Vier jaar oude hack op Last.fm trof 43,5 miljoen gebruikers

Bij een hack op de muzieksite Last.fm, die plaatsvond in 2012, zijn naar nu blijkt ongeveer 43,5 miljoen wachtwoorden en gebruikersnamen gestolen. Het bedrijf noemde destijds geen aantallen, maar waarschuwde alleen voor mogelijk gestolen wachtwoorden.

ZDNet en Softpedia hebben de database met onder andere gebruikersnamen, wachtwoorden en e-mailadressen geverifieerd. De site Leakedsource claimde donderdag de database in handen te hebben. Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden. Doordat er ook gegevens over de aanmaakdatum van accounts in de database zitten, geeft deze inzicht in de groei van de site tussen oprichtingsjaar 2002 en 2012.

Volgens Softpedia leek het er in eerste instantie op dat er 1,5 miljoen gebruikers waren getroffen door de hack. Met de openbaring van de precieze aantallen van buitgemaakte inloggegevens komt ook dit bedrijf in het rijtje terecht van onder andere LinkedIn en Dropbox. Via Last.fm waren in Nederland tot 2009 gratis radiostreams te beluisteren, daarna was dit alleen tegen betaling mogelijk. In 2013 stopte het bedrijf geheel met het aanbieden van zijn dienst in Nederland.

De database is nog niet te vinden op de site 'have i been pwned' van beveiligingsonderzoeker Troy Hunt.

Last.fm

IT-banen

Reacties (21)

Universal Creations 1 september 2016 16:41

Misschien dat users (zoals ik) op korte termijn ook via https://haveibeenpwned.com/ kunnen checken of ze ook slachtoffer zijn geworden.

Verwijderd @Universal Creations • 1 september 2016 16:43

Last.fm zit helaas niet in die database

Shamalamadindon @Verwijderd • 1 september 2016 21:46

*Nog niet.

FreshMaker @Shamalamadindon • 21 september 2016 11:23

*Nog niet.

nu "pas"

Vandaag de mail gekregen

laydne @FreshMaker • 21 september 2016 17:49

Ik ook, account ook maar gelijk verwijderd omdat ik hem toch niet gebruikte

Auteur

duqu @Universal Creations • 1 september 2016 16:48

Dank, toegevoegd.

Blizz @duqu • 2 september 2016 04:30

De initiële leak (2.5m) staat al 4 jaar online bij LastPass: https://lastpass.com/lastfm/

sambalbaj 1 september 2016 17:07

Gelukkig m'n account ook echt opgeheven toen ze de functionaliteit in 2009 zo flink beperkt hadden.

Sowieso een goede gewoonte om geen passieve accounts te laten slingeren van diensten of apps die je toch niet meer gebruikt. Het blijft toch persoonlijke data die ergens achterblijft.

Blaise @sambalbaj • 1 september 2016 18:13

Het is maar de vraag of je account en data echt worden verwijderd, of dat er gewoon een "deleted" vlaggetje op true wordt gezet in de user tabel.

Jester-NL @Blaise • 1 september 2016 22:38

Last.fm verwijderd daadwerkelijk je data en anonimiseert je posts. Shouts van verwijderde accounts worden ook niet meer getoont.
Dat houdt dus ook in dat overall playcounts omlaag gaan als en account wordt verwijderd.
Mij ervaring is dat Last.fm jou privacy serieus neemt... zelfs nadat het door CBS werd overgenomen.

mitch2kbe @sambalbaj • 1 september 2016 19:56

In de meeste gevallen blijven je gegevens alsnog in dezelfde database. Meestal wordt je account gewoon als disabled/deleted gemarkeerd.

:murb:

1 september 2016 18:01

Dit is toch oud nieuws? Op 8 juni 2012 kreeg ik deze mail:

Hi {user},
We are currently investigating the leak of some Last.fm user passwords. This follows recent password leaks on other sites, as well as information posted online. As a precautionary measure, we're asking all our users to change their passwords immediately.
Please log in to Last.fm and change your password on your settings page.
Your username is: {user}
Your email address is: {email}
We will never email you a direct link to update your settings or ask for your password.
We strongly recommend that your new Last.fm password is different to the password you use on other services. For more advice on choosing a solid password we recommend: http://www.google.co.uk/goodtoknow/online-safety/passwords/
We're sorry for the inconvenience around changing your password; Last.fm takes your privacy very seriously. We'll be posting updates in our forums and via our Twitter account as we get to the bottom of this.

A copy of this message is online at http://www.last.fm/passwordsecurity.
Thanks,
The Last.fm Team

Ik gebruik overigens nog steeds de site om m'n muziek te scrobblen... zit nu een aardige geschiedenis in van wat ik leuk vind (Spotify heeft ook nog steeds een last.fm deel optie in diens players)

[Reactie gewijzigd door :murb: op 26 juli 2024 23:47]

Oefshakalaka @:murb: • 1 september 2016 18:04

Het nieuws is dat het ruim 43 miljoen (!) accounts betreft. Dat is iets meer dan "some" waar last.fm in de e-mail over spreekt.

Evil.bean @:murb: • 1 september 2016 18:05

Men wist ook wel van de hack, maar het was niet openbaar hoeveel accountgegevens er bekend waren. Naar nu blijkt waren dat er toch wel een hoop..

Oerdond3r 1 september 2016 18:42

Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden.

In 2012 was md5 ook al lang niet meer als veilig beschouwd, en het was zeker ook niet gesalt. Jammer dat zulke grote bedrijven in de ICT dit soort zaken niet op orde hebben. Zou me niks verbazen als de hack iets simpels was als cross-side scripting of zelfs een sql-injectie, maar dat is gissen.

Armin

Netwerk en systeembeheer
Security

@Oerdond3r • 1 september 2016 19:34

MD5 zonder salt kun je zelfs gewoon via voorberekende lookup-tables opzoeken. $_/-\o_$

Oerdond3r @Armin • 1 september 2016 23:55

Volgens mij is dat ook de hele reden dat we nu salts gebruiken

_{Tenminste, laat ik hopen dat we dat met z'n allen gebruiken}

[Reactie gewijzigd door Oerdond3r op 26 juli 2024 23:47]

xiphoid 1 september 2016 21:04

Dit jaar is echt elke data leak uit 2012. Gezien ik in principe wel overal een accountje heb, sta ik natuurlijk ook overal in de lijst, net als vele mensen.

Hackertjes waren wel lekker actief, tevens grappig eigenlijk dat het dit jaar allemaal naar buiten komt en niet vorig of volgend jaar.