Inloggegevens van 1,9 miljoen Dota 2-forumleden lekken uit

De site Leakedsource claimt in het bezit te zijn van een database met de inloggegevens van 1,9 miljoen leden van het Dota 2 Dev-forum. De gegevens bevatten onder andere e-mailadressen, ip-adressen en wachtwoorden.

Dota 2De site zegt verder dat de wachtwoorden waren gehasht met md5 en waren voorzien van een salt. Omdat md5 een sterk verouderd algoritme is, was Leakedsource in staat om tot nu toe meer dan tachtig procent van de wachtwoorden te ontsleutelen. Het is te verwachten dat ook de resterende wachtwoorden te kraken zijn. De gegevens zouden zijn buitgemaakt tijdens een hack die plaatsvond op 10 juli. ZDNet bericht dat de hacker gebruik heeft gemaakt van een sql-lek in verouderde vBulletin-software, waar het forum van de populaire game van Valve op draait.

Dat zou niet uitzonderlijk zijn, aangezien veel forums van deze software gebruikmaken en bekend is dat verouderde vBulletin-versies kwetsbaarheden bevatten. Zo zijn bijvoorbeeld ook de forums van Ubuntu en van de game Clash of Kings op deze manier gehackt. Naast ip-adressen en wachtwoorden zijn er ook gebruikersnamen en -identifiers buitgemaakt op het Dota 2 Dev-forum.

Het is dan ook aan te raden om het gebruikte wachtwoord te veranderen en dit ook te doen op andere sites waar met dezelfde gegevens wordt ingelogd.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-08-2016 10:28 29

10-08-2016 • 10:28

29

Lees meer

Dota 2

geen prijs bekend

5 van 5 sterren
Datalekkenjaar 2016

24 nov 2016

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

220
Ontwikkelaar browsergame Town of Salem is getroffen door datalek
Ontwikkelaar browsergame Town of Salem is getroffen door datalek Nieuws van 2 januari 2019
Team Liquid wint meer dan 9 miljoen euro bij Dota 2-toernooi The International
Team Liquid wint meer dan 9 miljoen euro bij Dota 2-toernooi The International Nieuws van 14 augustus 2017
Valve kondigt aan dat Dota-kaartspel Artifact in 2018 uitkomt
Valve kondigt aan dat Dota-kaartspel Artifact in 2018 uitkomt Nieuws van 9 augustus 2017
Dota 2 vereist telefoonnummer om mee te doen aan ranked matchmaking
Dota 2 vereist telefoonnummer om mee te doen aan ranked matchmaking Nieuws van 21 april 2017
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline Nieuws van 27 januari 2017
Google: niet te phishen accounts zonder wachtwoorden zijn de toekomst
Google: niet te phishen accounts zonder wachtwoorden zijn de toekomst Nieuws van 24 november 2016
Nederlandse aanbieder van spelcodes waarschuwt gebruikers voor datalek
Nederlandse aanbieder van spelcodes waarschuwt gebruikers voor datalek Nieuws van 14 september 2016
Datalek van 20GB bij gemeente Almelo bevat waarschijnlijk persoonsgegevens
Datalek van 20GB bij gemeente Almelo bevat waarschijnlijk persoonsgegevens Nieuws van 9 september 2016
Gegevens 98 miljoen accounts van Russische portal staan online na hack
Gegevens 98 miljoen accounts van Russische portal staan online na hack Nieuws van 6 september 2016
Gegevens van bijna 800.000 accounts pornosite Brazzers verschijnen online
Gegevens van bijna 800.000 accounts pornosite Brazzers verschijnen online Nieuws van 5 september 2016
Hackers maken gegevens buit op gameforums van Funcom
Hackers maken gegevens buit op gameforums van Funcom Nieuws van 25 augustus 2016
Epic Games waarschuwt dat e-mailadressen zijn buitgemaakt bij forumhack
Epic Games waarschuwt dat e-mailadressen zijn buitgemaakt bij forumhack Nieuws van 23 augustus 2016
Datalek bij Britse payroll-dienstverlener Sage trof tot driehonderd bedrijven
Datalek bij Britse payroll-dienstverlener Sage trof tot driehonderd bedrijven Nieuws van 15 augustus 2016
Hacker steelt gegevens van 1,6 miljoen accounts Clash of Kings-forum
Hacker steelt gegevens van 1,6 miljoen accounts Clash of Kings-forum Nieuws van 22 juli 2016
Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase
Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase Nieuws van 15 juli 2016
Oude forumserver Trillian is gehackt
Oude forumserver Trillian is gehackt Nieuws van 6 juli 2016
Forumsoftwaremaker vBulletin is gehackt
Forumsoftwaremaker vBulletin is gehackt Nieuws van 2 november 2015
Hackers stelen inlogdata op servers van vBulletin Software
Hackers stelen inlogdata op servers van vBulletin Software Nieuws van 17 november 2013
Meer producten en artikelen
Netwerk en systeembeheer Games Datalek

Reacties (29)

-Moderatie-faq
29
27
21
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
Kevjoe 10 augustus 2016 11:54
Ze draaien op vBulletin 4.2.3, wat ongeveer 2 jaar oud is.

Dus commerciële software van nog geen 2 jaar geleden gebruikt nog steeds gewoon een MD5 hash (ook al is het met een salt)?

Sorry, maar ik vind dit echt diepbedroevend...
Zidane007nl @Kevjoe10 augustus 2016 12:27
Volgens deze post sinds 17 juni 2015. :)
Ik ben al lang geleden afgestapt. Na vBulletin 3 ging het downhill en blijkbaar hebben ze hun security ook niet op orde ...
Kevjoe @Zidane007nl10 augustus 2016 12:57
Dat maakt het gewoon nog triestiger...

Maar ja, IPB 3 was geen haar beter qua password storage en IPB4 was gewoon een drama.
Viper1995 10 augustus 2016 10:37
Vraag me af welke versie van vBulletin ze dan draaien, moet zeggen dat ik helaas op de forums waar ik of moderator of gewoon user ben geweest het vaker heb gezien, ben hierdoor zelf ook niet echt fan van vBulletin meer, zijn er meer mensen hier met de zelfde ervaring?
Zidane007nl @Viper199510 augustus 2016 12:31
vBulletin 4.2.3 volgens de paginabron.:)
ik heb jaren vBulletin 3.x gebruikt, maar ben er jaren geleden van af gestapt. vBulletin 4 is meuk ...
SuperDre @Viper199510 augustus 2016 16:25
Probleem ligt niet bij vBulletin (wat echt 1 van de beste forum platformen is), maar bij de beheerders van de website waar het forum draait. En als beheerder wil je ook niet van dit soort software dat bv zichzelf automatisch update, want jij wilt degene zijn die bepaalt wanneer geupdate wordt (vaak genoeg dat er dus fouten in nieuwere updates zitten, en die wil je dus eerst even afwachten).
Viper1995 @SuperDre11 augustus 2016 13:36
Wat je zicht vind ik persoonlijk, en daar mag u het niet mee eens zijn, maar ik vind dat het probleem gedeetelijk wat u zegt bij de beheerders ligt, die moeten alles uiteraard up to date houden, maar ik vind ook dat een gedeelte van het probleem bij vBulletin zelf ligt, maar dat komt eigenlijk ook omdat vBulletin zelf de laatste tijd gewoon meuk is nadat een groot deel van het orginele team weg gegaan is, daarvoor was vBulletin gewoon een goed product.
Superkanjo 10 augustus 2016 10:34
Zoals het bericht al aangeeft gebeurd dit regelmatig bij fora die nog een oude vBulletin versie draaien. Ook voor vBulletin natuurlijk geen goede reclame. Ik snap dat een "klein" forum niet altijd de laatste versie zal draaien maar van de grotere fora mag je toch wel verwachten dat ze de vBulletin up to date houden. Vraag mij af wat vBulletin hier zelf aan zou kunnen doen? Denk hierbij aan een warning message wanneer een gebruiker een vBulletin forum bezoekt waar nog een versie draait met bekende kwetsbaarheden?
Abbu-kun @Superkanjo10 augustus 2016 11:17
Dat is wel een goede, natuurlijk kan zo'n phone-home of version-check ook een kwetsbaarheid zijn wanneer slecht geimplementeerd. Een groter probleem is als men verder wel een web applicatie firewall er omheen zet die dit (perongeluk) weer blokkeert.

Het idee van het nag scherm is wel slim, maar dit werkt natuurlijk alleen goed als een update installeren bijna net zo makkelijk is als je theme aanpassen om de melding te verstoppen. (Weg van de minste weerstand enz)

Maargoed ik denk ook dat hun licencing structuur voor bedrijven en import-export tools niet echt helpen. Op dit moment moet je als je inhoud mee wil nemen naar VB5 eerst importeren naar een VB4 installatie en die dan updaten. Kennelijk als je update verlies je je support tickets (wut?), die moet je dan met extra contract er weer bij kopen. Ook is er kennelijk een kans dat als je het CMS gedeelte gebruikt dit niet geheel over te zetten valt.

Als ze gewoon security patches uitbrengen is dat niet zo'n issue maar als ze niet een sysadmin hebben die zich in de spaghetti kan verdiepen denk ik dat iemand die hier 'zo nu en dan even naar moet kijken' denkt 'ik blijf hier maar van af'.
Firefly III @Superkanjo10 augustus 2016 10:56
vBulletin heeft hopelijk ook een fatsoenlijke upgrade procedure.

Je ziet nog weleens software die totaal niet automatisch veilig te updaten is (ja of je moet alles writeable hebben voor de webserver, *kuch*wordpress*kuch*). Dan is elke update weer een hele expeditie aan uploaden en verifieren.

Daar zijn mensen gauw klaar mee.
Firefly III @Verwijderd10 augustus 2016 12:19
Volgens mij ligt dat niet aan de PHP versie inderdaad.
ro8in @Verwijderd10 augustus 2016 11:45
Lol dat heeft echt niks met php versies te maken. Dat is puur hoe jij je pakket en server hebt ingericht. Draai je php bijvoorbeeld in cgi als user of als de apache user. Heb je in je pakket een update functie ingebouwd of is het gewoon rauw nieuwe bestanden ftpen etc.

Php 5.4 release notes:
- Easy to update your site without write rights hahaha

Sorry hoor mogen jullie mij een -1 geven op mijn cynische reactie. Ik vind reacties waar iemand gewoon maar wat uit zijn duim zuigt en dit als feit presenteert veel ongewenster.

[Reactie gewijzigd door ro8in op 30 juli 2024 07:29]

h4ze 10 augustus 2016 12:08
"ZDNet bericht dat de hacker gebruik heeft gemaakt van een sql-lek in verouderde vBulletin-software, waar het forum op draait."

Bestaat dit probleem al niet zon 10+ jaar?
Boost9898 10 augustus 2016 10:38
En hier word ik nou gek van. Gebruikers moeten continu het wachtwoord veranderen omdat bedrijven/sites hun (beveiliging) zaakjes niet op orde hebben. Gelukkig heb ik geen Dota account. Ondertussen heb ik ook voor iedere site een wachtwoord omdat dit te vaak gebeurd. Eén keer heb ik een hele rij met passwords moeten vervangen om deze reden.
MenN @Boost989810 augustus 2016 11:19
Daarom is het slim om voor jezelf een soort algoritmisch wachtwoord te verzinnen. Dan neem je een sterk basis wachtwoord en daar voeg je een aantal elementen aan toe die je kunt afleiden van de service die je gebruikt. Zo is een lek bij 1 service niet gelijk desastreus voor al je andere login gegevens.

