Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Een database met 1,4 miljoen verschillende accounts is uitgelekt. De data behoort vermoedelijk toe aan fetisjwebsite Eroticy. Dit kan Troy Hunt, beheerder van HaveIBeenPwned.com en ontvanger van de database, echter zelfs na enkele maanden onderzoek niet met volledige zekerheid zeggen.

Het lek bevat 1,4 miljoen accounts met gebruikersnamen, e-mailadressen, betaalgeschiedenis, fysieke adressen, gebruiksgeschiedenis en plaintext-wachtwoorden. In de loop van 2016 is het databasebestand naar Troy Hunt opgestuurd met de boodschap dat dit van Eroticy afkomt. Hunt heeft ditmaal het verificatieproces volledig in kaart gebracht in een blogpost, maar deze eindigt met de conclusie dat de gegevens hoogstwaarschijnlijk echt zijn, maar dat niet met zekerheid gezegd kan worden dat ze van Eroticy afkomstig zijn.

Eroticy heeft zogenaamde enumeration protection, wat betekent dat niet kan worden bepaald of een e-mailadres in de database van een website staat door bijvoorbeeld het 'wachtwoord vergeten'-formulier in te vullen met het e-mailadres van een vermoedelijke accounthouder. Datzelfde geldt voor het registratieformulier. Op een poging om per e-mail in contact te komen met de beheerders is niet gereageerd.

Hunt heeft wel enkele e-mailadressen uit de database gemaild en de gebruikers zeiden veelal dat het inderdaad mogelijk was dat ze zich geregistreerd hebben voor de website. Zeker weten doen ze echter niet in alle gevallen. Dat is ook niet verrassend, aangezien sommige data uit 2002 stamt. De dataset is in ieder geval aan HaveIBeenPwned.com toegevoegd en iedereen die ingeschreven staat voor die dienst en ook terugkomt in de database heeft een mailtje gekregen.

Moderatie-faq Wijzig weergave

Reacties (62)

Voor de geïnteresseerden: op de website kan je checken of je voorkomt in een databreach: https://haveibeenpwned.com/

Door middel van je username of e-mail adres in te voeren, kan je er achter komen of je voorkomt in een databreach.

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut
Ook aan te raden voor beheerders is de Domain Search feature.

Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf.
Dat is inderdaad een hele goeie tip! Ik zag het wel op de site staan, maar heb mij er niet zo erg in verdiept. Inderdaad erg handig, en scheelt de systeembeheerder weer wat werk :). Je moet er niet aan denken dat door 1 gebruiker, de hele zooi overhoop ligt en dat jij het mag gaan oplossen :( (wat overigens wel je vak is, maar voorkomen is beter dan genezen..).

[Reactie gewijzigd door AnonymousWP op 10 januari 2017 17:35]

Je kunt inderdaad zien dat ze een account (gehad) hebben, maar je krijgt geen wachtwoorden of hashes te zien. Anders krijg je je collega's nog wel eens van een heel andere kant te zien.
Goed punt!
Je kunt dan de collega voor de zekerheid een nieuw wachtwoord laten instellen en/of hem attenderen.

Vraag me af of de sensitieve breach uitzonderingen hier wel/niet gelden.
Vind het een nobele website maar het doel is ook gelijk heel erg privacy gevoelig.
Je kan als gebruiker gewoon iedere email controleren of deze voorkomt in de database.
Stel dat je het email adres van je vriendin gaat controleren en vervolgens rolt er een database uit van een website waarbij getrouwde vrouwen kunnen vreemd gaan. Lekker gevolg krijgt dat dan.

Haveibeenpwned had veel beter een meer privacy gevoelige optie moeten introduceren zoals :

- Gebruikt wil het volgende mail adres controleren : pietje@gmail.com
- Vervolgens stuurt haveibeenpwnd een link naar pietje@gmail.com met daarin een verwijziging naar de website weer waar de uitkomst van het onderzoek naar voren komt.

Zo kunnen dus alleen mensen die de rechtmatige gebruiker zijn inzien waar zij zijn geregistreerd.

Nu kan je gewoon bepaalde email adressen die niet voor normale gebruikers zijn vrij gegeven controleren op hacks.

Doe maar is een info@domein.com/nl/etc
Je kan ook zo zoals eerder aangegeven je partner en vrienden controleren...

Buiten deze website heb je ook nog deze variant er op :

- https://www.leakedsource.com/main

Zoek daar maar is op info@microsoft.com
Stel dat je het email adres van je vriendin gaat controleren en vervolgens rolt er een database uit van een website waarbij getrouwde vrouwen kunnen vreemd gaan. Lekker gevolg krijgt dat dan.

Haveibeenpwned had veel beter een meer privacy gevoelige optie moeten introduceren zoals :

- Gebruikt wil het volgende mail adres controleren : pietje@gmail.com
- Vervolgens stuurt haveibeenpwnd een link naar pietje@gmail.com met daarin een verwijziging naar de website weer waar de uitkomst van het onderzoek naar voren komt.
https://haveibeenpwned.com/FAQs#SensitiveBreach
Ah, dat kon dus al. Heb er niet meer naar gezocht. Scherp! +2 :)
Ja die had ik ook al gezien echter je krijgt wel te zien op welke website het mail adres is terug gevonden.. DAT is alleen al voldoende om bv je partner serieus in twijfel te nemen als je het email adres terug vind op een vreemdgaan website...

Ze hadden imo gewoon ALLES achter deze methode moeten plaatsen..
Ik denk dat je het niet goed begrepen hebt. Om te zien of een e-mailadres überhaupt voor komt in "sensitive breaches" moet je dat adres eerst verifiëren. Dit gebeurt via de methode die je zelf al beschreef. Pas nadat je dat gedaan hebt krijg je te zien óf en, zo ja, waar het adres gelekt is.

En nee, ik vind niet dat ze dat voor alle data hadden moeten doen. Dat zou zoekfuncties zoals de Domain Search, die voor sysadmins erg waardevol is, onmogelijk maken. Daarnaast is de data al in het publieke domein, dus in principe voor iedereen te vinden.
Hoe bedoel je niet goed begrepen ???

Als ik bv bij leakedsource.com kijk en ik zoek bv op info@outlook.com dan krijg ik toch echt informatie naar voren.

Ik weet nu bv dat dit email adres in de database voorkomt van Adobe en Ashley Madison....

Ik hoef niets te verifiëren bij deze website.

======

Share this search: https://www.leakedsource.com/main/?email=info@outlook.com

Adobe database has: 1 result(s) found. This data was hacked on approximately 2013-10-01 What is in this database?
Ashley Madison Email Db has: 1 result(s) found. This data was hacked on approximately 2015-08-25 What is in this database?


=======

Breaches you were pwned in
A "breach" is an incident where a site's data has been illegally accessed by hackers and then released publicly. Review the types of data that were compromised (email addresses, passwords, credit cards etc.) and take appropriate action, such as changing passwords.

Adobe logo
Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.

Compromised data: Email addresses, Password hints, Passwords, Usernames

[Reactie gewijzigd door innerchild op 11 januari 2017 13:36]

Ah, ik dacht dat we het nog steeds over haveibeenpwned.com hadden. Die doen het in ieder geval wel netjes.

Ik ben met je eens dat leakedsource.com en anderen dat ook zouden moeten doen.
Nou, wat wil het toeval? Volgens een artikel op Tweakers van vandaag is leakedsource.com na een inval door de politie permanent offline. Daarmee is dat 'gat' ook weer gedicht dan. ;)
Vind het een nobele website maar het doel is ook gelijk heel erg privacy gevoelig.
Je kan als gebruiker gewoon iedere email controleren of deze voorkomt in de database.
Stel dat je het email adres van je vriendin gaat controleren en vervolgens rolt er een database uit van een website waarbij getrouwde vrouwen kunnen vreemd gaan. Lekker gevolg krijgt dat dan.

Haveibeenpwned had veel beter een meer privacy gevoelige optie moeten introduceren zoals :
Je hebt toch wel door dat HibP NIET de originele bron is ?
Al die adressen zijn 'vrijgekomen' bij hacks, het enige wat die site doet, is het verzamelen op een inzichtelijke plaats

Die vreemdgaande partner loopt toch wel tegen de lamp, Pastebin wordt OOK door google geïndexeerd
Dat ben ik volledig met je eens. Aan de andere kant: daar is natuurlijk wel weer die opt-out voor, maar ik kan begrijpen dat de gemiddelde persoon daar niets om geeft. Ik doe geen moeite meer om mensen kosten wat het kost over te halen om beter met hun privacy om te gaan. Ze zien de gevolgen zelf wel. Dat wil je inderdaad niet hebben nee. Dat is inderdaad inbreuk op privacy. Wat je zou kunnen doen, is proberen contact op te nemen met beide websites (LeakedSource en HaveiBeenPowned) en je verhaal uitleggen zoals je in je bericht vertelt + de bijbehorende oplossing die je had bedacht. Ik denk alleen dat jij niet de enige zal zijn geweest met die optie, en dat het om de een of andere manier niet is doorgegaan (weet niet waarom).

Een ander dingetje: wat nou als de database van LeakedSource én die van Troy Hunt wordt gehackt? Dan ben je helemaal de sjaak, want dan liggen alle e-mail adressen etc op straat die ooit zijn opgenomen in hun database voor controle.

Dat over LeakedSource wist ik inderdaad. Zie hier bijvoorbeeld: AnonymousWP in 'nieuws: 'Gegevens van 1,5 miljoen accounts van e-sportswebsit...

[Reactie gewijzigd door AnonymousWP op 10 januari 2017 18:04]

Jup, op die manier heb ik tot nu toe ik maar liefst 17 meldingen (waarvan 3 dit jaar!!) ontvangen over het feit dat mijn email adres en wachtwoord is geplaatst op pastebin. Dat klinkt heel erg spannend, maar dit was een wachtwoord dat ik reeds 6-7 jaar niet meer heb gebruikt. En daar ik sinds voor de eerste lek hiervan al voor elke dienst een ander wachtwoord heb ik ingesteld is het ook geen probleem.

Zie hier: https://i.imgur.com/BA33slk.png
Opvallend dat het over tijd steeds kleinere pastes werden. Daar ik telkens hetzelfde naam en wachtwoord zag ga ik ervan uit dat het steeds kleinere "reposts" waren van de eerste twee grote meldingen.


Het werdt me wel gelijk duidelijk wat de reden was dat ik achterlijk veel wachtwoord reset mails had ontvangen.
Dat is geen kattenpis :p. Gelukkig sta ik met 2 e-mail adressen nergens in. Ook niet bij LeakedSource (voor info, zie hier: AnonymousWP in 'nieuws: 'Gegevens van 1,5 miljoen accounts van e-sportswebsit...)

Het is jammer dat ik niet meer weet waar ik 'vroeger' nou allemaal een account had (gebruikte toen nog geen KeePass), want ik wil eigenlijk alleen nog maar accounts die ik gebruik. De rest mag wat mij betreft opgedoekt worden!

[Reactie gewijzigd door AnonymousWP op 10 januari 2017 17:53]

zou misschien wat zijn als websites bij een jaar inactiviteit een melding sturen met de optie het account te verwijderen. Misschien zelfs per wet verplicht hoe moeilijk dat ook is. Zo heb ik ook genoeg accounts rondslingeren waar ik nooit meer wat mee doe waar wel mijn persoonlijke informatie nog aanhangt, wachtend om maar een keer gehackt te worden.

[Reactie gewijzigd door Mister E op 10 januari 2017 16:33]

Je kan de gegevens van zo'n account natuurlijk (als je het zeker weten niet meer gaat gebruiken) ook bijwerken met rubbish data. Mocht de betreffende site dan gehacked worden hebben ze in ieder geval niet je echte gegevens. Zelf afmelden kan lastig zijn. gelukkig is er als een tijdje een overzicht waar van diverse sites beschreven staat hoe je je account kunt verwijderen (of niet in sommige gevallen): justdelete.me

Maar een plicht dat aangeboden moet worden om je account te verwijderen als je x tijd inactief geweest bent zou niet gek zijn.

Sinds ik een wachtwoord manager gebruik heb ik een goed overzicht van alle sites waar ik een account aangemaakt heb (al zal ik er uit het verleden best nog wat missen). Handige is dat je kan zien waneer je voor het laatst ingelogd bent waardoor je zelf actie kunt ondernemen als je een account lang niet gebruikt heb.
Eeb account inactief maken is 1 ding voor veel bedrijven. Je account vervolgens verwijderen uit de bestanden/databases van een bedrijf is heel andere koek. Niet elk bedrijf gaat dat willen. Want de gebruikersdata verdwijnt ook. En zolang je account alleen op inactief is gezet, kan het nog steeds gehackt worden. En iedereen maar accounts aanmaken voor vanalles en nog wat.
Dat vind ik een heel goed idee. Alleen dan moet daar een wereldwijde regeling voor komen, en dat zie ik niet zo snel gebeuren. Een Europese zou nog kunnen, maar als je data dan buiten de EU staat opgeslagen, dan kun je niks en dan is de regel/wetgeving niet geldig.
Daar heb ik nu dus ook last van inderdaad. Ik heb geen idee waar mijn jongere zelf allemaal accounts van heeft gemaakt.

Ik ben wel nog bang dat er via een omweg toch toegang tot mijn hoofd-email-account verkregen kan worden (ookal heb ik twee-traps-authenticatie aanstaan, en dat one-time-password middels een 25+ teken password of vingerprint beveiligd). Enfin, toch binnenkort maar even kijken of mijn backup inlogmethodes ook goed beveiligd zijn!

Zelf gebruik ik 1Password, vindt ik fijner ;)

[Reactie gewijzigd door Coffee op 10 januari 2017 16:44]

Ik heb een anoniem mailadres voor, "rommel" en een voor contact met mensen.

Dat scheelt een hoop spam en gegevensdiefstal.

Je kunt zelfs de mail van de ene forwarden naar de ander, als je echt niet alles kunt missen.
Oh joh, ik gebruik 8 verschillende mail adressen voor verschillende 'vertrouwenslevels'!
Zou inloggen via google theoretisch veiliger zijn?
Ofja, dan heb je voor meerdere plekken hetzelfde account, en kan google zien waar jij overal een account aanmaakt.

Maar dan wordt je password niet opgeslagen in de (slecht beveiligde plaintext) database van bedrijf x?
Klopt, Google geld dan als authenticator.

Zelf ben ik niet zo bang dat Google kan zien waar ik Inlog, maar ik ben wel bang dat mijn account gedeactiveerd wordt, en daarmee ook toegang tot die websites.
En hoe gaan die websites om met de gegevens die je probeert te controleren?
Die kun je dus laten verwijderen. Troy Hunt is een beveiligingsonderzoeker, dus ik ga er van uit dat hij zorgvuldig met onze gegevens omgaat. Bekijk anders eens de volgende linkjes:

https://haveibeenpwned.com/FAQs
https://www.leakedsource.com/main/faq/
Het blijkt wel weer dat het niet uit maakt hoe sterk je wachtwoord is maar dat het ligt aan de manier hoe de database is beveiligd.
En hierom moet je voor elke website een ander sterk password invullen!
Wat is er sterk aan plaintext-wachtwoorden. ?
Het lek bevat 1,4 miljoen accounts met gebruikersnamen, e-mailadressen, en plaintext-wachtwoorden
Daarom staat er voor elke website een ander sterk wachtwoord.. Toch?
Daarom staat er voor elke website een ander sterk wachtwoord.. Toch?
Neen. Sterk, supersterk, maakt niet uit als de site het wachtwoord gewoon leesbaar opslaat. Bij een hack of een lek staat het voor iedereen te lezen.
Het punt is dat ze dan enkel voor betreffende site het wachtwoord hebben en je accounts bij andere websites "veilig" zijn.
Sterk of absoluut niet, plaintext opslaan maakt dat helemaal geen hol meer uit.
(of welke variatie van reeds te kraken encryptie)
Daarom staat er voor elke website een ander sterk wachtwoord.
Dat lijkt inderdaad te kloppen. Nu nog hopen dat bedrijven wat serieuzer gaan worden wat betreft de beveiliging van gegevens.
Of zou het als gebruiker niet interessant zijn om je eigen gegevens veiliger te maken ? (verschillende wachtwoorden)
Natuurlijk. Dat is stap 1. Maar als het met een zwakke hash wordt beveiligt, of met slechte encryptie, dan heb je daar natuurlijk vrij weinig aan.
voor die éne website ja, maar als je een uniek wachtwoord hebt voor elke site, dan is er niks aan de hand bij uitlekken.
Dan niet nee. Maar er zijn maar heel weinig mensen met voor elke dienst een ander wachtwoord.
Dat aantal is wel hard aan t groeien dankzij de opkomst van password managers.
Maar dat is misschien potentieel nog wel gevaarlijker. De password manager moet dan niet ook gehackt worden, dan hebben ze gelijk alles.

Daarom liever een password manager waar de wachtwoorden lokaal in een versleutelde bestand worden opgeslagen.
Ze hebben dan niet gelijk 'alles', ze hebben de encrypted wachtwoorden. Aangezien het me sterk lijkt dat een cloud van een password manager dit zonder salt zou doen, hebben ze praktisch niks aan die data, behalve dat ze weten wie met welk e-mailadres etc een account heeft ergens.
Eens, maar net zozeer het mij sterk lijkt dat diverse andere services wachtwoorden niet encrypted opslaan. Dit is in het verleden ook weleens anders gebleken.

Je mag ervanuit gaan dat een password manager de zaken op orde heeft, maar dit hoeft zeker niet zo te zijn.
Behalve dat andere sites niet het opslaan van je wachtwoord als verdienmodel gebruiken...
Naast de beveiligingsvraag is er ook gewoon de logische vraag of ze je data na x aantal jaar gewoon nog horen te gebruiken.
jah - maar wanneer mijn super-moeilijk-uniek-power-wachtwoord als plaintext wordt opgeslagen .... heeft dat niet zo veel nut, wel dan?

is een lachertje laatste tijd - tich sites gehad waarbij account gestolen/gejat is, hardstikke tof -O-
Bij het gebruik van verschillende paswoorden maakt dat toch niet veel uit ?
Gelukkig is Eroticy in Nederland een totaal niet relevante fetishj website.
Was even bang dat Fetlife een hack had doorgemaakt, maar voor Nederlands IT nieuws is Eroticy gelukkig niet heel nuttig :)
Gewoon 2 way Auth aan zetten is wachtwoord sterkte niet meer zo zwaar wegend.
Of Dat je hem kan koppeen aan finger print of bank of andere zeken
Hunt heeft wel enkele e-mailadressen uit de database gemaild en de gebruikers zeiden veelal dat het inderdaad mogelijk was dat ze zich geregistreerd hebben voor de website. Zeker weten doen ze echter niet in alle gevallen.
Vind het opzich niet vreemd dat mensen wat vaagjes reageren. "ja, uh, dat zou misschien kunnen" :P

[Reactie gewijzigd door MadMarky op 10 januari 2017 16:43]

-oeps foutje sorry-

[Reactie gewijzigd door MiNDiT op 10 januari 2017 16:54]

Denk je veilig te zijn met je cosplay fetish dan kom je met je mail account op het internet :(
Is dat geen schending van de privacy beste ArtGod? (ik heb totaal geen idee wie de persoon is die u citeert - en ik wens dat eerlijk gezegd zo te houden!).
Doe toch niet zo onnozel. En het staat notabene in de eerste regel.
Het bestuur van haar Piraten Partij stapt over naar het Forum voor Democratie, de nieuwe politieke partij van Thierry Baudet

[Reactie gewijzigd door BrutalDave op 10 januari 2017 20:38]

Ik moest fetisjsite even 2x lezen :D

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*