Vier jaar oude hack op Last.fm trof 43,5 miljoen gebruikers

Bij een hack op de muzieksite Last.fm, die plaatsvond in 2012, zijn naar nu blijkt ongeveer 43,5 miljoen wachtwoorden en gebruikersnamen gestolen. Het bedrijf noemde destijds geen aantallen, maar waarschuwde alleen voor mogelijk gestolen wachtwoorden.

ZDNet en Softpedia hebben de database met onder andere gebruikersnamen, wachtwoorden en e-mailadressen geverifieerd. De site Leakedsource claimde donderdag de database in handen te hebben. Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden. Doordat er ook gegevens over de aanmaakdatum van accounts in de database zitten, geeft deze inzicht in de groei van de site tussen oprichtingsjaar 2002 en 2012.

Volgens Softpedia leek het er in eerste instantie op dat er 1,5 miljoen gebruikers waren getroffen door de hack. Met de openbaring van de precieze aantallen van buitgemaakte inloggegevens komt ook dit bedrijf in het rijtje terecht van onder andere LinkedIn en Dropbox. Via Last.fm waren in Nederland tot 2009 gratis radiostreams te beluisteren, daarna was dit alleen tegen betaling mogelijk. In 2013 stopte het bedrijf geheel met het aanbieden van zijn dienst in Nederland.

De database is nog niet te vinden op de site 'have i been pwned' van beveiligingsonderzoeker Troy Hunt.

Door Sander van Voorst

Nieuwsredacteur

01-09-2016 • 16:34

21 Linkedin

Reacties (21)

Wijzig sortering
Misschien dat users (zoals ik) op korte termijn ook via https://haveibeenpwned.com/ kunnen checken of ze ook slachtoffer zijn geworden.
Last.fm zit helaas niet in die database
*Nog niet.
nu "pas" :|

Vandaag de mail gekregen
Ik ook, account ook maar gelijk verwijderd omdat ik hem toch niet gebruikte :)
De initiële leak (2.5m) staat al 4 jaar online bij LastPass: https://lastpass.com/lastfm/
Gelukkig m'n account ook echt opgeheven toen ze de functionaliteit in 2009 zo flink beperkt hadden.

Sowieso een goede gewoonte om geen passieve accounts te laten slingeren van diensten of apps die je toch niet meer gebruikt. Het blijft toch persoonlijke data die ergens achterblijft.
Het is maar de vraag of je account en data echt worden verwijderd, of dat er gewoon een "deleted" vlaggetje op true wordt gezet in de user tabel.
Last.fm verwijderd daadwerkelijk je data en anonimiseert je posts. Shouts van verwijderde accounts worden ook niet meer getoont.
Dat houdt dus ook in dat overall playcounts omlaag gaan als en account wordt verwijderd.
Mij ervaring is dat Last.fm jou privacy serieus neemt... zelfs nadat het door CBS werd overgenomen.
In de meeste gevallen blijven je gegevens alsnog in dezelfde database. Meestal wordt je account gewoon als disabled/deleted gemarkeerd.
Dit is toch oud nieuws? Op 8 juni 2012 kreeg ik deze mail:
Hi {user},
We are currently investigating the leak of some Last.fm user passwords. This follows recent password leaks on other sites, as well as information posted online. As a precautionary measure, we're asking all our users to change their passwords immediately.
Please log in to Last.fm and change your password on your settings page.
Your username is: {user}
Your email address is: {email}
We will never email you a direct link to update your settings or ask for your password.
We strongly recommend that your new Last.fm password is different to the password you use on other services. For more advice on choosing a solid password we recommend: http://www.google.co.uk/goodtoknow/online-safety/passwords/
We're sorry for the inconvenience around changing your password; Last.fm takes your privacy very seriously. We'll be posting updates in our forums and via our Twitter account as we get to the bottom of this.

A copy of this message is online at http://www.last.fm/passwordsecurity.
Thanks,
The Last.fm Team
Ik gebruik overigens nog steeds de site om m'n muziek te scrobblen... zit nu een aardige geschiedenis in van wat ik leuk vind (Spotify heeft ook nog steeds een last.fm deel optie in diens players)

[Reactie gewijzigd door :murb: op 1 september 2016 18:03]

Het nieuws is dat het ruim 43 miljoen (!) accounts betreft. Dat is iets meer dan "some" waar last.fm in de e-mail over spreekt.
Men wist ook wel van de hack, maar het was niet openbaar hoeveel accountgegevens er bekend waren. Naar nu blijkt waren dat er toch wel een hoop..
Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden.
In 2012 was md5 ook al lang niet meer als veilig beschouwd, en het was zeker ook niet gesalt. Jammer dat zulke grote bedrijven in de ICT dit soort zaken niet op orde hebben. Zou me niks verbazen als de hack iets simpels was als cross-side scripting of zelfs een sql-injectie, maar dat is gissen.
MD5 zonder salt kun je zelfs gewoon via voorberekende lookup-tables opzoeken. _/-\o_
Volgens mij is dat ook de hele reden dat we nu salts gebruiken :)

Tenminste, laat ik hopen dat we dat met z'n allen gebruiken

[Reactie gewijzigd door Oerdond3r op 1 september 2016 23:56]

Dit jaar is echt elke data leak uit 2012. Gezien ik in principe wel overal een accountje heb, sta ik natuurlijk ook overal in de lijst, net als vele mensen.

Hackertjes waren wel lekker actief, tevens grappig eigenlijk dat het dit jaar allemaal naar buiten komt en niet vorig of volgend jaar.
DIt dacht ik dus ook al! haha
Wat is het doel van het weergeven van zo een antieke afbeelding van de player?

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee