Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen bieden 617 miljoen accounts van 16 gekraakte sites aan via darknet

Criminelen bieden via Dream Market op het Tor-netwerk accounts te koop aan van zestien gekraakte sites. Het gaat in totaal om 617 miljoen accounts en veelal om recente gegevens. Onder andere 500px bevestigt dat 15 miljoen gebruikers getroffen zijn.

De Britse website The Register heeft contact met de verkoper van de accounts en heeft een lijst met alle getroffen websites gepubliceerd. Ook heeft de website voorbeelden uit de databases gezien en die geverifieerd bij enkele van de betrokken bedrijven.

De informatie in de databases bestaat veelal uit namen, e-mailadressen en wachtwoorden. Die wachtwoorden zijn wel gehasht of versleuteld, maar afhankelijk van de database verschilt de sterkte van die versleuteling. De accounts worden verkocht per website, voor alles bij elkaar zou de verkoper zo'n 5,5 bitcoin vragen, op het moment van schrijven is dat ongeveer 17.500 euro.

Het lijkt om vrij recente gegevens te gaan, die veelal in 2018 zijn buitgemaakt. Er zijn vaker grote aantallen met accounts te koop op het darknet, maar vaak gaat dat om informatie uit hacks die eerder plaats hebben gevonden. Een van de getroffen websites, 500px, bevestigt tegenover The Register dat er in 2018 een hack heeft plaatsgevonden en licht nu zijn gebruikers in. Sommige van de wachtwoorden in de 500px-database zijn gehasht met md5 en daardoor relatief makkelijk te kraken.

Van andere websites, zoals MyHeritage, MyFitnessPal en Animoto, was al bekend dat gebruikersgegevens zijn buitgemaakt. Volgens de verkoper is het echter de eerste keer dat de gegevens te koop worden aangeboden. De verkoper claimt in zijn eentje de databases met accounts te hebben bemachtigd bij de verschillende bedrijven, door gebruik te maken van kwetsbaarheden in websites.

Getroffen website Aantal accounts Grootte database Datum
Dubsmash 161,5 miljoen 11GB December 2018
500px 14,9 miljoen 1,5GB Juli 2018
EyeEm 22,4 miljoen 1,7GB Februari 2018
8fit 20,2 miljoen 1,9GB Juli 2018
Fotolog 16 miljoen 5,9GB December 2018
Animoto 25,4 miljoen 2,1GB 2018
MyHeritage 92,3 miljoen 3,6GB Oktober 2017
MyFitnessPal 150,6 miljoen 3,5GB Februari 2018
Artsy 1,07 miljoen 184MB April 2018
Armor Games 11 miljoen 1,8GB December 2018
Bookmate 8 miljoen 1,7GB Juli 2018
CoffeeMeetsBagel 6,2 miljoen 673MB December 2017
DataCamp 700.000 82MB December 2018
HauteLook 28 miljoen 1,5GB 2018
ShareThis 41 miljoen 2,7GB Juli 2018
Whitepages 17,8 miljoen 2,9GB 2016

Door Julian Huijbregts

Nieuwsredacteur

12-02-2019 • 17:51

44 Linkedin Google+

Submitter: T-Junkie

Reacties (44)

Wijzig sortering
Wat mij dan weer irriteert is dat ik ooit MyFitnessPal getest heb ondertussen al tig jaar niet meer gebruik maar ik niet meer kan inloggen met mijn huidige password omdat ze het geforceerd veranderd hebben waardoor ik dus niet weet welk wachtwoord er gebruikt was en of dit problemen gaat opleveren dus kan ik wederom ALLES gaan veranderen ik word er ondertussen ziek van.
Ik denk dat ik echt snel mijn eigen domein naam moet aanschaffen en voor alles maar een subdomein aan moet gaan maken zodat ieder product of shop die ik gebruik zijn eigen mail adres heeft.
gebruik je gmail? dan kun je de volgende syntax gebruiken:

jouwadres+website@gmail.com.

Alles na de + negeert google. Ik gebruik dit al jaren om alles een eigen uniek mailadres te geven. Het enige wat me laatste keer dat ik het probeerde nog niet is gelukt is om een query te doen over mijn hele inbox + spam folder op mijnadres+%@gmail.com. Last time I checked moest je daarvoor thunderbird ofzo gebruiken en daar heb ik nog geen zin in gehad :)

Als iemand weet of het tegenwoordig wel kan vanuit de webclient, please do share.

Edit: reden voor de search is trouwens dat ik wil checken of iemand zijn data verkoopt / gebreached is. Krijg ik namelijk vage mail van bijvoorbeeld mijnadres+nyp@gmail.com (3x raden wie dat is), dan weet ik dat daar hommeles is.

[Reactie gewijzigd door AntiSocial op 12 februari 2019 19:42]

vroeger werkte dit nog wel, maar onder spammers is dit trucje ook bekend.
Een simpel scriptje die het '+'-teken en alles na het '+'-teken verwijderd en je kunt de mailadressen gewoon gebruiken zonder dat de bron van het lek zo snel bekend wordt....


voor GMail is het handiger om dit trucje te gebruiken

antisocialvoorbeeldje@gmail.com
a.ntisoc.ialvo.orbee.ldje@gmail.com
a.nt.is.ocialvoorbeeldje@gmail.com
anti.socialvoorbee.ldje@gmail.com

Je kunt gewoon punten plaatsen in je GMail-account. Al deze mailtjes komen gewoon aan bij 'antisocialvoorbeeldje@gmail.com'. De kans dat spammers gaan filteren op punten is niet zo groot.

[Reactie gewijzigd door Ynst2003 op 12 februari 2019 20:27]

en @AntiSocial

Ik gebruik al een jaar of 20 een variant hiervan. Ik gebruik per club waar ik een emailadres moet opgeven een ander adres, in de trant van.. naamvanhetbedrijf@[mijndomeinnaam] bijvoorbeeld veronicagids.nl@mijndomeinnaam.nl Mijn mailserver staat geconfigureerd als 'catch all'. Kan je gewoon bij je provider (laten) instellen.

Ben ik gestopt met de Veronicagids en krijg ik op enig moment spam binnen op dit adres? Dan weet ik wie mijn adres verkoopt / misbruikt. Niet dat je daar veel aan kan doen verder, maar het maakt het je spamfilter een stuk effectiever want met één toetscombinatie train ik SpamSieve (of welke je ook gebruikt, desnoods gewoon de standaard blacklist optie) dat mail aan dit mailadres voortaan meteen de spamfolder in kan.
Dit doe ik ook en werkt goed, maar heb gemerkt dat sommige organisaties emails blokkeren naar adressen waar hun eigen naam in zit. Het was metname lastig bij ANWB. Alle uitgaande emails werden geblokkeerd, heb meerdere combinaties getest. Na aanpassing naar "reverse string" werkte het weer.
Daarom gebruik ik tegenwoordig "reverse string" voor de naam van de organisatie, het omdraaien van de letters.
Grappig, dat heb ik nog niet meegemaakt, maar interessant om te weten. Weet je het van nog meer organisaties?

En bij ANWB mag je ook niet a.n.w.b.nl@ of zo gebruiken, of niet getest?

[Reactie gewijzigd door breakers op 13 februari 2019 10:29]

Inderdaad, regelmatig meegemaakt.

Soms mag het wel maar krijg je geen email ook al mag je het wel invoeren, soms mag je het niet eens aanmaken (aliexpress@domein.nl bijvoorbeeld niet).

Of toen ik mijn eerder gebruikt 2 letter voorvoegsel WB@domein.nl voor de Warner Brothers site (Batman spel) wilde gebruiken om in te loggen na hun migratie van de accounts en ik niet meer mocht inloggen want een email moest minstens 3 letters voor de @ hebben. Was ook leuk.
Waarom is die kans klein? Dat is een simpele string.replace('.', '') klaar
nou meer dat het +-trucje algemeen bekend is, maar van die punten is vrij onbekend.
Niet in spammersland lijkt me... gmail is zo groot, het kan echt wel uit om even de gmailadressen op te schonen.
Punten worden ook gestript, misschien minder dan de plusjes maar ik krijg regelmatig spam binnen op één van mijn gmail accounts waar het punt niet aanwezig is. Zelf gebruike ik een eigen domain met catchall.

Wat je ook kan doen is een extra account aanmaken waar alles geforward wordt naar je hoofdadres, en dan filter instellen dat wanneer er geen . of + aanwezig is in het to adress dit gewoon naar spam sturen.
Tja, en als Google dat ook écht goed af zou vangen... Ik krijg soms mail van iemand die een punt in zijn emailadres heeft staan maar verder identiek is aan dat van mij. Het werkt dus niet echt goed.
Dat probleem ken ik, in mijn geval heb ik, na jarenlang eens in de zoveel tijd te worden aangemeld bij: spotify, apple ID, pikantere websites, etc. contact kunnen leggen met mijn email/naam dubbelganger.
Wat bleek? Hij had wel een google-account, maar niet een gmail account. Als google account had hij iets van daantimmer, zonder punt. Hij ging er vanuit dat dit ook meteen een gmail account is, wat niet zo is. Dus eens in de zoveeltijd gebruikte hij dat adres en kreeg ik de mails.

Nu weet ik natuurlijk niet exact of hij daadwerkelijk als google account iets van daantimmer heeft. Dat boeide mij verder ook niet, maar hij is toen wel gestopt met het gebruik van 'mijn' e-mail. Met nog een extra verduidelijking dat ik totaal geen toegang had tot zijn eigen [mail]@live.nl account :-o Wat hij dacht na mijn telefoontje (begrijpelijk).
Juist dit ja, alleen krijg ik ook de mail van deze persoon binnen. Echt heel erg fout. Maar ga dit maar eens op proberen te lossen bij Google... Ze schenden iemands privacy, maar denk je dat je dit geregeld kan krijgen? Het is tenslotte een "gratis" dienst.
Geen idee, ik ben achter zijn privé gegevens gekomen omdat hij een bestelling had gedaan bij een webshop die dus mij zijn tijdelijke wachtwoord stuurde waardoor ik kon inloggen en zijn privé gegevens inzien.

Anders was ik nooit op zijn telefoonnummer gekomen.
Deze ervaring heb ik dus ook, als hij accounts aanmaakt dan komt het bij mij binnen. Ik kan zo inloggen en zijn informatie manipuleren als ik dat zou willen.
Dat lijkt me sterk. Voor gmail is de account grimlock@gmail.com hetzelfde als grim.lock@gmail.com. Zodra jij de account grimlock hebt geregistreerd kan niemand dus nog de account grim.lock registreren. Ik heb dit wel eens getest en het lukte mij niet om een variant op mijn eigen username te registeren.
Helaas voor jou is dit toch wel het geval. En er zijn wel meer mensen die b.v. f.Janssen@gmail of fjanssen@gmail hebben. Mogelijk dat die adressen al in een ver verleden aangemaakt zijn voordat deze aanpak van Google geïmplementeerd werd. Ikzelf heb al Gmail vanaf de eerste dag dat het public ging.
Dat is een optie, maar dan is niet meer makkelijk aan het email-adres te herkennen van welke website de 'spam' komt.

En nog belangrijker, bij de meeste websites log je natuurlijk in met je emailadres, dus dan moet je onthouden op welke plekken allemaal een puntje had neergezet. Dat is nog wel te doen met een passwordmanager, maar als je die data kwijt raakt heb je een vet probleem, want voor de passwordrecovery moet je ook weer het emailadres invullen met alle puntjes op de juiste plaats. ;)
Het irritante is alleen dat er nog stééds veel websites zijn die bij de registratie een eigenwijze (en foute) zelfgeknutselde email-adres validation check toepassen. En dan email adressen met een + weigeren wegens "invalid email address" :{
Ik heb zelfs met enige regelmaat dat mijn eigen naam@dom-ein-naam.nl niet wordt geaccepteerd vanwege de streepjes.. 8)7
_@domein.nl mag ook vaak niet.

Oh en als je support mailt zeggen ze dat je maar even een gmail account moet aanmaken :D

[Reactie gewijzigd door HakanX op 13 februari 2019 00:34]

Hoezo alles veranderen? Met een password manager heb je overal een uniek en random wachtwoord. Dus hoef je elders niets te wijzigen.
Zo is dat. Daarbij moet wel worden opgemerkt dat je er beduidend meer werk van hebt. Het automatisch invullen van gebruikersnaam en wachtwoord gaat vaak fout, waardoor je dus de password manager alsnog moet starten, de betreffende website opzoeken, en dan gebruikersnaam en/of wachtwoord moet kopiëren. Daar komt nog bij dat je er goed van doordrongen moet zijn dat je *nergens* zonder kan, aangezien je geen enkel wachtwoord meer zult onthouden (te complex). Tenslotte: wanneer je accounts hebt op veel sites (zeg 50+) met unieke wachtwoorden en je waardeert je eigen security, dan dien je die wachtwoorden allemaal eens in de zoveel tijd (zeg eens per jaar) te wijzigen. Een stevige klus, ga daar maar een dagje voor zitten. (Trouwens, daarbij is een password manager wel weer handig, want je hebt dan in ieder geval op een rijtje waar je accounts hebt die gewijzigd moeten worden).

Zelf gebruik ik al jaren lastpass, maar ben pas onlangs begonnen met het batchgewijs aanmaken van nieuwe wachtwoorden. Ik vrees dat ik dat niet jaarlijks ga doen...
Je kan natuurlijk ook je wachtwoorden categoriseren naar risico. Als je daarnaast bedenkt dat een groeiend aantal key websites de auto password change feature ondersteund, valt het werk wel mee: https://helpdesk.lastpass.com/nl/generating-a-password/

Waarom zou je uberhaupt unieke wachtwoorden van onbelangrijke sites en fora wijzigen?
1. Als ze gehackt worden en de database lekt, krijg je een notificatie van haveibeenpowned, de website zelf en tegenwoordig ook lastpass.
2. Als ze gehackt worden en de hacker houdt alles voor zichzelf. Succes met mijn onbelangrijke account terwijl die ook met de admin accounts aan de slag kan. Indien dat, komen we bij punt 1 uit (hack wordt bekend)

Qua wachtwoorden opzoeken. Ik merk dat de mobile pluggin voor Android 9 en iOS steeds beter wordt. In de browser werkt het al 95% van de tijd goed met de plugins.
betreft myheritage hebben ze ook al eerder een bericht verzonden:

U bent één van onze geregistreerde gebruikers. Daarom willen wij het volgende onder uw aandacht brengen. Op 4 juni 2018 om 20:00 uur zijn wij op de hoogte gebracht van een datalek met betrekking tot 92,3 miljoen e-mailadressen van MyHeritage gebruikers en hun gehashte wachtwoorden. Dit betreft geen daadwerkelijke wachtwoorden.

Blog post van ze: http://blog.myheritage.nl...ncident/?tr_date=20180615
Ik hoop dat bij MyHeritage de DNA data niet gelekt is. Dan heb je denk ik echt een groot probleem.
Nee, die data wordt gewoon rechtstreeks gedeeld met de FBI.

nieuws: Bedrijf voor dna-tests geeft FBI toegang tot data

[Reactie gewijzigd door Ynst2003 op 12 februari 2019 19:26]

werkt jou buurman bij die FBI?
De Nederlandse recherche overweegt inmiddels iets vergelijkbaars, ook al is dat in eerste instantie om naamloze slachtoffers te kunnen identificeren en nog niet voor strafzaken.
https://www.nrc.nl/nieuws...e-doden-een-naam-a3653025

[Reactie gewijzigd door Chrizzel op 13 februari 2019 08:25]

Hoewel alleen de hashes zijn buitgemaakt, vraag ik me af of het niet beter was geweest dat alle wachtwoorden werden gereset.
Lijkt er aan hoe de wachtwoorden gehasht zijn. M.b.v rainbow tables zijn de gehashte wachtwoorden vrij simpel te kraken.
Ik ben lid van 500px, welke data hebben ze nu precies van mij?
Daar ben ik ook wel benieuwd naar. Ik log daar altijd in via Facebook. Moet ik dan mijn Facebook wachtwoord veranderen? Kunnen ze het geld van mijn verkochte werk naar zichzelf over maken?
Qua inlog, als dat via Oath is, nee want dat wordt niet gedeeld. Maar sowieso moet je dat account met wachtwoord een goede reset geven en als je dat wachtwoord elders heb gebruikt ook.

Volgens mij is Armorgames voor mij wachtwoord nummer 12 dat is gelekt in +/- 2 jaar.
Ja dat mijn login lekt kijk ik niet meer zo van op, dat is opzich niet eens zo een probleem gezien ik inmiddels overal andere wachtwoorden ben gaan gebruiken. Alleen bij 500px zit een hoop extra informatie over mij vanwege licenties en foto verkoop etc. 500px informeert mij er totaal niet over. Ik heb niet eens een mail van hun gehad.
Betreffende MyFitnessPal
Even gezocht in m'n mail history. Op 30 mei 2018 al dit bericht van ze ontvangen:

On March 25, 2018, we became aware that during February of this year an unauthorized party acquired data associated with MyFitnessPal user accounts. The affected information included usernames, email addresses, and hashed passwords - the majority with the hashing function called bcrypt used to secure passwords.

Hele FAQ hier https://content.myfitness...rity-information/FAQ.html

[Reactie gewijzigd door AntiSocial op 12 februari 2019 17:59]

Lekker dan 8)7

Datacamp nog niets van gehoord.. is trouwens een Belgisch bedrijf, maar het aantal accounts dat is getroffen is beperkt t.o.v. het aantal gebruikers ze zeggen te hebben.

https://www.bloovi.be/art...e-de-wereld-wil-uithelpen

[Reactie gewijzigd door mrdemc op 12 februari 2019 19:04]

>Een van de getroffen websites, 500px, bevestigt tegenover The Register dat er in 2018 een hack heeft plaatsgevonden en licht nu zijn gebruikers in.

Wisten ze dat er een hack was plaatsgevonden in 2018? Want dat is nu op zijn minst al bijna 40 dagen geleden.
Dat klinkt inderdaad alsof ze nu betrapt zijn en het toch maar wereldkundig maken. 8)7
Ik zie via DataCamp dat ze wachtwoord hashes (bcrypt) hebben buitgemaakt + naam en adres.
We zullen de spam wel weer zien binnen komen - gelukkig op het werk e-mail adres met een redelijk spamfilter :D

https://support.datacamp....requently-Asked-Questions

[Reactie gewijzigd door freburgje op 13 februari 2019 05:57]

Het hele ww beleid moet op zijn kop. Geef me gewoon een invoernaam die niet overeenkomt met een gebruikersnaam of emailadres - sterker, die moeten expliciet uitgesloten worden - en dan is de gebruikersnaam zo variabel dat je aan profiling van een persoon moet gaan doen voordat je het kan kraken.

Btw ik ga er persoonlijk van uit dat elke kleinschalige of verouderde database mijn credentials lekt. Het verbaast me hoe weinig ik vind op haveibeenpwnd
Zo'n willekeurige tekenstring heet toch al "wachtwoord"?
Eergisteren eens een check gedaan op haveibeenpwnd.
Word nu al 2 dagen bestookt met spammail.
Die site lijkt mij ook geen zuivere koffie....
MyFitnessPal moet je niet gebruiken, het is een zooitje daar en je moet werken voor een fit fysiek, een app helpt niks en leidt alleen maar af.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True