Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties
Submitter: Mmore

De Nederlandse gamesite Gamersnet laat in een bericht weten dat een onbekende partij toegang heeft gehad tot zijn database met gebruikersgegevens. Daarin zijn e-mailadressen, gebruikersnamen en versleutelde wachtwoorden opgeslagen.

Lek beveiliging privacyGamersnet wijst erop dat in het weekend bleek dat er toegang tot de database was, maar dat nog niet geheel duidelijk is welke informatie precies is gestolen. Ook maakt de site niet bekend op welke manier de wachtwoorden beveiligd waren. Het lek zou in de maand juli zijn ontstaan.

Nadat bekend was geworden dat gegevens in handen van derden zijn gekomen, is de site offline gehaald en wordt alle gebruikers verzocht hun wachtwoord opnieuw in te stellen. Iedereen die inlogt, krijgt bovendien een melding te zien met deze mededeling. De redactie van Gamersnet roept leden die hetzelfde wachtwoord op andere sites gebruiken op om ook dat te veranderen.

De site stelt dat het lek binnen enkele uren is gedicht, maar dat het onderzoek nog enkele maanden kan duren. Daarnaast is de site van plan om aangifte te doen en worden personen die mogelijk over informatie beschikken opgeroepen om deze te delen.

Moderatie-faq Wijzig weergave

Reacties (46)

Niemand zal ooit beweren dat we bij GamersNET foutloos zijn, want dat zijn we natuurlijk niet. Wel zijn we open en eerlijk en doen we keihard ons best om dit goed op te lossen. Onze community reageert met veel begrip, maar dat nemen we absoluut niet voor lief. Dat we aangifte doen is uiteraard logisch, maar dat iets logisch is, is geen reden om dat niet te melden. We bestaan inmiddels alweer 16 jaar en we laten ons niet uit het veld slaan. Top dat Tweakers melding maakt, zodat ook GN-bezoekers op deze site op de hoogte zijn.
For the record, Peter is de eigenaar van de website, http://www.gamersnet.nl/crew/
En uiteraard melding doen bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van het datalek.

[Reactie gewijzigd door Lounge Deluxe op 12 juli 2016 13:53]

PetorGN, kunnen jullie wellicht vertellen hoe de data was opgeslagen? Als die correct gehashed etc was dan is er wellicht niet heel veel aan de hand. Als dat niet zo was doemen er veel vragen op.
Ten eerste, heel netjes dat jullie er melding van maken. Wel maak ik me zorgen over het feit dat er helemaal niets gezegd wordt over de hashtechniek, behalve dan dat er wachtwoorden zijn die niet plain text zijn. Het artikel op jullie site vermeldt "versleuteld" tussen haakjes: "Onder deze gegevens bevinden zich gebruikersnamen, e-mailadressen en (versleutelde) wachtwoorden". Gezien de site vanaf 2000 live is bekruipt mij het gevoel dat de gebruikte hashtechniek weleens unsalted md5 zou kunnen zijn, welke natuurlijk inmiddels achterhaald is, en nauwelijks extra bescherming biedt t.o.v. plain text wachtwoorden. Kunnen jullie hier wellicht iets meer informatie over geven?
is de site offline gehaald en worden alle gebruikers verzocht hun wachtwoord opnieuw in te stellen
Hoe kan je een wachtwoord wijzigen als de site offline is? :?
'tijdelijk' oflline. Ze zijn allang weer online, nadat ze ingestel hadden dat en iedereen opnieuw zijn wachtwoord in moet stellen.
Wat overigens halfslachtig gedaan is, aangezien ik op 'altijd ingelogd' sta op die site, en ik dus gewoon ingelogd op die site stond. Extra slordig.
Hoe kan je een wachtwoord wijzigen als de site offline is? :?
De mensen die overal hetzelfde wachtwoord gebruiken kunnen alvast beginnen met het ww van hun andere accounts te veranderen.
Ik vraag me toch steeds meer af hoevaak dit onopgemerkt gebeurt ... database stelen en ermee weg.
Precies die vraag heeft geleid tot de wettelijke meldplicht.
Ik vraag het me ook af als webmaster/website beheerder. Intrusion detection is niet zo mijn ding, maar ik ben daar vast niet alleen in.
Dat zou t dus wel moeten zijn.
Rede voor salaris verhoging?
Tenzij je eigen baas bent. Dan wordt je bestraft maar ook dan neemt t niet weg dat t wel je ding zou moeten zijn gezien de markt die je bediend.
Ja want iedereen die een computer heeft moet ook een cyber-security expert zijn ... meldplicht is niet de oplossing, in tegendeel, als je het niet weet heb je minder kans op imago schade ... Alsof veiligheid al zo goed te verkopen was aan management.
Wij (bedrijf) hebben hier helaas ook mee te maken. Hoewel onze beveiliging op orde is hebben wij momenteel geen inzicht wanneer iemand toch heeft weten in te breken. Bijna alles nou eenmaal te hacken.

Wij kijken nu Opensource oplossingen, zoals PfSense i.c.m. met Suricata. Suricata is een IDS/IPS oplossing waarmee je kunt zien of er gekke dingen gebeuren op je netwerk.
@svennd : nee, niet iedereen die een computer heeft moet ook een cyber-security expert zijn. Maar als je diensten aanbiedt op het internet waar persoonsgegevens opgeslagen worden ben je al wél expert op dat gebied, en moet je op z'n minst weten dat je daar iets voor geregeld moet hebben!

Ik rij ook graag auto maar ik weet ook niet exact hoe álle electronica in die auto werkt. Sterker nog, ik ben ook geen automonteur. Maar ik weet wél waar ik hulp kan krijgen als 'ie stuk gaat.
Tenzij de website er zelf niet achter komt. Of zich niet in Nederland bevind
Godsamme.. alweer eentje waar ik op zit gehacked.
Gelukkig gebruik ik LastPass met voor elke site een ander random wachtwoord :)

[Reactie gewijzigd door MrManuel op 12 juli 2016 09:05]

Weer een waar ik niet op zit gehacked... Toch maar is een keertje lastpass bekijken voor het te laat is.
Krijg helaas regelmatig van haveibeenpwned.com mailtjes.
Dus een gestolen database is nu ineens een lek?
Met een lek versta ik een insider die inside information naar buiten brengt.

Dit is diefstal.
Meestal wordt de data gestolen door een lek in de database of de server waar deze op draait.
Ja dat snap ik Kurai. Ging me meer om dat het niet naar buiten gelekt is, maar gestolen is.
Iets naar buiten lekken kan ook zonder dat er een lek in de software zit.
Begrijpend lezen is niet mijn sterkste punt, zie nu wat je bedoelt :)
-zie top comment-

[Reactie gewijzigd door coen254 op 12 juli 2016 12:39]

Aaah damn |:(
Ik wou het hier net gaan vragen welk hashingalgoritme er gebruikt werd, maar bij deze heb ik m'n antwoord dus: plain old insecure MD5. En dan nog zonder salt blijkbaar...

Als ik nu nog eens wist wat m'n paswoord precies was op GamersNET, dan zou ik tenminste weten of ik het ergens anders ook gebruikte of niet :+ Nu vrees ik toch een beetje..
md5 met een salt mag ik wel hopen? anders kun je bijna net zo goed niet hashen...
Zal het om een SQLi kwetsbaarheid gaan? En het zou wel fijn zijn als ze gebruikers zouden laten weten of hun wachtwoorden überhaupt gehashed zijn opgeslagen.
Who cares hoe het is opgeslagen als jij als gebruiker overal een ander wachtwoord gebruikt... (natuurlijk mag je verwachten dat het niet in plain text is opgeslagen maar verder maakt het mij niet uit omdat ik vrijwel overal andere wacthwoorde voor gebruik)
Als iedereen overal unieke wachtwoorden zou gebruiken, dan zou er geen (cryptografisch sterke) hashing nodig zijn volgens jou?

Je vindt wel dat wachtwoorden niet in plaintext opgeslagen moet worden maar md5 vind je oke? Enig idee hoe zwak md5 wel werkelijk is, vooral als er geen salt gebruikt wordt? Het stelt echt niks voor een de plaintext wachtwoorden daaruit te halen.

Bovendien gebruikt het merendeel van mensen wel vaak dezelfde wachtwoorden, webapp ontwikkelaars moeten hun gebruikers beschermen in het geval van een lek zoals deze. Dat jij altijd unieke wachtwoorden gebruikt wil niet zeggen dat we maar kunnen ophouden met het hashen van wachtwoorden.

[Reactie gewijzigd door deacs op 12 juli 2016 11:56]

Who cares hoe het is opgeslagen als jij als gebruiker overal een ander wachtwoord gebruikt...
Je weet dondersgoed dat dat het grote meerendeel van de bevolking wachtwoorden herbruikt.
Volgens je eigen beredenering maakt het dus wel uit hoe het wordt opgeslagen.
In je originele reactie schenk je aandacht aan één enkel aspect van beveiliging. Het aspect waar enkel de gebruiker invloed op heeft. Het nemen van een uniek wachtwoord. Deze reactie plaats je onder een vraag die duidelijk naar andere aspecten van beveiliging kijkt. In deze reactie stel je dat het antwoord op Deacs zijn vraag irrelevant is. Ook stel je dat vrijwel het enige wat je uit maakt is, dat een gebruiker een uniek wachtwoord neemt.

Deacs probeert je contrast te geven in de hoop dat je ziet dat je stelling te vluchtig en ondoordacht is neergezet. Maar je blijft hameren op gebruikers die unieke wachtwoorden moeten nemen.

Er is kritiek op je narrow view op het onderwerp, niet je gegeven stelling over unieke wachtwoorden.
Wat is er precies uit context gehaald?

Je kan wel roepen dat iedereen de kant op moet van unieke wachtwoorden, maar dat gaat 1; niet op korte termijn op grote schaal gebeuren maar vooral ook 2; het hashen van die wachtwoorden blijft dan nogsteeds een belangrijk onderdeel van beveiliging - ook al heb je overal unieke wachtwoorden.

Het afvragen welke hashing algoritme is gebruikt maar vooral OF er wachtwoorden überhaupt gehashed worden is dus nogsteeds relevant. Helemaal in context lijkt mij.
Onder deze gegevens bevinden zich gebruikersnamen, e-mailadressen en (versleutelde) wachtwoorden. Een exact tijdstip valt vooralsnog niet te noemen, maar we kunnen wel bevestigen dat de aanval deze maand heeft plaatsgevonden.
Dat is wat GamersNET op de website zelf vermeld, dus mag aannemen dat ze in ieder geval versleuteld zijn. Op welke manier is voor zover ik weet nog niet bekent gemaakt.
Je hebt gelijk, het staat er bij dat het om versleutelde wachtwoord gaat. In de comments hier is gebleken dat het waarschijnlijk om ongezoute md5 hashes ging (comment van coen254 die inmiddels gewijzigd is - baas was er niet blij mee dat de info prijsgegeven werd? :P )
heb de reactie van coen254 niet gelezen dus weet niet wat daar gestaan heeft, wel benieuwd hoe het dan nu zit met de versleuteling.
"Daarnaast is de site van plan om aangifte te doen en roept personen die mogelijk over informatie beschikken op om deze te delen." - Misschien niet de beste woordkeuze...
Ja..tenzij

t blijft een feit dat t gebeurt.

De wet is nogal feitelijk ingesteld en kan dus ingezet worden.
Er is bedacht omdat (binnen zijn reikwijdte) op deze manier te doen.

De doelstelling van deze wet is bewustwording van dat t eigenlijk een grote voorstelling van schijnveiligheid is.

[Reactie gewijzigd door biebelebons op 12 juli 2016 10:57]

No offense. Maar het 16 jarige bestaan van de website is wel te zien aan de layout. Een stukje beveiliging zal niet veel anders zijn. Goede reclame, dat wel.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True