Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Een database met 1,4 miljoen verschillende accounts is uitgelekt. De data behoort vermoedelijk toe aan fetisjwebsite Eroticy. Dit kan Troy Hunt, beheerder van HaveIBeenPwned.com en ontvanger van de database, echter zelfs na enkele maanden onderzoek niet met volledige zekerheid zeggen.

Het lek bevat 1,4 miljoen accounts met gebruikersnamen, e-mailadressen, betaalgeschiedenis, fysieke adressen, gebruiksgeschiedenis en plaintext-wachtwoorden. In de loop van 2016 is het databasebestand naar Troy Hunt opgestuurd met de boodschap dat dit van Eroticy afkomt. Hunt heeft ditmaal het verificatieproces volledig in kaart gebracht in een blogpost, maar deze eindigt met de conclusie dat de gegevens hoogstwaarschijnlijk echt zijn, maar dat niet met zekerheid gezegd kan worden dat ze van Eroticy afkomstig zijn.

Eroticy heeft zogenaamde enumeration protection, wat betekent dat niet kan worden bepaald of een e-mailadres in de database van een website staat door bijvoorbeeld het 'wachtwoord vergeten'-formulier in te vullen met het e-mailadres van een vermoedelijke accounthouder. Datzelfde geldt voor het registratieformulier. Op een poging om per e-mail in contact te komen met de beheerders is niet gereageerd.

Hunt heeft wel enkele e-mailadressen uit de database gemaild en de gebruikers zeiden veelal dat het inderdaad mogelijk was dat ze zich geregistreerd hebben voor de website. Zeker weten doen ze echter niet in alle gevallen. Dat is ook niet verrassend, aangezien sommige data uit 2002 stamt. De dataset is in ieder geval aan HaveIBeenPwned.com toegevoegd en iedereen die ingeschreven staat voor die dienst en ook terugkomt in de database heeft een mailtje gekregen.

Moderatie-faq Wijzig weergave

Reacties (62)

Voor de geïnteresseerden: op de website kan je checken of je voorkomt in een databreach: https://haveibeenpwned.com/

Door middel van je username of e-mail adres in te voeren, kan je er achter komen of je voorkomt in een databreach.

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut
Ook aan te raden voor beheerders is de Domain Search feature.

Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf.
Dat is inderdaad een hele goeie tip! Ik zag het wel op de site staan, maar heb mij er niet zo erg in verdiept. Inderdaad erg handig, en scheelt de systeembeheerder weer wat werk :). Je moet er niet aan denken dat door 1 gebruiker, de hele zooi overhoop ligt en dat jij het mag gaan oplossen :( (wat overigens wel je vak is, maar voorkomen is beter dan genezen..).

[Reactie gewijzigd door AnonymousWP op 10 januari 2017 17:35]

Je kunt inderdaad zien dat ze een account (gehad) hebben, maar je krijgt geen wachtwoorden of hashes te zien. Anders krijg je je collega's nog wel eens van een heel andere kant te zien.
Goed punt!
Je kunt dan de collega voor de zekerheid een nieuw wachtwoord laten instellen en/of hem attenderen.

Vraag me af of de sensitieve breach uitzonderingen hier wel/niet gelden.
Stel dat je het email adres van je vriendin gaat controleren en vervolgens rolt er een database uit van een website waarbij getrouwde vrouwen kunnen vreemd gaan. Lekker gevolg krijgt dat dan.

Haveibeenpwned had veel beter een meer privacy gevoelige optie moeten introduceren zoals :

- Gebruikt wil het volgende mail adres controleren : pietje@gmail.com
- Vervolgens stuurt haveibeenpwnd een link naar pietje@gmail.com met daarin een verwijziging naar de website weer waar de uitkomst van het onderzoek naar voren komt.
https://haveibeenpwned.com/FAQs#SensitiveBreach
Vind het een nobele website maar het doel is ook gelijk heel erg privacy gevoelig.
Je kan als gebruiker gewoon iedere email controleren of deze voorkomt in de database.
Stel dat je het email adres van je vriendin gaat controleren en vervolgens rolt er een database uit van een website waarbij getrouwde vrouwen kunnen vreemd gaan. Lekker gevolg krijgt dat dan.

Haveibeenpwned had veel beter een meer privacy gevoelige optie moeten introduceren zoals :
Je hebt toch wel door dat HibP NIET de originele bron is ?
Al die adressen zijn 'vrijgekomen' bij hacks, het enige wat die site doet, is het verzamelen op een inzichtelijke plaats

Die vreemdgaande partner loopt toch wel tegen de lamp, Pastebin wordt OOK door google geïndexeerd
Jup, op die manier heb ik tot nu toe ik maar liefst 17 meldingen (waarvan 3 dit jaar!!) ontvangen over het feit dat mijn email adres en wachtwoord is geplaatst op pastebin. Dat klinkt heel erg spannend, maar dit was een wachtwoord dat ik reeds 6-7 jaar niet meer heb gebruikt. En daar ik sinds voor de eerste lek hiervan al voor elke dienst een ander wachtwoord heb ik ingesteld is het ook geen probleem.

Zie hier: https://i.imgur.com/BA33slk.png
Opvallend dat het over tijd steeds kleinere pastes werden. Daar ik telkens hetzelfde naam en wachtwoord zag ga ik ervan uit dat het steeds kleinere "reposts" waren van de eerste twee grote meldingen.


Het werdt me wel gelijk duidelijk wat de reden was dat ik achterlijk veel wachtwoord reset mails had ontvangen.
Dat is geen kattenpis :p. Gelukkig sta ik met 2 e-mail adressen nergens in. Ook niet bij LeakedSource (voor info, zie hier: AnonymousWP in 'nieuws: 'Gegevens van 1,5 miljoen accounts van e-sportswebsit...)

Het is jammer dat ik niet meer weet waar ik 'vroeger' nou allemaal een account had (gebruikte toen nog geen KeePass), want ik wil eigenlijk alleen nog maar accounts die ik gebruik. De rest mag wat mij betreft opgedoekt worden!

[Reactie gewijzigd door AnonymousWP op 10 januari 2017 17:53]

zou misschien wat zijn als websites bij een jaar inactiviteit een melding sturen met de optie het account te verwijderen. Misschien zelfs per wet verplicht hoe moeilijk dat ook is. Zo heb ik ook genoeg accounts rondslingeren waar ik nooit meer wat mee doe waar wel mijn persoonlijke informatie nog aanhangt, wachtend om maar een keer gehackt te worden.

[Reactie gewijzigd door Mister E op 10 januari 2017 16:33]

Je kan de gegevens van zo'n account natuurlijk (als je het zeker weten niet meer gaat gebruiken) ook bijwerken met rubbish data. Mocht de betreffende site dan gehacked worden hebben ze in ieder geval niet je echte gegevens. Zelf afmelden kan lastig zijn. gelukkig is er als een tijdje een overzicht waar van diverse sites beschreven staat hoe je je account kunt verwijderen (of niet in sommige gevallen): justdelete.me

Maar een plicht dat aangeboden moet worden om je account te verwijderen als je x tijd inactief geweest bent zou niet gek zijn.

Sinds ik een wachtwoord manager gebruik heb ik een goed overzicht van alle sites waar ik een account aangemaakt heb (al zal ik er uit het verleden best nog wat missen). Handige is dat je kan zien waneer je voor het laatst ingelogd bent waardoor je zelf actie kunt ondernemen als je een account lang niet gebruikt heb.
Eeb account inactief maken is 1 ding voor veel bedrijven. Je account vervolgens verwijderen uit de bestanden/databases van een bedrijf is heel andere koek. Niet elk bedrijf gaat dat willen. Want de gebruikersdata verdwijnt ook. En zolang je account alleen op inactief is gezet, kan het nog steeds gehackt worden. En iedereen maar accounts aanmaken voor vanalles en nog wat.
Dat vind ik een heel goed idee. Alleen dan moet daar een wereldwijde regeling voor komen, en dat zie ik niet zo snel gebeuren. Een Europese zou nog kunnen, maar als je data dan buiten de EU staat opgeslagen, dan kun je niks en dan is de regel/wetgeving niet geldig.
Daar heb ik nu dus ook last van inderdaad. Ik heb geen idee waar mijn jongere zelf allemaal accounts van heeft gemaakt.

Ik ben wel nog bang dat er via een omweg toch toegang tot mijn hoofd-email-account verkregen kan worden (ookal heb ik twee-traps-authenticatie aanstaan, en dat one-time-password middels een 25+ teken password of vingerprint beveiligd). Enfin, toch binnenkort maar even kijken of mijn backup inlogmethodes ook goed beveiligd zijn!

Zelf gebruik ik 1Password, vindt ik fijner ;)

[Reactie gewijzigd door Coffee op 10 januari 2017 16:44]

Ik heb een anoniem mailadres voor, "rommel" en een voor contact met mensen.

Dat scheelt een hoop spam en gegevensdiefstal.

Je kunt zelfs de mail van de ene forwarden naar de ander, als je echt niet alles kunt missen.
En hoe gaan die websites om met de gegevens die je probeert te controleren?
Het blijkt wel weer dat het niet uit maakt hoe sterk je wachtwoord is maar dat het ligt aan de manier hoe de database is beveiligd.
En hierom moet je voor elke website een ander sterk password invullen!
Wat is er sterk aan plaintext-wachtwoorden. ?
Het lek bevat 1,4 miljoen accounts met gebruikersnamen, e-mailadressen, en plaintext-wachtwoorden
Daarom staat er voor elke website een ander sterk wachtwoord.. Toch?
Daarom staat er voor elke website een ander sterk wachtwoord.. Toch?
Neen. Sterk, supersterk, maakt niet uit als de site het wachtwoord gewoon leesbaar opslaat. Bij een hack of een lek staat het voor iedereen te lezen.
Het punt is dat ze dan enkel voor betreffende site het wachtwoord hebben en je accounts bij andere websites "veilig" zijn.
Sterk of absoluut niet, plaintext opslaan maakt dat helemaal geen hol meer uit.
(of welke variatie van reeds te kraken encryptie)
Daarom staat er voor elke website een ander sterk wachtwoord.
Dat lijkt inderdaad te kloppen. Nu nog hopen dat bedrijven wat serieuzer gaan worden wat betreft de beveiliging van gegevens.
Of zou het als gebruiker niet interessant zijn om je eigen gegevens veiliger te maken ? (verschillende wachtwoorden)
Natuurlijk. Dat is stap 1. Maar als het met een zwakke hash wordt beveiligt, of met slechte encryptie, dan heb je daar natuurlijk vrij weinig aan.
voor die éne website ja, maar als je een uniek wachtwoord hebt voor elke site, dan is er niks aan de hand bij uitlekken.
Dan niet nee. Maar er zijn maar heel weinig mensen met voor elke dienst een ander wachtwoord.
Dat aantal is wel hard aan t groeien dankzij de opkomst van password managers.
Maar dat is misschien potentieel nog wel gevaarlijker. De password manager moet dan niet ook gehackt worden, dan hebben ze gelijk alles.

Daarom liever een password manager waar de wachtwoorden lokaal in een versleutelde bestand worden opgeslagen.
Naast de beveiligingsvraag is er ook gewoon de logische vraag of ze je data na x aantal jaar gewoon nog horen te gebruiken.
jah - maar wanneer mijn super-moeilijk-uniek-power-wachtwoord als plaintext wordt opgeslagen .... heeft dat niet zo veel nut, wel dan?

is een lachertje laatste tijd - tich sites gehad waarbij account gestolen/gejat is, hardstikke tof -O-
Bij het gebruik van verschillende paswoorden maakt dat toch niet veel uit ?
Gelukkig is Eroticy in Nederland een totaal niet relevante fetishj website.
Was even bang dat Fetlife een hack had doorgemaakt, maar voor Nederlands IT nieuws is Eroticy gelukkig niet heel nuttig :)
Gewoon 2 way Auth aan zetten is wachtwoord sterkte niet meer zo zwaar wegend.
Of Dat je hem kan koppeen aan finger print of bank of andere zeken
Hunt heeft wel enkele e-mailadressen uit de database gemaild en de gebruikers zeiden veelal dat het inderdaad mogelijk was dat ze zich geregistreerd hebben voor de website. Zeker weten doen ze echter niet in alle gevallen.
Vind het opzich niet vreemd dat mensen wat vaagjes reageren. "ja, uh, dat zou misschien kunnen" :P

[Reactie gewijzigd door MadMarky op 10 januari 2017 16:43]

Denk je veilig te zijn met je cosplay fetish dan kom je met je mail account op het internet :(
Doe toch niet zo onnozel. En het staat notabene in de eerste regel.
Het bestuur van haar Piraten Partij stapt over naar het Forum voor Democratie, de nieuwe politieke partij van Thierry Baudet

[Reactie gewijzigd door BrutalDave op 10 januari 2017 20:38]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*