Wachtwoorden van gebruikers zombiegame DayZ-forum zijn gestolen

Uit een e-mail van Bohemia Interactive, de ontwikkelaar van zombiegame DayZ, blijkt dat het forum van de game gehackt is. Volgens de uitgever zijn alle gebruikersnamen, e-mailadressen en wachtwoorden van het forum gedownload door hackers.

DayZ In de e-mail zegt Bohemia dat de wachtwoorden niet waren opgeslagen als standaardtekst, maar in een beter beveiligde vorm. Vermoedelijk zijn de wachtwoorden dus gehasht. De ontwikkelaar raadt gebruikers van forums.dayzgame.com die hetzelfde wachtwoord ook voor andere diensten gebruiken aan om hun wachtwoord te wijzigen.

Volgens Bohemia is de diefstal van de gegevens het resultaat van een recent veiligheidsincident. Om dit in de toekomst te voorkomen wordt het IPBoard-loginsysteem binnen twee weken vervangen door Bohemia Account. Volgens de ontwikkelaar is dat een speciaal gebouwde dienst die al gebruikt wordt door Bohemia Interactive Forums en de Store. Totdat de dienst is aangepast om gebruik te maken van het nieuwe loginsysteem zal het forum niet beschikbaar zijn.

Op 23 januari had Bohemia ook al bekendgemaakt dat zijn forums het doelwit waren geweest van een aanval. Toen werd aangeraden om voor de zekerheid wachtwoorden te wijzigen. DayZ zelf was op 4 februari ook tijdelijk uit de lucht om de beveiliging te verbeteren.

Reacties (43)

PC3-17000 5 februari 2016 12:30

Ik ben ook één van de slachtoffers. Werd hier gisternacht op geattendeerd door een steam-vriend die mij een screenshot stuurde met mijn IP-adres, naam en wachtwoord die blijkbaar op een "deep-web" site stonden.
http://s30.postimg.org/6558dpwv5/screenshot_2016_02_05.png

Dan besef je je opeens dat het eigenlijk wel heel stom is dat je overal hetzelfde wachtwoord gebruikt. Ben zeker wel een halfuur bezig geweest met het aanpassen van mijn wachtwoorden.

Overigens misschien wel handig; Op deze site kun je op basis van je email-adres checken of jouw gegevens in een data-breach zijn gelekt: https://haveibeenpwned.com/

[Reactie gewijzigd door PC3-17000 op 24 juli 2024 04:49]

sunkillmoon @PC3-17000 • 5 februari 2016 15:08

Zou de mijne er dan ook niet bij moeten staan? Die van mij was ook bekend bij het Dayz forum. Volgens die website echter niet.

MCRoadkill @PC3-17000 • 5 februari 2016 16:08

Bedankt voor de tips! Ik kom alleen tevoorschijn op de grote Adobe site hack in 2013

[Reactie gewijzigd door MCRoadkill op 24 juli 2024 04:49]

Rafe 5 februari 2016 10:45

maar in een beter beveiligde vorm. Vermoedelijk zijn de wachtwoorden dus gehashed.

Dit klinkt als een eufemisme. Als ze een sterke hash hadden gebruikt was dit anders verwoord, lijkt me. Wat is er wel gebruikt, MD5? ROT13?

Edit: het lijkt salted MD-5 te zijn aan de hand van de reacties van PC3-17000 en chaozz.

[Reactie gewijzigd door Rafe op 24 juli 2024 04:49]

chaozz @Rafe • 5 februari 2016 16:49

Van Twitter:

Bismuth God ‏@ThugOfAnorLondo
@dayzdevteam define "more secure form". Hashed and salted or just hashed?

DayZ Development ‏@dayzdevteam 6 uur6 uur geleden
@ThugOfAnorLondo Both.

The Zep Man @Rafe • 5 februari 2016 10:47

[...]

Dit klinkt als een eufemisme. Als ze een sterke hash hadden gebruikt was dit anders verwoord, lijkt me. Wat is er wel gebruikt, MD5? ROT13?

Sowieso zegt een hash niet veel. Is er salt gebruikt? Anders zijn de wachtwoorden van de meeste gebruikers te herconstrueren m.b.v. rainbow tables.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 04:49]

Rafe @The Zep Man • 5 februari 2016 10:50

Ik had wat duidelijker moeten zijn, met 'een sterke hash' bedoelde ik key derivation functions als bcrypt of PBKDF2, waar salting een integraal onderdeel van is

The Zep Man @Rafe • 5 februari 2016 11:27

Ik had wat duidelijker moeten zijn, met 'een sterke hash' bedoelde ik key derivation functions als bcrypt of PBKDF2, waar salting een integraal onderdeel van is

Je kan een complete key derivation function gebruiken (en dat is natuurlijk aanbevolen), maar zelfs alleen salt op een simpele manier toegevoegd aan de opgeslagen hash biedt al ontzettend veel meerwaarde en voldoende bescherming in de meeste situaties. Een salt maakt het verschil tussen het gebruiken van een enkele set rainbow tables, of het maken van een set rainbow tables voor elke opgeslagen hash. Dat eerste is makkelijk, bij dat laatste kan je net zo goed ouderwets gaan brute-forcen (wat ook te veel tijd kost die een aanvaller waarschijnlijk niet gaat terug verdienen).

[Reactie gewijzigd door The Zep Man op 24 juli 2024 04:49]

Rafe @The Zep Man • 5 februari 2016 11:52

Een salt is zeker beter dan geen salt. Maar als je dat met de hand gaat toevoegen ben je waarschijnlijk met het wiel opnieuw (maar slechter) aan het uitvinden. Tweakers zelf heeft ruim vier jaar geleden al aangetoond dat een GPU een rainbow table overbodig maakt: nieuws: Helft gebruikers Tweakers.net blijkt zwak wachtwoord te hebben - vandaag de dag is alles minder dan een key derivation function niet toereikend imo.

En het is tegenwoordig ook niet meer moeilijk, praktisch alle talen bieden een simpele API om het opslaan en controleren van passwords (niet iedereen weet van timing attacks) correct te doen. Bijvoorbeeld PHP: http://php.net/manual/en/faq.passwords.php

The Zep Man @Rafe • 5 februari 2016 13:56

Een salt is zeker beter dan geen salt. Maar als je dat met de hand gaat toevoegen ben je waarschijnlijk met het wiel opnieuw (maar slechter) aan het uitvinden. Tweakers zelf heeft ruim vier jaar geleden al aangetoond dat een GPU een rainbow table overbodig maakt: nieuws: Helft gebruikers Tweakers.net blijkt zwak wachtwoord te hebben - vandaag de dag is alles minder dan een key derivation function niet toereikend imo.

Dat was een aanval op MD5 hashes zonder salt m.b.v. dictionary attacks. Key derivation functions bieden bescherming tegen het snel achter elkaar berekenen van hashes (door meerdere malen te hashen) en kunnen hier wat bescherming tegen bieden, maar het toont ook de beperking van wachtwoorden aan en de steeds sneller wordende computers.

Trommelrem @The Zep Man • 5 februari 2016 11:16

Eigenlijk zou wetgeving strenger moeten worden. Kennen jullie bijvoorbeeld nog CU2? Misschien heb je nog een oud profiel van 20 jaar geleden. Vraag eens je wachtwoord op. Ze sturen het gewoon toe! 20 jaar lang staan sommige wachtwoorden al plaintext in hun database!!!

smiba @Trommelrem • 5 februari 2016 11:35

Je wachtwoord had je natuurlijk dan wel al lang moeten veranderen na 20 jaar

Maurits van Baerle @smiba • 5 februari 2016 12:00

Nou ja, ze slaan je nieuwe wachtwoord waarschijnlijk ook weer plaintext op. Het best is natuurlijk daar je wachtwoord eerst veranderen in iets unieks en daarna je account proberen te sluiten.

Trommelrem @Maurits van Baerle • 5 februari 2016 20:36

Ik heb dat wachtwoord natuurlijk allang niet meer, maar moet je voorstellen wat voor ramp van bijbelse proporties het zou zijn als die database uitlekt? Hoe veel users hebben nog steeds hetzelfde wachtwoord denk je? En hoe veel users hebben nu een functie waarbij het uitlekken van bedrijfsgeheimen rampzalig is voor niet alleen hunzelf maar ook voor anderen?

Natuurlijk is het de verantwoordelijkheid van de user zelf, maar CU2 zou hiervoor ook keihard voor mogen worden aangeklaagd.

[Reactie gewijzigd door Trommelrem op 24 juli 2024 04:49]

beerendlauwers @Rafe • 5 februari 2016 12:07

ROT13 is een encodering, MD5 is een (zwakke) hash.

ToHiForAFly 5 februari 2016 12:22

Ben een van de gedupeerden. Ik vraag me af wie aansprakelijk is wanneer mijn andere accounts (indien ze hetzelfde ww hebben) worden gehacked ter gevolge van dit.

Veokafle @ToHiForAFly • 5 februari 2016 15:20

Jijzelf, je moet om te beginnen al niet overal hetzelfde wachtwoord gebruiken. Als je dit toch besluit te doen en een wachtwoord lekt, dan zal je al die wachtwoorden moeten veranderen. Doe je dit niet dan wacht je letterlijk tot je andere accounts worden gecrackt. Dan ben jij ook degene die hiervoor aansprakelijk is.

MCRoadkill @ToHiForAFly • 5 februari 2016 16:04

Ik hoor daar ook bij, maar ik heb meerdere wachtwoorden voor verschillende dingen. Ik maak me er niet heel erg druk om.
Gelukkig is het een grote community en hoop dat ze miljoenen gegevens hebben, maakt de kans groter dan ik niet op val.
we zien het vanzelf wel.

[Reactie gewijzigd door MCRoadkill op 24 juli 2024 04:49]

mkools24 5 februari 2016 10:31

Ik werd al doodgemailed ermee inderdaad hoewel ik al jaren niet meer geweest ben daar

Gelukkig gebruik ik ik voor dat soort onbelangrijkere zaken altijd een wachtwoord waarvan de impact laag is wanneer die lekt. Mijn 'mag lekken' wachtwoord dus die ik voor allerlei onzin gebruik.

Er zijn vast ook wel mensen die hetzelfde wachtwoord voor dit soort dingen gebruiken als waar ze mee op DigiID of GMail inloggen ja dat is natuurlijk niet handig, lekkende forums is echt aan de orde van de dag.

Rob1717 @mkools24 • 5 februari 2016 10:32

Ik wist niet eens dat dit spel nog gespeeld werd. Zijn de servers niet allang dood gebloed?

mkools24 @Rob1717 • 5 februari 2016 10:34

Oh het wordt nog flink gespeeld hoor zowel verschillende mods als de standalone versie op Steam. Ik ben er zelf overigens wel klaar mee, vroeger was het erg vet maar sinds alles op de standalone is gericht is het toch wel een stuk minder geworden allemaal, de hype is al een tijdje over zeg maar.

Verwijderd @Rob1717 • 5 februari 2016 10:40

De standalone moet nog altijd final gaan en er komt een PS4 versie aan

....nog lang niet dood

MCRoadkill @mkools24 • 5 februari 2016 16:02

Nou inderdaad een "mag lekken wachtwoord" voor de niet belangrijke websites ed.
Natuurlijk heeft iedereen verschillende wachtwoorden die hij gebruikt, niemand gebruikt toch hetzelfde wachtwoord voor alles?!

Verwijderd 5 februari 2016 11:29

Helaas ben ik ook de dupe, hoewel ik al een lange tijd niet meer actief ben op dit forum.

Ik heb aan de beheerders van het forum gevraagd of het mogelijk was mijn account in zijn geheel te verwijderen, hier wilde ze helaas geen gehoor aan geven ondanks het vergeetrecht https://en.wikipedia.org/wiki/Right_to_be_forgotten

Ondanks dat hoef ik me gelukkig geen zorgen te maken, ik gebruik immers overal een uniek wachtwoord

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:49]

Hydranet 5 februari 2016 11:46

Ik heb ook inderdaad ook netjes een mail ontvangen. Gelukkig heb ik een ander wachtwoord voor elke site waar ik mij voor aan meld

Gezien ze de mail adressen wel hebben hoop ik dat de spam die ik komende tijd ontvang mee valt.

MCRoadkill @Hydranet • 5 februari 2016 16:16

"spam mailjes"
Hahaha, ja inderdaad

Verwijderd 5 februari 2016 11:52

dat dit niet eerder op tweakers is gepost, ik ben zelf ook nog actief met dayz standalone.. en deze hack is zoals word aangegeven al in januari gebeurd.. dus beetje late reactie van tweakers.

ik heb gewoon het standaard (email recovery) wachtwoord dus die mogen ze wel kraken van me hoor... lkkr boeiend

en idd, het duurt heel erg lang de updates, maar de game is nogwel volop bezig en actief. 't probleem is imo. dat ze (net als dean hall) teveel aan publiciteit doen (game confention hier/showtje daar/live streampje hier)

ze zijn minimaal 4-8 weken van t jaar gewoon NIET 'in office' om te werken zet daar spring/summer/xmas break bij en dr komen op zn minst nog 10 weken bij dat ze gewoon NIKS doen.

ze zijn momenteel bij update 0.59 (0.60 gaat einde van de maand naar experimental/test servers)
1.0 word de beta genoemd. dus pick ur poison. 0.60 zou EIGENLIJK volgens planning einde van dit jaar naar experimental gaan en in het nieuwe jaar naar stable. maar dat gebeurd dus niet

dat kunnen ze zich echt niet meer veroorloven. dean hall had de 'hype' nog als excuus maar die is idd al lang en breed voorbij. aangezien er nu al 1 alternatief is (H1Z1) wat wel gewoon goed werkt zonder bugs en game breaking bugs

Zoals ik op het forum ook al een aantal keer heb aangegeven:

we don't need 40+ verschillende guns, 70 verschillende soorten kleding, 20 voertuigen
maak gewoon eerst een goede basis die werkt.. er tof uitziet en ga DAN pas al die wapen meuk en t-shirtjes in hawai-lila groen toevoegen.
Maar dat blijkt nogal onmogelijk te zijn volgens de makers

PerfectionVR 5 februari 2016 11:26

Gelukkig gebruik ik op de DayZ forum een niet-belangrijk password en is de DayZ forum account niet aan iets belangrijks gekoppeld.

Verder hoop ik steeds meer dat sites (zeg ik het goed?) Google/OAuth als login hanteren zodat ik dalijk niet op 50 sites mijn wachtwoord moet gaan zitten veranderen. Laat staan op sites waar ik niet eens meer op kom.

sunkillmoon @PerfectionVR • 5 februari 2016 15:09

Ik gebruik Lastpass, hebben een functie waarmee je in 1 klik je wachtwoord kan veranderen. Werkt niet bij elke site, maar neemt je al wel een zooitje uit handen.

MCRoadkill @sunkillmoon • 5 februari 2016 16:15

Das ook een mooie tip, ik gebruik al heel lang Keepass, super simpel, super makkelijk.

MsG 5 februari 2016 11:37

Hoezo gestolen? Er is toch niks weggehaald? Alleen gedupliceerd?

Maurits van Baerle @MsG • 5 februari 2016 12:02

Inderdaad. Ze hebben het origineel nog.

RobIII @MsG • 5 februari 2016 11:51

Seriously?

Wachtwoorden van gebruikers zombiegame DayZ-forum zijn gedupliceerd

Wachtwoorden (of diens hashes) zijn/worden gestolen ja. Einde verhaal.

MsG @RobIII • 5 februari 2016 11:52

Het was een beetje een impliciete reactie op de download-berichten. Dan wordt er altijd gezeken dat er geen schade is, omdat er niet fysiek iets is weggenomen. Die argumentatie hoor je nu ineens nergens.

Luuk1983

DayZ

5 februari 2016 11:18

Hoe kan je je wachtwoord wijzigen als het forum uit de lucht is?

Blokker_1999

@Luuk1983 • 5 februari 2016 11:23

Men vraagt je wachtwoord aan te passen op alle andere diensten waar je hetzelfde wachtwoord zou hebben gebruikt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (43)

Sorteer op:

Weergave: