Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Have I Been Pwned voegt oude database met 340.000 League of Legends-accounts toe

Have I Been Pwned, een dienst van beveiligingsonderzoeker Troy Hunt, heeft de e-mailadressen, gebruikersnamen en wachtwoorden van 339.487 League of Legends-accounts aan zijn database toegevoegd, zodat mensen kunnen controleren of hun gegevens erin voorkomen.

De dienst meldt dat het gaat om gegevens die zijn buitgemaakt in 2012. Volgens beheerder Hunt is de database geverifieerd door Riot Games, het bedrijf achter de game League of Legends. De database bevat bijna 340.000 records, waarbij de wachtwoorden in plaintext zouden zijn. Hunt vermoedt dat de nu online verschenen database een gekraakt deel van de oorspronkelijk buitgemaakte gegevens is. Ongeveer 67 procent van de toegevoegde gegevens stond al in HIBP.

Zes jaar geleden bleek dat hackers de database met gegevens van Europese League of Legends-spelers hadden buitgemaakt. Daarbij ging het niet om betaalgegevens, maar om e-mailadressen, versleutelde wachtwoorden en geboortedata. In een kleiner aantal gevallen ging het ook om voor- en achternamen, en om de versleutelde vragen en antwoorden die gebruikt kunnen worden bij accountherstel.

Riot Games maakte destijds niet bekend hoeveel spelers door het datalek waren getroffen. Toen het incident zich voordeed, waren er 32,5 miljoen geregistreerde spelers. Have I Been Pwned is een dienst waarbij mensen kunnen controleren of hun e-mailadres voorkomt in een van de vele uitgelekte databases van onlinediensten. Daarnaast kunnen ze controleren of hun wachtwoord voorkomt in een van die databases. Het is ook mogelijk om automatische waarschuwingen in te stellen.

Door Sander van Voorst

Nieuwsredacteur

30-07-2018 • 10:35

19 Linkedin Google+

Reacties (19)

Wijzig sortering
" De database bevat bijna 340.000 records, waarbij de wachtwoorden in plaintext zouden zijn"

"Daarbij ging het niet om betaalgegevens, maar om e-mailadressen, versleutelde wachtwoorden en geboortedata."

Plaintext opslaan is toch niet versleuteld of gaat dit om twee verschillende situaties?
Zoals beschreven op de website van HIBP;
https://haveibeenpwned.com/PwnedWebsites#LeagueOfLegends

In June 2012, the multiplayer online game League of Legends suffered a data breach. At the time, the service had more than 32 million registered accounts and the breach affected various personal data attributes including "encrypted" passwords. In 2018, a 339k record subset of the data emerged with email addresses, usernames and plain text passwords, likely cracked from the original cryptographically protected ones.

De wachtwoorden waren versleuteld, alhoewel zijn er 339.000 accounts gebreached die e-mailadressen wachtwoorden en geboortedata bevatten en nu beschikbaar zijn met plaintext wachtwoorden.

Edit: Source

[Reactie gewijzigd door Dean043 op 30 juli 2018 11:43]

Dat viel me ook al op, maar er staat ook in het artikel dat:
Hunt vermoedt dat de nu online verschenen database een gekraakt deel van de oorspronkelijk buitgemaakte gegevens is.
In het artikel van 6 jaar terug op Tweakers wordt er gesuggereerd in de comments dat ze waarschijnlijk geen salt hebben gebruikt (of dat er een verouderde encryptie-methode werd gebruikt) waardoor het vrij eenvoudig kan zijn om de wachtwoorde te ontsleutelen.
Met encryptie heb je weinig met salt te maken. Wachtwoord hash je over 't algemeen en als je die zonder salt opslaat dan zijn ze misschien te herleiden adhv een rainbow table. Maar ontsleutelen is niet mogelijk met gehashde wachtwoorden.
Websites die hun paswoorden op dezelfde manier hashes, met hetzelfde algoritme zullen dezelfde hash opslaan voor paswoorden die op beide websites gebruikt worden.
Ook als een salt word toegevoegd die niet unique per password is. Is de salt wel unique per password dan kan er niet aan de hand van een hash gezien worden of het om hetzelfde password gaat.

Waarom maakt dit uit zou je denken? Omdat een raindbow table een tradeoff is tussen CPU en geheugen. Brute force gebruikt veel CPU en weinig geheugen, rainbow tables weinig CPU en veel geheugen.

Bij het genereren van een rainbow table gebruik je eenmalig heel veel CPU. eenmaal dat de rainbow table klaar is heb je veel geheugen nodig, daarmee bedoel ik opslag ruimte. (trage vorm van geheugen)

Als er dus geen salts gebruikt zijn dan zodra een hacked een lijst van hashes in handen krijgt kan hij op zoek gaan naar hashes die hij ooit al eens gekraakt heeft.

Er vermits heeeeel erg veel mensen een simpel password hebben dat ze op verschillende websites gebruiken ....
Een salt voeg je normaal gesproken toe aan je wachtwoord zodat de hash van het wachtwoord niet voorkomt in een rainbow table. (Een tabel met hashes van veelgebruikte wachtwoorden).

We spreken hier daarom niet over encryption maar over hashing, en hebben het daarom niet over ontsleutelen want dat is niet mogelijk met hashing.
Ligt eraan wie de sleutel heeft in dit geval. Als iemand zo "vriendelijk" is geweest om de versleutelde wachtwoorden te ontcijferen en plaintext op internet te zetten, dan was het in eerste instantie een versleutelde wachtwoordenlijst.
Ik mag hopen dat als er hier gesproken wordt over versleutelde wachtwoorden, dat er gehashte wachtwoorden bedoeld wordt en niet het type versleuteling die je kunt terugdraaien met een sleutel. Over het algemeen wil je wachtwoorden niet kunnen ontsleutelen.
Zoals ik het lees is een gedeelte van de versleutelde wachtwoorden gekraakt. Dus oorspronkelijk waren ze versleuteld, maar dit is gekraakt, waardoor de naar buiten gekomen versie plaintext is.
"Hunt vermoedt dat de nu online verschenen database een gekraakt deel van de oorspronkelijk buitgemaakte gegevens is."

Oftewel, een deel van de wachtwoorden uit de originele database is ontsleuteld en dit zijn de 340.000 records die bedoeld worden.
Have I Been Pwned is een dienst waarbij mensen kunnen controleren of hun e-mailadres voorkomt in een van de vele uitgelekte databases van onlinediensten. Daarnaast kunnen ze controleren of hun wachtwoord voorkomt in een van die databases.
Eerst check je je e-mail adres, zeg PetePuk@Mailboer.com
Vervolgens check je je wachtwoord, bijv. KrommeAardbei26....

Eigenlijk geef je dus je eigen credentials zo maar weg aan een website waarvan we uit moeten gaan dat deze geen kwaad in zin heeft.
Of ben ik nu te argwanend?
Als je gebruik maakt van de HIBP API dan dien je je wachtwoord als SHA1 hash te versturen naar de dienst. De wachtwoorden zijn namelijk gehashed met dit algoritme zodat HIBP de wachtwoorden niet als plaintext hoeft op te slaan.

Via de webdienst wordt dit voor je gedaan, en inderdaad, je moet er maar op vertrouwen dat Troy dat wachtwoord niet ergens opslaat ;).
Nog iets preciezer, de API gebruikt k-anonimity, dus je submit enkel de eerst 5 karakters van de hash en dan krijg je de hashes terug met counts die ook die prefix hebben. Dat zorgt ervoor dat je niks specifieks over je wachtwoord lekt.

https://haveibeenpwned.co...hingPwnedPasswordsByRange

[Reactie gewijzigd door afraca op 30 juli 2018 12:16]

Je kan ook de database downloaden en lokaal zoeken naar je wachtwoord.
Troy Hunt heeft hier toch echt een mooie service neer gezet, zeker in combinatie met pwndpassword.

Voor degene die zich het afvragen; zelfs als een wachtwoord gehashed is kan je er alsnog achterkomen; zeker als ze voorspelbare patronen bevatten. Wat vaak gebeurd is dat mensen guidelines opvolgen, die te simpel gebruiken waardoor een cracker dit kan voorspellen en simpleweg via bruteforce kan vinden. Daarom is lengte zo belangrijk, hoe langer hoe zwaarder het wordt; rare tekens etc. boeien eigenlijk heel weinig. Probeer altijd meer dan 8.

Als je gebruik maakt van een zwaar algoritme, zoals scrypt of argon2, dan is het vaak niet economisch meer om het te bruteforcen; aangezien deze algoritmes zo ingesteld kunnen worden dat ze te veel geheugen gebruiken voor een GPU om het te bruteforcen op een efficiente manier.

Tevens even grappig, altijd cloud to butt instaleren in je browser want:
Project Mars | Crack Password Hashes in my Butt
https://mars.praetorian.com/
Je weet nooit wanneer die extensie toch weer even zijn gezicht laat zien

:)

[Reactie gewijzigd door jabwd op 30 juli 2018 11:09]

Kan je even uitleggen wat het nut van die extentie is? Ik heb de website even bekeken maar snap het niet echt.
Omdat iets "serverless" of "cloud" noemen idioot is, het is satire. Er zijn nog steeds servers, nog steeds configuraties. Het 'probleem' dat opgelost wordt is gewoon meer $$ er tegen aan gooien en anderen het laten proberen te doen. Satire op retard-marketing.

[Reactie gewijzigd door jabwd op 30 juli 2018 20:48]

wel fijn dat mijn zakelijke persoonlijke mail nooit slachtoffer is geworden :D

helaas wel mijn spam/game mail maarja das niet zo erg, die wachtwoorden zijn toch al wel eens geupdate in die tijd XD
Het is een gevoel van scheinveiligheid als jouw gegevens niet in de databases voorkomen die op HaveIbeenPowned staan. Het biedt namelijk geen enkele garantie dat ze niet toch ergens anders zijn uitgelekt waarbij deze gegevens nog niet bij HaveIbeenpowned zijn beland. Dus als er nog mensen zijn die overal het zelfde wachtwoord gebruiken, dan moet je er vanuit gaan dat dit wachtwoord bekend is bij derden.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True