Maker Magic: The Gathering had data 450.000 users op onbeveiligde server staan

Een datalek bij 'Magic: The Gathering'-maker Wizards of the Coast zorgde ervoor dat de gegevens van 452.634 spelers openbaar toegankelijk waren via het web. Het gaat om e-mailadressen, namen, gebruikersnamen en hashed & salted wachtwoorden.

TechCrunch schrijft dat de Amazon-bucket pas op slot ging nadat het contact opnam met Wizards of the Coast en dat dat bedrijf niet reageerde op contactverzoeken van de ontdekker van het lek, Fidus Information Security. Fidus meldt echter niet wanneer het het euvel aan Wizards of the Coast heeft gemeld, noch meldt TechCrunch wanneer het zelf contact op heeft genomen met het bedrijf. Het is dus niet te zeggen hoeveel tijd Wizards of the Coast heeft gehad om te reageren en te handelen.

Volgens Fidus was de Amazon-bucket sinds vroeg in september openbaar toegankelijk. De gegevens, die afgezien van de wachtwoorden niet versleuteld waren, dateren van 2012 tot 2018. Volgens Wizards gaat het om een server voor een site die niet meer in gebruik is. De server is afgesloten, de getroffen users zijn op de hoogte gesteld en een wachtwoordreset is verplicht.

Een woordvoerster van Fidus noemt het 'teleurstellend' dat anno nu dergelijk grote databases nog zo gemakkelijk te vinden zijn. Wizards of the Coast heeft het datalek gemeld bij de Britse privacyautoriteiten, conform de GDPR, in Nederland bekend als de AVG.

Lees meer

Reacties (38)

SkyStreaker
17 november 2019 13:24

Kreeg de mail op zaterdagochtend binnen om 3:00, en ook hier gesubmit. De inhoud van de mail:"

Dear Wizards Community:

We are writing to let you know about a recent security incident at Wizards of the Coast.

What Happened?
On November 14, 2019, we learned that an internal database file from a decommissioned version of the Wizards of the Coast website login had inadvertently been made accessible outside the company. We believe that this was an isolated incident, limited to a legacy database and unrelated to our current systems. Based on our current investigation, we have no reason to believe that any malicious use has been made of the data. However, in an abundance of caution, we are sending you this notice to let you know what happened, what steps we are taking as a result, and what steps we are encouraging you to take to protect yourself.

What Information Was Involved?
The database file included the following types of information: first and last names, email addresses, and passwords stored in “hashed and salted” format. This means that the passwords were not stored in plain text but were secured cryptographically. No payment or other financial information was included in this database.

What Are We Doing?
Upon learning of this incident, we removed the database file from our server and commenced an investigation to determine the scope of the incident. In an abundance of caution, we are notifying the users whose information was contained in the database. For those of you that have an active Wizards account(s) (e.g., Arena, Magic Online, etc.), you have 7 days to reset your password(s). After that, your password(s) will be manually reset, and you will be required to make new password(s) to login.

For Arena, you may reset your password here: https://myaccounts.wizards.com/
For Magic Online, you may reset your password in the game client.
For DCI accounts, you will receive an email with instructions on how to reset your password.
What Can You Do?
As always, it is best practice not to use the same password on multiple systems. While we do not have reason to believe that the data involved has been used maliciously, we still encourage you to change your password if you have used this password for other accounts on non-Wizards systems.

For More Information
If you have any questions about this incident please contact us at: https://support.wizards.com/hc/en-us or by phone at 1 (800) 324-6496. Please do not provide any personal information in response to this email.

Your privacy matters. We take this issue very seriously and we apologize for the inconvenience.

Sincerely,
Wizards of the Coast

michaelkamen
@SkyStreaker • 18 november 2019 00:21

However, in an abundance of caution, we are sending you this notice

In an abundance of caution, we are notifying the users

Hoezo 'abundance of caution'? Dit lijkt me niet meer dan normaal....

Peekster
@michaelkamen • 18 november 2019 09:36

Dit is om aan de GDPR/AVG te voldoen.
Zie hier ook meteen waarom deze wetgeving niet werkt.

Call of Duty
@Peekster • 18 november 2019 13:37

Nou ja, ze informeren nu de getroffen gebruikers. Dat gedeelte van de GDPR werkt in dit geval dus wel.

svenslootweg
17 november 2019 12:25

Het gaat om e-mailadressen, namen, gebruikersnamen en hashed & salted wachtwoorden.

Het is altijd weer teleurstellend wanneer een bedrijf (of andere bron) niet meldt hoe hun wachtwoorden gehasht zijn; dat maakt namelijk nogal een verschil, wat beveiliging betreft.

Het hashen van wachtwoorden met MD5, bijvoorbeeld, zit dichter in de buurt van plaintext passwords dan van een goed hashing-algoritme zoals argon2i, scrypt, of bcrypt.

In de screenshot in het oorspronkelijke artikel is een '$S$'-prefix zichtbaar en het lijkt MCF te gebruiken, maar ik ben deze nog niet eerder tegengekomen. Iemand die toevallig weet welk algoritme dit is?

Desirius
@svenslootweg • 17 november 2019 12:42

Volgens deze website is het de prefix van Drupal7 hashes: https://hashcat.net/wiki/doku.php?id=example_hashes

En dat lijkt gebruik te maken van sha512: https://api.drupal.org/api/drupal/includes%21password.inc/function/user_hash_password/7.x

Het hashen van wachtwoorden met MD5, bijvoorbeeld, zit dichter in de buurt van plaintext passwords dan van een goed hashing-algoritme zoals argon2i, scrypt, of bcrypt.

Ik ben het hier met je eens voor wachtwoorden. Voor andere zaken kan MD5 (liever natuurlijk SHA (wat voor wachtwoorden praktisch dezelfde problemen heeft)) opzich nog wel prima gebruikt worden. In die zin zijn er meer goede hashing algoritmes, alleen zijn ze niet allemaal geschikt voor alle situaties.

-- Toevoeging naar aanleiding van @svenslootweg's reactie --
Ik ben van mening dat er geen goede reden is om MD5 te gebruiken in nieuwe programma's. Als een programma nog MD5 gebruikt omdat dat al geïmplementeerd was, dan hoeft dat in specifieke gevallen echter niet noodzakelijk een probleem te zijn.

Ik probeerde meer het punt te maken dat er meer goede hashfuncties zijn dan alleen hashfuncties die zijn gemaakt voor wachtwoord hashing. Dat heb ik alleen niet op een handige manier gedaan.

[Reactie gewijzigd door Desirius op 17 november 2019 14:00]

svenslootweg
@Desirius • 17 november 2019 13:00

Volgens deze website is het de prefix van Drupal7 hashes: https://hashcat.net/wiki/doku.php?id=example_hashes

En dat lijkt gebruik te maken van sha512: https://api.drupal.org/ap...on/user_hash_password/7.x

Dat is niet fantastisch, maar stukken beter dan MD5 o.i.d.

Voor andere zaken kan MD5 (liever natuurlijk SHA (wat voor wachtwoorden praktisch dezelfde problemen heeft)) opzich nog wel prima gebruikt worden.

Daar ben ik (en niet alleen ik) het sterk mee oneens. Er zijn grofweg twee usecases voor hashes:

1. Usecases waar security requirements bij komen kijken. Hier is MD5 ongeschikt omdat het niet de security properties levert die het zou moeten, oftewel MD5 is gebroken. Zelfs als het voor jouw specifieke usecase niet gebroken is, blijft het een teken dat het algoritme niet werkte zoals de ontwerper had verwacht, en er dus vermoedelijk meer mis is - maar niemand gaat dit nog uitzoeken, want MD5 is al afgeschreven.

Gebruik in plaats daarvan een modern cryptografisch-veilig hashing-algoritme zoals een SHA2- of (liever nog) SHA3-variant of, in het geval van wachtwoorden of keys, argon2i / scrypt / bcrypt (in volgorde van voorkeur).

2. Usecases waar geen security requirements bij komen kijken (bijv. duplicate detection). Hiervoor is MD5 onnodig traag, en bestaan veel snellere (en dus betere) opties zoals xxhash.

Al met al is er gewoon geen enkele geldige reden om nog MD5 te gebruiken, ongeacht je usecase. Betere opties zijn vrijwel universeel beschikbaar, voor beide categorieën van usecases.

(Overigens is MD5 net zoals de diverse SHA's uberhaupt nooit een goede optie geweest voor wachtwoorden omdat het een te snelle hash is, ook niet toen het nog niet gebroken was, maar dat terzijde.)

[Reactie gewijzigd door svenslootweg op 17 november 2019 13:00]

Desirius
@svenslootweg • 17 november 2019 13:49

(Overigens is MD5 net zoals de diverse SHA's uberhaupt nooit een goede optie geweest voor wachtwoorden omdat het een te snelle hash is, ook niet toen het nog niet gebroken was, maar dat terzijde.)

Ik dacht dat jouw reactie vooral hierover ging, aangezien je alleen password-hashing algoritmes neerzette als goede hashing algoritmes (waar ik het niet mee eens ben vanwege de tweede use-case die je noemt). Dus dat is vooral waar ik mijn vorige reactie op richtte.

Dat is niet fantastisch, maar stukken beter dan MD5 o.i.d.

Ik heb me niet verdiept in hoe het verder precies werkt, en hoe snel de functie uiteindelijk is, maar het grootste probleem van wachtwoorden opslaan met MD5 of SHA is - zoals je ook zelf zegt - gewoon dat het te snel is. Daardoor kan een aanvaller relatief makkelijk een brute-force doen. Dus het gebruik van SHA256 ipv MD5 hoeft helemaal geen grote verbetering te zijn.

1. Usecases waar security requirements bij komen kijken. Hier is MD5 ongeschikt omdat het niet de security properties levert die het zou moeten, oftewel MD5 is gebroken. Zelfs als het voor jouw specifieke usecase niet gebroken is, blijft het een teken dat het algoritme niet werkte zoals de ontwerper had verwacht, en er dus vermoedelijk meer mis is - maar niemand gaat dit nog uitzoeken, want MD5 is al afgeschreven.

Gebruik in plaats daarvan een modern cryptografisch-veilig hashing-algoritme zoals een SHA2- of (liever nog) SHA3-variant of, in het geval van wachtwoorden of keys, argon2i / scrypt / bcrypt (in volgorde van voorkeur).

2. Usecases waar geen security requirements bij komen kijken (bijv. duplicate detection). Hiervoor is MD5 onnodig traag, en bestaan veel snellere (en dus betere) opties zoals xxhash.

Al met al is er gewoon geen enkele geldige reden om nog MD5 te gebruiken, ongeacht je usecase. Betere opties zijn vrijwel universeel beschikbaar, voor beide categorieën van usecases.

Hier ben ik het helemaal mee eens. Als je iets nieuws schrijft is er wat mij betreft inderdaad geen reden meer om MD5 te gebruiken. Heb je echter een programma (of library) die gebruikt maakt van MD5, dan hoeft dat echter niet meteen te betekenen dat dat een groot probleem is - afhankelijk van de manier waarop het gebruikt wordt.

Terugkijkend lijkt het inderdaad alsof ik MD5 aanbeveel. Dat was echter niet mijn bedoeling, want het is verouderd en heeft inderdaad problemen.

svenslootweg
@Desirius • 17 november 2019 14:05

Ik heb me niet verdiept in hoe het verder precies werkt, en hoe snel de functie uiteindelijk is, maar het grootste probleem van wachtwoorden opslaan met MD5 of SHA is - zoals je ook zelf zegt - gewoon dat het te snel is. Daardoor kan een aanvaller relatief makkelijk een brute-force doen. Dus het gebruik van SHA256 ipv MD5 hoeft helemaal geen grote verbetering te zijn.

Klopt, maar in het geval van Drupal is er sprake van een 'iteration count', dus dat zou het flink trager maken. Of het traag genoeg is hangt natuurlijk van de iteration count af, en het mist de GPU resistance die bijvoorbeeld argon2i en scrypt wel hebben, maar het is vrijwel zeker noemenswaardig beter dan MD5 (dat eigenlijk altijd met 1 iteration gebruikt wordt).

Hier ben ik het helemaal mee eens. Als je iets nieuws schrijft is er wat mij betreft inderdaad geen reden meer om MD5 te gebruiken. Heb je echter een programma (of library) die gebruikt maakt van MD5, dan hoeft dat echter niet meteen te betekenen dat dat een groot probleem is - afhankelijk van de manier waarop het gebruikt wordt.

Terugkijkend lijkt het inderdaad alsof ik MD5 aanbeveel. Dat was echter niet mijn bedoeling, want het is verouderd en heeft inderdaad problemen.

Dan zijn we het eens

Genosha
17 november 2019 12:50

https://www.reddit.com/r/...urity_breach_copied_from/

Het statement van WotC

What Happened? On November 14, 2019, we learned that an internal database file from a decommissioned version of the Wizards of the Coast website login had inadvertently been made accessible outside the company.

Ik heb zelf geen mail gehad over het moeten wijzigen van mijn gegevens. En aangezien mijn DCI account pas 6 maanden oud is, is de lek misschien al ouder dan dat.

[Reactie gewijzigd door Genosha op 17 november 2019 12:50]

SkyStreaker
@Genosha • 17 november 2019 13:27

3 uur zaterdag-ochtend binnengekregen. Echter heb ik ook op het forum al herhaaldelijk gevraagd om two-factor authentication. Desnoods via de Google Authenticator.

Dit kreeg geen luisterend oor, jammer.

[Reactie gewijzigd door SkyStreaker op 17 november 2019 13:27]

ajolla
@Genosha • 17 november 2019 13:08

Of je hebt die versie nooit gebruikt en staat daarom niet in die lijst?

darknessblade
17 november 2019 22:53

waarom sturen ze niet naar elke gebruiker een mail, niet alleen naar de getroffen gebruikers?

maar dan melden dat het slim is om het wachtwoord te resetten, omdat ze niet met zekerheid kunnen zeggen dat van gebruiker X zijn wachtwoord toch in de database stond.

hierdoor krijgen die gebruikers die niet getroffen zijn het idee dat hun wachtwoord niet gehackt kan zijn, maar in werkelijkheid wel de mogelijkheid kan zijn dat dit daadwerkelijk wel het geval is.

zie het nieuwsbericht al voor me, meer gebruikers getroffen dan gedacht voor gebruikers MTG.

Thorgrem
17 november 2019 11:57

Had idd zaterdagochtend een net mailtje ontvangen van Wizards of the Coast waarin ze het datalek melde.
Ik maak me er niet zo druk om gezien de gegevens die buit gemaakt zijn.

Leuker (geek) nieuws is dat ze een speciale set hebben gemaakt met My Little Ponies genaamd; Ponies: The Galloping. Voor een goed doel. Helaas niet in Nederland te verkrijgen.

LopendeVogel
@Thorgrem • 17 november 2019 12:35

Achja het gaat alleen maar om e-mail, namen en wachtwoorden. Gewoon negeren joh en met je baby paard spelen. Komt goed!

Thorgrem
@LopendeVogel • 17 november 2019 15:46

Wachtwoorden kunnen ze waarschijnlijk niets mee. En dan nog, stel dat ze kunnen inloggen bij mijn Magic account. Dan kunnen ze zien welke wedstrijden ik gespeeld heb en hoeveel punten ik daarmee verdient heb. En ze zouden op het forum onder mijn pseudoniem reacties kunnen plaatsen. Echt schokkend jho. Simpel opgelost door het wachtwoord even te wijzigen. Je kan overal een drama van maken, ik kies ervoor om leuker in het leven te staan.

LopendeVogel
@Thorgrem • 17 november 2019 17:59

Indien je hiervoor een uniek wachtwoord gebruikt die elders niet in gebruik is, joa dan is het al minder erg natuurlijk.

ajolla
@LopendeVogel • 17 november 2019 13:04

Als je 't goed doet gebruik je voor ieder bedrijf een ander email adres.
Bijv. jan.pieterse_philips.com@yourmail.nl
jan.pieterse_tud.nl@yourmail.nl
waar yourmail.nl je domein is.

Pascalito
@ajolla • 17 november 2019 14:24

Dan heb je een miljoen emailadressen nodig, gaat niet werken. Beter heb je een een wachtwoorden manager en laat je deze voor iedere website een random wachtwoord genereren.

Voor de spamsites (sites waar je een account voor moet hebben, maar je weet dat dit gewoon onzin is). heb ik altijd een secundaire mail adres. Voldoende zo.

ChillinR

@Pascalito • 17 november 2019 15:02

Je hebt geen miljoen emailadressen nodig. Je kan (als je een eigen domein hebt) een catch-all emailadres instellen.

Alle emailadressen waar je niet specifiek een losse inbox voor hebt komen dan terecht in de inbox van het catch-all mailadres.

GoDaddy legt het wel aardig uit.

En mailproviders zoals ProtonMail en Tutanota hebben er bijvoorbeeld ondersteuning voor, als je je eigen domein hebt.

Vervolgens kan je hier gebruik van maken door voor je accounts emailadressen als bol.com@mijndomein.nl, coolblue@mijndomein.nl, etc. te gebruiken. Mocht een van die bedrijven dan ooit een datalek hebben, dan is de schade beperkt. Het is een emailadres dat je alleen voor dat bedrijf gebruikte, en je kan makkelijk alles dat naar dat mailadres gestuurd wordt als spam markeren.

[Reactie gewijzigd door ChillinR op 17 november 2019 15:08]

flowerp
@Pascalito • 17 november 2019 21:26

> Beter heb je een een wachtwoorden manager en laat je deze voor iedere website een random wachtwoord genereren.

Je kunt dat, met een eigen domain, ook voor email doen.

Uiteindelijk is je totale toegangs code voor een site de twee strings username (email) + ww samen. Je kunt het geheel gewoon als een token zien en het nagenoeg volledig genereren, met alleen het domain er dan in.

Bv

email: -:2?HqIZ_{ddSB\)iP/QM&NUZb&S@yourmail.nl
ww: NsN95rOD739LRjyQDUZM5ngxtrKh

Oftewel bij elkaar -:2?HqIZ_{ddSB\)iP/QM&NUZb&S@yourmail.nl:NsN95rOD739LRjyQDUZM5ngxtrKh

Je password manager vult gewoon beide voor je in.

ajolla
@flowerp • 18 november 2019 02:31

Als ik me bij een website aanmeld gaat een kopie van alle ingevulde velden plus het random gegenereerde 24 of zo characters ww in een bestandje met het websiteadres als naam en in een daartoe bestemde folder.
Ik haat managers.

Ook geen gedoe met databases die moeilijk kunnen gaan doen.

De websites die ik regelmatig bezoek staan, als ik firefox niet automatisch laat inloggen, in de editor in het lijstje 'recentelijk geopend'. Werkt perfect.

En 'to top it off' staat de folder, samen met m'n andere geheimen, in z'n eigen, niet netwerkverbonden Qube (QubesOS Virtual Machine).

[Reactie gewijzigd door ajolla op 18 november 2019 03:11]

ajolla
@Pascalito • 18 november 2019 02:23

"...gaat niet werken."

Vreemd, want bij mij werkt 't al jaren zo...

Vexxon

@LopendeVogel • 17 november 2019 12:41

ik vind het ook altijd bijzonder hoe mensen reageren of zoiets dergelijks. Zoals de reacties wanneer blijkt dat Google zonder toestemming van gebruikers medische data vergaard heeft. Is allemaal ok.

pretraket
@Vexxon • 17 november 2019 12:58

Zo inderdaad,
Heb een partij lopen zweten een week geleden toen ik al mijn accounts door “ haveIBeenPwned” haalde.

Snap niet dat mensen er niet meer naar omkijken

MrMonkE
@pretraket • 17 november 2019 14:28

In het Engels is daar een mooie uitdrukking voor die mogelijk de verklaring geeft: Ignorance is bliss

(Onwetendheid is zaligmakend? In het Nederlands bekt het niet zo lekker)

Pascalito
@Vexxon • 17 november 2019 14:22

waarschijnlijk gewenning, het is nu de zoveelste database wat gelekt wordt, moet ik nu alweer in 1 week tijd 3 keer mijn wachtwoord veranderen? Helemaal geen zin in.

Het ligt er ook aan hoe je zelf met wachtwoorden omgaat, doe je gewoon voor iedere website hetzelfde of bijna hetzelfde wachtwoord dan ben je gewoon slecht bezig. (Hier mag de overheid ook wel een campagne voor opzetten). Maar als je door middel van een wachtwoord manager op iedere website een uniek en echte random wachtwoord gebruikt, hebben lekken zoals deze weinig impact.

flowerp
@Vexxon • 17 november 2019 21:30

> ik vind het ook altijd bijzonder hoe mensen reageren of zoiets dergelijks. Zoals de reacties wanneer blijkt dat Google zonder toestemming van gebruikers medische data vergaard heeft. Is allemaal ok.

Het is niet ok, maar je bent er wel nu volledig aan gewend.

Vroeger was het nog een hele gebeurtenis en lag je er echt wakker van. Tegenwoordig lekt er elke week wel ergens een site weer miljoenen gegevens.

ajolla
@kozue • 17 november 2019 13:07

"Het is eigenlijk gewoon gebouwd om geld uit je zak te kloppen."
Voor mensen die 't niet erg vinden blijvend te betalen.
Zo'n maker moet ook z'n geld verdienen...

govie
@ajolla • 17 november 2019 13:50

Eens. Maar bij MtG Arena gingen de nieuwe expansies voor mijn gevoel te snel. Als je alle kaartjes wil kunnen verkrijgen dan moet je toch wel veel geld uitgeven. Ik vind teveel. Natuurlijk is het argument dat je zonder alle kaartjes ook goed kunt spelen waar ik het in kan vinden, maar het is gewoon niet tof. Je wilt toch graag met de pro-decks kunnen spelen. Wel jammer, want ik was commited maar de financiele druk van de game vond ik te groot. Echt jammer!

ajolla
@govie • 17 november 2019 17:31

Ja, dan kun,je beter omdraaien en weglopen.

Dorank
@kozue • 17 november 2019 13:25

WotT wil inderdaad een continue geldstroom zien, de regels zijn daarin zeer duidelijk.
Maar als je casual speelt is er niets aan de hand. Ik heb eind jaren 90 gespeeld. Een collega (jonger dan mijn oudste deck) kwam daar achter en wilde voor de gein mijn decks testen. De huidige decks zijn veel sneller (1 tegen 1), maar op het moment dat het een beetje tegen zat won ik met mijn +20 jaar oud sliver deck (voor multiplayer).

cerietke
@Dorank • 18 november 2019 11:45

Specifiek zijn creatures beter gemaakt en spells juist vaak wat slechter (Cancel voor 1UU ipv Counterspell voor UU bv). Nieuwe decks maken wel vaak gebruik van nieuwe abilities waar je oude decks nooit op voorbereid zijn geweest en die ze dan lastig kunnen stoppen.

Ik kan niet inschatten in hoeverre dat voor jou op gaat, maar ik begon zelf in '97 en heb het idee dat het gemiddelde casual deck eind jaren 90 zwakker was dan nu omdat veel strategie voor het bouwen toen nog niet bedacht was of nog niet bij casual spelers bekend was, terwijl toernooiwaardige decks van toen en nu elkaar een stuk minder ontlopen.

Genosha
@kozue • 17 november 2019 12:55

dus hoe komt Wizards Of The Coast nog steeds hiermee weg

Ten eerste omdat op de verpakking staat wat de kans van de rarity is die je krijgt. Ook weet iedereen dat een set 30-40 kaarten heeft in de hoogste rarities, en dus er een kans van 1/40 is. Bij een Overwatch o.i.d. zijn rates totaal onbekend en dus veel veel slechter.

Daarnaast is MTG een verzamel ruilkaart spel, in dezelfde trant als het sparen van voetbal plaatjes, voetbal stickers. Daar moet je toch echt geen videogame visie op los laten. Andere sector, ander doel, ander gedachte goed, andere content.

Thorgrem
@kozue • 17 november 2019 15:55

Je bent niet bekend met de verzamelalbums van Panini? Die voetbalkaartjes (of andere thema's) krijg je niet gratis bij producten hoor.

Genosha
@kozue • 18 november 2019 11:01

Ga even langs de Bruna, Primera of Intertoys. Daar staan dozen van Panini achter de balie die pakjes kaarten verkoopt. Voetbalplaatjes, My Little Pony plaatjes, Fortnite plaatjes. Die krijg je niet gratis hoor. Nu niet, zelfs in 1992 niet. Dat Albert Heijn een goedkope stickerprinter heeft gekocht voor hun promoties betekend niet dat elk voetbalplaatje gratis is.

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Maker Magic: The Gathering had data 450.000 users op onbeveiligde server staan

Lees meer

Reacties (38)

Sorteer op:

Weergave: