Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'1,1 miljoen gebruikersaccounts forum Clash of Clans-ontwikkelaar gestolen'

Door , 47 reacties, submitter: World Citizen

Het forum van Supercell, de ontwikkelaar van onder andere de populaire mobile game Clash of Clans, was doelwit van een hack. Gebruikersnamen, ip-adressen, e-mailadressen en gehashte wachtwoorden zijn daarbij buitgemaakt.

Supercell stelt zijn gebruikers via het forum in kwestie zelf op de hoogte, maar noemt geen aantallen. Ook de soort encryptie van de wachtwoorden is niet bekend. Motherboard heeft een deel van de database in handen en weet meer informatie te geven. In totaal zou het gaan om 1,1 miljoen accounts en Motherboard heeft de echtheid van verschillende accounts kunnen verifiëren. De inbraak zou in september van 2016 plaats hebben gevonden en de kwetsbaarheid die het mogelijk maakte, zou zijn opgelost. Het forum draait op vBulletin. De accounts voor de games van Supercell zelf zijn niet getroffen.

Leden van het forum doen er goed aan om hun wachtwoorden te veranderen. Mochten ze hetzelfde wachtwoord op andere websites of diensten gebruiken, dan moeten deze ook aangepast worden. De vBulletin-software was ook bij andere forumhacks doelwit van kwaadwillenden, bijvoorbeeld bij de Funcom-forums en die van Canonical en Clash of Kings.

Reacties (47)

Wijzig sortering
Er zijn 'versleutelde wachtwoorden' buitgemaakt. Is er ook bekend welke versleuteling dit is?

Als ik het nieuwsbericht (en de melding gemaakt op het forum) zo lees dan zal de versleuteling niet veel voorstellen (aangezien ze aanraden je wachtwoord onmiddellijk te veranderen).
Ik heb zojuist de broncode bekeken van vBulletin v4.2.3 (degene die zij ook gebruiken), en het algoritme is als volgt:
md5(md5($password) . $salt);

Oftewel, eenmaal een md5 over het wachtwoord en dan een md5 over de hash met salt.
Heb je toevallig gezien hoe de salt bepaald wordt? Als dat niet per gebruiker verschilt, is het natuurlijk alsnog eenvoudig te kraken.
De salt bestaat uit (standaard) 30 tekens in de ASCII range van 33 t/m 126 ('!' t/m '~' inclusief alfanumerieke characters). Deze salt word opnieuw aangemaakt elke keer dat het wachtwoord gewijzigd word.

Nu ik zo verder kijk zie ik ook 'password history' functionaliteit, de wachtwoorden hier lijken unhashed opgeslagen te worden, natuurlijk ook uit den boze.

[Reactie gewijzigd door Ikkerens op 17 januari 2017 21:48]

Afhankelijk van de vBulletin versie, helaas een fixed md5.
Ik had er een tijdje terug een artikel van Troy Hunt over gelezen, ik geloof dat hij met een normaal PC'tje ongeveer 135K wachtwoorden had ontsleuteld binnen 24 uur. Al was een groot deel daarvan als ik 't me goed herinner door een dictionary attack.

-edit-
Ah, deze: https://www.troyhunt.com/data-breaches-vbulletin-and-weak/

[Reactie gewijzigd door WhatsappHack op 17 januari 2017 12:58]

Het verbaast me af en toe hoeveel er nog gebruik gemaakt wordt van md5. Ik ben momenteel aan het sleutelen aan een installatie van Invision Power Board (om die te converteren naar phpBB). In versie 3.4 wordt daar ook nog vrolijk gebruik gemaakt van md5. Maar wel veilige hoor!!1!1one...
md5( md5($password) . md5($salt) );
Waarbij de salt natuurlijk netjes in de members table wordt opgeslagen en een whopping 5 karakters lang is. :z

Ik kan er met mijn pet niet bij dat commerciële bedrijven nog steeds dit soort verouderde technieken gebruiken, waarvan we al heel lang weten dat ze niet meer veilig zijn. phpBB heeft al sinds versie 3.0 (2007!) ondersteuning voor betere hashes en zelfs als alleen md5 beschikbaar is in de PHP installatie (phpBB 3.0 ondersteunde nog PHP 4) wordt die nog even wat verder doorgehashed en encoded.
Dat een open source pakket dat dus al jarenlang beter in orde heeft dan commerciële pakketten (IPB bijvoorbeeld pas sinds 2015) vind ik eigenlijk ongehoord.
Als er een hack plaats heeft gevonden en wachtwoorden worden gestolen, wordt er altijd geadviseerd om wachtwoorden te wijzigen. De hash en/of encryptie die toegepast werd, kan altijd (nog) in de toekomst gekraakt worden.
Merk op dat volgens Motherboard het gaat om hashes van wachtwoorden, niet om versleutelde wachtwoorden. Maar Motherboard merkt ook op dat vBulletin niet altijd de juiste manier van hashen gebruikt:
The data, of which Motherboard obtained a small sample of 100 accounts, includes usernames, email addresses, IP addresses, and hashed passwords. Supercell uses the vBulletin forum software, which sometimes hashes passwords in a way that can be relatively easy for hackers to crack.
Waarom houdt dat forum je IP bij? zal vast ergens voor zijn maar ik kan me zo een twee drie niet bedenken waarvoor.
Vaak word het gebruikt voor IP bans. Soms ook om niet toe te staan om meerdere accounts te maken op 1 IP-adres, alleen dat word niet zo heel veel meer gedaan.
Is het niet logischer / veiliger om alleen een IP bij te houden wanneer deze 1 - 2 banned accounts heeft ipv het IP van iedereen bij te houden, zou ruimte / tijd moeten schelen.
En hoe wil je dan bijhouden dat er 2 accounts aan dat IP zijn gekoppeld?
Een hash van het IP zou kunnen. Ook dan zie je dubbele, maar heb je het IP adres niet in je database staan.
Je kunt dan geen IP ranges bannen of bekijken. Als ik mijn IP elke dag verander maar het blijft 12.34.56.xxx kunnen moderators dit niet zien.
Er zijn maar 2^32 verschillende IPv4 adressen, waarvan ongeveer 300 miljoen gereserveerd is voor niet-publiek gebruik. Dus er zijn 4 miljard mogelijke IPv4 adressen. Een simpele hash (bijv. md5, sha256, ...) kan al snel worden berekend, dus snelle hashes zullen niet voorkomen dat een IP uitlekt.

(Voor IPv6 geldt dit minder, maar de meesten zitten nog op IPv4, dus...)
...Goed punt!, compleet niet aan gedacht

[Reactie gewijzigd door Overlord2305 op 17 januari 2017 12:24]

Waarom zou je meerdere accounts willen verbieden op een forum? Er zijn vast wel gezinnen waar meerdere van de kinderen op dezelfde fora zitten.
Ik denk dat ossie7 bedoelt: hoe je weet dat er op dat IP al eerder een account is gebanned.
Bedacht me net, je zou ook gewoon alleen de ips van verbannen acounts kunnen opslaan. Dan zet je iemand op een banlijst, op het moment dat er door dit acount weer wordt ingelogt word het IP opgeslagen en word de ban actief
Is het niet logischer / veiliger om alleen een IP bij te houden wanneer deze 1 - 2 banned accounts heeft ipv het IP van iedereen bij te houden, zou ruimte / tijd moeten schelen.
Dan zal je toch IP adressen van iedereen moeten bijhouden bij bezoek, anders kan je achteraf niet eens weten welke IP adressen je moet verbannen. Wat wel redelijk goed werkt is het blokkeren van bekende proxy sites, maar die IP adressen veranderen om de zoveel tijd. En ondertussen zijn er ook veel proxy plugins voor browsers, dus uiteindelijk blijf je altijd de IP adressen aanlopen.
Nee niet echt. Je wilt een user ook kunnen verbannen als hij offline is, dus je moet eigenlijk al altijd zijn laatst gebruikte IP beschikbaar hebben en daarnaast hoe weet je dat iemand een tweede account heeft aangemaakt als je zijn IP-adres niet opslaat?

De hele techniek valt natuurlijk wel in het water als mensen VPN's or Proxy's gaan gebruiken.

Een andere mogelijkheid zou zijn om er een geplande taak van te maken en die dan uitvoeren op het IP-adres de volgende keer dat de gebruiker inlogt. Alleen ben ik zelf nog niet op die manier tegen gekomen.
Heel veel websites doen dat, niet alleen fora, misbruik is dan in sommige gevallen sneller vast te stellen.
Denk eens aan IP-marketing. Het is een wereld waarvan vele geen idee hebben. Maar er zijn bedrijven die dit soort gegevens inkopen met bijbehorende data om een profiel op te stellen. dit doen zijn van verschillende partijen om zo een compleet mogelijk profiel te creëren wat weer verkocht dat worden voor gerichte marketing doeleinde.

Zo zijn er sites waarbij de homepage verschilt per IP-adres om zo een gepersonaliseerd aanbod te kunnen doen.
Denk eens aan IP-marketing. Het is een wereld waarvan vele geen idee hebben. Maar er zijn bedrijven die dit soort gegevens inkopen met bijbehorende data om een profiel op te stellen. dit doen zijn van verschillende partijen om zo een compleet mogelijk profiel te creëren wat weer verkocht dat worden voor gerichte marketing doeleinde
Als er werkelijk partijen zijn die dat doen, dan hoop ik dat de EU ooit nog eens bij ze aan komt kloppen met een fikse boete. Je mag die gegevens namelijk helemaal niet gekoppeld opslaan zonder expliciete toestemming, laat staan doorverkopen aan derden.

Het IP-adres is samen met de datum en tijd v/e willekeurige post door de desbetreffende ingelogde gebruiker, namelijk herleidbaar tot een natuurlijk persoon en daarmee een persoonsgegeven.
vBulletin komt al jaar en dag in het nieuws omdat ze gehackt worden. Vaak wordt de software niet geupdate en maken hackers misbruik van de gekende gaten in het systeem. Clash of Clans is een typische Cash-game dat wordt opgezet door investeerders met een visie voor games en ze outsources zoveel mogelijk. Veel passie zal er niet aan te pas komen denk ik.
Blijf het frapant vinden dat dergelijke bedrijven gewoon 0 aansprakelijkheid hoeven te nemen. Je zou zeggen dat gebruikers hier schade door ondervinden en daarvoor schadeloos gesteld moeten worden.
Je zou ook kunnen zeggen dat die gebruikers dan maar eens een dagje op cursus moeten om de essentie van veilig computeren/internetten onder de knie krijgen, zodat ze geen schade lopen als hun wachtwoord een keer MOGELIJK ontfutseld wordt. (Zo'n datalek houdt nog niet in dat het wachtwoord perse gecracked is.)

Regel 1: Gebruik niet overal hetzelfde wachtwoord, het liefst overal een uniek wachtwoord. Gebruik sowieso niet hetzelfde wachtwoord als je ook dezelfde username en/of emailadres gebruikt. Dat is heel makkelijk koppelen en uitproberen op andere databases.

Het is als één sleutel gebruiken voor je huis, auto, fiets, kluis, et cetera: raak hem 1x kwijt en de gene die hem vindt/jat kan hem voor alles gebruiken.
Klopt maar als wachtwoorden intensief gehashed worden + salt kunnen hackers dit nooit te weten komen. Maar niet elke service past dat intensief toe. Er zijn voorbeelden van bedrijven die beweren dat hun encryptie 100% veilig is.

Als ze (bulitin) nog MD5 and SHA-1 met 100 iteraties gebruiken zijn alle wachtwoorden te raden met één simpele GPU.

Dus er ligt nog erg veel verantwoordelijkheid bij de eigenaar van de service die uw wachtwoord/username combinatie op hun server opslaan en de consument moet hier in principe niet met belast worden.
Die contests zijn vaak wel wassen neuzen helaas, de regels zijn vaak dusdanig opgesteld dat je nooit kan winnen. [url=https://moxie.org/blog/telegram-crypto-challenge/]voorbeeldje[/quote]

De vraag is dan vaak ook of zo'n contest echt iets bewijst, of dat t marketing is...

Ja en nee. Platform owners zijn vaak afhankelijk van de producent van de software.
Het is als één sleutel gebruiken voor je huis, auto, fiets, kluis, et cetera: raak hem 1x kwijt en de gene die hem vindt/jat kan hem voor alles gebruiken.
Dat voorbeeld moet je wel afmaken als je het als metafoor voor wachtwoorden 'opslag' wilt gebruiken:

Het is als één sleutel gebruiken voor je huis, auto, fiets, kluis, et cetera: raak hem 1x kwijt en de gene die hem vindt/jat kan hem voor alles gebruiken. Vervolgens moet je die sleutel bij de bank brengen ter bewaring als je gebruik wil maken van haar diensten. Deze bank doet wel de belofte het netjes te bewaken, maar geeft je geen mogelijkheid je eigen beveiliging erbij te plaatsen (two-way auth bijvoorbeeld).
Vervolgens faalt de bank en laat toe dat jouw sleutel samen met die van ieder andere klant van deze bank in handel komt van mensen met waarschijnlijk slechte bedoelingen. Uiteraard geven ze er ook de locatie bij van tenminste één van de deuren die hiermee geopend kan worden.

Tot slot bied de bank haar excuses aan dat iedereen zijn huis is leeggeroofd, maar geeft aan dat zij daar natuurlijk niet verantwoordelijk voor gehouden kunnen worden. Het advies is om zo snel mogelijk uw sloten te vervangen en vooral klant te blijven bij deze onbetrouwbare bank.
Euhh...
1.) Er is NIEMAND die je verplicht om diezelfde sleutel overal te gebruiken
2.) Er is NIEMAND die je verplicht om die sleutel bij "een bank" neer te leggen (je kiest er toch zelf voor om je aan te melden!?)
3.) Er is al helemaal NIEMAND die je verplicht om dezelfde sleutel voor al je spullen te gebruiken en vervolgens kopietjes van die sleutel aan verschillende banken te geven. :X

Er is dus überhaupt niemand die je verplicht iets te doen. Je kiest er vrijwillig voor om je aan te melden op zo'n website. De aanbieder biedt een beveiliging van je account aan a.d.h.v. een wachtwoord. Je kiest zelf de sterkte en welk wachtwoord je gebruikt, er zitten geen verplichtingen om hetzelfde wachtwoord te gebruiken noch kunnen is er directe invloed op de sterkte.
Dus koop je liever een beveiligd slot met verschillende sleutels op je spullen, of gewoon een nummertje 4 (qwerty) universele sleutel op alles dat je hebt? :') Eigen keuze.

Wat jij doet is eigenlijk precies de zaken omdraaien; je stelt nu dat het zogenaamd de websites zijn die je dwingen om overal hetzelfde wachtwoord te gebruiken, dat dit blijkbaar goed geaccepteerd is onder de gebruikers maar dat het vervolgens alsnog wel alsnog de schuld van de bedrijven is als er dan iets misgaat als bij een van de sites (banken) je sleutel wordt gejat.

Dus nein, je hebt mijn voorbeeld niet afgemaakt.
Ik vind het een beetje onzinning om de incompetentie van mensen weg te schuiven op zogenaamd falen van een dienstverlener. Je weet dat je online zit, je weet dat er wel eens hacks plaatsvinden (en vaak kunnen aanbieders van sites daar zelf helemaal niets aan doen): hou daar dan rekening mee.
Net als dat je er rekening mee moet houden je fiets op slot te zetten bij Amsterdam Centraal, als je dat niet doet weet je dat er een grote kans is dat ie gejat wordt. Maar zelfs ALS hij goed op slot staat (goed beveiligde server, nieuwste updates, et cetera): dan nog kan het zijn dat iemand met een fikse slijptol de boel molt en je fiets alsnog meeneemt.

... Ga je dan ook de gemeente/overheid/NS aansprakelijk stellen dat je fiets gejat is? Kom op zeg. ;) (Sowieso raar dat bij diefstal in real life wel de crimineel wordt aangekeken, maar op het internet de crimineel niet - dan is 't opeens het probleem van de site eigenaar; en nalatigheid van de gebruiker (overal zelfde ww) zien we ook maar even over 't hoofd!)
De verantwoordelijkheid ligt gewoon bij jezelf. Als een bedrijf heel grof nalatig is geweest als het gaat om uitgebreide NAW bij een bedrijf dat je verplicht moet gebruiken (eg: zorgverzekeraar bijvoorbeeld): dan heb je misschien een punt.
Maar bij een gratis forum waar je jezelf vrijwillig aanmeld? Ja daaaaag. Dan moet je zelf maar wat effort erin proppen en verschillende wachtwoorden gebruiken.

Ik vind het heel raar hoe geaccepteerd het hier blijkbaar is om overal hetzelfde email/wachtwoord te gebruiken want "ja je hebt geen verantwoordelijkheid hoor, dat ligt allemaal bij de aanbieders van de websites" 8)7
Dat is ook een goede voor phising... Wie ga je dan de schuld geven, als iemand je wachtwoord jat omdat je zelf zo dom bent erin te trappen; en dat wachtwoord toevallig ook overal gebruikt? Geef dan ook meteen je huissleutels met een briefje erbij wanneer je thuis bent aan de eerste de beste inbreker die je tegenkomt, zelfde resultaat.

[Reactie gewijzigd door WhatsappHack op 17 januari 2017 17:44]

dergelijke bedrijven
Bedoel je in dit geval SuperCell of vBulletin?
Want n.m.m. moet je als SuperCell er toch vanuit kunnen gaan dat als je een softwarepakket aanschaft, dat pakket in orde is. Daar betaal je immers voor. Als je dan zelf nog allerlei audits op die code moet doen, dan is het eind zoek natuurlijk.

Dat vBulletin hier al jaren mee wegkomt is inderdaad op zijn zachtst gezegd frappant.
Weer een vBulletin forum! Ik snap niet dat het nog gebruikt wordt na alle lekken ...
Het probleem is: oeps, ik ben vergeten vBulletin 4.2.3 te updaten omdat het lekken heeft.
En raad eens: dat forum draait na de hack nog steeds 4.2.3 8)7
Ik denk dat het deze patch betreft: https://www.vbulletin.com...in-4-2-2-4-2-3-4-2-4-beta. Daar brengen ze dus geen nieuwe versie voor uit, maar volgens mij krijg je daar wel een melding van bij inloggen in ACP.
Ben benieuwd hoe de wachtwoorden versleutel waren.
Het rommelt al veel langer bij vBulletin, Xenforo is hieruit ontstaan en een stuk beter imho _/-\o_
Er lijkt een lichte trend te ontstaan waarbij eerdere die-hard fans van betaalde software, toch (weer) naar de opensource forum software overstappen. (SMF, phpBB, myBB, etc.)
Ik heb Xenforo eens bekeken maar dit is niet gratis of ben ik op een verkeerde site terecht gekomen?
Klopt, kost net als vBulletin gewoon weer $140 waarbij ik mijn vraagtekens zet wat het toevoegt ten opzichte van open-source software.
Kijk, om deze reden gebruik ik dus LastPass en random passwords!

Mijn password op forum.supercell.com was 9U5%KXU49!9886pj.
\
Mijn argument als ik password-managers aanbeveel is dat ook al weten ze m'n password voor één site te achterhalen, het is een uniek password en kan niet in combinatie met m'n username/emailadres ergens anders geprobeerd worden.
https://www.lastpass.com/nl. maar er zijn er meer zoals LastPass.
Ik heb voor iedere website een uniek gegenereerd wachtwoord, en dit soort tools maken het je ook makkelijk om voor iedere website aparte niet te onthouden wachtwoorden te hebben
+1 voor Lastpass. gebruik het al een hele tijd op zowel mobiel als de pc en het werkt prima.!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*