Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties

Bij een hack op de muzieksite Last.fm, die plaatsvond in 2012, zijn naar nu blijkt ongeveer 43,5 miljoen wachtwoorden en gebruikersnamen gestolen. Het bedrijf noemde destijds geen aantallen, maar waarschuwde alleen voor mogelijk gestolen wachtwoorden.

ZDNet en Softpedia hebben de database met onder andere gebruikersnamen, wachtwoorden en e-mailadressen geverifieerd. De site Leakedsource claimde donderdag de database in handen te hebben. Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden. Doordat er ook gegevens over de aanmaakdatum van accounts in de database zitten, geeft deze inzicht in de groei van de site tussen oprichtingsjaar 2002 en 2012.

Volgens Softpedia leek het er in eerste instantie op dat er 1,5 miljoen gebruikers waren getroffen door de hack. Met de openbaring van de precieze aantallen van buitgemaakte inloggegevens komt ook dit bedrijf in het rijtje terecht van onder andere LinkedIn en Dropbox. Via Last.fm waren in Nederland tot 2009 gratis radiostreams te beluisteren, daarna was dit alleen tegen betaling mogelijk. In 2013 stopte het bedrijf geheel met het aanbieden van zijn dienst in Nederland.

De database is nog niet te vinden op de site 'have i been pwned' van beveiligingsonderzoeker Troy Hunt.

Last.fm

Moderatie-faq Wijzig weergave

Reacties (21)

Misschien dat users (zoals ik) op korte termijn ook via https://haveibeenpwned.com/ kunnen checken of ze ook slachtoffer zijn geworden.
Last.fm zit helaas niet in die database
*Nog niet.
nu "pas" :|

Vandaag de mail gekregen
Ik ook, account ook maar gelijk verwijderd omdat ik hem toch niet gebruikte :)
Dank, toegevoegd.
De initiŽle leak (2.5m) staat al 4 jaar online bij LastPass: https://lastpass.com/lastfm/
Gelukkig m'n account ook echt opgeheven toen ze de functionaliteit in 2009 zo flink beperkt hadden.

Sowieso een goede gewoonte om geen passieve accounts te laten slingeren van diensten of apps die je toch niet meer gebruikt. Het blijft toch persoonlijke data die ergens achterblijft.
Het is maar de vraag of je account en data echt worden verwijderd, of dat er gewoon een "deleted" vlaggetje op true wordt gezet in de user tabel.
Last.fm verwijderd daadwerkelijk je data en anonimiseert je posts. Shouts van verwijderde accounts worden ook niet meer getoont.
Dat houdt dus ook in dat overall playcounts omlaag gaan als en account wordt verwijderd.
Mij ervaring is dat Last.fm jou privacy serieus neemt... zelfs nadat het door CBS werd overgenomen.
In de meeste gevallen blijven je gegevens alsnog in dezelfde database. Meestal wordt je account gewoon als disabled/deleted gemarkeerd.
Dit is toch oud nieuws? Op 8 juni 2012 kreeg ik deze mail:
Hi {user},
We are currently investigating the leak of some Last.fm user passwords. This follows recent password leaks on other sites, as well as information posted online. As a precautionary measure, we're asking all our users to change their passwords immediately.
Please log in to Last.fm and change your password on your settings page.
Your username is: {user}
Your email address is: {email}
We will never email you a direct link to update your settings or ask for your password.
We strongly recommend that your new Last.fm password is different to the password you use on other services. For more advice on choosing a solid password we recommend: http://www.google.co.uk/goodtoknow/online-safety/passwords/
We're sorry for the inconvenience around changing your password; Last.fm takes your privacy very seriously. We'll be posting updates in our forums and via our Twitter account as we get to the bottom of this.

A copy of this message is online at http://www.last.fm/passwordsecurity.
Thanks,
The Last.fm Team
Ik gebruik overigens nog steeds de site om m'n muziek te scrobblen... zit nu een aardige geschiedenis in van wat ik leuk vind (Spotify heeft ook nog steeds een last.fm deel optie in diens players)

[Reactie gewijzigd door :murb: op 1 september 2016 18:03]

Het nieuws is dat het ruim 43 miljoen (!) accounts betreft. Dat is iets meer dan "some" waar last.fm in de e-mail over spreekt.
Men wist ook wel van de hack, maar het was niet openbaar hoeveel accountgegevens er bekend waren. Naar nu blijkt waren dat er toch wel een hoop..
Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden.
In 2012 was md5 ook al lang niet meer als veilig beschouwd, en het was zeker ook niet gesalt. Jammer dat zulke grote bedrijven in de ICT dit soort zaken niet op orde hebben. Zou me niks verbazen als de hack iets simpels was als cross-side scripting of zelfs een sql-injectie, maar dat is gissen.
MD5 zonder salt kun je zelfs gewoon via voorberekende lookup-tables opzoeken. _/-\o_
Volgens mij is dat ook de hele reden dat we nu salts gebruiken :)

Tenminste, laat ik hopen dat we dat met z'n allen gebruiken

[Reactie gewijzigd door Oerdond3r op 1 september 2016 23:56]

Dit jaar is echt elke data leak uit 2012. Gezien ik in principe wel overal een accountje heb, sta ik natuurlijk ook overal in de lijst, net als vele mensen.

Hackertjes waren wel lekker actief, tevens grappig eigenlijk dat het dit jaar allemaal naar buiten komt en niet vorig of volgend jaar.
DIt dacht ik dus ook al! haha
Wat is het doel van het weergeven van zo een antieke afbeelding van de player?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True