Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

87,6 miljoen accounts Dailymotion liggen op straat na hack

Door , 79 reacties, submitter: Kenni

87,6 miljoen gebruikersaccounts van videowebsite Dailymotion liggen op straat als het gevolg van een hack. Daar zitten ook 18,3 miljoen geassocieerde wachtwoorden bij, die versleuteld zijn met bcrypt.

Hack-notificatiewebsite LeakedSource heeft de database op maandag aan zijn betaalde 'assortiment' toegevoegd. Zowel ZDNet als BleepingComputer hebben monsters van de data in handen gekregen en verifieerden dat de gegevens niet alleen echt zijn, maar ook zonder twijfel toebehoren aan DailyMotion. Andere gegevens dan gebruikersnamen, user id's en een beperkte hoeveelheid wachtwoorden zijn niet gelekt.

Wie verantwoordelijk is voor de hack, is niet bekend. De digitale inbraak zou op 20 oktober plaats hebben gevonden. Dailymotion zelf heeft nog niet gereageerd op het nieuws. Hoewel bcrypt niet gemakkelijk te kraken is, doen Dailymotion-gebruikers er goed aan om hun wachtwoord alsnog te veranderen en dat ook te doen op andere sites waar dat wachtwoord hergebruikt is.

5 december 2016 20:45

79 reacties

Submitter: Kenni

Linkedin Google+

Reacties (79)

Wijzig sortering
Op LeakedSource.com kun je bekijken of je onderdeel bent van deze of een ander(e) hack/datalek:

https://www.leakedsource.com/main/

http://imgur.com/SrmrYFK

Je kunt filteren op de volgende criteria:
  • E-mail adres
  • Username
  • IP-adres
  • Naam
  • Telefoonnummer

[Reactie gewijzigd door AnonymousWP op 6 december 2016 16:58]

Moet je er niet voor betalen om dat te controleren?
Hack-notificatiewebsite LeakedSource heeft de database op maandag aan zijn betaalde 'assortiment' toegevoegd. Zowel ZDNet als BleepingComputer hebben monsters van de data in handen gekregen en verifieerden dat de gegevens niet alleen echt zijn, maar ook zonder twijfel toebehoren aan DailyMotion.
Hoe komen zij er eigenlijk aan? Terwijl ZDNet en BleepingComputer blijkbaar niet de hele DB hebben.
Moet je er niet voor betalen om dat te controleren?
Nee, controleren kost geen geld. Het inzien van je data echter wel. Zie ook hier: https://www.leakedsource.com/main/subscribe/?ref=bar

Vrij prijzig naar mijn mening.

Hier een bron dat het daadwerkelijk kan: http://imgur.com/ue9MLbK

Overigens wel raar dat ze adverteren met 79 cent per dag, maar dat de prijs 4 dollar per dag is als je op de link klikt.
Hoe komen zij er eigenlijk aan? Terwijl ZDNet en BleepingComputer blijkbaar niet de hele DB hebben.
De enige reden die ik zou kunnen bedenken, is dat ze het gratis of betaalt, op het deepweb hebben gevonden, waar de hackers het misschien aanbieden.
As low as 79 cents a day. De 365 dagen optie komt daar mee overeen @$320.

Die trial voor 1 dag is uiteraard duurder omdat je dan meer kwijt bent als bedrijf voor administratie en transactiekosten.
Dat vind ik geen kattenpis. 320 dollar per jaar voor zoiets, verdienen ze lekker aan :/. Mij niet gezien, ik ben wel gewoon uiterst voorzichtig.
Nou ik kan zo voorstellen dat het voor sommige bedrijven (Zoek bijvoorbeeld eens naar dit domein met de wildcard optie) erg handig is om aan te melden voor een notificatie om zo een hack bij jezelf te voorkomen. $320 is dan een schijntje als je hierdoor tijdig in kan grijpen.

Als je de blog van bijvoorbeeld Troy Hunt eens bekijkt zie je dat er ontzettend veel tijd en denkwerk gaat zitten in het veilig behandelen van de gegevens zodat je zelf niet een bron van lekken wordt. Zeker als je zo'n beetje alle password databases in je bezit hebt van alle grote lekken. We hebben het hier immers over ruim 2 biljoen accounts.

Leakedsource heeft er zefs 3 miljard

[Reactie gewijzigd door supersnathan94 op 6 december 2016 11:11]

https://haveibeenpwned.com Is een soort gelijke site maar is nog niet actueel met deze hack.
Om de hele lijst te zien moet je er inderdaad voor betalen (nog geen euro per maand volgens mij), maar je kan de database wel op specifieke termen doorzoeken zoals AnonymousWP al zei.
jippie, mijn emailadres staat in de dailymotion hacklijst
jippie, mijn emailadres staat in de dailymotion hacklijst
Als ik mijn emailadres invul op de site (waar ik niet eerder van hoorde), meldt men dat drie andere sites mn adres kennen.
Om meer te weten te komen mag ik betalen, een account aanmaken en mn gegevens achter laten.
Sterk staaltje phishing.. !

Ik ken DM niet en de drie genoemde sites ook niet.
Het zij zo.
Dailymotion wordt soms op Facebook gebruikt om filmpjes te delen. Dus als je ooit de voorwaarden hebt geaccept dan komt het daardoor.
Dailymotion wordt soms op Facebook gebruikt
Facebook ? Ikke.? Neen, ik doe niet aan sociaal.
Ondanks dat de wachtwoorden encrypted worden opgeslagen (met de sterke encryptietool bcrypt), is het alsnog aan te raden om je wachtwoord te wijzigen. Helemaal als je dat wachtwoord ook ergens anders gebruikt. Je weet immers maar nooit :).

[Reactie gewijzigd door AnonymousWP op 6 december 2016 16:58]

Huh? Omdat ze encrypted zijn moet je je wachtwoord wijzigen? Dat is niet logisch.
Daarom zei ik ook "alsnog". Dus als extra maatregel ;).
Kun je dan niet beter 'Ondanks' gebruiken i.p.v. 'Omdat'?
Dat is inderdaad een betere woordkeuze. Ik heb het aangepast. Dankje.
Ehhh nee daar ga ik mijn email-adres niet invullen
Waarom een downmod? Best een verstandige opmerking.
Inderdaad; want 't is even de vraag of leakedsource je gegevens alleen éénmalig gebruikt om de check te doen, of dat je gegevens gelogd worden.
Waarom hebben ze een opt-out mogelijkheid?
https://www.leakedsource.com/main/faq/
Dan moeten ze dus toch iets van je opgeslagen hebben?

[Reactie gewijzigd door kimborntobewild op 6 december 2016 12:15]

De opt out is er om er voor te zorgen dat je emailadres wordt gewist zodat de publieke search niet meer werkt. Ik kan immers ook een search opvragen om te kijken of jij je ooit bij ashley madison of adultfriendfinder hebt opgegeven. Als ik je emailadres heb...
Ah, op die fiets!
Alleen staat erbij dat het opt-outen automatisch gaat. Maar dan klopt 't systeem niet, want dan kan je voor een ander opt-outen. Want een persoon die bevestiging moet opgeven via een bevestigingsmail dat je wilt opt-outen: dat is geen automatisch systeem.
Maar dat is wel de enige manier om de opt-out goed te doen. Zonder verificatie opt out doorvoeren is erg slecht.

Stel dat ik mijn potentiële slachtoffer opt out zodat hij geen notificaties meer krijgt? Not handy.
Zonder verificatie opt out doorvoeren is erg slecht.
Ja, maar ze geven aan dat het geautomatiseerd gaat. Ik vind het niet echt een automatisch systeem als je handmatig moet bevestigen. (Ik zeg dus niet dat bevestiging niet gewenst is; ik zeg alleen dat ik dit geen automatisch systeem vindt. Halfautomatisch zou je 't wel kunnen noemen.)
Alsof ze nog niet genoeg hebben aan die 1,989,141,353 accounts en per se die van jou erbij willen hebben. De kans is vrij groot dat je er toch al bij zit.
Was het toen jij pas keek nog maar 1,9 miljard, gaat hard dan is al weer ruim een miljard bij. 2,918,283,623
Dat was de teller bij HIBP van Troy Hunt. Die heeft deze set nog niet verwerkt en heeft daarnaast een aantal sets niet of niet meer (zoals de V-tech dataset. Die heeft hij verwijderd).
Die keus is natuurlijk aan jou :). Troy Hunt van HaveiBeenPowned heeft het lek van DailyMotion in ieder geval nog niet toegevoegd, als je hem meer vertrouwt.

[Reactie gewijzigd door AnonymousWP op 5 december 2016 21:43]

Volgens die site is mijn wachtwoord en e-mail overal gestolen, met name een hoop sites waarop ik nooit aangemeld ben geweest.
Misschien iemand met dezelfde username?
Gek, blijkbaar kan ik mijn 'main' email terug vinden in 14 gehackte site's hun databank. (En op ééntje na kan ik bevestigen dat ik op die sites een account had)

Wel straf, er staan een paar grote namen in die lijst (o.a. Adobe) waarvan ik nu toch dacht dat ze hun security op orde hadden.
Adobe had een enorm lek in oktober 2013. https://haveibeenpwned.com/ heeft mij daar toen van op de hoogte gebracht. Zo'n beetje iedereen in mijn bedrijf was getroffen.
zowaar de 7e 10e website dit jaar *O* waar ik een acccountje had
wat een kut -O- record

[Reactie gewijzigd door himlims_ op 6 december 2016 10:08]

Mocht je jezelf uit de Leakedsource database willen laten verwijderen (nadat je uiteraard je wachtwoorden hebt veranderd), dan kan dat via onderstaande URL:

https://www.leakedsource.com/main/removal
Och, bcrypt is wel redelijk goed dus zou me weinig zorgen maken
Mensen met een slecht wachtwoord zijn alsnog de lul. Accounts met "admin" of "123456" als password zullen beslist misbruikt worden. En met 87 miljoen accounts is de kans ongeveer 100% dat er zeker een paar duizend van zulke triviale gevallen tussen zitten.
Als de wachtwoorden goed gesalt zijn en er genoeg iteraties gebruikt zijn tijdens de bcrypt stap, dan zullen die mensen ook relatief veilig zijn. Het kost dan namelijk alsnog veel tijd en moeite (=geld) om die wachtwoorden te vinden. Natuurlijk zijn ze wel minder veilig dan iemand die gewoon een fatsoenlijk (random gegenereerd en lang) wachtwoord heeft.
Hoe die simpele wachtwoorden gesalt zijn maakt niet uit, wanneer je de meest voorkomende gewoon uitprobeert in combinatie met alle gelekte gebruikersnamen.
Draai eens een script die op 87,6 gebruikersnamen probeert in te loggen met als wachtwoord 'password', '12345' en 'admin'. Je komt vast wel een paar keer binnen.
Hoe die simpele wachtwoorden gesalt zijn maakt niet uit, wanneer je de meest voorkomende gewoon uitprobeert in combinatie met alle gelekte gebruikersnamen.
Dat is nu juist het punt: omdat BCrypt gebruikt is kan je niet snel een heleboel passwords proberen. Elke check kost een significante hoeveelheid CPU cycles (is instelbaar). Als je deze 'work-factor' zo instelt dat het 1-2 seconden duurt om een password te te controleren dan beperk je daarmee enorm hoe veel passwords een cracker kan proberen.

[Reactie gewijzigd door Aaargh! op 6 december 2016 10:46]

Het lijkt me een redelijke aanname dat de bcrypt parameters zo zijn gekozen dat het verifiëren van een password in de orde van grootte van 1 seconde duurt. Dat is uitgaande van standaard hardware (zeg, een gemiddeld webservertje).

Een beetje serieuze cracker heeft een aardige renderfarm en/of een botnet tot zijn beschikking. Dan zit je al gauw aan één tot enkele miljoenen pogingen per dag. Als je dan begint met de meestvoorkomende wachtwoorden heb je zo goed als zeker binnen een dag beet (ik denk in werkelijkheid nog veel sneller).

[Reactie gewijzigd door Jace / TBL op 6 december 2016 11:24]

Echter, als je een bepaald iemand als doel heb is het dan wel weer te doen om uit zo'n hack een generiek wachtwoord te herleiden.
Toevallig laatst eens zo'n bestand bekeken. Percentage stupide wachtwoorden was eerder rond de 40.
Niet verwonderlijk als dergelijke sites (yt) met de meest onzinnige functionaliteit(het uit kunnen schakelen van on screen notities, autoplay en crap) een account vereist,
Verdienen, nee. Er bijna om vragen, ja. Zo dacht ik ook bij de hacks van social media CEO's (zoals Zuck op twitter) dat het een account is dat ze weinig kan schelen óf dat het bewust was, zodat als ze werden gehackt, hun concurrent er imagoschade aan overhield.

[Reactie gewijzigd door Blizz op 5 december 2016 22:35]

Ok, maar die verdienen dat ook.
Nee hoor, als ik vergeet mijn achterdeur op slot te doen (vergelijk: even snel een simpel wachtwoord instellen en dan vergeten later een sterker ww. in te stellen), verdien je 't ook niet dat je huis wordt leeggehaald.
Een hacker waarschuwt dan dat je deur los zit; een cracker neemt je spullen mee of vernield ze.
Excuse moi?

Je verdient het om gehackt te worden?
Als ze meer dan 10.000 herhalingen hebben gebruikt.
10.000? lijkt me niet. Bij bcrypt is de effort exponentieel. Op dit moment wil je waarschijnlijk 12 of meer gebruiken.
Je hebt gelijk. Ik bedoel dan inderdaad 13 of 14 (2^13, 2^14). Ligt natuurlijk aan je use case, maar voor alleen inloggen zou ik persoonlijk hoger dan 12 kiezen.
Hack? .... of datalek?
Een hack met als gevolg een datalek.
Een datalek hoeft nog geen hack te zijn maar een hack moet volgens mij wel altijd gezien worden als datalek (als data inzichtelijk is geweest)
Beide. Het gevolg van een hack, is een datalek. De data is namelijk uit gaan lekken door een hack ;).
Ik hoor vaak het argument dat wachtwoord kluisjes niet veilig zijn bla bla. Het feit is dat er al 5 accounts van mij op straat liggen, gelukkig allemaal met een sterk 10+ characters wachtwoord. Keepass werpt in deze tijd gewoon vruchten af. Gebruik nooit twee keer het zelfde wachtwoord mensen, doe het echt niet!
Of gebruik nooit hetzelfde email adres. Dankzij een catchall (en een hekel aan spam) heeft elke website bij mij een apart emailadres als login.
Of.... misschien wel shady.... maar je kan het volgende doen :

- Maak een facebook account aan
- Gooi deze helemaal op slot
- Zet 2traps authenticatie aan bv met je mobiel
- Gebruik dit facebook account om in te loggen op allerlei websites indien dat mogelijk is.

Voordeel hiervan is is dat je wachtwoord en login nergens worden vastgelegd. Is er een hack gepleegd dan hebben ze jou login gegevens niet.

Enigste zorg is je account bij facebook. Echter met 2traps authenticatie is dat wel denk ik geborgd.

Het is een manier eh. Niet de manier... Ik gebruik dit voor al mijn online zaken die niet belangrijk zijn.
Meteen maar even een nieuw ww ingesteld op een erg oud account. Jammer dat zo'n organisatie dat niet even zelf initieert en iedereen een nieuw wachtwoord stuurt.
Dat ze een reset doen en je een mail sturen om je wachtwoord opnieuw aan te maken.
Want per mail in plain text een wachtwoord toesturen is uit den boze (en wordt helaas nog veel gedaan door bedrijven).
Wow, dat is toch altijd even schrikken bij het inzien waar je allemaal gehackt bent. Het ergste is dan dat vele bedrijven je niet eens op de hoogte stellen.

[Reactie gewijzigd door Mupenge op 6 december 2016 06:36]

Ik zou toch vooral en voornamelijk schrikken als bedrijven die ik helemaal niet ken me op de hoogte willen stellen van een hack.
87,6 miljoen accounts... da's een mooie buit voor de hackers. Al is de vangst blijkbaar (nog) goed versleuteld? Toch maar voor de zekerheid het wachtwoord van een oude account net veranderd...
Gelukkig dat ik de app enkel gebruikte om te testen of hij direct vanuit een andere app kon worden opgestart, maar dat bleek niet te werken, dus nooit een account aangemaakt.
Tja Plex natuurlijk mijn email.....

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*