87,6 miljoen accounts Dailymotion liggen op straat na hack

87,6 miljoen gebruikersaccounts van videowebsite Dailymotion liggen op straat als het gevolg van een hack. Daar zitten ook 18,3 miljoen geassocieerde wachtwoorden bij, die versleuteld zijn met bcrypt.

Hack-notificatiewebsite LeakedSource heeft de database op maandag aan zijn betaalde 'assortiment' toegevoegd. Zowel ZDNet als BleepingComputer hebben monsters van de data in handen gekregen en verifieerden dat de gegevens niet alleen echt zijn, maar ook zonder twijfel toebehoren aan DailyMotion. Andere gegevens dan gebruikersnamen, user id's en een beperkte hoeveelheid wachtwoorden zijn niet gelekt.

Wie verantwoordelijk is voor de hack, is niet bekend. De digitale inbraak zou op 20 oktober plaats hebben gevonden. Dailymotion zelf heeft nog niet gereageerd op het nieuws. Hoewel bcrypt niet gemakkelijk te kraken is, doen Dailymotion-gebruikers er goed aan om hun wachtwoord alsnog te veranderen en dat ook te doen op andere sites waar dat wachtwoord hergebruikt is.

Dailymotion

IT-banen

Reacties (79)

Anonymoussaurus 5 december 2016 20:49

Op LeakedSource.com kun je bekijken of je onderdeel bent van deze of een ander(e) hack/datalek:

https://www.leakedsource.com/main/

http://imgur.com/SrmrYFK

Je kunt filteren op de volgende criteria:

E-mail adres
Username
IP-adres
Naam
Telefoonnummer

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 23:24]

biglia @Anonymoussaurus • 5 december 2016 20:57

Moet je er niet voor betalen om dat te controleren?

Hack-notificatiewebsite LeakedSource heeft de database op maandag aan zijn betaalde 'assortiment' toegevoegd. Zowel ZDNet als BleepingComputer hebben monsters van de data in handen gekregen en verifieerden dat de gegevens niet alleen echt zijn, maar ook zonder twijfel toebehoren aan DailyMotion.

Hoe komen zij er eigenlijk aan? Terwijl ZDNet en BleepingComputer blijkbaar niet de hele DB hebben.

Anonymoussaurus @biglia • 5 december 2016 21:55

Moet je er niet voor betalen om dat te controleren?

Nee, controleren kost geen geld. Het inzien van je data echter wel. Zie ook hier: https://www.leakedsource.com/main/subscribe/?ref=bar

Vrij prijzig naar mijn mening.

Hier een bron dat het daadwerkelijk kan: http://imgur.com/ue9MLbK

Overigens wel raar dat ze adverteren met 79 cent per dag, maar dat de prijs 4 dollar per dag is als je op de link klikt.

Hoe komen zij er eigenlijk aan? Terwijl ZDNet en BleepingComputer blijkbaar niet de hele DB hebben.

De enige reden die ik zou kunnen bedenken, is dat ze het gratis of betaalt, op het deepweb hebben gevonden, waar de hackers het misschien aanbieden.

supersnathan94 @Anonymoussaurus • 6 december 2016 02:58

As low as 79 cents a day. De 365 dagen optie komt daar mee overeen @$320.

Die trial voor 1 dag is uiteraard duurder omdat je dan meer kwijt bent als bedrijf voor administratie en transactiekosten.

Anonymoussaurus @supersnathan94 • 6 december 2016 09:31

Dat vind ik geen kattenpis. 320 dollar per jaar voor zoiets, verdienen ze lekker aan

. Mij niet gezien, ik ben wel gewoon uiterst voorzichtig.

supersnathan94 @Anonymoussaurus • 6 december 2016 11:09

Nou ik kan zo voorstellen dat het voor sommige bedrijven (Zoek bijvoorbeeld eens naar dit domein met de wildcard optie) erg handig is om aan te melden voor een notificatie om zo een hack bij jezelf te voorkomen. $320 is dan een schijntje als je hierdoor tijdig in kan grijpen.

Als je de blog van bijvoorbeeld Troy Hunt eens bekijkt zie je dat er ontzettend veel tijd en denkwerk gaat zitten in het veilig behandelen van de gegevens zodat je zelf niet een bron van lekken wordt. Zeker als je zo'n beetje alle password databases in je bezit hebt van alle grote lekken. We hebben het hier immers over ruim 2 biljoen accounts.

Leakedsource heeft er zefs 3 miljard

[Reactie gewijzigd door supersnathan94 op 25 juli 2024 23:24]

ronkerz @Anonymoussaurus • 5 december 2016 22:22

https://haveibeenpwned.com Is een soort gelijke site maar is nog niet actueel met deze hack.

Anonymoussaurus @ronkerz • 5 december 2016 22:23

Dat klopt wat je zegt. In een eerdere reactie heb ik dit ook gemeld

.

Anonymoussaurus in 'nieuws: 87,6 miljoen accounts Dailymotion liggen op straat na...

Verwijderd @biglia • 5 december 2016 21:33

Om de hele lijst te zien moet je er inderdaad voor betalen (nog geen euro per maand volgens mij), maar je kan de database wel op specifieke termen doorzoeken zoals AnonymousWP al zei.

legacio @Anonymoussaurus • 5 december 2016 21:46

jippie, mijn emailadres staat in de dailymotion hacklijst

stresstak @legacio • 5 december 2016 22:10

jippie, mijn emailadres staat in de dailymotion hacklijst

Als ik mijn emailadres invul op de site (waar ik niet eerder van hoorde), meldt men dat drie andere sites mn adres kennen.
Om meer te weten te komen mag ik betalen, een account aanmaken en mn gegevens achter laten.
Sterk staaltje phishing.. !

Ik ken DM niet en de drie genoemde sites ook niet.
Het zij zo.

aredders @stresstak • 6 december 2016 17:31

Dailymotion wordt soms op Facebook gebruikt om filmpjes te delen. Dus als je ooit de voorwaarden hebt geaccept dan komt het daardoor.

stresstak @aredders • 6 december 2016 17:33

Dailymotion wordt soms op Facebook gebruikt

Facebook ? Ikke.? Neen, ik doe niet aan sociaal.

Anonymoussaurus @legacio • 5 december 2016 21:59

Ondanks dat de wachtwoorden encrypted worden opgeslagen (met de sterke encryptietool bcrypt), is het alsnog aan te raden om je wachtwoord te wijzigen. Helemaal als je dat wachtwoord ook ergens anders gebruikt. Je weet immers maar nooit

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 23:24]

Yggdrasil

@Anonymoussaurus • 6 december 2016 10:56

Huh? Omdat ze encrypted zijn moet je je wachtwoord wijzigen? Dat is niet logisch.

Anonymoussaurus @Yggdrasil • 6 december 2016 10:58

Daarom zei ik ook "alsnog". Dus als extra maatregel

Bullit1991 @Anonymoussaurus • 6 december 2016 15:53

Kun je dan niet beter 'Ondanks' gebruiken i.p.v. 'Omdat'?

Anonymoussaurus @Bullit1991 • 6 december 2016 15:53

Dat is inderdaad een betere woordkeuze. Ik heb het aangepast. Dankje.

fakeflamingo @Anonymoussaurus • 5 december 2016 20:52

Ehhh nee daar ga ik mijn email-adres niet invullen

TheekAzzaBreek @fakeflamingo • 5 december 2016 21:56

Waarom een downmod? Best een verstandige opmerking.

kimborntobewild @TheekAzzaBreek • 6 december 2016 09:32

Inderdaad; want 't is even de vraag of leakedsource je gegevens alleen éénmalig gebruikt om de check te doen, of dat je gegevens gelogd worden.
Waarom hebben ze een opt-out mogelijkheid?
https://www.leakedsource.com/main/faq/
Dan moeten ze dus toch iets van je opgeslagen hebben?

