Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hack bij forum CD Projekt Red trof 1,9 miljoen accounts - update

Een datalek bij de Poolse videogameontwikkelaar CD Projekt Red heeft ertoe geleid dat 1,9 miljoen accounts op straat liggen. Die accounts bevatten gebruikersnamen, e-mailadressen en hashed en salted wachtwoorden.

HaveIBeenPwned.com maakt het lek vandaag bekend op Twitter en zet daar direct de kanttekening bij dat 67 procent van de accounts al in andere databases op de site terug te vinden was. Waarschijnlijk doelen de beheerders van de website daarmee specifiek op de e-mailadressen. Gebruikers die getroffen zijn door het datalek doen er goed aan om hun wachtwoorden te veranderen en dit ook te doen op alle sites waarvoor ze hetzelfde wachtwoord gebruiken.

CD Projekt Red, de ontwikkelaar van de bekende Witcher-games, maakte eind vorig jaar al bekend dat een oude forumdatabase 'mogelijk geopend en gekopieerd is door een derde partij die geen toegang zou mogen hebben'. Nu blijkt dat dat inderdaad gebeurd is. Hoe oud de database precies is, is niet bekend.

Update, 1-2: CD Project Red heeft in een eigen verklaring bekendgemaakt dat het op de hoogte is van het lek en dat het om een oude forumdatabase gaat. In tegenstelling tot wat HaveIBeenPwned schreef, zegt de ontwikkelaar dat de wachtwoorden met md5 waren gehasht en niet met sha-1.

Door

Nieuwsposter

49 Linkedin Google+

Reacties (49)

Wijzig sortering
Beetje knullig om wachtwoorden te hashen met sha1.
Beetje knullig om wachtwoorden te hashen met sha1.
sha-1-hashed en salted wachtwoorden
PBKDF2 zou beter zijn, maar het is tenminste salted.

SHA-1 is 'OK' als hashingfunctie voor wachtwoorden, waarbij natuurlijk opgemerkt moet worden dat je niet alleen een hashingfunctie moet gebruiken. SHA-1 heeft een grotere kans op false positives t.o.v. langere hashes, maar het zorgt er niet voor dat je sneller het originele wachtwoord kan herleiden als bijvoorbeeld PBKDF2 is toegepast, zelfs niet met de (voornamelijk theoretische) zwakheden van SHA-1.

[Reactie gewijzigd door The Zep Man op 31 januari 2017 12:14]

Grootste probleem met SHA-1 is dat het snel is, PBKDF2 is ook relatief snel te brute-forcen op een GPU, beter zou het zijn een algoritme te kiezen wat zowel veel CPU cycles als RAM nodig heeft, Argon2 bijvoorbeeld.
Het kan altijd beter. Voorlopig zal Argon2 niet snel terug te vinden zijn in alom gebruikte software. Ik verkies PBKDF2 of zelfs een salted hash nog steeds boven een enkel hashed wachtwoord.

Voor de eindgebruiker: gebruik altijd willekeurige wachtwoorden en een wachtwoordmanager. Dan maakt het niet uit en kan een site zelfs je wachtwoord plain text opslaan zonder andere herleidbare (bijvoorbeeld via e-mailadres) diensten te compromitteren.
Ze zijn tenminste wel salted.

Daarenboven ging het over een oude forumdatabase (wel geen informatie over hoe oud precies), niet echt zo evident om wachtwoord opslag te gaan veranderen zonder iedereen een nieuw wachtwoord te laten invoeren.
Daarenboven ging het over een oude forumdatabase (wel geen informatie over hoe oud precies), niet echt zo evident om wachtwoord opslag te gaan veranderen zonder iedereen een nieuw wachtwoord te laten invoeren.
Je kan gewoon de oude salted hash encapsuleren m.b.v. PBKDF2 en een nieuw hash algritme. Natuurlijk moet je het salt nog wel bewaren. Controleer vervolgens bij het inloggen wanneer de gebruiker voor het laatst diens wachtwoord heeft gewijzigd.

Wachtwoord is gewijzigd na de migratie? Gebruik gewone login:
wachtwoord -> PBKDF2 -> Controleer opgeslagen waarde.

Wachtwoord is niet gewijzigd na de migratie? Gebruik alternatieve login:
wachtwoord -> SHA-1(wachtwoord + salt) -> PBKDF2 -> Controleer opgeslagen waarde.

Zo hoef je gebruikers geen nieuw wachtwoord in te laten vullen.

Leuk feitje: Tweakers.net gebruikt dit principe ook. Er was ooit een wachtwoordmigratie, maar de oude wachtwoorden werken nog steeds. Zie dit voor meer informatie.

[Reactie gewijzigd door The Zep Man op 31 januari 2017 12:23]

En bij het inloggen kun je ze meteen migreren naar het nieuwe algoritme (omdat je op dat moment beschikt over het ingevulde plain text password :))
Als ik mij niet vergis is dit forum gebaseerd op vBulletin. Wat inhoud dat (bijna) elk forum die gebaseerd is op deze software zo omgaat met haar wachtwoorden.
Op ieder vbulletin staat onderin de footer vaak, het versienummer. Dus is het niet zo lastig om "vbulletin v1.0.2.3.4 exploit" te googlen als je echt schade wil toebrengen. Wat hier gebeurd is is gewoon een export van de hele database.

Nou nou, knap werk hoor. Dit is wat iedere cracker gewoon kan en echt niet skilled voor hoeft te zijn. Het enige geluk dat je hebben moet is dat het forum gewoon een poos niet meer bijgewerkt is.

Kunnen we nu wat meer nieuwswaardigere berichten verkrijgen?
Zo te zien in het forum account het zelfde als het "reguliere" GoG account, men kan dus in principe ook bij de daar aangeschafte spellen(?)
Neen. Van de bekendmaking van CDPR:
It’s the old database we used to run the forum before we migrated to the login system powered by our sister company -- GOG.com.
Mijn mailadres staat er tussen. Ik heb The Witcher gespeeld op de Ps4. Wat voor schade kan ik dan oplopen?
Is er toegang tot mijn PSN account? Want naar mijn weten heb ik geen account bij de jongens van CD project RED.

In bovenstaande artikel wordt ook niet duidelijk waardoor ik iets zou moeten vrezen. Maar dat kan volledige onwetendheid van mijn kant zijn.
Als je paswoord op het forum het zelfde is als dat op de ps4 en iemand probeert het, ja dan ben je gezien natuurlijk.
Als je hetzelfde wachtwoord gebruikt, maar dan ben je bij eender welke inbraak gezien natuurlijk.
Daar lijkt het in eerste instantie niet op
Wanneer gaan dit soort bedrijven nu eens heel hoge (die dus echt pijn doen!) boetes krijgen als de privacy van hun klanten door onvoldoende beveiliging te grabbel wordt gegooid? Dit lijkt mij de enige manier om bedrijven zo ver te krijgen dat ze wel voldoende tijd en resources steken in hun beveiliging. Het begint er steeds meer op te lijken dat het niet de vraag is of een bedrijf succesvol gehackt wordt, maar alleen nog maar wanneer.....

Moet je eens opletten hoe snel ze het voor elkaar hebben als er opeens 100 euro/dollar per openbaar gemaakt account betaald moet worden. Ongetwijfeld zullen er dan wat bedrijven failliet gaan, maar kennelijk is dat nodig om de industrie wakker te schudden.
Je kan gewoon niet rekenen op de beveiliging van anderen. Je moet het heft zelf in eigen handen nemen.

Gewoon het volgende doen indien mogelijk !! :

- Facebook account aanmaken met nep naam en helemaal afsluiten. Geen vrienden toevoegen gewoon niets mee doen
- 2 weg authenticatie aanzetten op je facebook account
- Inloggen op de websites met dat facebook account

Zo kunnen ze nooit bij je ww komen omdat dat niet wordt opgeslagen. Hoef je je ook niet druk te maken. Met 2 weg authenticatie op facebook voorkom je dat men je facebook account kan " hacken ".

Is maar een idee.
Tja, een Facebook account....dat vind ik in de basis al een onzalig idee. Komt bij dat onder een net naam aanmaken van een Facebook account niet mag. Als dat account daarom dan wordt afgesloten, kun je dus nergens meer bij. Je maakt van het Facebook account feitelijk de single point of failure...
Niks duid hierop dat ze onvoldoende beveiligd waren. Er is een oude backup gejat maar er word niet gezegd hoe. Dus om nou maar meteen ervan uit te gaan dat ze expres onvoldoende beveiliging hebben gehad is een beetje onzin.
Het is ook onzin om aan te nemen dat het niet zo is. Speculaas eten kunnen we allemaal, maar maken is een heel ander verhaal.

Persoonlijk ben ik voor 2 weg authenticatie, maar zolang mensen het te omslachtig vinden zal het niet geforceerd worden.
Ik zeg ook nergens dat ze 'expres' de beveiliging niet op orde hadden, dat zou helemaal het toppunt zijn.

Wel zeg ik dat ze verantwoordelijk zijn voor het voorkomen van het kwijtraken van gegevens van hun klanten, het enkele feit dat er nu 1,9 miljoen accounts op straat liggen geeft wat mij betreft aan dat ze die verantwoordelijkheid onvoldoende vorm hebben gegeven en dus onvoldoende beveiligd waren. Ook procedures om te zorgen dat onbevoegden niet bij een oude backup kunnen komen horen gewoon bij een goed beveiligingsbeleid. Links of rechtsom is het bedrijf verantwoordelijk, nu moet onze maatschappij nog een vorm vinden om af te dwingen dat die verantwoordelijkheid ook 100% genomen wordt. Flinke boetes helpen daarbij.
Kon me niet eens herinneren dat ik daar een account had, dus zal wel meevallen dat 'verloren' ww, maar het is inderdaad schering en inslag met dat lekken van data. Flikker oude data gewoon weg, in plaats van het een (makkelijk?) doelwit te laten zijn. En ffs beveilig de boel nu eens op normaal niveau :X

Ik laat tegenwoordig steeds meer ww's genereren door lastpass, ik ben inspiratieloos geworden :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*