Natuurlijk beschermd dat niet als iemand iemand serieus achter jou gegevens aan gaat. Maar een simpele copy paste van een decrypted hash is zo al niet mogelijk. En heb je het gros van de aanvallen al afgeslagen.

[Reactie gewijzigd door MenN op 30 juli 2024 07:29]

RobinMM @MenN10 augustus 2016 11:33
Of gebruik een password manager. Er staan bij mij nu 176 accounts in. Dit is wel icm met accounts die ik voor werk gebruik. Maar het verbaasd me hoeveel logins je gebruikt. Ieder account heeft een random password. Zelf hoef je maar 1 hoofdwachtwoord te onthouden. Als ik een forum account had gehad voor Dota was er dus niet zoveel aan de hand, even nieuw wachtwoord genereren en klaar. Alle andere accounts zijn veilig.
MenN @RobinMM10 augustus 2016 11:47
Dat kan inderdaad, een password manager gebruikt wachtwoorden die in alle redelijkheid gewoon niet te kraken zijn. Maar, daarmee concilieer je je complete online identiteit in 1 programma, en ben je compleet afhankelijk van dat ene bedrijf voor je veiligheid. En alles hangt af van de complexiteit van je master wachtwoord. Gebruik je password1234 dan ben je alsnog kansloos, want dan slurpen dieven gewoon je gehele password manager leeg.

En dan heb je nog het geval van afhankelijkheid. Op dit moment is je password manager wellicht een goed programma en is het bedrijf erachter helemaal ok. Maar 2 acquisities later, en wie weet wat voor motieven nu de knoppen bedienen.

Voorbeeldje is 1password, die komen nu ineens met een abonnements vorm, mag je lekker voor de rest van je leven blijven dokken. Tuurlijk, de oude versies blijven nu nog wel te gebruiken, maar de ontwikkeling zal vast en zeker nu gericht zijn op hun abbo product.

[Reactie gewijzigd door MenN op 30 juli 2024 07:29]

F.Scheltens @MenN10 augustus 2016 11:55
Datr schakel je toch gewoon over op een programma als Keepass?
Gratis, in het Nederlands met een plugin, en werkt even goed.
Arietje @F.Scheltens10 augustus 2016 17:55
Gebruik nu ook sinds kort Keepass. Het aantal wachtwoorden groeit vrij snel. Je ziet dan pas hoeveel je wel niet registreert. En dan kun je netjes overal een compleet ander wachtwoord gebruiken en hoef je bij een hack 0,0 zorgen te maken over andere sites.
RobinMM @MenN10 augustus 2016 12:09
Klopt, klopt, zo heeft iedere keuze zijn voor EN nadelen :)

Zelf maak ik gebruik van Dashlane, welke met 40 dollar per jaar vrij aan de prijs is voor het premium pakket. Maar het brengt wel veel gemak met zich mee, ik vind dat dat best wat mag kosten. Deze programma's moeten toch onderhouden worden.

En wat is er mis met een bedrijf dat geld probeert te verdienen. Daarnaast zoals hierboven aangegeven wordt is er bv altijd nog Keepass.
musiman @RobinMM10 augustus 2016 12:26
Ik gebruik de gratis versie van Dashlane en die voldoet ook prima. :)
MD5 is nu al zo lang niet veilig meer... al sinds de eerste verkiezingsstrijd tussen Obama en McCain (dit dus), en nog zie je dat het overal weer opduikt. Pff
Ozzy @MenN10 augustus 2016 12:05
Online heel veel wachtworden uit een database trekken is wel wat anders dan een password database van een individu jatten. Dat laatste heb je in zekere zin zelf in de hand. Wachtwoorden achterlaten bij online services betekent dat je overgeleverd bent aan de grillen van dat bedrijf.

Over het algemeen gaan dit soort hacks over kwantiteit en zijn ze echt niet geinteresseerd in een passworddatabase van één persoon, daar is het gemiddelde individu gewoon niet belangrijk genoeg voor en is dus niet de moeite waard.

Wat betreft de 10 euro, als je ziet hoe vaak dit soort berichten bv op tweakers staan, dan is een abonnement van een wachtwoord manager het misschien wel waard? Beveiliging is een delicate balans tussen veiligheidheid en gemak. En een bedrijf wat dat goed voor consumenten kan regelen, mag daar wat mij betreft best geld voor vragen (en zelfs krijgen).

De afweging of je met bedrijven in zee gaat (of blijft gaan) heb je altijd, niet alleen bij passwordmanagers. Als een bedrijf, bv ethisch, over de schreef gaat of zijn zaakjes niet op orde heeft, dan stap je over naar een concurrent.
SuperDre @RobinMM10 augustus 2016 16:26
Yep, en inmiddels is het ook regelmatig raak dat die password managers zelf zo lek als een mandje zijn...
Alex3 @MenN10 augustus 2016 16:58
Dat is een slecht systeem: als iemand hier blablatweakers als wachtwoord gebruikt, kun je de andere wachtwoorden wel raden.
MenN @Alex310 augustus 2016 18:36
Lol dat is natuurlijk ook een slecht wachtwoord hoe je het ook bekijkt.
Een goede methode die aangeraden wordt is om 4 redelijk weinig gebruikte woorden te nemen als je wachtwoord. Zo heb je al een wachtwoord dat niet te brute forcen is, want het is gewoonweg te lang.

Spice het vervolgens een beetje op door verschillende talen te nemen. Als Nederlander kun je bijv heel gemakkelijk een Nederlands woord, Een Nederlands dialect woord, een Duits woord en een Engels woord gebruiken. Zo moet een hacker al en de juiste taal, woorden, en volgorde kiezen. Dat is praktisch al ondoenlijk.

Als laatste wissel je ergens in je wachtwoord een letter met een cijfer/cymbool. Dan ben je praktisch beschermd voor de meeste crack aanvallen.

Het voordeel van 4 gewone woorden gebruiken is dat je na een paar keer oefenen het gewoon erg snel kunt typen, en het dus niet een onhandig wachtwoord geworden is.

Als laatste moet je nu dus nog aanpassen per service. Natuurlijk neem je niet letterlijk de naam van de service, dat zou inderdaad makkelijk te raden zijn. Maar je moet een afgeleide nemen. Bijv groen is de dominante kleur binnen het tweakers logo, dan neem je bijv de eerste letter van de kleur die zet je voor je wachtwoord, en bijv de laatste letter van de naam van de dienst plak je achter je wachtwoord.

Voorbeeldje:
G
Boom
Vogel
Apfel
Gras,
S
Gboomvogelapfelgras,S

Knappe jongen die het gaat raden.
Maar dat is ook niet de focus. Als iemand echt achter je aan zit is en een beetje kennis van zaken heeft ben je sowieso wel kansloos. Ook met password manager.
Het gaat erom dat je niet kwetsbaar bent als er miljoenen wachtwoorden uitlekken zoals bij de Linkedin en Adobe hacks.

[Reactie gewijzigd door MenN op 30 juli 2024 07:29]

Badkamer 10 augustus 2016 10:32
Dit wordt bijna dagelijkse koek
donderz 11 augustus 2016 13:22
Als ze zo snel zoveel wachtwoorden kunnen achterhalen vraag ik me af of het personal salts waren en/of deze wel lang genoeg zijn.
Ik weet dat er rainbow tables te vinden zijn, maar toch niet voor alle salts? Als het één enkele salt was welke gebruikt is voor alle wachtwoorden hebben ze zelf een rainbow table kunnen opstellen, maar als alles correct personal salted was lijkt me dit toch niet mogelijk?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq