Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Crimineel eiste 100.000 dollar van e-sportsbedrijf ESEA na hack

Door , 33 reacties

Een crimineel heeft bij e-sportsorganisatie ESEA 100.000 dollar geŽist voor het niet publiceren van data van gebruikers. Toen het bedrijf daar niet op inging, kwamen de gegevens van anderhalf miljoen gebruikers van de e-sportsdienst online.

ESEA raadt alle gebruikers aan het wachtwoord voor zijn dienst te wijzigen en bovendien alle wachtwoorden te veranderen die eind december hetzelfde waren als die van ESEA. De e-sportsorganisatie, een van de bekendste in zijn branche ter wereld, bevestigt met de post maandagnacht Nederlandse tijd de poging tot afpersing naar aanleiding van de hack.

In de gestolen gegevens staan van accounthouders onder meer de naam, user-id, adresgegevens, eventuele gebruikersnamen voor Xbox Live, PSN en Steam en met bcrypt versleutelde wachtwoorden. ESEA had zijn leden op 30 december al op de hoogte gesteld van het feit dat iemand toegang had tot gegevens van gebruikers. In die mededeling schreef het bedrijf dat het op 27 december bericht over de hack kreeg van een onbekend persoon.

Via de site van de organisatie kunnen spelers van verschillende games het onder andere in wedstrijden tegen elkaar opnemen. ESEA laat zich er verder niet precies over uit waardoor de hack kon gebeuren, maar claimt de afgelopen weken diverse beveiligingsupdates te hebben uitgevoerd. Die resulteerden onder meer in downtime voor gebruikers. Maandag kwam via de site Leakedsource naar buiten dat het mogelijk om een afpersingspoging zou gaan, al noemde de site een lager bedrag van 50.000 dollar.

Reacties (33)

Wijzig sortering
Ik ben niet helemaal bekend met de veiligheid van het bcrypt hashing algorithme, maar het is in ieder geval weer eens wat anders dan plain text, md5 of sha1. Wat ik vooral jammer vind is dat de adres gegevens wel gewoon plain text beschikbaar zijn. Hashen daarvan is natuurlijk wat lastig, maar een encryptie van deze data is wel zo fijn. Een password is nog wel te veranderen, je adres vaak wat lastiger. En zeker met de toenemende populariteit van esports (inc. fans en 'fans') lijkt het me toch niet handig dat adres gegevens openbaar zijn.
Het encrypten van data in een database is erg lastig, omdat elke keer als je een zoekopdracht wil doen naar geencrypte data je alle fields in de database moet decrypten en dat duurt veel te lang. Bcrypt is overigens een van de beste hashing methodes die er zijn.
Zo lang je 1 dataveld moet hebben valt het wel mee, je hasht je query ook, en zoekt daarop. Als je echter ranges wilt opvragen ga je nat, want dat kan eigenlijk niet meer.
yup; en daarvoor is dus salting enzo uitgevonden; waardoor hetzelfde 'woord' bij twee keer encrypten een verschillende hash oplevert...

anders krijg je namelijk veel te gemakkelijk rainbow tables met alle gekende wachtwoorden en kan je net zo goed in rot13 gaan 'encrypten'
Bcrypt bestaat al even en het is nog niet gekraakt, dus dat zit gelukkig wel goed.
Bekendheden willen niet vaak hun adres gegevens openbaar hebben inderdaad. Het kan van lastige tot zelfs gevaarlijke situaties leiden. Laatste wat je wilt is overal fans die eerder stalkers genoemd kunnen worden om je heen. Of problemen krijgen door zwaar uit de hand lopende 'pranks' zoals swatting. Zelfs de meest lieve bedoelingen kunnen een last zijn, zo zijn er bijvoorbeeld bekendheden die zo veel cadeautjes van fans opgestuurd krijgen dat ze de tijd en ruimte niet hebben alles te openen en bewaren.

Maar ook als je onbekend bent.
Je adres is absoluut niet iets dat openbaar moet staan!
Ik neem ook aan dat onder de noemer 'adresgegevens' e-mail adressen vallen in deze digitale tijd. Als je usernames hebt dan ook vast en zeker een e-mail adres wel. Anderhalf miljoen (bevestigde, actieve) e-mail adressen zullen nog steeds wel een bepaalde waarde hebben.

Vooral de combinatie van gegevens kan denk ik een risico vormen, als jij spam krijgt waar je aangesproken wordt met je echte naam, op je privť email, jouw eigen adres en een overeenkomende gebruikersnaam komt het allemaal ook sneller betrouwbaar over. De gemiddelde lezer hier zal alsnog wel op delete drukken, maar daarbuiten..
Al je gegevens horen privť te blijven om meerdere redenen. Hoe meer informatie in handen is bij kwaadwilligen, hoe gevaarlijker. Had het nu specifiek over fysieke adres, als aanvulling op CabezaDelZorro. Maar email hoort ook zeker goed beveiligd te zijn.

Tegenwoordig benaderen de spam/scam mails je steeds persoonlijker ja, Tot zo erg dat het een kwestie van tijd is tot ik er zelfs een keertje in ga tuinen (al weet ik ze nu nog heel snel te spotten). Wij hebben op het werk regelmatig dat soort emails (en fysieke post) ontvangen met adresgegevens tot zelf de naam van 1 van onze vertegenwoordigers er op. Als bedrijf is het helaas lastig om bedrijfsgegevens te verbergen naar kwaadwilligen maar openbaar te houden naar potentiŽle klanten, tot zelfs zeer onpraktisch. Als ze willen hebben ze zo gevonden wat voor details op de email moet om het geloofwaardiger te maken. Is je beveiliging niet goed genoeg en je collega's onwetend dan openen ze zo de malware in de bijlage of boeken ze een spookfactuur in.

Privť ben ik gelukkig redelijk veilig mee gebleven, op mijn 3 hoofdaccounts ontvang ik vrijwel nooit spam en geen enkele keer gepersonaliseerd. Maar op een ander email adres (die ik voor zeer onbelangrijke zaken gebruik en iets minder voorzichtig mee ben) wordt ik door spammails af en toe met mijn volledige naam aangesproken.
Het is de vraag hoe nuttig encryptie van specifieke velden in de database is, afhankelijk van het type hack. Als de hacker alleen bij de database kan, dan is encryptie nuttig en kan hij de adresgegevens niet lezen. Als hij toegang had tot de hele server(s), dan kan hij ook de code downloaden waarmee de applicatie zelf de velden moet decrypten. Vanzelfsprekend kan een hacker dat dan ook, het kost alleen wat meer moeite. Met een relatief simpel tooltje zou je dan alle velden geautomatiseerd kunnen decrypten, waardoor het hooguit een paar uur/dagen extra werk voor de hacker kost.

Hashen van wachtwoorden is uiteraard wel een goed idee (een vereiste!), het doel daarvan is dan ook dat je niet het originele wachtwoord kunt terughalen. Dat betekent helaas ook dat je dat niet kunt gebruiken voor adresgegevens, want anders zou de applicatie ze zelf ook niet meer kunnen lezen. De hacker ook niet, maar dat helpt op dat moment niet echt :)
Bcrypt is per ontwerp langzaam waardoor het veel langer duurt veel wachtwoorden te proberen.
Gister was het nog 50.000?
bedankt wammie, schijnt dus idd. 100k te zijn.

Ben blij dat ik nooit esea heb genomen, vond het na dat hele bitcoin verhaal allemaal maar een beetje vreemd.

[Reactie gewijzigd door merryb op 10 januari 2017 13:30]

De bronnen van gister zijn ook alweer geupdate. En ESEA heeft ook geconfirmed dat het om 100.000 dollar ging.
Bron: http://www.csoonline.com/...ed-extortion-attempt.html
Als ik reddit mag geloven gaat het hier om een hack d.m.v. een slecht beveiligde mongodb instance, geen idee wat daar waar van is, maar ik zou niet verbaasd zijn als dat inderdaad zo is. ESEA is zo incompetent en heeft al zo veel shady dingen gedaan in het verleden... Ik snap niet dat mensen uberhaupt nog via hun client willen spelen. (case in point: bitcoin miner verstopt in client)
Als ze incompetent waren dan hadden ze geen bcrypt gebruikt voor de hashing. Zonder meer details en bevestigign vanuit mensen die de infrastructuur kennen kan je daar geen uitspraken over doen.
Dat ze 1 ding goed doen betekent nog niet dat ze niet incompetent zijn op organisatorisch, ethisch en (andere delen van) technisch vlak.
Het gaat hier niet om een boete maar om een afpersing, daar zit nog best een verschil in.
Wat een flauwekul. Als je op dit soort dingen ingaat en dus betaalt, werk je hackers die dit soort gedrag gaan vertonen alleen maar in de hand. Ze krijgen geld, kunnen zich nog meer technologie veroorloven en gaan het vaker proberen omdat het dus ook daadwerkelijk loont. En wie zegt dat ze na het ontvangen van het geld niet nog meer geld willen en dan alsnog alles online zetten?
Dit zijn geen goedaardige hackers, verre van! Kijk zelf maar, anders hadden ze wel aangegeven een lek te hebben gevonden en een paar willekeurige usernames uit de database gehaald in plaats van de hele database vrij te geven... Het feit dat je denkt dat je om te hacken alleen 'skills' nodig hebt zegt al genoeg ;)
Het feit dat de security nogal wat te wensen overlaat is IMHO een veel groter issue.

Via monitoring kan je gemakkelijk aangeven dat er vanaf een bepaald IP een hele hoop adresgegevens worden bemachtigd. Als gevolg daarvan kan er een IP Block automatisch worden ingesteld. Lijkt me dus geen overbodige luxe met zoveel klantdata...
Natuurlijk is ESEA net zou fout, of nog wel fouter zelfs dan de hacker.

Maar dat betekent in mijn ogen niet dat wij het gedrag van de hackers moeten goedpraten.
Het is niet omdat ik mijn voordeur open laat staan dat jij het recht hebt om mijn huis leeg te komen halen.

Is het een probleem? Ja. Maar op zich is daar weinig illegaal aan. Een DB dump maak je als je wilt met 1 enkel commando. Dat vang je niet af want iemand kan net zo goed een backup aan het maken zijn.
Het weas wat anders geweest als de hacker had gezegt: Jullie site staat open als je dit en dat doet. Dit is gewoon afpersing.
Volgens mij weten we simpelweg niet of dit is gebeurd en doordat ESEA een dubbel zo hoog bedrag noemt als een dag ervoor lijkt het er toch ook op alsof ze daarover niet eerlijk zijn geweest. We weten het simpelweg niet.
Tot vandaag was er geen bedrag genoemd. Nieuws sites kwamen met bedragen zoals 50K, esea kwam vandaag pas met officieel schrijven en die 100K is dus het enige door hun gecommuniceerde bedrag.
Serieus??!!...... Boete 2.0

Dus een script kiddy die het niet eens is met een partij, moedig jij dus aan om te hacken.
Dit onder het mom "Boete van het volk".

Dus als jij te hard rijd en ik "als burger" ben het daar niet mee eens, of ik heb gewoon zin om je een oor aan te naaien, jat alle vier je banden........en die krijg je "misschien" pas terug als je "mijn bedrag" hebt betaald
Best verontrustend inderdaad, dat er mensen bestaan die zo denken.
Als volk hebben we niks aan die 'boete 2.0'
Dit is 1 crimineel die er vandoor gaat met het geld, die met zijn succes zijn motivatie en middelen kan laten versterken om vaker dit soort hacks uit te voeren. Wij als volk krijgen er niks voor terug, wij zijn juist de slachtoffers.
Het is onze privacy (die best belangrijk is) die op het spel staat. Ook zal de organisatie waar je op aangesloten zit minder geldmiddelen hebben om zijn diensten uit te voeren. Mogelijk houdt dat zelfs in dat je meer moet gaan betalen voor die diensten, want ze moeten ergens opbrengst uit krijgen nadat ze een grote kostenklap krijgen.

Waarom zou je het positief vinden dat een crimineel een 'boete' kan geven voor slechte beveiliging als de beveiliging juist bedoelt hoort te zijn om de zelfde crimineel tegen te houden zodat hij geen gegevens kan gijzelen voor geld. Een beetje erg tegenstrijdig...

Een boete vanuit de overheid zal inhouden dat er minder inkomsten uit belastingen nodig zijn om de staatskas te vullen en dat de overheid extra voorzieningen voor het volk kan regelen. Ook al lijkt het er soms totaal niet op, de overheid is er voor het volk.
Dat kan ik absoluut niet zeggen over deze hacker die privacy gevoelige info van anderhalf miljoen mensen op straat gooit.

[Reactie gewijzigd door Musical-Memoirs op 10 januari 2017 09:12]

Als jij een crimineel "het volk" vindt EN zo'n persoon 100.000 gunt twijfel ik sterk aan je moraal.
Dit soort criminelen kosten bedrijven en consumenten miljoenen en uiteindelijk betaald "het volk" dit uit eigen zak.
Je moet mee rekenen dat als je wel betaald, we als maatschappij laat zien dat criminaliteit loont. Dit zal leiden tot meer criminaliteit en een exponentiŽle groei in kosten. Het verboden moeten worden voor bedrijven om in te gaan op dit soort black mail (ongeacht de kosten) en moeten wij als maatschappij accepteren dat bedrijven dan ook niet doen, zelfs als wij als consument daar de dupe van zijn.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*