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 23:24]

supersnathan94 @kimborntobewild • 6 december 2016 11:15

De opt out is er om er voor te zorgen dat je emailadres wordt gewist zodat de publieke search niet meer werkt. Ik kan immers ook een search opvragen om te kijken of jij je ooit bij ashley madison of adultfriendfinder hebt opgegeven. Als ik je emailadres heb...

kimborntobewild @supersnathan94 • 6 december 2016 12:18

Ah, op die fiets!
Alleen staat erbij dat het opt-outen automatisch gaat. Maar dan klopt 't systeem niet, want dan kan je voor een ander opt-outen. Want een persoon die bevestiging moet opgeven via een bevestigingsmail dat je wilt opt-outen: dat is geen automatisch systeem.

supersnathan94 @kimborntobewild • 6 december 2016 12:21

Maar dat is wel de enige manier om de opt-out goed te doen. Zonder verificatie opt out doorvoeren is erg slecht.

Stel dat ik mijn potentiële slachtoffer opt out zodat hij geen notificaties meer krijgt? Not handy.

kimborntobewild @supersnathan94 • 6 december 2016 12:28

Zonder verificatie opt out doorvoeren is erg slecht.

Ja, maar ze geven aan dat het geautomatiseerd gaat. Ik vind het niet echt een automatisch systeem als je handmatig moet bevestigen. (Ik zeg dus niet dat bevestiging niet gewenst is; ik zeg alleen dat ik dit geen automatisch systeem vindt. Halfautomatisch zou je 't wel kunnen noemen.)

supersnathan94 @fakeflamingo • 5 december 2016 21:48

Alsof ze nog niet genoeg hebben aan die 1,989,141,353 accounts en per se die van jou erbij willen hebben. De kans is vrij groot dat je er toch al bij zit.

The Reeferman @supersnathan94 • 6 december 2016 09:49

Was het toen jij pas keek nog maar 1,9 miljard, gaat hard dan is al weer ruim een miljard bij. 2,918,283,623

supersnathan94 @The Reeferman • 6 december 2016 11:12

Dat was de teller bij HIBP van Troy Hunt. Die heeft deze set nog niet verwerkt en heeft daarnaast een aantal sets niet of niet meer (zoals de V-tech dataset. Die heeft hij verwijderd).

Anonymoussaurus @fakeflamingo • 5 december 2016 20:53

Die keus is natuurlijk aan jou

. Troy Hunt van HaveiBeenPowned heeft het lek van DailyMotion in ieder geval nog niet toegevoegd, als je hem meer vertrouwt.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 23:24]

Arcticwolfx @Anonymoussaurus • 5 december 2016 21:10

Volgens die site is mijn wachtwoord en e-mail overal gestolen, met name een hoop sites waarop ik nooit aangemeld ben geweest.

Anonymoussaurus @Arcticwolfx • 5 december 2016 21:37

Misschien iemand met dezelfde username?

shadowfox @Anonymoussaurus • 6 december 2016 08:19

Gek, blijkbaar kan ik mijn 'main' email terug vinden in 14 gehackte site's hun databank. (En op ééntje na kan ik bevestigen dat ik op die sites een account had)

Wel straf, er staan een paar grote namen in die lijst (o.a. Adobe) waarvan ik nu toch dacht dat ze hun security op orde hadden.

Yggdrasil

@shadowfox • 6 december 2016 10:58

Adobe had een enorm lek in oktober 2013. https://haveibeenpwned.com/ heeft mij daar toen van op de hoogte gebracht. Zo'n beetje iedereen in mijn bedrijf was getroffen.

himlims_ @Anonymoussaurus • 6 december 2016 10:07

zowaar de 7e 10e website dit jaar

waar ik een acccountje had
wat een kut

record

[Reactie gewijzigd door himlims_ op 25 juli 2024 23:24]

Anonymoussaurus @himlims_ • 6 december 2016 10:11

Dat doe je goed

janyksteenbeek 6 december 2016 01:16

Mocht je jezelf uit de Leakedsource database willen laten verwijderen (nadat je uiteraard je wachtwoorden hebt veranderd), dan kan dat via onderstaande URL:

https://www.leakedsource.com/main/removal

Saven 5 december 2016 20:49

Och, bcrypt is wel redelijk goed dus zou me weinig zorgen maken

Verwijderd @Saven • 5 december 2016 21:08

Mensen met een slecht wachtwoord zijn alsnog de lul. Accounts met "admin" of "123456" als password zullen beslist misbruikt worden. En met 87 miljoen accounts is de kans ongeveer 100% dat er zeker een paar duizend van zulke triviale gevallen tussen zitten.

