Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Epic Games heeft een waarschuwing gepubliceerd waarin het laat weten dat de forums van Unreal Engine en Unreal Tournament zijn gekraakt. Er zouden echter alleen e-mailadressen zijn buitgemaakt, omdat wachtwoorden op een andere locatie zijn opgeslagen.

Epic GamesEpic Games schrijft dat naast e-mailadressen ook andere ingevoerde gegevens zijn buitgemaakt, maar geeft geen verdere details. Het stelt verder dat geen wachtwoorden 'in geen enkele vorm zijn uitgelekt, ook geen salt of hash, en geen klare tekst'. Daarom zouden de forums online blijven en zouden gebruikers hun wachtwoord niet opnieuw moeten instellen.

ZDNet meldde eerder op basis van informatie van de site Leakedsource dat het gaat om meer dan 800.000 accounts, die zijn buitgemaakt door een sql-lek in verouderde vBulletin-software. Inmiddels is het betreffende bericht echter van de site van Leakedsource verdwenen. Epic Games geeft zelf geen informatie over aantallen. Volgens Leakedsource ging het naast e-mailadressen om wachtwoorden, ip-adressen, geboortedata, en access tokens voor Facebook. De wachtwoorden zouden echter niet eenvoudig te kraken zijn. Het lijkt er daarom op dat Leakedsource de informatie heeft verwijderd na het bericht van Epic Games.

De studio achter Unreal Tournament laat in de betreffende waarschuwing ook weten dat gebruikers die de forums van onder andere Blade, UDK, voormalige UT-games en Gears of War sinds juli 2015 hebben gebruikt, hun wachtwoord dienen te veranderen. De forums zouden ook zijn gekraakt, waarbij wel gehashte wachtwoorden met salt zijn uitgelekt. Door de bewoording van het bericht is onduidelijk of Epic Games daarmee doelt op een eerdere hack, die bekend werd op 15 juli 2015, of dat de forums opnieuw zijn gekraakt.

Games als Paragon, Fortnite, Shadow Complex en SpyJinx zijn volgens de studio niet getroffen. Onlangs lekten ook gegevens van andere forums op basis van de vBulletin-software uit, waaronder Dota 2, Clash of Kings en Ubuntu.

Moderatie-faq Wijzig weergave

Reacties (31)

Alhoewel het goed is dat er geen wachtwoorden zijn buitgemaakt, vind ik het wonderlijk dat er niet gecommuniceerd wordt welke van mijn persoonlijke gegevens er uitgelekt zijn. Op deze manier kan ik namelijk geen eventuele maatregelen nemen, mocht dit nodig zijn.

Ik vind het ook nog steeds absurd dat hier geen afspraken over zijn, in de welvarende landen. Al helemaal omdat deze domeinen worden gehost in de VS.
In Nederland hebben we sinds 2016 de meldplicht datalekken. Dus in dit welvarend land zijn er wel afspraken.
Juist ja, meldplicht, maar of het ook daadwerkelijk gebeurd is een 2e, en of er ook nog wat mee gedaan wordt is nog een 3e..
De sancties voor het verzaken van een melding zijn niet te misselijk tegenwoordig, dus op zich is daar wel motivatie voor in Nederland gevestigde organisaties. (820.000 euro of 10% netto jaaromzet - wat passender is). Er gebeurt zover ik weet verder niks mee aan inperking van de schade. Het enige is dat bij bepaalde gelekte gegevens de klanten / gebruikers geïnformeerd moeten worden.
Nou, ik weet toevallig dat op de site van een grote pensioen administrateur (APG) een tijd geleden de gebruiker informatie kon inzien van andere bedrijven (waar deze niet voor gemachtigd was) waaronder dus ook werknemergegevens etc. Ik weet wel dat ze zeiden dat zij het zouden melden, maar ik heb er verder niets meer over gehoord, en ik kan me niet herinneren dat dit aan de betreffende bedrijven gemeldt is (zou kunnen van wel, maar ik kan het me niet herinneren). Ik weet dus dat grote salarisverwerkers hier bij APG dus over aangesproken hebben..
Nee ze worden idd niet automatisch een straf opgeleged of 'vanzelf' vervolgd door het openbaar ministerie ofzo. Het geeft je nu mensen in iedergeval een signaal om te kijken of ze verdere schade kunnen voorkomen EN geeft de mogelijkheid vervolgstappen te ondernemen tegen dit bedrijf. Dit kan in de vorm van een rechtzaak maar andere bedrijven kunnen ook nu gewoon er voor kiezen hun contracten niet te verlengen of te beeindigen omdat ze er niet mee geaccosieerd mee willen worden. Als het dus fucked-up genoeg is gebeurt er uitendelijk wel wat mee maar dat ligt dan dus in de handen van de mensen en instanties die aangetast zijn door het lek. Helaas valt er nog wat te wezelen.

