschaffen tot namen, e-mailadressen, geboortedata en wachtwoorden. Die wachtwoorden waren niet in clear-text opgeslagen maar gehasht en gesalt, wat decryptie bij sterke wachtwoorden lastig maakt. Creditcardgegevens zijn niet in het geding geweest.

De Amerikaanse kortingssite is ook even in Nederland actief geweest. In 2011 begon LivingSocial in drie Nederlandse steden en breidde daarna al snel uit naar tien steden. Begin 2012 stopte de dienst echter alweer in Nederland, na toegenomen concurrentie van vergelijkbare kortingssites als Groupon. LivingSocial is voor 29 procent eigendom van Amazon.

Reacties (11)

Enkele klantgegevens bedoelen ze toch mee 'enkele gegevens' en niet 'enkele klanten'? Zolang alleen wachtwoorden, geboortedata en andere relatief openbare info buit gemaakt is valt het nog relatief mee. Zou me veel drukker maken over onderlinge berichten dan over een gebashed wachtwoord.
Vandaar dat ik opeens van groepactie.nl spam kreeg op m'n livingsocial fake accounts.
Die spam kreeg ik mei vorig jaar al. LivingSocial heeft gewoon onze gegevens verkocht...
De spam komt trouwens van groupactie.nl, met een u ipv e dus.

[Reactie gewijzigd door rdjnl op 27 april 2013 15:45]

Waarom niet alle gegevens voortaan versleuteld opslaan? Dan heeft hackers helemaal niks aan om de gegevens even snel weg te halen, dus niet alleen paswoord versleutelen maar ook naam en andere gegevens versleutelen.

Ben je ook af dat er hele lijsten met namen en mails openbaar gemaakt worden.

Edit/
Snap dat sleutel ook gestolen kan worden, maar maakt het wel weer stukje lastiger. En met simpele sql lek zodat database te benaderen is heb je niks meer aan, zal dat echt server op moeten komen en bij bepaalde bestanden moeten raken die de versleuteling algoritme bevatten.

[Reactie gewijzigd door mad_max234 op 27 april 2013 10:15]

In principe een goed idee maar dit zal, naast de voor de hand liggende performance issues, ook een grote impact hebben op de code achter de site en zal alles gerefactord moeten worden.

Daarnaast zal dit ook op de gebruiksvriendelijkheid een impact hebben omdat door alles (of bijna alles) te versleutelen het ook vrij lastig wordt om door de database te zoeken.
Daarnaast zijn wachtwoorden in one-way hashes: het systeem kan alleen kijken of het wachtwoord goed is, niet wat het wachtwoord is. De rest van de gegevens moet het systeem wel kunnen ontsleutelen, waardoor je een two-way hash krijgt. Dit two-way hashen brengt weer nieuwe problemen met zich mee zoals het opslaan van de sleutel(s).
Two way hashen kan niet, dat is encryptie.
Waarom behandelen ze de andere gegevens niet zoals de credit card gegevens? Die zijn blijkbaar wel veilig, want ze zijn (zoals altijd blijkbaar lol) niet buitgemaakt. Of bedoelen ze misschien dat deze niet worden opgeslagen?
@Olaf van Miltenburg:
wachtwoorden waren gehasht en gesalt
Als je het niet in het Engels kan schrijven,
vertaal het dan gewoon in het Nederlands,
maar dit begrijpt niemand:
"gehasht en gesalt" ????

NB: Google Translate:
hashed and salted = hashes en gezouten ???

[Reactie gewijzigd door HoeZoWie op 28 april 2013 11:20]

Hoop dat ze die LivingSocial site goed aanpakken... Wachtwoorden en geboorte data en email adressen enz...
Hier kan men meer mee dan waarschijnklijk alleen op die LivingSocial site.
Dus persoonlijk zeg ik dan op zijn Amerikaans aanklagen die site omdat ze hun zaakjes niet op orde hebben.
Dit heeft / kan een hoop implicaties hebben voor een hoop mensen omdat ze niet goed beveiligd waren.
En dit kan particulieren een hoop geld kosten!
Die wachtwoorden waren niet in clear-text opgeslagen maar gehasht en gesalt, wat decryptie bij sterke wachtwoorden lastig maakt.
Maar niet onmogelijk voor iemand die met een GPGPU bruteforce middel werkt.

M.a.w 50 miljoen gebruikers levert een frisse en actueele lijst op van wachtwoorden.

Op dit item kan niet meer gereageerd worden.