PhoenixT @Verwijderd • 5 december 2016 21:36

Als de wachtwoorden goed gesalt zijn en er genoeg iteraties gebruikt zijn tijdens de bcrypt stap, dan zullen die mensen ook relatief veilig zijn. Het kost dan namelijk alsnog veel tijd en moeite (=geld) om die wachtwoorden te vinden. Natuurlijk zijn ze wel minder veilig dan iemand die gewoon een fatsoenlijk (random gegenereerd en lang) wachtwoord heeft.

CivLord

@PhoenixT • 6 december 2016 08:46

Hoe die simpele wachtwoorden gesalt zijn maakt niet uit, wanneer je de meest voorkomende gewoon uitprobeert in combinatie met alle gelekte gebruikersnamen.
Draai eens een script die op 87,6 gebruikersnamen probeert in te loggen met als wachtwoord 'password', '12345' en 'admin'. Je komt vast wel een paar keer binnen.

Aaargh! @CivLord • 6 december 2016 10:44

Hoe die simpele wachtwoorden gesalt zijn maakt niet uit, wanneer je de meest voorkomende gewoon uitprobeert in combinatie met alle gelekte gebruikersnamen.

Dat is nu juist het punt: omdat BCrypt gebruikt is kan je niet snel een heleboel passwords proberen. Elke check kost een significante hoeveelheid CPU cycles (is instelbaar). Als je deze 'work-factor' zo instelt dat het 1-2 seconden duurt om een password te te controleren dan beperk je daarmee enorm hoe veel passwords een cracker kan proberen.

[Reactie gewijzigd door Aaargh! op 25 juli 2024 23:24]

Jace / TBL @Aaargh! • 6 december 2016 11:24

Het lijkt me een redelijke aanname dat de bcrypt parameters zo zijn gekozen dat het verifiëren van een password in de orde van grootte van 1 seconde duurt. Dat is uitgaande van standaard hardware (zeg, een gemiddeld webservertje).

Een beetje serieuze cracker heeft een aardige renderfarm en/of een botnet tot zijn beschikking. Dan zit je al gauw aan één tot enkele miljoenen pogingen per dag. Als je dan begint met de meestvoorkomende wachtwoorden heb je zo goed als zeker binnen een dag beet (ik denk in werkelijkheid nog veel sneller).

[Reactie gewijzigd door Jace / TBL op 25 juli 2024 23:24]

MiesvanderLippe @PhoenixT • 5 december 2016 21:45

Echter, als je een bepaald iemand als doel heb is het dan wel weer te doen om uit zo'n hack een generiek wachtwoord te herleiden.

TheekAzzaBreek @Verwijderd • 5 december 2016 22:25

Toevallig laatst eens zo'n bestand bekeken. Percentage stupide wachtwoorden was eerder rond de 40.

Verwijderd @TheekAzzaBreek • 6 december 2016 09:50

Niet verwonderlijk als dergelijke sites (yt) met de meest onzinnige functionaliteit(het uit kunnen schakelen van on screen notities, autoplay en crap) een account vereist,

Blizz @Verwijderd • 5 december 2016 22:34

Verdienen, nee. Er bijna om vragen, ja. Zo dacht ik ook bij de hacks van social media CEO's (zoals Zuck op twitter) dat het een account is dat ze weinig kan schelen óf dat het bewust was, zodat als ze werden gehackt, hun concurrent er imagoschade aan overhield.

[Reactie gewijzigd door Blizz op 25 juli 2024 23:24]

kimborntobewild @Verwijderd • 6 december 2016 09:19

Ok, maar die verdienen dat ook.

Nee hoor, als ik vergeet mijn achterdeur op slot te doen (vergelijk: even snel een simpel wachtwoord instellen en dan vergeten later een sterker ww. in te stellen), verdien je 't ook niet dat je huis wordt leeggehaald.
Een hacker waarschuwt dan dat je deur los zit; een cracker neemt je spullen mee of vernield ze.

Rev-anche @Verwijderd • 6 december 2016 00:53

Excuse moi?

Je verdient het om gehackt te worden?

Verwijderd @Saven • 5 december 2016 22:23

Als ze meer dan 10.000 herhalingen hebben gebruikt.

elmuerte @Verwijderd • 6 december 2016 08:25

10.000? lijkt me niet. Bij bcrypt is de effort exponentieel. Op dit moment wil je waarschijnlijk 12 of meer gebruiken.

Verwijderd @elmuerte • 6 december 2016 09:19

Je hebt gelijk. Ik bedoel dan inderdaad 13 of 14 (2^13, 2^14). Ligt natuurlijk aan je use case, maar voor alleen inloggen zou ik persoonlijk hoger dan 12 kiezen.

Deem 5 december 2016 20:49

Hack? .... of datalek?

labmuisfrl @Deem • 5 december 2016 20:51

Een hack met als gevolg een datalek.
Een datalek hoeft nog geen hack te zijn maar een hack moet volgens mij wel altijd gezien worden als datalek (als data inzichtelijk is geweest)

Anonymoussaurus @Deem • 5 december 2016 20:52

Beide. Het gevolg van een hack, is een datalek. De data is namelijk uit gaan lekken door een hack

Dacuuu 6 december 2016 06:09

Ik hoor vaak het argument dat wachtwoord kluisjes niet veilig zijn bla bla. Het feit is dat er al 5 accounts van mij op straat liggen, gelukkig allemaal met een sterk 10+ characters wachtwoord. Keepass werpt in deze tijd gewoon vruchten af. Gebruik nooit twee keer het zelfde wachtwoord mensen, doe het echt niet!

moozzuzz @Dacuuu • 6 december 2016 08:02

Of gebruik nooit hetzelfde email adres. Dankzij een catchall (en een hekel aan spam) heeft elke website bij mij een apart emailadres als login.

innerchild @Dacuuu • 6 december 2016 10:14

Of.... misschien wel shady.... maar je kan het volgende doen :

- Maak een facebook account aan
- Gooi deze helemaal op slot
- Zet 2traps authenticatie aan bv met je mobiel
- Gebruik dit facebook account om in te loggen op allerlei websites indien dat mogelijk is.

Voordeel hiervan is is dat je wachtwoord en login nergens worden vastgelegd. Is er een hack gepleegd dan hebben ze jou login gegevens niet.

Enigste zorg is je account bij facebook. Echter met 2traps authenticatie is dat wel denk ik geborgd.

Het is een manier eh. Niet de manier... Ik gebruik dit voor al mijn online zaken die niet belangrijk zijn.

leth 5 december 2016 21:05

Meteen maar even een nieuw ww ingesteld op een erg oud account. Jammer dat zo'n organisatie dat niet even zelf initieert en iedereen een nieuw wachtwoord stuurt.

HetGezegde @leth • 6 december 2016 09:03

Dat ze een reset doen en je een mail sturen om je wachtwoord opnieuw aan te maken.
Want per mail in plain text een wachtwoord toesturen is uit den boze (en wordt helaas nog veel gedaan door bedrijven).

Mupenge 5 december 2016 21:57

Wow, dat is toch altijd even schrikken bij het inzien waar je allemaal gehackt bent. Het ergste is dan dat vele bedrijven je niet eens op de hoogte stellen.

[Reactie gewijzigd door Mupenge op 25 juli 2024 23:24]

stresstak @Mupenge • 5 december 2016 22:43

Ik zou toch vooral en voornamelijk schrikken als bedrijven die ik helemaal niet ken me op de hoogte willen stellen van een hack.

Tweakmans 5 december 2016 21:15

87,6 miljoen accounts... da's een mooie buit voor de hackers. Al is de vangst blijkbaar (nog) goed versleuteld? Toch maar voor de zekerheid het wachtwoord van een oude account net veranderd...

SinergyX 5 december 2016 22:57

Gelukkig dat ik de app enkel gebruikte om te testen of hij direct vanuit een andere app kon worden opgestart, maar dat bleek niet te werken, dus nooit een account aangemaakt.

Theodor 6 december 2016 00:55

Tja Plex natuurlijk mijn email.....

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (79)

Sorteer op:

Weergave: