Trakt.tv meldt dat het in 2014 een datalek had

Webdienst Trakt.tv heeft in 2014 een datalek gehad, waar de beheerders nu achter zijn gekomen. Van een onbekend aantal gebruikers zijn gebruikersnamen, e-mailadressen en versleutelde wachtwoorden buitgemaakt.

Trakt stelt de getroffen gebruikers op de hoogte met een e-mail en heeft een verplichte wachtwoordreset doorgevoerd voor ze. De site maakt geen melding van hoe sterk de versleuteling is op de wachtwoorden. De site benadrukt dat betaalgegevens buiten schot zijn gebleven. Die zijn in handen van een betalingsverwerker en niet Trakt zelf. Een php-kwetsbaarheid zou een ingang hebben geboden voor de hackers.

Trakt voerde in januari 2015 een upgrade aan zijn systemen uit, waardoor de beveiligingslekken gedicht waren, vertellen de beheerders. Ook is hierbij het algoritme voor wachtwoordopslag versterkt. Het Trakt-team maakt excuses voor de situatie.

Zoals gebruikelijk raadt Trakt aan om sterke wachtwoorden te gebruiken, deze met enige regelmaat te veranderen en nooit tweemaal hetzelfde wachtwoord te gebruiken. Een wachtwoordmanager kan dat vergemakkelijken.

Gebruikers kunnen met Trakt-apps en add-ons hun kijkgedrag naar de site uploaden. Zo kunnen ze een mediabibliotheek opbouwen. Deze gegevens kunnen vervolgens weer gebruikt worden om bij te houden waar in een serie een gebruiker was gebleven en om aanbevelingen voor films en series te genereren.

Reacties (31)

C-dude 7 februari 2019 11:34

De mail die ik gehad heb, maar geen wachtwoordreset. Toch maar voor de zekerheid aangepast

Hey <username>,
We are contacting you today because we have learned of a data breach that occurred back in December 2014. The breach involved some of your personal information such as username, email and encrypted password. Although this happened in 2014, we only recently discovered this, and wanted to promptly provide notice as part of our commitment to your privacy.
THE GOOD NEWS
To any VIPs, no payment information was included in the breach. All payment data is securely held by payment processors and never within our own servers.
Next, in January 2015, we moved from version 1 of our site to version 2. In doing so, we removed any access outsiders had to your information and accomplished three key things to strengthen our security:
1. We moved to a more secure algorithm for storing passwords
2. Our platform change removed the exploit
3. The new infrastructure has far tighter restrictions
WHAT HAPPENED
Our investigation is ongoing, but we believe a PHP exploit was used to capture data from Trakt users.
WHAT INFORMATION WAS INVOLVED
We have found that the information lost included email, username, encrypted passwords, name and location.
WHAT WE ARE DOING
We have reset passwords for affected users. Although we believe that our 2015 move to version 2 of our site stopped any ongoing access to user information, we are diligently monitoring our site.
WHAT YOU CAN DO
For all affected users, we have reset your passwords and you will receive an email with a reset link. In addition to that, if you are the type of user to re-use passwords on different sites, we recommend changing your password on all other sites as well. Remember, this is a password from Dec. 2014, so if you have since changed your password, you are already protected.
As an additional resource, check out what Gizmodo suggests to safeguard yourself. Gizmodo: How to stop worrying about every 'Mega' password breach that comes along
FOR MORE INFORMATION
Please see FTC Data Breach Resources
We know you trust us with your data and we failed to protect it. We're incredibly sorry that this happened and hope that you'll let us earn your trust back.
- The Trakt Team

pven @C-dude • 7 februari 2019 11:39

maar geen wachtwoordreset

Die kwam bij mij enkele uren na de mail die je hierboven quote.

C-dude @pven • 7 februari 2019 11:55

Mail was aangekomen om 02:57. Voorlopig nog geen andere.

pven @C-dude • 7 februari 2019 12:03

Om 2:42AM had ik de gequote mail binnen, en om 05:27AM kwam de reset-mail binnen.

MrMonkE @pven • 7 februari 2019 11:56

Ja, dit is soms een probleem voor bedrijven om binnen korte tijd enorm veel emails te versturen. De gevechten die je kunt hebben op valentijnsdag op facturatiedagen zijn niet leuk. Je kunt echt mail queues hebben die dagen in beslag nemen. Maar aangezien het in 2014 was kan die 8 uur er ook nog wel bij

Xi-s @pven • 7 februari 2019 12:03

Frappanter was het dat ik pas 1,5 dag na de automatische wachtwoordreset (gisterennacht) de mail met uitleg kreeg. Maarja, het kwartje was natuurlijk al wel wat eerder gevallen bij mij.

Wildfire

@pven • 7 februari 2019 16:10

Ik had eerst de resetmail, tijd daarna pas de andere. Ik dacht dus eerst dat iemand had geprobeerd m'n account te resetten.

WaterFire @C-dude • 7 februari 2019 12:51

Ik gebruik nooit links in mails, ook niet als ze die aankondigen. Handige jongens kunnen het heel geloofwaardig maken, of in theorie zelfs die tweede mail snel namaken voordat je de echte ontvangt. Er zat nu eenmaal een paar uur tussen..

Dus gewoon zelf naar de site en daar je ww wijzigen.
En in dit geval account opzeggen, ik heb me blijkbaar in 2012 een keer ingeschreven maar nooit gebruikt..

garfiel.d 7 februari 2019 11:34

Ik heb ook de email gehad. Er staat geen enkel verklaring waarom het 5 jaar later pas opgemerkt werd.

Blokker_1999

Hackers
Datalek
Hack
Networking en security

@garfiel.d • 7 februari 2019 11:43

Hoogstwaarschijnlijk is de gestolen data ergens opgedoken en hebben ze daarmee de periode kunnen vinden waarin het gebeurd is.

R.Evil @Blokker_1999 • 7 februari 2019 11:50

Je hebt gelijk, 5 feb leak

MrMonkE @Blokker_1999 • 7 februari 2019 11:51

Dus als je slim bent als hacker laat je de nieuwe users van de afgelopen 2 weken weg uit je data-buit.

raro007 @MrMonkE • 7 februari 2019 12:33

een slimme hacker zou een normaal baan kunnen vinden

Datastream @raro007 • 7 februari 2019 13:11

een slimme hacker verdient meer door crimineel te zijn

raro007 @Datastream • 7 februari 2019 13:12

verdient meer maar verdient ook een cel en kan je mij vertellen wat daar slim aan is?
of is tegenwoordig leven van een ander leed "slim"?

Datastream @raro007 • 7 februari 2019 13:24

Alsof dat wat uitmaakt. Als die ethische kwesties je niet raken is het zeker slim om crimineel te zijn want dan bereik je sneller je doel.

En er is een verschil tussen een cel verdienen en een cel krijgen.

dunpealhunter @garfiel.d • 7 februari 2019 15:01

Jammer dat ze negatief in het nieuws komen op deze manier. Ik vind het persoonlijk een geweldige site die ik persoonlijk vooral in de beginjaren sinds 2010 veel ondersteund heb met veel goede ideeën, tips en reviews.

hardware-lover 7 februari 2019 11:55

Ik had gisteren (toevallig?) een mail ontvangen waarin stond dat "iemand" gevraagd had mijn wachtwoord te resetten, en als ik dit zelf niet ben geweest, dan hoefde ik geen actie te ondernemen.
Later op de dag werkte mijn oude wachtwoord echter niet meer, dus toch maar een nieuw ingesteld.
Verder geen mail gezien waarin datgene staat wat in het artikel wordt aangehaald, toch werkt vandaag mijn nieuw aangemaakt wachtwoord weer niet, dus heb ik nu maar opnieuw om een wijziging gevraagd.

misteriks @hardware-lover • 7 februari 2019 12:42

Ik heb gisteren of eergisteren ook een melding gehad dat iemand mijn wachtwoord heeft proberen te resetten.

Het wachtwoord wat ik had was een random password gegenereerd door Lastpass , maar werkte niet meer. Heb zelf een reset gedaan.

Helaas heeft Trakt nog geen 2FA

Jazco2nd 7 februari 2019 12:07

Een goed alternatief op Trakt ken ik eigenlijk niet. Als ik de watched status van Kodi kan opvragen zodat tools als Flexget het kunnen uitlezen, en ook watched status makkelijk kan backuppen/syncen heb ik Trakt eigenlijk niet nodig.. maar dan moet je wel een tekstbestand bijhouden met de lijstjes van gewenste films en series..

denandy83 @Jazco2nd • 7 februari 2019 12:36

TV Time biedt hiervoor een oplossing. overzichtelijke interface, upcoming van de series die je kijkt, swipen om te markeren als gezien, up next lijst, etc

Jazco2nd @denandy83 • 7 februari 2019 12:54

Dank die kende ik niet, maar dat doet dus zelfde als Trakt, je watched status in een cloud bijhouden.
Ik ben juist benieuwd of het ook cloud-free kan, hooguit mijn eigen prive cloud, thuis dus.

MsG @Jazco2nd • 7 februari 2019 13:23

Dat doet Kodi toch standaard al? Of gebruik je meerdere clients? Misschien is een shared Kodi-database dan een optie.

Jazco2nd @MsG • 7 februari 2019 15:13

Het is niet voor Kodi, maar voor een download manager. Ik gebruik inderdaad meerdere clients (maar staat hier los van) en dat gaat perfect via Kodi's UPNP Library of door Yatse te gebruiken zonder externe database.

Het nut van een externe/MySQL database is wat mij betreft nogal overdreven.

Stevie-P @Jazco2nd • 7 februari 2019 14:19

Standaard houdt kodi dit bij in zijn eigen library, maar je kan configureren dat de library wordt bijgehouden in een gedeelde mysql database. meer info

paralyz3 @Jazco2nd • 7 februari 2019 12:45

Ik gebruik Trakt inderdaad vergelijkbaar. SeriesGuide op telefoon om nieuwe series/films toe te voegen aan lijst, Plex als mediaserver met een Trakt Sync en een Netflix plugin die de watched history synced.
Leuk om bij te houden vooral, maar ook handig voor nieuwe afleveringen van vergeten series.

Verwijderd @Jazco2nd • 7 februari 2019 19:05

er zijn wel wat alternatieven voor op de tablet, maar dan moet je wel handmatig aanvinken dat je iets gezien hebt, daar heb je dus denk ik niet veel aan, zelf vind ik het wel handig, maar momenteel wis ik meestal wat ik gezien heb en dat werkt ook wel.

gielie 7 februari 2019 12:09

Wel de mail gehad dat er een lek was maar geen password reset, mijn oude ww werkt ook nog gewoon. Vreemd.

ap3nr0ts

7 februari 2019 12:33

Ik kreeg alleen een mail dat iemand probeerde in te loggen op mijn account. Vreemd. Daarna maar gewoon mijn account verwijderd. Gebruik de site toch niet meer.

spoor12b 7 februari 2019 14:57

Geeft toch wel te denken dat je er 5 jaar over gedaan hebt om deze inbraak te detecteren. Hopelijk werken ze de password beveiliging bij naar een goede standaard zoals SCRYPT .

En dit advies stamt al uit 2013, zie https://security.blogover...-secure-password-hashing/

HakanX 7 februari 2019 18:20

Zijn ze lekker snel bij. Ik heb iig geen email gehad. Vind het altijd raar dat ze zo voorzichtig zijn met wachtwoorden resetten bij een datalek. Gelukkig maakt het in mijn geval niet veel uit, gebruik altijd onzin logins met apparte email op dit soort sites.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: