Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties

Socialmedia-platform MySpace heeft bevestigd dat er bij een hack accountgegevens zijn buitgemaakt. Het bedrijf zegt niet hoeveel, maar de uitgelekte database bevat gegevens van 360 miljoen accounts. MySpace stelt dat de hack plaatsvond voor juni 2013.

MyspaceDe blogpost van MySpace stelt dat alleen accounts getroffen zijn die voor die tijd zijn gecreëerd, maar biedt geen verdere informatie over het precieze tijdstip van de hack. Onderzoeker Troy Hunt, die veel schreef over de recente hacks van onder andere LinkedIn en Tumblr, gaat er aan de hand van een analyse van de uitgelekte e-mailadressen vanuit dat dit ergens tussen de zomer van 2008 en het begin van 2009 ligt. Hij voerde een analyse uit aan de hand van de populariteit van verschillende e-mailproviders, bijgestaan door MySpace-gebruikers.

De uitgelekte gegevens betreffen 360 miljoen accounts, waarvan 427 miljoen wachtwoorden, omdat sommige accounts meer wachtwoorden hadden. Ook gaat het om 111 miljoen gebruikersnamen. De wachtwoorden waren gehasht met het sha1-algoritme en niet voorzien van een salt. Dit was eveneens het geval bij de LinkedIn-hack. Ook werden de MySpace-gegevens aangeboden door dezelfde persoon als die de LinkedIn- en Tumblr-gegevens verkocht. Hij staat alleen bekend als 'Peace'. MySpace stelt in zijn blog dat deze persoon ook daadwerkelijk de 'Russische cyberhacker' is die de hack heeft uitgevoerd, maar geeft geen verdere onderbouwing daarvan.

De MySpace-gegevens staan inmiddels op de site 'have I been pwned' van Hunt, waar gebruikers kunnen nagaan of hun gegevens zijn buitgemaakt. De MySpace-gegevens vormen op dit moment de grootste database op de site en stoten daarmee de LinkedIn-hack van de eerste plaats. MySpace heeft de wachtwoorden van de getroffen accounts opnieuw ingesteld.

Moderatie-faq Wijzig weergave

Reacties (61)

De wachtwoorden waren gehasht met het sha1-algoritme en niet voorzien van een salt.
Nee het is nog belachelijker: de wachtwoorden zijn eerst lowercase gemaakt, en gehasht op de eerste 10 karakters. Van Troy Hunt's blog:
The passwords are stored as SHA1 hashes of the first 10 characters of the password converted to lowercase. That's right, truncated and case insensitive passwords stored without a salt.
Dus als men geen speciaal karakter heeft gebruikt zijn de mogelijkheden voor wachtwoorden (26 + 10) ^ 10 = 3,656,158,440,062,976 mogelijkheden. Zonder geforceerd lowercase zou dit al (52 + 10) ^ 10 zijn, 839,299,365,868,340,200 mogelijkheden, ofwel 230 maal zoveel mogelijkheden.

[Reactie gewijzigd door anargeek op 1 juni 2016 11:38]

Gek genoeg levert het afkappen op 10 karakters en het lowercase maken van het wachtwoord een voordeel op voor gebruikers met sterke wachtwoorden. Iemand met een MySpace wachtwoord "StrongPassword1234" zal dus de hash van "strongpass" in de database hebben staan. Dat is nu gelekt en hoewel de hash relatief makkelijk om te keren is (want SHA-1 en zeer beperkte search-space), zal deze gebruiker geen risico lopen dat andere accounts waar hij hetzelfde wachtwoord gebruikt worden overgenomen.

Het neemt niet weg dat de beveiligingskeuzes van MySpace nogal twijfelachtig zijn geweest, maar in dit geval kan het dus ook een voordeel opleveren.
Het voordeel is maar heel beperkt.
Een hacker kan nu via MySpace achterhalen dat je wachtwoord begint met 'strongpass'.
Als hij nu op een andere omgeving jou wachtwoord wil kraken weet hij de eerste 10 karakters al en hoeft hij op die andere omgeving slechts een wachtwoord van nog 8 karakters te kraken.
Hoe kan een hacker zien wat de eerste 10 karakters van mijn wachtwoord is? Dat is niet mogelijk het kan wel zo zijn dat mijn wachtwoord 18 karakters is oid en dat mijn wachtwoord totaal niet met strongpass begint. Plus omdat wachtwoorden 'normaliter' case sensitive zijn gaat die vlieger sowieso niet op.

Dit is wel erg bizar dat die wachtwoorden op deze manier opgeslagen worden en wat mij betreft volstrekt idioot. Dit soort wanpraktijken zou eigenlijk nog een gerechtelijke reprimande moeten krijgen.
10 karakter wachtwoorden zijn makkelijker te achterhalen dan 16 karakter wachtwoorden, zeker als deze lowercase zijn gemaakt een afgekort tot maximaal 10 karakters, en geen salts gebruiken.
Veel mensen gebruiken één wachtwoord voor meerdere services, als je er één weet zijn andere makkelijker te achterhalen.
Deels waar. Heel veel mensen zijn echter van de korte wachtwoorden en die zijn alsnog de klos. Kijk maar eens naar de lijsten met meest gebruikte wachtwoorden. Die zijn vaak erg kort. Bovendien zijn de vaak voor makkelijk zodat het eenvoudig is de ontbrekende cijfers en letters aan te vullen.
Lower en uppercase maakt voor bruteforcing natuurlijk ook niet veel uit.
Gek genoeg levert het afkappen op 10 karakters en het lowercase maken van het wachtwoord een voordeel op voor gebruikers met sterke wachtwoorden [, namelijk dat] deze gebruiker geen risico [zal] lopen dat andere accounts waar hij hetzelfde wachtwoord gebruikt worden overgenomen.
Gek genoeg zijn het juist de mensen met security -bewustzijn die lange wachtwoorden gebruiken, en bovendien niet hergebruiken!
Nee natuurlijk niet. De hash wordt gebruikt om het wachtwoord te checken dus bij het inloggen wordt ook weer de eerste tien karakters genomen, lowercase gemaakt en een hash berekend. Als je een langer wachtwoord hebt dan kijkt hij daar niet naar. Dus StrongPassword1234 en strongpass zullen beide werken.
achja, altijd nog beter dan helemaal niet gehasht...
Mja, SHA1 tegenover niet gehasht maakt ook niet overdreven veel verschil.
Toch wel: een sterk uniek wachtwoord dat met SHA1 is gehashed is voor zover op dit moment bekend echt niet te 'kraken'.
Eigenlijk geldt dit altijd als er maar tenminste gehashed wordt: met een sterk wachtwoord zit je altijd goed.
Welbeschouwd: bij een serieus sterk wachtwoord zou MD5 nog voldoen. Er is namelijk nog geen first preimage aanval van MD5 bekend.

[Reactie gewijzigd door joppybt op 1 juni 2016 18:42]

Probleem is dat je razend snel sha1 kunt berekenen en dus heel snel van veel wachtwoorden kunt proberen of ze dezelfde hash opleveren. Omdat er geen salts zijn gebruikt kunnen ook rainbow tables worden gebruikt. Preimage attack is hier niet van toepassing.
Toch wel. Het vinden van een (wacht)woord gegeven zijn hash is gewoon de definitie van het preimage probleem.

Rainbow tables helpen helemaal niets bij sterke unieke wachtwoorden. Met 9 alfanumerieke karakters is een SHA1 rainbow table al zo'n 300GB (bron http://project-rainbowcrack.com/table.htm ). Bij een sterk wachtwoord van 16 karakters is dat 3521614606208 keer zo groot. Zo veel diskruimte bestaat niet op deze aardbol.
En dat SHA1 razendsnel is doet ook niet ter zake bij een sterk wachtwoord. Bij 16 karakters zijn er namelijk 47672401706823533450263330816 mogelijkheden en zelfs 'heel snel' lukt je dat niet voordat de zon supernova wordt.

Alle richtlijnen (sterke hashfuncties of zelfs bcrypt/scrypt/PBKDF2, salts, heel veel iteraties) zijn er alleen omdat de meeste mensen niet zo'n sterk en uniek wachtwoord gebruiken.
Achja, 2 jaar geleden werkte mijn ING internetbankieren gewoon met alleen lowercase en zonder speciale tekens (terwijl er genoeg hoofdletters en speciale tekens in mijn password stonden). Ik wist niet eens dat MySpace nog bestond.
Deze hack was tussen 2008 en 2009. Toen was er nog bijna nergens een verplichting van wachtwoord met hoofdletters, laat staan met speciale tekens...
MySpace is iets uit de vorige eeuw, hoofdzakelijk bedoeld voor de Amerikaanse markt. Verbaasd mij dat er nog zoveel accounts bestaan. Worden die ook allemaal actief gebruikt ?
MySpace is iets uit de vorige eeuw, hoofdzakelijk bedoeld voor de Amerikaanse markt. Verbaasd mij dat er nog zoveel accounts bestaan. Worden die ook allemaal actief gebruikt ?
Het is nog steeds enorm populair maar alleen binnen de muziekindustrie. Zo'n beetje ieder band en iedere muzikant zit op myspace, ik heb als test net even de top-40 er bij gepakt en 5 willekeurige artiesten gepakt, ze zitten allemaal op myspace.
Ik weet niet waarom myspace zo belangrijk is, maar het is het.
Het wordt idd voornamelijk gebruikt door muziekanten. Het schijnt een tijdje op sterven na dood te zijn geweest, maar door al het gekloot van FB leeft het nu weer helemaal op
Naar mijn weten richten zij zich vooral op de muziek, beginnende groepen/individuen etc, ze kunnen er gigs en samples opzetten
Neen, want mijn account wordt al heel veel jaar niet meer gebruikt, maar de gegevens ervan zijn ook gestolen... Waarschijnlijk houden ze gewoon alle accountgegevens bij.
Er wordt geschat dat deze gegevens al rond 2008-2009 bemachtigd zijn. Ik moet wel zeggen dat het aantal accounts hoger is dan ik had verwacht.
In 2013 heeft MySpace de site vernieuwd en de beveiliging verbeterd (dat werd wel tijd, blijkt nu). linkje naar MySpace blog

[Reactie gewijzigd door Ge Someone op 1 juni 2016 16:34]

111 miljoen gebruikersnamen? Ik dacht dat Myspace op sterven na dood was.
Account =/= actieve gebruiker.

Veel mensen verlaten een site veelal zonder hun account daadwerkelijk te deleten. Dit wordt je vaak natuurlijk ook moeilijk gemaakt met omslachtige en onoverzichtelijke instellingen. De doorsnee consument logt gewoonweg niet meer in en beschouwt dat als genoeg.
En soms kán het gewoonweg niet. Daar baal ik zo vreselijk van. Soms wil je het hele account opgedoekt hebben, maar zeggen ze dat het "impossible" is. Jaja, dat zal best. De enige optie die ja dan nog heb is het totaal anonimiseren van je account met een bogus email adres etc.

Kijk op http://justdelete.me hoe je op bepaalde sites van je account af komt.
Daar heb je een goed punt.
Helaas blijven dan wel wachtwoorden / gebruikersnamen achter, met alle gevolgen van dien na een hack.
De hack vond plaats in 2013 dus ik vermoed dat het er destijds zoveel waren.

edit: Beoordeling 'Offtopic / Irrelevant'
Een analyse op basis van gegevens uit het artikel. Hoezo is dat offtopic?
Normaal boeit me de score echt geen zak, maar soms vind ik het zo vreemd gaan hier.

[Reactie gewijzigd door DonJunior op 1 juni 2016 14:45]

Dat is ook zo. Ben zelf blij dat ik mijn account al 6 jaar geleden verwijderd heb.
De hack heeft plaats gevonden voor juni 2013. Op basis van een analyse van de gegevens wordt vermoed dat tussen eind 2008 en begin 2009 is geweest.
Ik zit zo terug te lezen.. maar in het artikel staat het dus dubbel nu?
In het eerste (dikgedrukte deel) staat:
MySpace stelt dat de hack plaatsvond voor juni 2013.

De 2e alinea schrijft:
tussen de zomer van 2008 en het begin van 2009


Ja zo kan ik het ook. Allicht dat tussen 2008 en 2009 vóór juni 2013 is geweest.. :?
Maar goed dat was 1986 ook.. dat was ook voor juni 2013.
Men gebruikt het niet meer, maar een hoop mensen laten dan hun oude accounts verstoffen zonder deze te verwijderen. Dit betekent dus dat er ongetwijfeld tig duizend ongebruikte accounts bijzaten, maar waar dus nog wel gebruikersgegevens van gestolen zijn.
Ze volgen de trend van LinkedIn. Na zo lang toch maar besluiten dat het eigenlijk best wel essentieel is in hun en de gebruikers' belangen dat dit openbaar wordt gemaakt. Er volgen steeds meer sites. Veel geven ook een database met mailadressen aan https://haveibeenpwned.com/
Dat is een site van Troy Hunt, de onderzoeker die in dit artikel genoemd wordt.

Het is handig om je daar in te schrijven met je e-mailadres(sen). Je wordt dan automatisch gewaarschuwd als je adres voorkomt in een gelekte database.
Het is handig om je daar in te schrijven met je e-mailadres(sen). Je wordt dan automatisch gewaarschuwd als je adres voorkomt in een gelekte database.
Ik heb best vertrouwen in de heer Hunt, maar toch moest ik glimlachen, je in een online database voegen om je te laten waarschuwen als je email uitlekt.
Het klinkt natuurlijk een beetje raar. Maar hier is geen sprake van accounts/wachtwoorden of andere informatie. Tevens zou de heer Troy Hunt er goed aan doen om er goed mee om te gaan als hij zijn baan bij Microsoft wilt behouden.
Dat was mijn eerste gedachte ook :)

Maar het doel is natuurlijk om gewaarschuwd te worden als je wachtwoord (en andere privé data zoals bijv. creditcard-gegevens) uitlekt. Een e-mailadres vind ik van mindere waarde (net zoals bijv. een telefoonnummer) en openbaar ik graag in ruil voor dit soort waarschuwing. Iedere obscure webshop of forum heeft ditzelfde e-mailadres al van me.

Liever dit dan de vele sites waar je de sterkte van je wachtwoord kunt checken. 8)7
'MySpace stelt dat de hack plaatsvond voor juni 2013.'

Is dit de nieuwe norm om vele jaren later pas te rapporteren dat je gehackt was? Ik zou graag zien dat ze dit binnen 3 maanden moeten rapporteren of een boete van 10% van de jaaromzet.
Juist. Het is schandalig dat mensen 3 jaar lang gevaar lopen. Niet alleen op MySpace maar op alle sites waar men dezelfde inloggegevens gebruikt. Dat dat op grote schaal gebeurt weten we inmiddels ook. Dat velen jarenlang hun wachtwoord niet wijzigen ook. De omvang van het probleem is dus groter dan MySpace alleen.
wow bestaat dat nog dat MySpace, was veel beter in mijn ogen. Vond het een stuk interessanter. Facebook doe ik niks mee.
MySpace is erg veranderd. Vrijwel alle artiesten waar ik mee verbonden ben/was, zijn naar Facebook, Twitter en Instagram gegaan. Het is een beetje dooie boel daar.
Dagelijks nieuws voor Hunt deze week :)
Yep. En nu ook nog scrum.org met zn encrypted passwords... zn naam begint op te vallen op Tweakers.
Ik zal alvast twitter & facebook, and tweakers pass ook maar veranderedn van 12345 naar iets moeilijker :p
Keepass all the way :P Geen wachtwoorden meer onthouden.
Ben 1Password user, ben tenminste de enige die master-pass weet. Wordt niets gedeeld online met 1pass, kweet niet of dat ook zo is met keeppass.
Ah, ik weet weer waarom ik voor 1Password gegaan ben, http://www.engadget.com/2...security-hole-due-to-ads/
Hier ook een uitgebreide verantwoording van de developer waarom het geen security hole is, en hoe het oplossen ervan niet direct de downloads veilig maakt: http://keepass.info/help/kb/sec_issues.html#updsig

Daarnaast, omdat Keepass open-source is, zijn er verschillende andere clients die je kan gebruiken.

Keepass werkt net zoals de 1-person 1Password license, je beheert zelf de database. Er zijn ook verschillende apps verkrijgbaar voor mobiele toegang.
Erg dat het beveiligen van data nog altijd geen prioriteit heeft, nergens...
Bij een audit van een groot bedrijf kijkt men ook totaal niet naar dergelijke zaken merk ik op.
Mensen liggen er duidelijk niet wakker van zolang het niet in de media komt
En het komt blijkbaar enkel in de media als het een overspel website is
Net nog maar even gekeken. Kon me vaag herinneren dat ik inderdaad ooit ook een MySpace account had. En inderdaad...
Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
Toch maar even een password reset gedaan. Al waren de persoonlijke gegevens die ik had ingevuld zo te zien allemaal fictief. :)
Hoppa nummer 3 voor mezelf... Na Adobe en LinkedIn.

Oh no — pwned!
Pwned on 3 breached sites and found no pastes (subscribe to search sensitive breaches)

Blijkbaar had ik daar ook ooit eens een account gemaakt, nooit gebruikt voor zover ik me herinner.
Vroeger gebruikte ik op dat soort sites m'n hotmail adres om daar alle spam te laten toekomen, dezer dagen blij dat ik dat toen in m'n onbezonnen jaren gedaan heb. :)
Was voor mij nummer 2 na LinkedIn. Hopelijk blijft het daar bij. Na LinkedIn toch maar de stap gezet om Keepass te gaan gebruiken. Password data file in Onedrive (dmv KeeAnywhere plugin makkelijk te gebruiken), keyfile op Dropbox en een onmogelijk password :) voor de database zelf. Mobiele versie (Keepass2Android) eveneens geďnstalleerd en het werkt als een trein.

Voorlopig voel ik me er veilig bij ;)
Precies Master FX, zo moet het (ik gebruik "Password Safe" op dezelfde manier).
Bij mij werd van LinkedIn alleen het e-mail adres voor spam gebruikt. Gelukkig kon ik dat wijzigen en het misbruikte adres verwijderen.
Het al dan niet fictief zijn van je gegevens doet er niet toe. Het gaat om het emailadres en het wachtwoord. Als jij die ook voor andere sites gebruikte in de afgelopen drie jaren dan heb je ook daar risico gelopen. Daarom ook nooit hetzelfde wachtwoord gebruiken.
Ik gebruikte een aantal verschillende wachtwoorden, maar niet zoveel als nu met Keepass. :)
Oh no — pwned!
Pwned on 9 breached sites and found no pastes (subscribe to search sensitive breaches)


En ééntje dat niet wordt mee geteld omdat het een gevoelige lek was. ;)
Je krijgt wel een email van gevoelige lekker waar je in zit als je er voor aanmeld.

Edit: Typfout en markup.

[Reactie gewijzigd door MonotoneJeroen op 1 juni 2016 17:28]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True