Nederlandse site Gamersnet waarschuwt dat gebruikersgegevens zijn uitgelekt

De Nederlandse gamesite Gamersnet laat in een bericht weten dat een onbekende partij toegang heeft gehad tot zijn database met gebruikersgegevens. Daarin zijn e-mailadressen, gebruikersnamen en versleutelde wachtwoorden opgeslagen.

Lek beveiliging privacyGamersnet wijst erop dat in het weekend bleek dat er toegang tot de database was, maar dat nog niet geheel duidelijk is welke informatie precies is gestolen. Ook maakt de site niet bekend op welke manier de wachtwoorden beveiligd waren. Het lek zou in de maand juli zijn ontstaan.

Nadat bekend was geworden dat gegevens in handen van derden zijn gekomen, is de site offline gehaald en wordt alle gebruikers verzocht hun wachtwoord opnieuw in te stellen. Iedereen die inlogt, krijgt bovendien een melding te zien met deze mededeling. De redactie van Gamersnet roept leden die hetzelfde wachtwoord op andere sites gebruiken op om ook dat te veranderen.

De site stelt dat het lek binnen enkele uren is gedicht, maar dat het onderzoek nog enkele maanden kan duren. Daarnaast is de site van plan om aangifte te doen en worden personen die mogelijk over informatie beschikken opgeroepen om deze te delen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 12-07-2016 09:00
46 • submitter: Mmore

12-07-2016 • 09:00

46

Submitter: Mmore

Lees meer

Datalekkenjaar 2016

24 nov 2016

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

220
Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase
Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase Nieuws van 15 juli 2016
Amazon wijst claim over gehackte Kindle-database van de hand
Amazon wijst claim over gehackte Kindle-database van de hand Nieuws van 11 juli 2016
Uitgelekte LinkedIn-database verschijnt online als download
Uitgelekte LinkedIn-database verschijnt online als download Nieuws van 10 juni 2016
Twitter geeft wachtwoorden miljoenen gebruikers een reset
Twitter geeft wachtwoorden miljoenen gebruikers een reset Nieuws van 10 juni 2016
Netflix controleert of wachtwoorden gebruikers voorkomen in recente grote hacks
Netflix controleert of wachtwoorden gebruikers voorkomen in recente grote hacks Nieuws van 7 juni 2016
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (46)

-Moderatie-faq
46
43
32
1
1
8
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 12 juli 2016 10:08
Niemand zal ooit beweren dat we bij GamersNET foutloos zijn, want dat zijn we natuurlijk niet. Wel zijn we open en eerlijk en doen we keihard ons best om dit goed op te lossen. Onze community reageert met veel begrip, maar dat nemen we absoluut niet voor lief. Dat we aangifte doen is uiteraard logisch, maar dat iets logisch is, is geen reden om dat niet te melden. We bestaan inmiddels alweer 16 jaar en we laten ons niet uit het veld slaan. Top dat Tweakers melding maakt, zodat ook GN-bezoekers op deze site op de hoogte zijn.
coen254 @Verwijderd12 juli 2016 10:27
For the record, Peter is de eigenaar van de website, http://www.gamersnet.nl/crew/
Lounge Deluxe @Verwijderd12 juli 2016 10:46
En uiteraard melding doen bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van het datalek.

[Reactie gewijzigd door Lounge Deluxe op 22 juli 2024 22:54]

Verwijderd @Verwijderd12 juli 2016 12:27
PetorGN, kunnen jullie wellicht vertellen hoe de data was opgeslagen? Als die correct gehashed etc was dan is er wellicht niet heel veel aan de hand. Als dat niet zo was doemen er veel vragen op.
diyoo @Verwijderd13 juli 2016 08:55
Ten eerste, heel netjes dat jullie er melding van maken. Wel maak ik me zorgen over het feit dat er helemaal niets gezegd wordt over de hashtechniek, behalve dan dat er wachtwoorden zijn die niet plain text zijn. Het artikel op jullie site vermeldt "versleuteld" tussen haakjes: "Onder deze gegevens bevinden zich gebruikersnamen, e-mailadressen en (versleutelde) wachtwoorden". Gezien de site vanaf 2000 live is bekruipt mij het gevoel dat de gebruikte hashtechniek weleens unsalted md5 zou kunnen zijn, welke natuurlijk inmiddels achterhaald is, en nauwelijks extra bescherming biedt t.o.v. plain text wachtwoorden. Kunnen jullie hier wellicht iets meer informatie over geven?
pven 12 juli 2016 09:04
is de site offline gehaald en worden alle gebruikers verzocht hun wachtwoord opnieuw in te stellen
Hoe kan je een wachtwoord wijzigen als de site offline is? :?
chrisboers @pven12 juli 2016 09:09
'tijdelijk' oflline. Ze zijn allang weer online, nadat ze ingestel hadden dat en iedereen opnieuw zijn wachtwoord in moet stellen.
Wat overigens halfslachtig gedaan is, aangezien ik op 'altijd ingelogd' sta op die site, en ik dus gewoon ingelogd op die site stond. Extra slordig.
CAPSLOCK2000
@pven12 juli 2016 10:24
Hoe kan je een wachtwoord wijzigen als de site offline is? :?
De mensen die overal hetzelfde wachtwoord gebruiken kunnen alvast beginnen met het ww van hun andere accounts te veranderen.
svennd 12 juli 2016 10:07
Ik vraag me toch steeds meer af hoevaak dit onopgemerkt gebeurt ... database stelen en ermee weg.
biebelebons @svennd12 juli 2016 10:35
Precies die vraag heeft geleid tot de wettelijke meldplicht.
svennd @biebelebons12 juli 2016 10:42
Ik vraag het me ook af als webmaster/website beheerder. Intrusion detection is niet zo mijn ding, maar ik ben daar vast niet alleen in.
biebelebons @svennd12 juli 2016 10:50
Dat zou t dus wel moeten zijn.
Rede voor salaris verhoging?
Tenzij je eigen baas bent. Dan wordt je bestraft maar ook dan neemt t niet weg dat t wel je ding zou moeten zijn gezien de markt die je bediend.
svennd @biebelebons12 juli 2016 11:46
Ja want iedereen die een computer heeft moet ook een cyber-security expert zijn ... meldplicht is niet de oplossing, in tegendeel, als je het niet weet heb je minder kans op imago schade ... Alsof veiligheid al zo goed te verkopen was aan management.
Noppie1991 @svennd12 juli 2016 12:15
Wij (bedrijf) hebben hier helaas ook mee te maken. Hoewel onze beveiliging op orde is hebben wij momenteel geen inzicht wanneer iemand toch heeft weten in te breken. Bijna alles nou eenmaal te hacken.

Wij kijken nu Opensource oplossingen, zoals PfSense i.c.m. met Suricata. Suricata is een IDS/IPS oplossing waarmee je kunt zien of er gekke dingen gebeuren op je netwerk.
DigitalExorcist @svennd12 juli 2016 13:57
@svennd : nee, niet iedereen die een computer heeft moet ook een cyber-security expert zijn. Maar als je diensten aanbiedt op het internet waar persoonsgegevens opgeslagen worden ben je al wél expert op dat gebied, en moet je op z'n minst weten dat je daar iets voor geregeld moet hebben!

Ik rij ook graag auto maar ik weet ook niet exact hoe álle electronica in die auto werkt. Sterker nog, ik ben ook geen automonteur. Maar ik weet wél waar ik hulp kan krijgen als 'ie stuk gaat.
coen254 @biebelebons12 juli 2016 10:36
Tenzij de website er zelf niet achter komt. Of zich niet in Nederland bevind
MrManuel 12 juli 2016 09:04
Godsamme.. alweer eentje waar ik op zit gehacked.
Gelukkig gebruik ik LastPass met voor elke site een ander random wachtwoord :)

[Reactie gewijzigd door MrManuel op 22 juli 2024 22:54]

StefanJanssen @MrManuel12 juli 2016 10:38
Weer een waar ik niet op zit gehacked... Toch maar is een keertje lastpass bekijken voor het te laat is.
MrManuel @StefanJanssen12 juli 2016 11:17
Krijg helaas regelmatig van haveibeenpwned.com mailtjes.
Dutch_CroniC 12 juli 2016 10:49
Dus een gestolen database is nu ineens een lek?
Met een lek versta ik een insider die inside information naar buiten brengt.

Dit is diefstal.
Kurai Hoshi @Dutch_CroniC12 juli 2016 11:39
Meestal wordt de data gestolen door een lek in de database of de server waar deze op draait.
Dutch_CroniC @Kurai Hoshi12 juli 2016 17:29
Ja dat snap ik Kurai. Ging me meer om dat het niet naar buiten gelekt is, maar gestolen is.
Iets naar buiten lekken kan ook zonder dat er een lek in de software zit.
Kurai Hoshi @Dutch_CroniC13 juli 2016 09:44
Begrijpend lezen is niet mijn sterkste punt, zie nu wat je bedoelt :)
coen254 12 juli 2016 10:05
-zie top comment-

[Reactie gewijzigd door coen254 op 22 juli 2024 22:54]

RangedNeedles @coen25412 juli 2016 11:53
Aaah damn |:(
Ik wou het hier net gaan vragen welk hashingalgoritme er gebruikt werd, maar bij deze heb ik m'n antwoord dus: plain old insecure MD5. En dan nog zonder salt blijkbaar...

Als ik nu nog eens wist wat m'n paswoord precies was op GamersNET, dan zou ik tenminste weten of ik het ergens anders ook gebruikte of niet :+ Nu vrees ik toch een beetje..
deacs @coen25412 juli 2016 10:37
md5 met een salt mag ik wel hopen? anders kun je bijna net zo goed niet hashen...
deacs 12 juli 2016 09:40
Zal het om een SQLi kwetsbaarheid gaan? En het zou wel fijn zijn als ze gebruikers zouden laten weten of hun wachtwoorden überhaupt gehashed zijn opgeslagen.
Gé Brander @deacs12 juli 2016 10:53
Who cares hoe het is opgeslagen als jij als gebruiker overal een ander wachtwoord gebruikt... (natuurlijk mag je verwachten dat het niet in plain text is opgeslagen maar verder maakt het mij niet uit omdat ik vrijwel overal andere wacthwoorde voor gebruik)
deacs @Gé Brander12 juli 2016 11:29
Als iedereen overal unieke wachtwoorden zou gebruiken, dan zou er geen (cryptografisch sterke) hashing nodig zijn volgens jou?

Je vindt wel dat wachtwoorden niet in plaintext opgeslagen moet worden maar md5 vind je oke? Enig idee hoe zwak md5 wel werkelijk is, vooral als er geen salt gebruikt wordt? Het stelt echt niks voor een de plaintext wachtwoorden daaruit te halen.

Bovendien gebruikt het merendeel van mensen wel vaak dezelfde wachtwoorden, webapp ontwikkelaars moeten hun gebruikers beschermen in het geval van een lek zoals deze. Dat jij altijd unieke wachtwoorden gebruikt wil niet zeggen dat we maar kunnen ophouden met het hashen van wachtwoorden.

[Reactie gewijzigd door deacs op 22 juli 2024 22:54]

aimbob @Gé Brander12 juli 2016 11:40
Who cares hoe het is opgeslagen als jij als gebruiker overal een ander wachtwoord gebruikt...
Je weet dondersgoed dat dat het grote meerendeel van de bevolking wachtwoorden herbruikt.
Volgens je eigen beredenering maakt het dus wel uit hoe het wordt opgeslagen.
aimbob @Gé Brander12 juli 2016 15:38
In je originele reactie schenk je aandacht aan één enkel aspect van beveiliging. Het aspect waar enkel de gebruiker invloed op heeft. Het nemen van een uniek wachtwoord. Deze reactie plaats je onder een vraag die duidelijk naar andere aspecten van beveiliging kijkt. In deze reactie stel je dat het antwoord op Deacs zijn vraag irrelevant is. Ook stel je dat vrijwel het enige wat je uit maakt is, dat een gebruiker een uniek wachtwoord neemt.

Deacs probeert je contrast te geven in de hoop dat je ziet dat je stelling te vluchtig en ondoordacht is neergezet. Maar je blijft hameren op gebruikers die unieke wachtwoorden moeten nemen.

Er is kritiek op je narrow view op het onderwerp, niet je gegeven stelling over unieke wachtwoorden.
deacs @Gé Brander12 juli 2016 14:12
Wat is er precies uit context gehaald?

Je kan wel roepen dat iedereen de kant op moet van unieke wachtwoorden, maar dat gaat 1; niet op korte termijn op grote schaal gebeuren maar vooral ook 2; het hashen van die wachtwoorden blijft dan nogsteeds een belangrijk onderdeel van beveiliging - ook al heb je overal unieke wachtwoorden.

Het afvragen welke hashing algoritme is gebruikt maar vooral OF er wachtwoorden überhaupt gehashed worden is dus nogsteeds relevant. Helemaal in context lijkt mij.
huntedjohan @deacs12 juli 2016 14:42
Onder deze gegevens bevinden zich gebruikersnamen, e-mailadressen en (versleutelde) wachtwoorden. Een exact tijdstip valt vooralsnog niet te noemen, maar we kunnen wel bevestigen dat de aanval deze maand heeft plaatsgevonden.
Dat is wat GamersNET op de website zelf vermeld, dus mag aannemen dat ze in ieder geval versleuteld zijn. Op welke manier is voor zover ik weet nog niet bekent gemaakt.
deacs @huntedjohan12 juli 2016 14:53
Je hebt gelijk, het staat er bij dat het om versleutelde wachtwoord gaat. In de comments hier is gebleken dat het waarschijnlijk om ongezoute md5 hashes ging (comment van coen254 die inmiddels gewijzigd is - baas was er niet blij mee dat de info prijsgegeven werd? :P )
huntedjohan @deacs12 juli 2016 14:56
heb de reactie van coen254 niet gelezen dus weet niet wat daar gestaan heeft, wel benieuwd hoe het dan nu zit met de versleuteling.
ymerej 12 juli 2016 09:33
"Daarnaast is de site van plan om aangifte te doen en roept personen die mogelijk over informatie beschikken op om deze te delen." - Misschien niet de beste woordkeuze...
biebelebons 12 juli 2016 10:41
Ja..tenzij

t blijft een feit dat t gebeurt.

De wet is nogal feitelijk ingesteld en kan dus ingezet worden.
Er is bedacht omdat (binnen zijn reikwijdte) op deze manier te doen.

De doelstelling van deze wet is bewustwording van dat t eigenlijk een grote voorstelling van schijnveiligheid is.

[Reactie gewijzigd door biebelebons op 22 juli 2024 22:54]

7unkrat 12 juli 2016 14:23
No offense. Maar het 16 jarige bestaan van de website is wel te zien aan de layout. Een stukje beveiliging zal niet veel anders zijn. Goede reclame, dat wel.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq