Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hack bij forum CD Projekt Red trof 1,9 miljoen accounts - update

Door , 49 reacties

Een datalek bij de Poolse videogameontwikkelaar CD Projekt Red heeft ertoe geleid dat 1,9 miljoen accounts op straat liggen. Die accounts bevatten gebruikersnamen, e-mailadressen en hashed en salted wachtwoorden.

HaveIBeenPwned.com maakt het lek vandaag bekend op Twitter en zet daar direct de kanttekening bij dat 67 procent van de accounts al in andere databases op de site terug te vinden was. Waarschijnlijk doelen de beheerders van de website daarmee specifiek op de e-mailadressen. Gebruikers die getroffen zijn door het datalek doen er goed aan om hun wachtwoorden te veranderen en dit ook te doen op alle sites waarvoor ze hetzelfde wachtwoord gebruiken.

CD Projekt Red, de ontwikkelaar van de bekende Witcher-games, maakte eind vorig jaar al bekend dat een oude forumdatabase 'mogelijk geopend en gekopieerd is door een derde partij die geen toegang zou mogen hebben'. Nu blijkt dat dat inderdaad gebeurd is. Hoe oud de database precies is, is niet bekend.

Update, 1-2: CD Project Red heeft in een eigen verklaring bekendgemaakt dat het op de hoogte is van het lek en dat het om een oude forumdatabase gaat. In tegenstelling tot wat HaveIBeenPwned schreef, zegt de ontwikkelaar dat de wachtwoorden met md5 waren gehasht en niet met sha-1.

Reacties (49)

Wijzig sortering
Beetje knullig om wachtwoorden te hashen met sha1.
Beetje knullig om wachtwoorden te hashen met sha1.
sha-1-hashed en salted wachtwoorden
PBKDF2 zou beter zijn, maar het is tenminste salted.

SHA-1 is 'OK' als hashingfunctie voor wachtwoorden, waarbij natuurlijk opgemerkt moet worden dat je niet alleen een hashingfunctie moet gebruiken. SHA-1 heeft een grotere kans op false positives t.o.v. langere hashes, maar het zorgt er niet voor dat je sneller het originele wachtwoord kan herleiden als bijvoorbeeld PBKDF2 is toegepast, zelfs niet met de (voornamelijk theoretische) zwakheden van SHA-1.

[Reactie gewijzigd door The Zep Man op 31 januari 2017 12:14]

Grootste probleem met SHA-1 is dat het snel is, PBKDF2 is ook relatief snel te brute-forcen op een GPU, beter zou het zijn een algoritme te kiezen wat zowel veel CPU cycles als RAM nodig heeft, Argon2 bijvoorbeeld.
Het kan altijd beter. Voorlopig zal Argon2 niet snel terug te vinden zijn in alom gebruikte software. Ik verkies PBKDF2 of zelfs een salted hash nog steeds boven een enkel hashed wachtwoord.

Voor de eindgebruiker: gebruik altijd willekeurige wachtwoorden en een wachtwoordmanager. Dan maakt het niet uit en kan een site zelfs je wachtwoord plain text opslaan zonder andere herleidbare (bijvoorbeeld via e-mailadres) diensten te compromitteren.
Ze zijn tenminste wel salted.

Daarenboven ging het over een oude forumdatabase (wel geen informatie over hoe oud precies), niet echt zo evident om wachtwoord opslag te gaan veranderen zonder iedereen een nieuw wachtwoord te laten invoeren.
Daarenboven ging het over een oude forumdatabase (wel geen informatie over hoe oud precies), niet echt zo evident om wachtwoord opslag te gaan veranderen zonder iedereen een nieuw wachtwoord te laten invoeren.
Je kan gewoon de oude salted hash encapsuleren m.b.v. PBKDF2 en een nieuw hash algritme. Natuurlijk moet je het salt nog wel bewaren. Controleer vervolgens bij het inloggen wanneer de gebruiker voor het laatst diens wachtwoord heeft gewijzigd.

Wachtwoord is gewijzigd na de migratie? Gebruik gewone login:
wachtwoord -> PBKDF2 -> Controleer opgeslagen waarde.

Wachtwoord is niet gewijzigd na de migratie? Gebruik alternatieve login:
wachtwoord -> SHA-1(wachtwoord + salt) -> PBKDF2 -> Controleer opgeslagen waarde.

Zo hoef je gebruikers geen nieuw wachtwoord in te laten vullen.

Leuk feitje: Tweakers.net gebruikt dit principe ook. Er was ooit een wachtwoordmigratie, maar de oude wachtwoorden werken nog steeds. Zie dit voor meer informatie.

[Reactie gewijzigd door The Zep Man op 31 januari 2017 12:23]

En bij het inloggen kun je ze meteen migreren naar het nieuwe algoritme (omdat je op dat moment beschikt over het ingevulde plain text password :))
En bij het inloggen kun je ze meteen migreren naar het nieuwe algoritme (omdat je op dat moment beschikt over het ingevulde plain text password :))
Dat klopt, tenzij de client dat al als verwerkt product aanlevert (hash of wat anders). Dat kan als je als systeembeheerder geen plain text wachtwoorden wilt ontvangen/verwerken. ;)

[Reactie gewijzigd door The Zep Man op 31 januari 2017 13:51]

Precies. Maar dan nog kun je het vervangen door beiden door te sturen en als de eerste matched (oude methode) de nieuwe opslaan en de oude hash verwijderen. Na X jaar heb je dan alleen nog maar de nieuwe hashes en is er weer een betere methode en dan begint het hele circus weer opnieuw.
Als ik mij niet vergis is dit forum gebaseerd op vBulletin. Wat inhoud dat (bijna) elk forum die gebaseerd is op deze software zo omgaat met haar wachtwoorden.
Op ieder vbulletin staat onderin de footer vaak, het versienummer. Dus is het niet zo lastig om "vbulletin v1.0.2.3.4 exploit" te googlen als je echt schade wil toebrengen. Wat hier gebeurd is is gewoon een export van de hele database.

Nou nou, knap werk hoor. Dit is wat iedere cracker gewoon kan en echt niet skilled voor hoeft te zijn. Het enige geluk dat je hebben moet is dat het forum gewoon een poos niet meer bijgewerkt is.

Kunnen we nu wat meer nieuwswaardigere berichten verkrijgen?
vbulletin wachtwoord hash bestaat uit:
md5(md5(password) + salt)
Dit is ieder geval al zo sinds vbulletin 3, wat al zo'n 13 jaar geleden uitgebracht is.

Ik ben benieuwd welk forum het wel zou kunnen zijn, wat de meeste bekende forums gebruiken geen van allen sha-1.
Hoe bedoel je, in de footer van het huidige forum staat:

Powered by vBulletin® Version 5.2.5
Copyright © 2017 vBulletin Solutions, Inc. All rights reserved.


Uiteraard zal dit een geüpdatet versie zijn van toen. Daarnaast wordt voor elk forum van CD Project Red vBulletin gebruikt. Wellicht was dit in het verleden niet zo.
Er staat duidelijk in het artikel dat een oude forumdatabase gelekt is, waarschijnlijk dus vanuit een tijd dat vbulletin niet gebruikt werd (Vbulletin forum linkje over hash).

Overigens gebruikte SMF wel sha-1, een gratis forum software die zeker vroeger redelijk veel gebruikt werd.
Tja, vBulletin ..
tja, misschien nu langzaamaan, maarja in het verleden was md5 ook genoeg.. Zelfs de op dit moment sterkste encryptie is over een paar jaar nutteloos..
En sha-1/salted is nog altijd vele malen beter dan helemaal niet, je moet op den duur ook ergens een grens leggen.
Overigens lijkt het hier ook nog te gaan om een 'oude' database.

[Reactie gewijzigd door SuperDre op 31 januari 2017 13:43]

Zo te zien in het forum account het zelfde als het "reguliere" GoG account, men kan dus in principe ook bij de daar aangeschafte spellen(?)
Neen. Van de bekendmaking van CDPR:
It’s the old database we used to run the forum before we migrated to the login system powered by our sister company -- GOG.com.
Mijn email zat er ook tussen (vanmorgen de mail van haveibeenpwnd gehad). Even gecheckt op de site van CDPR en mijn email is niet bekend in de GOG.com database. Kennelijk zijn dus niet alle accounts van de oude database overgezet naar het nieuwe systeem.

Even googlen levert op dat ergens begin februari 2015 de merge / omzetting naar GOG.com heeft plaatsgevonden.
Mijn mailadres staat er tussen. Ik heb The Witcher gespeeld op de Ps4. Wat voor schade kan ik dan oplopen?
Is er toegang tot mijn PSN account? Want naar mijn weten heb ik geen account bij de jongens van CD project RED.

In bovenstaande artikel wordt ook niet duidelijk waardoor ik iets zou moeten vrezen. Maar dat kan volledige onwetendheid van mijn kant zijn.
Als je paswoord op het forum het zelfde is als dat op de ps4 en iemand probeert het, ja dan ben je gezien natuurlijk.
Ik heb nooit op dat forum gezeten. Ik heb een The Witcher disc in mijn ps4 geduwd. Wat updates gedownload en dat is het.

Verder helemaal niks mee gedaan. Tenzij ik iets volledig over het hoofd zie. Maar naar mijn weten heb ik nooit op de forum iets gedaan.
The witcher 3 is van CD projekt red, dus ja je hebt wel een account
Als je hetzelfde wachtwoord gebruikt, maar dan ben je bij eender welke inbraak gezien natuurlijk.
Daar lijkt het in eerste instantie niet op
Wanneer gaan dit soort bedrijven nu eens heel hoge (die dus echt pijn doen!) boetes krijgen als de privacy van hun klanten door onvoldoende beveiliging te grabbel wordt gegooid? Dit lijkt mij de enige manier om bedrijven zo ver te krijgen dat ze wel voldoende tijd en resources steken in hun beveiliging. Het begint er steeds meer op te lijken dat het niet de vraag is of een bedrijf succesvol gehackt wordt, maar alleen nog maar wanneer.....

Moet je eens opletten hoe snel ze het voor elkaar hebben als er opeens 100 euro/dollar per openbaar gemaakt account betaald moet worden. Ongetwijfeld zullen er dan wat bedrijven failliet gaan, maar kennelijk is dat nodig om de industrie wakker te schudden.
Je kan gewoon niet rekenen op de beveiliging van anderen. Je moet het heft zelf in eigen handen nemen.

Gewoon het volgende doen indien mogelijk !! :

- Facebook account aanmaken met nep naam en helemaal afsluiten. Geen vrienden toevoegen gewoon niets mee doen
- 2 weg authenticatie aanzetten op je facebook account
- Inloggen op de websites met dat facebook account

Zo kunnen ze nooit bij je ww komen omdat dat niet wordt opgeslagen. Hoef je je ook niet druk te maken. Met 2 weg authenticatie op facebook voorkom je dat men je facebook account kan " hacken ".

Is maar een idee.
Tja, een Facebook account....dat vind ik in de basis al een onzalig idee. Komt bij dat onder een net naam aanmaken van een Facebook account niet mag. Als dat account daarom dan wordt afgesloten, kun je dus nergens meer bij. Je maakt van het Facebook account feitelijk de single point of failure...
Die regeling van niet je echte naam gebruiken is al minstens een jaar geleden weer in getrokken. Volgens mij al na 2 maanden na de invoering dat Facebook het opgaf. Ik zit ook niet onder mijn echte naam en heb er toentertijd 2x een melding/warning voor gehad. (wat betekend dat een mofo in mijn friendlist mij gereport had)

Innerchild zijn suggestie is exact hetzelfde als een password manager. En het blijft vrij anoniem en Facebook is een partij waarvan login gegevens niet snel op straat komen te liggen. Facebook heeft ook een vrij redelijke 2FA naast dat ze zonder je lastig vallen op verscheidene manieren (zowel sms als email) als een random iemand op jou account inlogt.
Ik zou eerder een password manager gebruiken dan hiervoor een Facebook account te nemen.

Facebook is één van de twee grootste datagraaiers op deze planeet (de NSA goeie 3e). Wat je hun dus voert met je nep-account is alle sites die je belangrijk genoeg acht om een account te hebben. Dit doe je vanaf je (bij Facebook al lang bekende) devices. Mocht je ook een echt Facebook account hebben, dan wordt deze data natuurlijk netjes gekoppeld.

De voordelen van 2FA op een FB account vallen wat mij betreft in het niet t.o.v. de privacy die je ermee opgeeft. Ik neem aan dat er ook password managers met 2FA zijn. Gebruik die dan, denk ik dan.
Of je FB die info toevertrouw of niet, is een keuze. Uit eindelijk leg je al die informatie bij 1 of zelfs meerdere partijen neer tenzij je zelf investeerd in minstens een dedicated mailservertje.

Ik ben zelf de PW manager (dusver zijn gedachtes nog ongekraakt en ben nog genoeg jaren verwijderd van dementia oid) en vetrouw MS en Google met de contacten die ik maak.
En een hoop sites werken niet met een facebook login.
Daarom ook " Gewoon het volgende doen indien mogelijk !! : "
Niks duid hierop dat ze onvoldoende beveiligd waren. Er is een oude backup gejat maar er word niet gezegd hoe. Dus om nou maar meteen ervan uit te gaan dat ze expres onvoldoende beveiliging hebben gehad is een beetje onzin.
Het is ook onzin om aan te nemen dat het niet zo is. Speculaas eten kunnen we allemaal, maar maken is een heel ander verhaal.

Persoonlijk ben ik voor 2 weg authenticatie, maar zolang mensen het te omslachtig vinden zal het niet geforceerd worden.
Ik zeg ook nergens dat ze 'expres' de beveiliging niet op orde hadden, dat zou helemaal het toppunt zijn.

Wel zeg ik dat ze verantwoordelijk zijn voor het voorkomen van het kwijtraken van gegevens van hun klanten, het enkele feit dat er nu 1,9 miljoen accounts op straat liggen geeft wat mij betreft aan dat ze die verantwoordelijkheid onvoldoende vorm hebben gegeven en dus onvoldoende beveiligd waren. Ook procedures om te zorgen dat onbevoegden niet bij een oude backup kunnen komen horen gewoon bij een goed beveiligingsbeleid. Links of rechtsom is het bedrijf verantwoordelijk, nu moet onze maatschappij nog een vorm vinden om af te dwingen dat die verantwoordelijkheid ook 100% genomen wordt. Flinke boetes helpen daarbij.
Boetes kun je alleen geven aan bedrijven als het bewezen is dat ze nalatig zijn geweest. Hackers zijn nou eenmaal vaak slim zat, ook al doet een bedrijf zoveel mogelijk aan de beveiliging dan nog zijn er manieren die of over het hoofd word gezien of zero days zijn.
Dat je beveiligingszaken goed regelt betekent niet dat je niet gehacked word. Je bent dan ook niet nalatig maar volgens jou zou je dan wel een boete moeten krijgen.
Gehackt worden is wat anders tenzij iemand op de ssh naar binnen wandelt met root - p5ssword oid. Maar een backup die lekt is gezien het verleden, 9/10 keer dat dat ding ergens publiekelijk toegankelijk aan het internet hangt.

In dat geval mogen er echt wel consequencies aan hangen.
Je kan kleine vraagtekens zetten bij de de gebruikte hash in deze maar ik vind dat niet dat dit te vergelijken met een SSH ingang waar je fluitend naar binnen wandelt.
Volgens mij is i.i.g. de beveiliging aan databasekant in deze adequaat.

Sowieso wordt er te zwaar getrokken aan die database hashes want in alle gevallen moet je je wachtwoord aanpassen. De hash (en salt in deze) hoeft alleen maar misbruik op de korte termijn te voorkomen. Volgens mij doet het dat gewoon? Gecompromitteerde wachtwoorden moeten immers per definitie aangepast worden.
krijg helemaal de schijt hiervaan, ben zelf inmiddels overzicht kwijt hoevaal mijn email + pass al gejat is afgelopen 2jr (jah zie have-been-owned) maar het is toch wel triest aan het worden
Kon me niet eens herinneren dat ik daar een account had, dus zal wel meevallen dat 'verloren' ww, maar het is inderdaad schering en inslag met dat lekken van data. Flikker oude data gewoon weg, in plaats van het een (makkelijk?) doelwit te laten zijn. En ffs beveilig de boel nu eens op normaal niveau :X

Ik laat tegenwoordig steeds meer ww's genereren door lastpass, ik ben inspiratieloos geworden :+
Daarom altijd registreren met een wegwerp email adres of met een email adres dat je alleen gebruikt voor forums.

Het forum is trouwens altijd al slecht beveiligd geweest, ze hebben nog steeds geen SSL ondersteuning.
Waarom zouden ze SHA-1 gebruiken?

Je kan veel beter iets als de 'password_hash' functie gebruiken van PHP, veel veiliger en niet te bruteforcen aangezien een hash nooit hetzelfde is en dus ook nooit letterlijk word terugvertaald, je kan hem alleen maar verifiëren met 'password_verify' wat je dan of een '1' of een '0' teruggeeft.
SHA-1 is een hash functie, toch? Dus die doet precies hetzelfde als jij zegt. Waarschijnlijk met dezelfde functies.
Met rainbowtables hebben mensen enorme lijsten van wachtwoorden en hun hash, en dan is het makkelijk terug te vinden. Met een salt heb je al meer bescherming daartegen.

[Reactie gewijzigd door - peter - op 31 januari 2017 15:29]

Met 'password_hash' is de salt deprecated.

http://php.net/manual/en/function.password-hash.php

Kijk ook even hierna, is best interessant:
http://stackoverflow.com/...-vs-sha256-vs-sha1-vs-md5

[Reactie gewijzigd door MrGoatsy op 3 februari 2017 10:33]

Mijn mailadres zat er tussen, ik kan me niet heugen dat ik voor iets anders dan alleen Gwent een account bij hen heb aangemeld. Mailadres weggegooid aangezien het toch oud was.
Bij mij het zelfde, dus ik vraag me echt af hoe ik aan dit account kom

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*