Een ander probleem is inderdaad natuurlijk dat bedrijven zich niet aand de meldplicht houden. Natuurlijk zwaait er dan wat als dit wel boven water komt. Dus als de sancties goed worden afgestemd op de pakkans dan zal dit het effect moeten hebben dat ze het uiteindelijk gewoon altijd melden. Toch ben je dan niet altijd op de hoogte.

Meldplicht datalekken

Even huilen:
Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
Melden datalek niet nodig

U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.
Echter moeten ze nog steeds melden aan de Authoriteit Persoonsgegevens en in hun melding dus aangeven dat ze dit niet melden aan betrokkennen met een technische onderbouwing waarom niet. (Bijvoorbeeld server logs waarbij duidelijk is dat alleen een whitehat hacker die het probleem eerst melde misbruik maakte van het lek en geen anderen. Waarbij ik me afvraag hebben ze bij AP de fucking technische kennis om te overwegen dat een misbruikende partij niet kan knoeien met die logs...)

In mijn ogen stinkt dit gedeelte gewoon heel erg (wacht... ogen, neus?). Ik snap dat niet alle gebruikers heel technisch zijn enzo maar ik zou zelf liever hebben dat ze verplicht zijn de hack wel te melden en hun ingeschatte omvang van het lek in zowel 'mensen taal' als met technische onderbouwing zodat andere beveilignsexperts kunnen aanwijzen wanneer het bedrijf zich zou vergissen en mensen dus wel een risico lopen. Bijvoorbeeld bij een lek waar sterke hashing of encryptie is toegepast zou ik graag willen weten dat het plaats vond met een bericht van 'wij denken dat onze gebruikers geen risico lopen omdat de gegevens beschermd waren tijdens het lek met en ze deze beveiliging in <insert miljoemiljardwesley> jaar pas kunnen terugdraaien.' zodat oma verder ook weer rustig door kan internetten.
Klopt helemaal, en daar ben ik heel blij mee. Helaas is het zo dat veel van de grote websites niet in Nederland gehost worden. Dus in principe hebben we niet veel aan de meldplicht in dit specifieke geval.

Misschien iets verkeerd geformuleerd. Ik bedoel in "alle" welvarende landen.

Edit: Dubbel woord verwijderd.

[Reactie gewijzigd door lagonas op 23 augustus 2016 10:06]

mja, denk niet dat je nog veel maatregelen zou kunnen nemen eh? Telefoonnummer veranderen, dat zou eventueel nog gaan, maar ik zie je niet verhuizen van adres voor dit veronderstel ik, noch ouder en jonger worden of veranderen van geslacht :p.

Maar ik snap je punt wel, we moeten er maar vanuit gaan dat ze het ons vertellen, want ik ben nogal benieuwd naar welke hacks/injecties niet naar boven komen.

[Reactie gewijzigd door white modder op 23 augustus 2016 08:08]

De oude versies van vBulletin gebruiken salted MD5, zet er een GPU-clustertje in de cloud aan en er komen wachtwoorden uit die je kan proberen. Zie Rafe in 'nieuws: Data werknemers Intel, Apple, Google buitgemaakt bij hack op Khronos Group waar ook een oude vBulletin de hoofdrol speelde.

[Reactie gewijzigd door Rafe op 23 augustus 2016 09:36]

Nog erger is wanneer je rekening houd met de patronen waarmee mensen hun wachtwoorden kiezen je makkelijk 90% of 95% van de wachtwoorden kan kraken op 'een thuiscomputer' met GPU danwel. Het gebruik van password managers met ingebouwde generators zwakt dit wat af maar vooral oudere forum omgevingen zullen nog veel 'luie' of 'makkelijke' wachtwoorden kennen. Als je echt enthausiast bent over die 100% kan je natuurlijk alles gewoon laten bruteforcen in de cloud zonder bankroet te gaan omdat MD5 computationeel zo cheap is en wat foutjes heeft dus dat is idd iets wat sites zich niet langer kunnen permiteren.
patronen zijn niet kraakbaar op die manier. Collisions zijn het probleem. Bij MD5 zijn collisions "snel" te vinden. Ik gebruik tot zeker hoogte patronen in mijn passwords. Hashcat vindt verschrikkelijk snel collisions op MD5 en ook SHA1 (unsalted) en ook met salts (wat per account de boel behoorlijk traag maakt) kom ik zelden uit op het gebruikte wachtwoord, maar wel een collision. Dus... een goed veilig wachtwoord werkt op site 1 wel, maar als die compromised is werkt het op site 2 nog steeds niet (mits die andere salts gebruiken).
Een goed wachtwoord is _lang_. Maak er een zin van.
Dit is al de tweede keer dat ik een nieuwsbericht lees op Tweakers waarbij dit voorkomt, en waar ik geen enkel bericht heb gekregen van het desbetreffende forum. Gewoon erg triest en ik ben het er helemaal mee eens dat er internationaal afspraken over gemaakt moet en worden.

bij Shapeways kreeg ik heel netjes een melding bij het inloggen en een mail dat er inbreuk was gemaakt op mailadressen en het forum en dat je het beste het wachtwoord kon wijzigen.

Daarnaast moeten deze mensen internationaal veel harder aangepakt worden. Je kunt denken ach het is maar een forum etc. maar veel mensen gebruiken dezelfde wachtwoorden en eenmaal in zicht is het niet moeilijk voor hackers om er een zooi van te maken.
Waar kun je eigenlijk melden als je het vermoeden hebt dat je gegevens zijn gestolen?
Het zit namelijk zo. Een jaar of wat geleden een account aangemaakt bij de outfittery. Ik gebruik altijd unieke email adressen per registratie.. bijvoorbeeld tweakers@mijndomein.nl.
Gisteravond kreeg ik een mail naar het outfit@mijndomein.nl email adres met een link naar een rusische viagra site.
Kan dan toch niet anders dat de outfittery ook gehacked zijn toch?
of zie ik dat verkeerd?
Het is duidelijk dat er e-mailadressen weggelekt zijn, maar de manier waarop kan verschillen. Het hoeft niet te betekenen dat de webshopsoftware zelf gehackt is. Het kan ook gebeuren dat iemand een lijst met e-mailadressen op zijn/haar PC heeft om mailings te versturen en dat er een virus op die PC is (geweest). Het is ook mogelijk dat ze een externe dienst gebruiken om mailings te versturen en dat daar een lek zit.

Hoe dan ook, als je adres eenmaal is uitgelekt zal het samen met vele andere adressen doorverkocht worden en zo uiteindelijk bij viagra spammers terecht komen.

Wie weet luisteren spammers ook wel onbeveiligd SMTP-verkeer af om zo e-mailadressen te verzamelen.

Ik heb zelf ook een catchall-mailbox en zie daarin ook spam binnenkomen op adressen die weggelekt zijn bij Anderzorg, Dropbox, Kickstarter, Myspace en diverse webshops.
In het geval van Anderzorg heb ik dit bij hen gemeld maar ze leken het niet te begrijpen. In eerste instantie dachten ze dat ik ze ervan beschuldigde zelf viagra spam te versturen. Het heeft in mijn ervaring niet veel zin om dit bij bedrijven zelf te melden.

[Reactie gewijzigd door Not Pingu op 23 augustus 2016 11:07]

De instantie in Nederland die over de meldplicht datalekken gaat is de Authoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/) Denk niet dat ze veel kunnen betekenen in dit geval, maar wel de juiste bron om eens navraag te doen wat in hun optiek de juiste zet is :)
Als er geen publieke profielen bij zo'n dienst horen lijkt het me onwaarschijnlijk dat dit zonder lek kan. Natuurlijk weet ik niet hoe jou mailinfrastructuur verder is ingericht of het lek mss aan die kant kan zitten maar dan verwacht je meer mails naar andere inboxes op je eigen domein (kan natuurlijk zijn dat die al gespamfiltered worden zonder dat je ze ziet?). Also sommige combined registrars en hosting providers zetten echt de lijpste shit in hun DNS lookup data van de diensten die je bij hun draait dus zou altijd kijken wat bij een WHOIS op jezelf voor adressen opduiken (zelfs ongeacht dit specifieke voorbeeld).

Natuurlijk als de instantie die jij associeert met die mailbox de rechten had die informatie door te verkopen (staat soms in voorwaarden), maar de ontvangende partij gehacked werd hebben ze daar ook geen zicht op. Soms is het ook niet dat de site zelf gehacked wordt maar bijvoorbeeld een indirect gekoppelde newsletter omgeving of andere mailinglijsten van zo'n bedrijf. Nog steeds niet fijn maar dat betekent dat iig niet dat persee de hele database of straat ligt. (En mss ook erg is als ze vanuit zo'n omgeving niet alleed adressen kopieren maar ook het bedrijf zelf gaan impersoneren met misleidende berichten...)
Wilde gok, outfittery verkoopt mogelijk de adressen, net als andere partijen die notpingu hieronderboven noemt.

edit: typo ding

[Reactie gewijzigd door moreasy op 23 augustus 2016 22:45]

Is het gebruiken van verouderde en onveilige software niet een vorm van nalatigheid? Daar mag best wel een boete op staan vind ik.
Dit lijkt me interessant als juridisch standpunt, ik kan me voorstellen dat bij gegevens waarvan de gevolgen van een lek duidelijker tot problemen leid (burger servicenummers, medische gevens etc) nalatigheid makkelijker te bewijzen is maar als algemeen princiepe. Hoe je gaat controleren of iemand oude of onveilge software draait is lastig, dit is vaak pas duidelijk na een incident. Wat de straf moet zijn is ook niet duidelijk, op dit moment is er vaak nog nieteens sprake van een meldplicht van datalekken. (Maar steeds meer landen treffen regelingen.) Wat het wel is in hun EULA blablabla klikopvolgende privacy statement stellen bedrijven vaak richtlijnen wat ze vastleggen maar vaak ook met wie ze het mogen delen. Vraag me dan weer af hoe ze dus 'overmacht' of 'ongeauthoriseerde acties van derden' vastleggen in al die stapels papierwerk, maar in essentie komen ze die voorwaarden dus niet na.

De vraag is dan hoe je onveilige software defineert, is het dan onveilig nadat de eerste melding is gemaakt of is het pas nalatig als er een update beschikbaar is gesteld etc. Wat moet je doen als er geen update beschikbaar is gesteld? Moet het dan maar uit de lucht? Hoe bewijs je eenvoudig dat een beheerder van dit systeem er kennis van had moeten nemen? Als je een update/hotfix installeert om nalatigheid te voorkomen maar deze blijkt een groter probleem te hebben wiens schuld is dat dan (aanbieder of uitvoerder)? En wat nou als je besluit zo'n update dus eerst in een testomgeving uit te voeren als je dat weer wil voorkomen, hoe lang mag dat duren? Vragen vragen vragen. Veel van deze vragen zullen alleen in 'high profile' geschillen of rechtzaken aan bod komen omdat het zo van de situatie afhangt en zo lastig of in iedergeval langzaam uit te zoeken is.

Gezien veel politici al moeite hebben met hoe encryptie en 'meeluisteren' samengaan denk ik dat een gemiddeld wetsvoorstel of initatief op dit gebied om dit duidelijker vast te leggen nogal rampzalig zou zijn. Dus ik denk dat we het moeten doen met juridisch precedent en daar weet ik natuurlijk zelf weer niks van af.
Weer een lek. Niemand zal het nog verbazen, het is inmiddels gewoon geworden. Ik wil even geen discussie voeren over waarom het zo onveilig is, maar tegenwoordig zou iedereen moeten weten dat de meeste IT-systemen in praktijk onveilig zijn. Sterker nog, je moet er van eigenlijk van uit gaan dat je systeem onveilig is en dat alle data die je hebt een keer zal uitlekken. Helaas leeft dat besef nog niet, men blijft werken in de veronderstelling dat het waarschijnlijk wél goed gaat.

Wat dat betreft lijkt Epic Games het vrij aardig te doen, het gescheiden opslaan van wachtwoorden en andere gegevens suggereert dat iemand er over heeft nagedacht.

IT is moeilijk en duur. Ik kan niet uitleggen dat de bakker om de hoek een miljoen moet uitgeven aan een goede website die écht veilig is, rekening houdt met alle internetstandaarden en, er een beetje leuk uit ziet en wat basale interactie heeft als een nieuwsbrief. Het kost echt tonnen om een goede website te bouwen en te onderhouden. Als je nu denkt "Ach, zo'n website bouw ik op een avondje, Drupal er op, klik-klak-klaar" dan ben je deel van het probleem. Er is zo belachelijk veel om rekening mee te houden dat het eigenlijk overal fout gaat.
Natuurlijk kan de bakker dat niet betalen maar hij heeft toch een website nodig want dat wordt tegenwoordig verwacht. De bakker kan 500 euro betalen, dan moet er ergens bezuinigd worden.

Mijn conclusie als gebruiker is dat alles wat ik op internet post (openbaar of niet) kan uitlekken. Ik geef dus zo min mogelijk informatie, ook niet aan bedrijven die ik op zich wel vertrouw. Als ze hun IT wel goed geregeld hebben dan zijn ze al snel te duur. Het frustreert me om het te moeten schrijven, ik wil best wat extra betalen voor kwaliteit, maar veiligheid is te duur.


PS. Is het niet eens tijd voor een wachtwoord API? Een simpele API om een website met een passwordmanager te laten praten zodat de software automatisch een goed wachtwoord kan genereren en opslaan. Passwordmanagers proberen nu wachtwoordveldjes te herkennen maar dat is maar fragiel en onbetrouwbaar. Een simpele API zou een hoop helpen.
Dan wil ik ook een interface om wachtwoorden te veranderen. Enerzijds als de gebruiker dat wil, maar anderzijds ook als de website dit wil. Een bedrijf dat een lek constateert zou met 1 druk op de knop alle gebruikers moeten kunnen opdragen om ASAP een nieuw wachtwoord in te stellen. Als dat helemaal automatisch kan gebeuren zonder dat de gebruiker iets hoeft te doen is dat nog mooier (*al zitten er ook gevaren aan om het te ver te automatiseren).
Ten slotte wil ik nog een communicatiekanaal om hier over communiceren zodat ik niet zelf al die website in de gaten hoef te houden. Een gestandariseerde methode of plek die mijn software kan gebruiken om alle websites waar ik ooit een account heb gemaakt in de gaten te houden.
Is wat je nu voorstelt niet gewoon OAuth? Kies een identityprovider die je vertrouwt (https://en.wikipedia.org/wiki/List_of_OAuth_providers) en beheer daar je account. De oplossing bestaat al, maar luie donders op het web moeten deze wel implementeren.
OAuth doet een deel, maar nog lang niet genoeg. Overigens doet OAuth alleen authorisatie en geen authenticatie, daar heb je nog iets anders voor nodig. BV OpenID, daar was ik wel fan van, maar het is niet zo'n succes geworden.
Het vervelende met deze systemen is dat alle deelnemers zichzelf speciaal vinden en de rest niet vertrouwen. Ze bieden anderen wel aan om gebruik van hun authenticatie-diensten te maken, maar die van anderen vertrouwen doen ze niet. Zo hebben alle grote websites tegenwoordig hun eigen "single sign on" systeem (vaak op openid of saml gebaseerd) maar omdat ze niet samenwerken heb je daar als gebruiker niks aan, je bezoekt immers websites van vele verschillende bedrijven.

[Reactie gewijzigd door CAPSLOCK2000 op 23 augustus 2016 13:20]

Iets met een cartoon over een nieuwe standaard... Je hebt inderdaad gelijk dat het probleem het 'm zit in dat iedereen zichzelf beter. Zit inderdaad de angel. Dan komt LastPass nog het meest in de buurt van je wens qua functionaliteit..., maar die ken je ook al en is het inderdaad ook nét niet helemaal :)
Forum is nu wel offline lees ik
Alweer?? :(
Juli vorig jaar was het ook al kassa.

Dan gaan we het wachtwoord maar weer wijzigen wanneer de site weer beschikbaar is.
Ik vraag me af wat men nou zo boeiend vind om daar te zoeken.
Hackers onderlinge E-peen? Dezelfde mensen die het niet kunnen laten? (controleren of dezelfde back door beschikbaar is?)
* himlims_ *zucht*
gaan we weer (3e maal dit jaar) waarvan data gejat is bij pagina waar account had. Van Epic moet ik dat hier lezen, tot nu toe geen mailtje van ze ontvangen :N niets .. Authorisatie bij login gaat vandaag aanzienlijk trager dan eerdere dagen - geen idee of verband heeft, is een bevinding hier.

tegenwoordig maar voor iedere site een andere email alias aanmaken, weet ook niet wat je nog meer kunt doen voor beetje zelfbescherming. sowieso afwijkende wachtwoorden en geen 'standaard' hanteren, maar dat lijkt me vanzelfsprekend.

//edit; vandaag start summer sale bij epic https://www.unrealengine....ace-summer-sale-announced

[Reactie gewijzigd door himlims_ op 23 augustus 2016 15:11]

Hoe lang bewaren ze accounts bij Epic? Ik speelde vroeger wel Unreal and UT.
Het is wel heel naïef om te denken dat dit allemaal gewoon kwajongens streken zijn en kinderen die dit soort dingen doen. Er is tegenwoordig zo makkelijk geld te verdienen door internet criminaliteit en oplichting, omdat er gewoon bijna niets aan gedaan wordt.

De politie en inlichtingen komen heel veel mensen te kort op dit gebied en de echte goede jongens zullen nooit bij de politie gaan werken want ze kunnen vaak een veel betere betaalde baan vinden. Dit probleem zal er over jaren nog zijn en ik denk dat er internationaal alleen maar grotere problemen op dit gebied komen. De politiek en overheidsinstanties sluiten hun ogen gewoon, tot dat het massaal bij hun zelf voor komt.
Valt wel met de deur in huis zeg..

het zullen vast geen kinderen zijn die dit doen omdat ze zich vervelen maar een gerichte aanval op een forum. Tenslotte heb je wel redelijke kennis nodig van hacking mocht je een forum willen hacken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True