Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

172 miljoen slecht beveiligde wachtwoorden zijn uitgelekt bij gamemaker Zynga

Meer dan 170 miljoen gebruikersnamen en wachtwoorden van gameontwikkelaar Zynga zijn buitgemaakt bij een hack. De maker van onder andere Words With Friends en Farmville werd in september dit jaar gehackt. Nu blijkt dat daarbij miljoenen accounts zijn buitgemaakt.

Het gaat om precies 172.869.660 unieke accounts, blijkt uit data die Have I Been Pwned heeft gepubliceerd. Het gaat voornamelijk om gebruikersnamen en wachtwoorden. In sommige gevallen zijn ook telefoonnummers en gelinkte Facebook-identiteiten uitgelekt, mits gebruikers die aan Zynga hadden gegeven. De data is afkomstig van een hack op het populaire Words With Friends. De wachtwoorden die zijn gestolen zijn gehashed en hebben een salt, maar de versleuteling is een SHA-1-algoritme dat al jaren niet meer erg veilig is. Daarnaast zijn er mogelijk ook plaintext-wachtwoorden gestolen van zeven miljoen gebruikers, door een hack op een oudere game genaamd OMGpop.

Er was al langer een vermoeden dat Zynga was gehackt. In september sprak Hacker News met een hacker genaamd Gnosticplayers. Die zei Zynga te hebben gehackt en 218 miljoen records buit te hebben gemaakt. Dat bevestigde Zynga in september ook al, al was toen nog niet bekend om hoeveel records het ging. Het daadwerkelijke aantal is nu lager dan de hacker aanvankelijk claimde, maar dat kan wellicht verklaard worden doordat Have I Been Pwned niet alle records heeft kunnen verifiëren. De hack op Zynga is met 172 miljoen gebruikers nog steeds erg groot: in de database van Have I Been Pwned is het het tiende grootste datalek ooit.

Door Tijs Hofmans

Redacteur privacy & security

19-12-2019 • 16:24

57 Linkedin

Reacties (57)

Wijzig sortering
Het is het begin van de Password-Apocalypse. Als dit de adoptie van 2-FA of andere manier van authenticatie niet bespoedigen weet ik het ook niet meer.
En dan? Er is een grens van usability en veiligheid, als jij je halve biometrie moet ophoesten voor een simpel mobiel spelletje, heb je die grens doodsimpel bereikt (plus de vraag of dat wenselijk is, maargoed).

De basis is 10x makkelijker dan hele 2FA of andere manier, _nooit_ hetzelfde wachtwoord. Ik heb een Zynga account, boeit mij voor geen meter dat deze op straat ligt, ik weet precies welk wachtwoord dat is, je kan er werkelijk helemaal niets mee.

De zwakste schakel ben je zelf, en je mailbox. Zoveel diensten/services/games waar je doodjesimpel enkel via email hele 2FA eraf kan gooien, als iemand je mailbox binnen is, is het voor 90% einde oefening.

Invullen van wachtwoorden automatisch door wachtwoord managers is ook niet veilig, mobiel is niet steeds niet 100%, plus je altijd een optie moet hebben om deze hele zooi te omzeilen als jouw token/apparaat niet meer toereikend is. Er is geen waterdicht systeem, wat gelijktijdig gebruikersgemak en privacy kan blijven waarborgen.

[Reactie gewijzigd door SinergyX op 19 december 2019 16:55]

live account, google, paypal, samsung, apple id, ikea, yahoo, alternate, nordvpn, digid, ING, ziggo, postnl, coolblue, bol.com, alternate, zalando, wehkamp, aliexpress, ov-chip, mediamarkt, unive, reddit, imdb, hema, oxxio, seagate, dropbox, stack ... zo kan ik een half uur doorgaan met alle accounts die ik heb.

Als je mij kunt vertellen hoe ik mijn ~200 wachtwoord kan onthouden als deze allemaal uniek zijn wil ik dat heel graag weten.

Ik gebruik nu een password manager en 2fa op alle plekken waar dat aangeboden wordt, beginnend bij mail, want dit blijft toch the single point of failure voor veel mensen.
Je gaat er gelijk van uit dat het verplicht wordt. Vaak is het niet eens een optie. Ik vind nooit hetzelfde wachtwoord juist 10x moeilijker dan 2FA. Ik doe het wel, voor belangrijkere zaken, maar ik heb ook nog wat onbelangrijke accounts met een oud zelfde wachtwoord. Boeit me dan niet zo.

Je beschrijft eigenlijk precies de uitdaging van het huidige internet. Tientallen zo niet honderden unieke accounts die allemaal een eigen wachtwoord vragen met ook weer eigen policies waarvan je niet weet of het fatsoenlijk wordt opgeslagen. En vervolgens krijg je dus 100 authenticatie oplossingen die zeggen "DE" oplossing te (willen) zijn.

Er wordt wel aan gewerkt. Ik kan even niet herinneren wie of wat, maar een of andere grote internet gerelateerde federatie werkt aan een soort pc/browser token systeem. Volgens mij plat geslagen een soort SSO oplossing, maar dan echt standaard.
ZeroNet is hier een goed voorbeeld van. Oké, het wordt misbruikt voor zaken als kinderporno, warez en andere ongein, maar authenticatie is iets wat ze redelijk slim hebben doordacht: een persoonlijk certificaat wat bij iedere site werkt.
Tja, de eeuwige discussie van privacy en veiligheid. Ik denk dan altijd dat die mensen toch wel een manier weten te vinden dat te verspreiden, daar hoeft de rest van de bevolking geen privacy voor in te leveren.

@Zyphlan Ik had het inderdaad over FIDO en W3 samenwerking / https://www.w3.org/TR/webauthn-1/
Ja dat zie je nu echt groter en groter worden ( niet zozeer op consumenten niveau) maar wel op bedrijfsniveau. Veel als vervanging voor OTP voor bedrijven omdat het wat meer gebruiksmogelijkheden heeft. In principe kan een app dit ook gewoon toepassen ( ben zelf geen it-er maar schijnt niet superlastig te zijn en aangezien meerdere mobiels ook FIDO geschikt zijn gemaakt kun je je mobiel als hardtoken gebruiken.

Je ziet wel veel bedrijven toch hardware tokens bij ons kopen ipv volledig op software over te stappen aangezien een token nou eenmaal goedkoper is dan mobieltje aan te schaffen voor je medewerkers. Gok dat het volgend jaar pas echt gaat open breken.

Heb 3 weken geleden een duitse multinational tokens geleverd voor hun distributiecentrums en alle grote multinationals komen nu aankloppen de laatste paar weken voor Fido.
Zijn al jarenlang zet goede apps die voor jouw zeer goede paswoorden bedenken en bijhouden, zelf heb je dan alleen het paswoord van de app nodig.

Andere methode is om overal hetzelfde paswoord te hebben maar dan met de naam van de dienst ervoor, zoals bijvoorbeeld:

facebook345ertGF654%983*
twitter345ertGF654%983*
tweakers345ertGF654%983*

etc.. etc..
Dus als er één wachtwoord met md5 of zelfs plaintext uitlekt, weten ze rest ook :X
Als alternatief voor mensen die overal hetzelfde wachtwoord willen gebruiken zoals de persoon waar ik op reageerde, we weten allemaal dat dit dom is, maar we weten ook allemaal dat veel mensen dit nog steeds doen.

Veel van die databases worden alleen automatisch ingezet en dat risico vermijd je dan, in de kleine kans dat er echt iemand met de hand naar jouw wachtwoord gaat kijken en deze dan zelf elders probeert, yep die accounts ben je kwijt.
Een beter alternatief is dan misschien de passwordcard. Daar genereer je in ieder geval nog unieke wachtwoorden mee.
Klopt, maar ik denk dat mensen die veelvuldig hetzelfde paswoord gebruiken dat allemaal veel te bewerkelijk vinden, er zijn al jaren veel oplossingen om het allemaal op een zeer simpele manier veel veiliger te maken en toch zijn ze die nooit gaan gebruiken.
Gok dat je het over FIDO hebt.

Trouwens je biometrie wordt bij hardware tokens op de secure element opgeslagen dus het is niet alsof je de app maker toegang geeft tot je biometrische gegevens.

https://fidoalliance.org/
Laat mensen hun zin eerst eens met een hoofdletter beginnen, de rest van de wereldproblemen komt later wel (flauw).
Het meest eenvoudige zou zijn geen paswoord meer zijn voor een simpel spelletje... ik zie niet in waarom je dit nodig zou hebben. Lokale opslag van vooruitgang en het probleem is opgelost.

Niet tegenstaande tot zolang bedrijven geld verdienen met je profiel zal er niet veel veranderen aan een zogenoemde service met paswoorden!
Het spel 'Words with Friends' verklapt het misschien een beetje, maar er zijn ook multiplayer spellen. Hoe wil je daarmee de link leggen tussen je vrienden? Een gebruikersnaam/wachtwoord is meestal eenvoudiger (en schrikt mensen minder snel af) dan een telefoonnummer of iets dergelijks.
Een random uniek gegenereerd token opgeslagen op je device?

Daarna kan je een nickname opgeven. Account migratie met QR code scannen.

Enige nadeel: device kwijt, account weg

[Reactie gewijzigd door Gamebuster op 19 december 2019 17:39]

SQRL of aanverwante systemen doen een goede poging. Je geeft een site een publieke sleutel en je logt in door aan te tonen dat je een certificaat kan tekenen die overeenkomt met je publieke sleutel.

Bij een dergelijke hack heb je dan een berg publieke sleutels. compleet waardeloos voor hackers.

Soort omgekeerde van wat nu iedereen eigenlijk al doet met websites. De publieke sleutels van iedereen die certificaten mag maken voor HTTPS heeft iedereen letterlijk in zijn OS en browser.
De basis is 10x makkelijker dan hele 2FA of andere manier, _nooit_ hetzelfde wachtwoord.
Hoe is dat makkelijker? Ik heb meer dan 100 sites een account, hoe ga ik al die wachtwoorden onthouden? Password-manager dus, maar dat is ook niet veilig volgens jou, en 2fa is ook te omslachtig.

Voor mensen zonder fotografisch geheugen is een password-manager of even de vinger op een sensor leggen veel eenvoudiger dan 578 verschillende wachtwoorden onthouden.

[Reactie gewijzigd door sithlord2 op 19 december 2019 20:11]

bitwarden, tutamail en fifefox. Is behoorlijk waterdicht, gebruiks en privacy vriendelijk. Ik ben er blij mee.
Hoe bewaar jij al je wachtwoorden dan? Als je overal een uniek wachtwoord hebt? Daarvoor gebruik ik toch écht een password manager. Anders is het onmogelijk te onthouden allemaal
Die mensen zijn er, maar daar is 99,9% van de bevolking niet één van. En zeker met alle aparte regels waar wachtwoorden soms aan moeten voldoen, en soms weer niet mogen... Maakt dat het niet makkelijker.

Maar jij onthoud dus AL je wachtwoorden? En je hebt overal een ander wachtwoord? Naast dat je de wachtwoorden aanpast als dat verplicht is?
Je maakt de bizarre veronderstelling dat ieder mens dezelfde geheugencapaciteit heeft. Dat er een paar zeldzame mensen zijn die enorme reeksen kunnen onthouden en toepassen neemt niet weg dat dit voor veel mensen niet is weggelegd.
Dit soort lekken hebben in het verleden niet geleid tot de adoptie van authenticatie, dus er is geen reden om aan te nemen dat dit relatief beperkte lek enige verandering zal brengen.
wat heeft dit met 2FA te maken?

Het is een sterke case om wachtwoorden niet te recyclen. 2FA is meestal een goed idee maar ik snap de relatie met dit lek niet zo...
Zoals andere hier ook aangeven is dat een prima oplossing voor als je wachtwoord uitlekt van een specifieke website. Een veel betere oplossing is een wachtwoord manager gebruiken en voor elke website een ander wachtwoord gebruiken.

Daarnaast gebruik ik voor elke website (voor zover ze dat ondersteunen) ook nog een los e-mailadres door de toevoeging van +website in het e-mailadres.
Het is het begin van de Password-Apocalypse.
Waarom is DIT het begin? Er zijn vele grotere (ene vele malen belangrijke) hacks geweest. Wat dacht je van Adobe?
2FA blijft omslachtig en daardoor willen mensen het (liever) niet gebruiken is mijn idee.
Dan is een password manager die sterke wachtwoorden voor jou onthoudt een stuk makkelijker in gebruik en het is in elk geval een stuk veiliger dan zelf wachtwoorden (proberen te) onthouden.

Vroeger gebruikte ik ook op bijna elke site hetzelfde wachtwoord.. die al nu ook wel gehackt zijn want ik speelde ooit ook Farmville.
Maar tegenwoordig gebruik ik Lastpass in combinatie met m'n eigen mailserver (Mdaemon) en mailadressen met website@mijndomein.nl
De wachtwoorden zijn sterk en als een site hun database aan anderen verkoopt of de boel wordt gehackt dan weet ik meteen welke website er betrokken is.
Die mailadressen kan ik dan ook makkelijk toevoegen aan m'n blocklist/spamtrap.
Begin? Volgens mij zijn er het begin al voorbij ;)
Verbazingwekkend dat vele bedrijven klanten nog vragen om een wachtwoord aan te maken, een PIN code bestaande uit 6 of 8 cijfers is toch veel moeilijker of zelfs onmogelijk te raden.
Grapje mag ik hopen? Een pincode van 6 of 8 cijfers is echt in no time gekraakt. Een wachtwoord van 6 tekens (hoofdletters/kleine letters/cijfers/vreemde tekens) geeft gigantisch veel meer wachtwoordmogelijkheden dan een pincode van 6 cijfers.
Lijkt me dat het limiteren van het aantal keer dat je mag "raden" of de snelheid waarmee je dat mag doen, hier ook snel een eind aan maakt.
En hoe ga je die 'kraken' in no-time?
Plain text wachtwoorden anno 2019 :X
Zelfde eigenlijk met SHA-1 anno 2019... |:(

Bcrypt en dergelijke zijn zo enorm makkelijk te implementeren en je hoeft er niet voor te betalen.. zal mij een raad blijven waarom mensen maar vooral bedrijven dan niet voor goede hashing/pbkdf kiezen.
Dat doen ze wel. Maar hoe sla je gehashte wachtwoorden op in een ander algoritme? Het is niet dat je ze even decrypt.

De oplossing is simpel maar men denkt daar niet aan als je er nooit mee in aanraking bent geweest.
Bij Dovecot kan een hash een {MODE} prefix hebben. Dan weet Dovecot dat die {CRYPT} of {ARGON2I} moet gebruiken.
Je zou dus prima net zoiets kunnen doen met {SHA1ARGON2I} om aan te geven dat je de SHA1 wachtwoorden in ARGON2I hebt gestopt. En dan kan je voor de salt ook iets bedenken.

Er zijn dan bijna geen ontwikkelingskosten. Alleen wat CPU om alle 7 miljoen SHA1 om te zetten naar ARGON2I of Balloon of Bcrypt
Zynga moet nog steeds de ontwikkelingskosten betalen. ;-)
Waar lees je dat?
The incident exposed 173M unique email addresses alongside usernames and passwords stored as salted SHA-1 hashes.
.edit: oh dat andere stukje
Daarnaast zijn er mogelijk ook plaintext-wachtwoorden gestolen van zeven miljoen gebruikers, door een hack op een oudere game genaamd OMGpop.
Een oudere game, da's natuurlijk niet anno 2019 dan :). Maar akkoord, de data bestaat natuurlijk nog steeds.

[Reactie gewijzigd door .oisyn op 19 december 2019 17:03]

Daarnaast zijn er mogelijk ook plaintext-wachtwoorden gestolen van zeven miljoen gebruikers, door een hack op een oudere game genaamd OMGpop.
Iets verder in het artikel..
Vroeg of laat komen al je wachtwoorden op straat te liggen, dus ben niet zo dom om overal hetzelfde wachtwoord te gebruiken, of om al je wachtwoorden onder te brengen bij een dienst die vroeg of laat(keer op keer) gehackt word.
Mensen die Tweakers bezoeken zullen over het algemeen dit wel weten.

Maar probeer eens mensen over te halen om een wachtwoord manager te gebruiken. Niet onmogelijk, maar gegarandeerd dat je tegen ontzettend veel verzet stuit.
"Ja maar ik heb het altijd zo gedaan", "Mogen ze doen, ik heb toch niks te verbergen" en een plethora aan andere excuses.
In Chrome zit standaard een wachtwoordmanager. Apple heeft ook zoiets. De drempel hoeft niet hoog te zijn.
Het is nou niet echt aan te raden om je wachtwoorden in de browser op te slaan.
Word ook niet in je browser opgeslagen, maar apart.

Dat is niet anders dan een ww manager.
Windows, apple, Google, ze doen dat allemaal nu.
Ik heb behoorlijk wat mensen in mijn omgeving al overgehaald Bitwarden te gebruiken. En ze zijn allemaal erg tevreden. Volgens mij staan er best veel mensen voor open. Je moet ze het alleen even duidelijk maken.
Een andere keerzijde is dat de gelekte accounts vaak weer gebruikt worden voor andere dubieuze zaken. Ik ben twee keer slachtoffer ben geworden van lekken. Vervolgens worden de bijbehorende email adressen gebruikt voor spam doeleinden of porn afpersing.
Een andere keerzijde is dat de gelekte accounts vaak weer gebruikt worden voor andere dubieuze zaken. Ik ben twee keer slachtoffer ben geworden van lekken. Vervolgens worden de bijbehorende email adressen gebruikt voor spam doeleinden of porn afpersing.
Typisch het effect van hetzelfde wachtwoord gebruiken op meerdere plekken

Ik heb het ooit ook meegemaakt, een oud mailadres welke met teamviewer was geregistreerd, samen met een ander account WW/mailadres op een wel gehackte site
Ze hadden niets aan het mailadres, want dat had een ander WW, maar hierdoor kon men wel in het TV account, en een PC overnemen die online stond.

Ik kreeg een notificatie hiervan via mail, de PC zelf had geen spannende dingen, maar dat TV account stond destijds OOK op mijn main pc en server.
Daar had men wél degelijk schade kunnen aanrichten.

Sindsdien staat ALLES los van elkaar, en mag vriendje Keepass alles invoeren voor mij
Was je beide keren dan niet op tijd op de hoogte gebracht zodat je je wachtwoorden van je email adressen op tijd kon wijzigen?
Beide op de hoogte, wachtwoorden waren al lang gewijzigd, pas jaren later werden de .nl email adressen misbruikt door de spamhoeren van green flamingo. Wachtwoorden zijn op geen enkele site meer hetzelfde, maar tegen geklungel van het platform wat je wil gebruiken kun je je niet wapenen.
OMGpop was niet een (1) game als zodanig, maar een "game-portal" (website) met 'social media' elementen. Inderdaad wèl ouder, want volgens mij was dat zo'n ~15 jaar geleden.

[Reactie gewijzigd door zonder.h op 19 december 2019 17:42]

Net als dat het bij elk bedrijf Welkom01 ofzo is in januari etc }>
Het is belangrijk dat je in zo'n geval verschillende passwords hebt. Een password manager is een goede oplossing, maar ook die vertrouw ik niet helemaal (ligt aan mij, maar ik ben gewoon skeptisch). Echter, ik heb jaren met één en hetzelfde wachtwoord gewerkt. Nu ik in het proces zit om zeg 6 tot 10 verschillende wachtwoorden te gebruiken, moet ik zeggen dat het moeilijk is bij te houden waar ik overal een wachtwoord heb. Daarom word ik wel blij van 2 stap verifiëren, want naast dat mn wachtwoord dan wel op straat ligt, ben ik niet meteen al mijn gegevens kwijt van al die sites waar ik mijn wachtwoord nog moet veranderen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True