Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties
Submitter: Terence(x)

De Noorse gameontwikkelaar Funcom waarschuwt dat hackers e-mailadressen, gebruikersnamen en versleutelde wachtwoorden hebben buitgemaakt bij een hack op zijn forums. De wachtwoorden moeten volgens de ontwikkelaar als 'verloren' worden beschouwd.

Het gaat om de forums van de mmorpg-titels Age of Conan, The Secret World, Anarchy Online en van de adventure-game The Longest Journey. Hoewel de wachtwoorden waren versleuteld, zegt de ontwikkelaar dat deze als 'verloren' beschouwd moeten worden. Het bedrijf gaat niet in op de wijze van versleuteling, maar uit de bewoording kan worden opgemaakt dat deze niet zeer sterk kan zijn. Funcom meldt niet hoeveel gebruikers zijn getroffen, volgens de site Leakedsource gaat het echter om iets meer dan een miljoen accounts. Funcom heeft de wachtwoorden van de gebruikers opnieuw ingesteld.

Game-accounts zouden niet zijn getroffen door de hack, omdat deze op een andere server staan. Als gebruikers het forumwachtwoord echter ook gebruikten voor de spellen, dan dient dit uiteraard ook veranderd te worden. Hetzelfde geldt voor andere sites waarop hetzelfde wachtwoord is gebruikt. De hack heeft plaatsgevonden via een kwetsbaarheid in de vBulletin-forumsoftware. Deze zorgt in de afgelopen tijd voor een grote hoeveelheid datalekken bij verschillende gamebedrijven. Daaronder zijn Epic Games, de Dota 2-forums en Clash of Kings.

Age of Conan: Hyborian AdventuresAge of Conan-schermafbeelding

Moderatie-faq Wijzig weergave

Reacties (27)

Vraag ik me af of Funcom dit nu al heeft gemeld bij z'n gebruikers, ikzelf heb bv nog geen mail van hun gekregen hierover, terwijl ik al jaren games van hun speel (eerst AoC, later TSW). Blijft dan altijd raar hoe je dit weer via via moet lezen, waar is de internationale meldplicht van zulke hacks?

Via de leakedsource site komt namelijk mijn emailadres wel naar boven.

[Reactie gewijzigd door SinergyX op 25 augustus 2016 10:58]

Dit is door Funcom gemeld aan gebruikers ik kreeg vanacht om 3:30 deze mail van ze :
Data Breach on Funcom Forums

On August 24th, 2016, we discovered that user data associated with forum accounts on TheSecretWorld.com, AgeofConan.com, Anarchy-Online.com and LongestJourney.com have been compromised by a third party.

We regret to inform you that the data breach includes e-mail addresses, user names, and encrypted passwords associated with forum accounts on these forums. Even though passwords were encrypted, these can be cracked and should be considered compromised. It is important to note that forum accounts and game accounts are separate and are stored on different servers using different security systems. Game accounts have not been compromised.

The breach was possible due to a security fault in the vBulletin forum system. This security fault was corrected on our forums on August 19th, 2016, but we are unable to determine exactly when the data breach occurred prior to the fix.

As a temporary security measure, we have reset all passwords for every forum account on TheSecretWorld.com, AgeofConan.com, Anarchy-Online.com and LongestJourney.com. The next time you try to log in you will be told your password is incorrect and you will have to reset your password to continue. If you have used your old forum account password on your Funcom game account or any non-Funcom accounts, you should also change your password on those immediately.

We take this incident very seriously and will be taking measures to ensure it does not happen again. The bug that made this data breach possible has been corrected, but as a precaution we have taken our forums offline so we can conduct further investigations and ensure there are no more security issues before we bring them online again.

We sincerely apologize for the inconvenience caused. If you wish to talk to us, please get in touch with our customer service representatives via http://help.funcom.com and we will get back to you as soon as we can.

Thank you for your attention.

Best regards,

Funcom
Dit is in mijn geval gecommuniceerd, heb zojuist een mail ontvangen. 8:57 om precies te zijn.

[Reactie gewijzigd door Lollzer op 25 augustus 2016 11:01]

Gemeld om 7u54 per mail.
Ik heb vanmorgen netjes een email ontvangen van Funcom voordat ik het nieuwe op Tweakers las.
Het lijkt wel elke dag raak te zijn. Heeft iemand enig idee hoe het komt dat verschillende websites opeens gehacked worden?
Hoewel de wachtwoorden waren versleuteld, zegt de ontwikkelaar dat deze als 'verloren' beschouwd moeten worden. Het bedrijf gaat niet in op de wijze van versleuteling,
Dat zegt ook genoeg :+
Oude vBulletin software, staat ook in het artikel. Hoor je Troy Hunt van haveibeenpwned.com ook veel over op Twitter, de meeste fora leaks draaiden allemaal vBulletin.
Er word een verouderde versie van de vbulletin forum software actief misbruikt. Deze bevat kwetsbaarheden het updaten van vbulletin is niet eenvoudig en daarom blijven veel instanties van de forum software op de kwetsbaren versie hangen.
Het updaten is relatief eenvoudig (afhankelijk van hoeveel customization je gedaan hebt in de broncode enzo). Het probleem met vB is dat het vanaf v4 overgenomen was door een andere partij en daardoor veel zwaarder geworden is. Pagina's die 3-4 keer zo lang duren om gegenereerd te worden en dergelijke. Ik heb zelf ook nog een vB installatie (is een keer gehacked, of, ik heb sporen gevonden dat iemand waarschijnlijk een dump van de database heeft gemaakt), maar de leden van mijn forum willen niet over naar een volgende versie omdat het zoveel zwaarder is. Kwam ook omdat onze server nogal goedkoop was.
Age of Conan, bestaat dat nog? Was toch een toffe game, alleen niet helemaal goed uitgewerkt.
Het bestaat nog steeds en krijgt nog relatief actief nieuwe content, de spelersaantallen blijven alleen wel hard afnemen.
We kunnen voor deze hacks onderhand een nieuwe categorie maken op tweakers net als de dagelijkse downloads overzicht. Het komt inmiddels zo vaak voor.
Maar netals alle andere hacks toont dit nauurlijk weer het belang aan van het gebruik van unieke wachtwoorden.
Vind dat eigenlijk wel een goed idee inderdaad!
Dat was mijn eerste (en enige) gedachte toen ik de kop las. Hoeft niet persé een nieuwe categorie te worden maar om dit in ieder geval op te blijven nemen zoals al wordt gedaan vind ik erg fijn. Je weet meteen of je je zorgen moet maken of actie moet ondernemen of niet.

Food for thought @Tweakers.net?
Ergens een lijst bijhouden met alle namen van sites/forums/games welke persoonlijk identiteit gegevens verloren hebben door een hack met een linkje naar de berichtgeving.

Ik moet zeggen. Dit is wel de eerste keer dat ik iets lees waar ik zelf ook eens mee te maken heb gehad. Heb een korte tijd AoC gespeeld maar volgens mij geen forum account aangemaakt.

Tot dus ver the closest call yet ...
Good news - No pwnage found! :) :)

Maar inderdaad, zoeits op Tweakers zou niet misstaan.

[Reactie gewijzigd door BenVenNL op 25 augustus 2016 16:35]

Ik zou het sowieso goed vinden als Tweakers wat meer over security plaatst. Blijft natuurlijk een belangrijk onderwerp. Met ook wat achtergrond verhalen. Ik kijk nu zo dan op security.nl om dat nieuws te lezen.
In plaats van .Geek, een .Hack categorie, klinkt inderdaad wel leuk :)
Die melding over slechte versleuteling is nog zacht uitgedrukt. Net gecontroleerd op leakedsource en vond daar gewoon mijn wachtwoord netjes leesbaar terug. Gelukkig oud en niet meer gebruikt maar iedereen die daar een account had kan er vanuit gaan dat alle wachtwoorden al bruikbaar buit gemaakt zijn.

Zie overigens ook dat de futuremark forums hierin voorkomen met mijn gegevens.
En daarom gebruik ik dus een wachtwoordmanager zodat je makkelijk voor iedere site een ander wachtwoord kan gebruiken. Ik kreeg toevallig vandaag een mail dat er een lek is geweest op 2 forums waarbij ook wachtwoorden buit zijn gemaakt. Aangezien die wachtwoorden door mij nergens anders gebruikt worden is er niets aan de hand. Voor mensen die overal hetzelfde wachtwoord voor gebruiken is dit wel snel een probleem. Niet leuk als je wachtwoord lekt wat je ook voor je email gebruikt.
Niet zo netjes om dit niet te melden naar hun gebruikers door middel van een e-mail.
Wat dan wel? Handgeschreven aangetekende brief van de CEO handbezorgd met een gratis snoepje?
Oeps, ik las "niet netjes om dit te melden naar hun gebruikers dmv een email"... Fail!

[Reactie gewijzigd door Flippylosaurus op 25 augustus 2016 13:45]

Als ik hier kijk dan valt mij op dat er veel SQL Injection vulnerabilities in zitten. Knullig geprogrammeerd in PHP!!
Vreemde conclusie die je daar trekt. Er staan 20 security vulnerabilities, maar dat is wel sinds 2008, en ze zijn ook allemaal gefixed. Het wordt dus goed in de gaten gehouden, reports worden gemaakt en het wordt gefixed. Niets mis mee. Ziet er juist professioneel uit vind ik.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True