Vier jaar oude hack op Last.fm trof 43,5 miljoen gebruikers

Bij een hack op de muzieksite Last.fm, die plaatsvond in 2012, zijn naar nu blijkt ongeveer 43,5 miljoen wachtwoorden en gebruikersnamen gestolen. Het bedrijf noemde destijds geen aantallen, maar waarschuwde alleen voor mogelijk gestolen wachtwoorden.

ZDNet en Softpedia hebben de database met onder andere gebruikersnamen, wachtwoorden en e-mailadressen geverifieerd. De site Leakedsource claimde donderdag de database in handen te hebben. Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden. Doordat er ook gegevens over de aanmaakdatum van accounts in de database zitten, geeft deze inzicht in de groei van de site tussen oprichtingsjaar 2002 en 2012.

Volgens Softpedia leek het er in eerste instantie op dat er 1,5 miljoen gebruikers waren getroffen door de hack. Met de openbaring van de precieze aantallen van buitgemaakte inloggegevens komt ook dit bedrijf in het rijtje terecht van onder andere LinkedIn en Dropbox. Via Last.fm waren in Nederland tot 2009 gratis radiostreams te beluisteren, daarna was dit alleen tegen betaling mogelijk. In 2013 stopte het bedrijf geheel met het aanbieden van zijn dienst in Nederland.

De database is nog niet te vinden op de site 'have i been pwned' van beveiligingsonderzoeker Troy Hunt.

Last.fm

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-09-2016 16:34 21

01-09-2016 • 16:34

21

Lees meer

Datalekkenjaar 2016

24 nov 2016

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

220
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar
Onderzoeker Troy Hunt stelt 306 miljoen uitgelekte wachtwoorden beschikbaar Nieuws van 3 augustus 2017
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline
Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline Nieuws van 27 januari 2017
Gegevens 98 miljoen accounts van Russische portal staan online na hack
Gegevens 98 miljoen accounts van Russische portal staan online na hack Nieuws van 6 september 2016
Dropbox-hack van 2012 blijkt gegevens van 69 miljoen gebruikers te omvatten
Dropbox-hack van 2012 blijkt gegevens van 69 miljoen gebruikers te omvatten Nieuws van 31 augustus 2016
Uitgelekte LinkedIn-database verschijnt online als download
Uitgelekte LinkedIn-database verschijnt online als download Nieuws van 10 juni 2016
Gegevens 100 miljoen accounts sociaal netwerk VK.com aangeboden op internet
Gegevens 100 miljoen accounts sociaal netwerk VK.com aangeboden op internet Nieuws van 6 juni 2016
MySpace bevestigt dat gegevens van 360 miljoen accounts zijn gestolen bij hack
MySpace bevestigt dat gegevens van 360 miljoen accounts zijn gestolen bij hack Nieuws van 1 juni 2016
Inloggegevens van 65 miljoen Tumblr-gebruikers verschijnen online
Inloggegevens van 65 miljoen Tumblr-gebruikers verschijnen online Nieuws van 30 mei 2016
LinkedIn bevestigt dat logins van 117 miljoen leden in 2012 werden buitgemaakt
LinkedIn bevestigt dat logins van 117 miljoen leden in 2012 werden buitgemaakt Nieuws van 19 mei 2016
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden Nieuws van 7 juni 2012
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (21)

-Moderatie-faq
21
21
17
2
0
2
Wijzig sortering
Universal Creations 1 september 2016 16:41
Misschien dat users (zoals ik) op korte termijn ook via https://haveibeenpwned.com/ kunnen checken of ze ook slachtoffer zijn geworden.
Verwijderd @Universal Creations1 september 2016 16:43
Last.fm zit helaas niet in die database
Shamalamadindon @Verwijderd1 september 2016 21:46
*Nog niet.
FreshMaker @Shamalamadindon21 september 2016 11:23
*Nog niet.
nu "pas" :|

Vandaag de mail gekregen
laydne @FreshMaker21 september 2016 17:49
Ik ook, account ook maar gelijk verwijderd omdat ik hem toch niet gebruikte :)
Auteurduqu @Universal Creations1 september 2016 16:48
Dank, toegevoegd.
Blizz @duqu2 september 2016 04:30
De initiële leak (2.5m) staat al 4 jaar online bij LastPass: https://lastpass.com/lastfm/
sambalbaj 1 september 2016 17:07
Gelukkig m'n account ook echt opgeheven toen ze de functionaliteit in 2009 zo flink beperkt hadden.

Sowieso een goede gewoonte om geen passieve accounts te laten slingeren van diensten of apps die je toch niet meer gebruikt. Het blijft toch persoonlijke data die ergens achterblijft.
Blaise @sambalbaj1 september 2016 18:13
Het is maar de vraag of je account en data echt worden verwijderd, of dat er gewoon een "deleted" vlaggetje op true wordt gezet in de user tabel.
Jester-NL @Blaise1 september 2016 22:38
Last.fm verwijderd daadwerkelijk je data en anonimiseert je posts. Shouts van verwijderde accounts worden ook niet meer getoont.
Dat houdt dus ook in dat overall playcounts omlaag gaan als en account wordt verwijderd.
Mij ervaring is dat Last.fm jou privacy serieus neemt... zelfs nadat het door CBS werd overgenomen.
mitch2kbe @sambalbaj1 september 2016 19:56
In de meeste gevallen blijven je gegevens alsnog in dezelfde database. Meestal wordt je account gewoon als disabled/deleted gemarkeerd.
:murb: 1 september 2016 18:01
Dit is toch oud nieuws? Op 8 juni 2012 kreeg ik deze mail:
Hi {user},
We are currently investigating the leak of some Last.fm user passwords. This follows recent password leaks on other sites, as well as information posted online. As a precautionary measure, we're asking all our users to change their passwords immediately.
Please log in to Last.fm and change your password on your settings page.
Your username is: {user}
Your email address is: {email}
We will never email you a direct link to update your settings or ask for your password.
We strongly recommend that your new Last.fm password is different to the password you use on other services. For more advice on choosing a solid password we recommend: http://www.google.co.uk/goodtoknow/online-safety/passwords/
We're sorry for the inconvenience around changing your password; Last.fm takes your privacy very seriously. We'll be posting updates in our forums and via our Twitter account as we get to the bottom of this.

A copy of this message is online at http://www.last.fm/passwordsecurity.
Thanks,
The Last.fm Team
Ik gebruik overigens nog steeds de site om m'n muziek te scrobblen... zit nu een aardige geschiedenis in van wat ik leuk vind (Spotify heeft ook nog steeds een last.fm deel optie in diens players)

[Reactie gewijzigd door :murb: op 26 juli 2024 23:47]

Oefshakalaka @:murb:1 september 2016 18:04
Het nieuws is dat het ruim 43 miljoen (!) accounts betreft. Dat is iets meer dan "some" waar last.fm in de e-mail over spreekt.
Evil.bean @:murb:1 september 2016 18:05
Men wist ook wel van de hack, maar het was niet openbaar hoeveel accountgegevens er bekend waren. Naar nu blijkt waren dat er toch wel een hoop..
Oerdond3r 1 september 2016 18:42
Uit het bericht van de site blijkt dat de wachtwoorden waren gehasht met het md5-algoritme, waardoor 96 procent van de wachtwoorden binnen twee uur gekraakt kon worden.
In 2012 was md5 ook al lang niet meer als veilig beschouwd, en het was zeker ook niet gesalt. Jammer dat zulke grote bedrijven in de ICT dit soort zaken niet op orde hebben. Zou me niks verbazen als de hack iets simpels was als cross-side scripting of zelfs een sql-injectie, maar dat is gissen.
Armin
@Oerdond3r1 september 2016 19:34
MD5 zonder salt kun je zelfs gewoon via voorberekende lookup-tables opzoeken. _/-\o_
Oerdond3r @Armin1 september 2016 23:55
Volgens mij is dat ook de hele reden dat we nu salts gebruiken :)

Tenminste, laat ik hopen dat we dat met z'n allen gebruiken

[Reactie gewijzigd door Oerdond3r op 26 juli 2024 23:47]

xiphoid 1 september 2016 21:04
Dit jaar is echt elke data leak uit 2012. Gezien ik in principe wel overal een accountje heb, sta ik natuurlijk ook overal in de lijst, net als vele mensen.

Hackertjes waren wel lekker actief, tevens grappig eigenlijk dat het dit jaar allemaal naar buiten komt en niet vorig of volgend jaar.
xStacke @xiphoid2 september 2016 12:24
DIt dacht ik dus ook al! haha
Verwijderd 1 september 2016 16:41
Wat is het doel van het weergeven van zo een antieke afbeelding van de player?
kleautviool @Verwijderd1 september 2016 17:29
Nostalgie ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq