Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Een database met 1,4 miljoen verschillende accounts is uitgelekt. De data behoort vermoedelijk toe aan fetisjwebsite Eroticy. Dit kan Troy Hunt, beheerder van HaveIBeenPwned.com en ontvanger van de database, echter zelfs na enkele maanden onderzoek niet met volledige zekerheid zeggen.

Het lek bevat 1,4 miljoen accounts met gebruikersnamen, e-mailadressen, betaalgeschiedenis, fysieke adressen, gebruiksgeschiedenis en plaintext-wachtwoorden. In de loop van 2016 is het databasebestand naar Troy Hunt opgestuurd met de boodschap dat dit van Eroticy afkomt. Hunt heeft ditmaal het verificatieproces volledig in kaart gebracht in een blogpost, maar deze eindigt met de conclusie dat de gegevens hoogstwaarschijnlijk echt zijn, maar dat niet met zekerheid gezegd kan worden dat ze van Eroticy afkomstig zijn.

Eroticy heeft zogenaamde enumeration protection, wat betekent dat niet kan worden bepaald of een e-mailadres in de database van een website staat door bijvoorbeeld het 'wachtwoord vergeten'-formulier in te vullen met het e-mailadres van een vermoedelijke accounthouder. Datzelfde geldt voor het registratieformulier. Op een poging om per e-mail in contact te komen met de beheerders is niet gereageerd.

Hunt heeft wel enkele e-mailadressen uit de database gemaild en de gebruikers zeiden veelal dat het inderdaad mogelijk was dat ze zich geregistreerd hebben voor de website. Zeker weten doen ze echter niet in alle gevallen. Dat is ook niet verrassend, aangezien sommige data uit 2002 stamt. De dataset is in ieder geval aan HaveIBeenPwned.com toegevoegd en iedereen die ingeschreven staat voor die dienst en ook terugkomt in de database heeft een mailtje gekregen.

Moderatie-faq Wijzig weergave

Reacties (62)

Ja die had ik ook al gezien echter je krijgt wel te zien op welke website het mail adres is terug gevonden.. DAT is alleen al voldoende om bv je partner serieus in twijfel te nemen als je het email adres terug vind op een vreemdgaan website...

Ze hadden imo gewoon ALLES achter deze methode moeten plaatsen..
Ik denk dat je het niet goed begrepen hebt. Om te zien of een e-mailadres überhaupt voor komt in "sensitive breaches" moet je dat adres eerst verifiëren. Dit gebeurt via de methode die je zelf al beschreef. Pas nadat je dat gedaan hebt krijg je te zien óf en, zo ja, waar het adres gelekt is.

En nee, ik vind niet dat ze dat voor alle data hadden moeten doen. Dat zou zoekfuncties zoals de Domain Search, die voor sysadmins erg waardevol is, onmogelijk maken. Daarnaast is de data al in het publieke domein, dus in principe voor iedereen te vinden.
Hoe bedoel je niet goed begrepen ???

Als ik bv bij leakedsource.com kijk en ik zoek bv op info@outlook.com dan krijg ik toch echt informatie naar voren.

Ik weet nu bv dat dit email adres in de database voorkomt van Adobe en Ashley Madison....

Ik hoef niets te verifiëren bij deze website.

======

Share this search: https://www.leakedsource.com/main/?email=info@outlook.com

Adobe database has: 1 result(s) found. This data was hacked on approximately 2013-10-01 What is in this database?
Ashley Madison Email Db has: 1 result(s) found. This data was hacked on approximately 2015-08-25 What is in this database?


=======

Breaches you were pwned in
A "breach" is an incident where a site's data has been illegally accessed by hackers and then released publicly. Review the types of data that were compromised (email addresses, passwords, credit cards etc.) and take appropriate action, such as changing passwords.

Adobe logo
Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.

Compromised data: Email addresses, Password hints, Passwords, Usernames

[Reactie gewijzigd door innerchild op 11 januari 2017 13:36]

Ah, ik dacht dat we het nog steeds over haveibeenpwned.com hadden. Die doen het in ieder geval wel netjes.

Ik ben met je eens dat leakedsource.com en anderen dat ook zouden moeten doen.
Nou, wat wil het toeval? Volgens een artikel op Tweakers van vandaag is leakedsource.com na een inval door de politie permanent offline. Daarmee is dat 'gat' ook weer gedicht dan. ;)
Zou inloggen via google theoretisch veiliger zijn?
Ofja, dan heb je voor meerdere plekken hetzelfde account, en kan google zien waar jij overal een account aanmaakt.

Maar dan wordt je password niet opgeslagen in de (slecht beveiligde plaintext) database van bedrijf x?
Klopt, Google geld dan als authenticator.

Zelf ben ik niet zo bang dat Google kan zien waar ik Inlog, maar ik ben wel bang dat mijn account gedeactiveerd wordt, en daarmee ook toegang tot die websites.
Die kun je dus laten verwijderen. Troy Hunt is een beveiligingsonderzoeker, dus ik ga er van uit dat hij zorgvuldig met onze gegevens omgaat. Bekijk anders eens de volgende linkjes:

https://haveibeenpwned.com/FAQs
https://www.leakedsource.com/main/faq/
Ze hebben dan niet gelijk 'alles', ze hebben de encrypted wachtwoorden. Aangezien het me sterk lijkt dat een cloud van een password manager dit zonder salt zou doen, hebben ze praktisch niks aan die data, behalve dat ze weten wie met welk e-mailadres etc een account heeft ergens.
Eens, maar net zozeer het mij sterk lijkt dat diverse andere services wachtwoorden niet encrypted opslaan. Dit is in het verleden ook weleens anders gebleken.

Je mag ervanuit gaan dat een password manager de zaken op orde heeft, maar dit hoeft zeker niet zo te zijn.
Behalve dat andere sites niet het opslaan van je wachtwoord als verdienmodel gebruiken...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*