Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
sluiten

Laatste kans om te stemmen voor de Tweakers Awards 2019/2020!

Dit jaar organiseert Tweakers alweer voor de dertiende keer de Tweakers Awards, de publieksprijs voor de beste technologie- en elektronicaproducten. Laat je stem gelden en maak kans op een Google Stadia Premiere Edition, Nintendo Switch inclusief Mario Kart of een setje Sony WF-1000XM3 in-ear oordoppen.

Stemmen

Maker Magic: The Gathering had data 450.000 users op onbeveiligde server staan

Een datalek bij 'Magic: The Gathering'-maker Wizards of the Coast zorgde ervoor dat de gegevens van 452.634 spelers openbaar toegankelijk waren via het web. Het gaat om e-mailadressen, namen, gebruikersnamen en hashed & salted wachtwoorden.

TechCrunch schrijft dat de Amazon-bucket pas op slot ging nadat het contact opnam met Wizards of the Coast en dat dat bedrijf niet reageerde op contactverzoeken van de ontdekker van het lek, Fidus Information Security. Fidus meldt echter niet wanneer het het euvel aan Wizards of the Coast heeft gemeld, noch meldt TechCrunch wanneer het zelf contact op heeft genomen met het bedrijf. Het is dus niet te zeggen hoeveel tijd Wizards of the Coast heeft gehad om te reageren en te handelen.

Volgens Fidus was de Amazon-bucket sinds vroeg in september openbaar toegankelijk. De gegevens, die afgezien van de wachtwoorden niet versleuteld waren, dateren van 2012 tot 2018. Volgens Wizards gaat het om een server voor een site die niet meer in gebruik is. De server is afgesloten, de getroffen users zijn op de hoogte gesteld en een wachtwoordreset is verplicht.

Een woordvoerster van Fidus noemt het 'teleurstellend' dat anno nu dergelijk grote databases nog zo gemakkelijk te vinden zijn. Wizards of the Coast heeft het datalek gemeld bij de Britse privacyautoriteiten, conform de GDPR, in Nederland bekend als de AVG.

Door Mark Hendrikman

Nieuwsposter

17-11-2019 • 11:50

38 Linkedin Google+

Submitter: JobRapati

Reacties (38)

Wijzig sortering
Kreeg de mail op zaterdagochtend binnen om 3:00, en ook hier gesubmit. De inhoud van de mail:"
Dear Wizards Community:

We are writing to let you know about a recent security incident at Wizards of the Coast.

What Happened?
On November 14, 2019, we learned that an internal database file from a decommissioned version of the Wizards of the Coast website login had inadvertently been made accessible outside the company. We believe that this was an isolated incident, limited to a legacy database and unrelated to our current systems. Based on our current investigation, we have no reason to believe that any malicious use has been made of the data. However, in an abundance of caution, we are sending you this notice to let you know what happened, what steps we are taking as a result, and what steps we are encouraging you to take to protect yourself.

What Information Was Involved?
The database file included the following types of information: first and last names, email addresses, and passwords stored in “hashed and salted” format. This means that the passwords were not stored in plain text but were secured cryptographically. No payment or other financial information was included in this database.

What Are We Doing?
Upon learning of this incident, we removed the database file from our server and commenced an investigation to determine the scope of the incident. In an abundance of caution, we are notifying the users whose information was contained in the database. For those of you that have an active Wizards account(s) (e.g., Arena, Magic Online, etc.), you have 7 days to reset your password(s). After that, your password(s) will be manually reset, and you will be required to make new password(s) to login.

For Arena, you may reset your password here: https://myaccounts.wizards.com/
For Magic Online, you may reset your password in the game client.
For DCI accounts, you will receive an email with instructions on how to reset your password.
What Can You Do?
As always, it is best practice not to use the same password on multiple systems. While we do not have reason to believe that the data involved has been used maliciously, we still encourage you to change your password if you have used this password for other accounts on non-Wizards systems.

For More Information
If you have any questions about this incident please contact us at: https://support.wizards.com/hc/en-us or by phone at 1 (800) 324-6496. Please do not provide any personal information in response to this email.

Your privacy matters. We take this issue very seriously and we apologize for the inconvenience.

Sincerely,
Wizards of the Coast
Volgens deze website is het de prefix van Drupal7 hashes: https://hashcat.net/wiki/doku.php?id=example_hashes

En dat lijkt gebruik te maken van sha512: https://api.drupal.org/api/drupal/includes%21password.inc/function/user_hash_password/7.x
Het hashen van wachtwoorden met MD5, bijvoorbeeld, zit dichter in de buurt van plaintext passwords dan van een goed hashing-algoritme zoals argon2i, scrypt, of bcrypt.
Ik ben het hier met je eens voor wachtwoorden. Voor andere zaken kan MD5 (liever natuurlijk SHA (wat voor wachtwoorden praktisch dezelfde problemen heeft)) opzich nog wel prima gebruikt worden. In die zin zijn er meer goede hashing algoritmes, alleen zijn ze niet allemaal geschikt voor alle situaties.

-- Toevoeging naar aanleiding van @svenslootweg's reactie --
Ik ben van mening dat er geen goede reden is om MD5 te gebruiken in nieuwe programma's. Als een programma nog MD5 gebruikt omdat dat al geïmplementeerd was, dan hoeft dat in specifieke gevallen echter niet noodzakelijk een probleem te zijn.

Ik probeerde meer het punt te maken dat er meer goede hashfuncties zijn dan alleen hashfuncties die zijn gemaakt voor wachtwoord hashing. Dat heb ik alleen niet op een handige manier gedaan.

[Reactie gewijzigd door Desirius op 17 november 2019 14:00]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True