Nintendo schakelt inloggen met Nintendo Network ID uit na inbraken in accounts

Nintendo bevestigt dat meer dan 160.000 accounts zijn gestolen. Het bedrijf heeft daarom inloggen met een Nintendo Network ID uitgeschakeld. De accounts hadden de afgelopen dagen te maken met ongeoorloofde logins.

Volgens Nintendo zijn er bij de aanvallen geen wachtwoorden buitgemaakt en zijn er geen aanwijzingen voor een inbreuk op de databases, servers of diensten van Nintendo. Het is niet duidelijk hoe de criminelen precies bij de accounts zijn binnengekomen, maar volgens Nintendo werd er geen gebruik gemaakt van credential stuffing. De aanvallers kwamen binnen via het Nintendo Network ID. Dat is uit voorzorg uitgeschakeld.

Naast het stoppen met Nintendo Network ID-logins voert Nintendo wachtwoordresets door voor accounts en NNID's die gebruikt zijn voor illegaal inloggen. Nintendo meldt op zijn Japanse site dat bij de 160.000 getroffen accounts de gebruikersnaam, geboortedatum, land en e-mailadres ingezien kunnen zijn door onbevoegden.

Daarnaast waarschuwt het bedrijf dat wie hetzelfde wachtwoord had voor zijn NNID en Nintendo-account, het risico loopt dat zijn creditcard- en Paypal-gegevens misbruikt worden voor aankopen bij de Nintendo Store of eShop. Nintendo adviseert altijd unieke wachtwoorden aan te maken voor diensten. Nintendo riep al eerder deze week gebruikers op om tweefactorauthenticatie aan te zetten.

Nintendo Network ID is een identicatiemiddel van zes tot zestien tekens dat voor registreren op de Nintendo 3DS en Wii U gebruikt werd. Afgelopen week verscheen een groot aantal meldingen van Nintendo-gebruikers dat hun account gekaapt was. Het blijkt dus dat de criminelen misbruik hebben gemaakt van Nintendo Network ID's die gekoppeld waren aan de accounts.

Reacties (34)

lithiumangel 24 april 2020 15:09

Ik heb het even gegoogled want ik was niet bekend met het verschil tussen een Nintendo netwerk ID, en een Nintendo account. Maar dat is hier uitgelegd voor de geintreseerden: Difference between NNID & Nintendo account .

Ik zelf heb nooit een Nintendo Network ID gehad, en kan er dus geen maken gezien ik enkel en alleen de Switch heb. Zelf heb ik een 24-char lange random password. Ja, vervelend om elke keer in te tikken met 1Password on the side, maar veilig. Toch just in case even 2FA aanzetten en dit doorvoeren naar andere accounts die dit ondersteunt. Tijd zat voor deze implementie met de huidige situatie.

[Reactie gewijzigd door lithiumangel op 23 juli 2024 17:16]

bakkerjangert @lithiumangel • 24 april 2020 15:36

Als ik het goed begrijp is het dus niet mogelijk om een netwerk ID te benaderen zonder hardware? Das balen, want mijn Wii U staat momenteel op zolder in een verhuisdoos. Voor de zekerheid van het weekend toch maar even opzoeken en alle betaal accounts verwijderen; wel balen dat dat niet gewoon via een PC / telefoon met internet kan.

BooYooToo @bakkerjangert • 24 april 2020 17:31

Gisteren heb ik een pagina gevonden waarop beschreven was hoe je bij nnid kan komen vanaf een pc. Kan hem nu niet vinden op mijn tel. Dat was op de Nintendo support site.

RayNbow

Nintendo

@BooYooToo • 24 april 2020 21:17

@bakkerjangert @BooYooToo Dit zijn relevante links voor NNID:
https://id.nintendo.net/
https://id.nintendo.net/account/forgotten-password

Edit: @bakkerjangert, met betrekking tot betaalgegevens, die zijn al sinds september vorig jaar niet meer direct gekoppeld aan een NNID.

[Reactie gewijzigd door RayNbow op 23 juli 2024 17:16]

preske @RayNbow • 25 april 2020 11:25

"Toegankelijkheidsbeheer
Nadat je je toestemming voor het delen van gegevens hebt ingetrokken, kun je geen diensten van derden meer gebruiken. Om ze weer te gebruiken moet je het versturen van gegevens opnieuw toestaan.
Je deelt je gegevens niet met diensten van derden."

WHAT THE FUCK. Ik mag zelfs aan mijn eigen gegevens niet komen bij nintendo zelf, omdat ik geen gegevens wil delen met derden?

RayNbow

Nintendo

@preske • 25 april 2020 13:38

"Toegankelijkheidsbeheer
Nadat je je toestemming voor het delen van gegevens hebt ingetrokken, kun je geen diensten van derden meer gebruiken. Om ze weer te gebruiken moet je het versturen van gegevens opnieuw toestaan.
Je deelt je gegevens niet met diensten van derden."

Onder die melding staan alle diensten waarbij je je NNID gekoppeld hebt en dat is ook waar die melding op slaat. Als je daarvan de toestemming van intrekt, dan moet je zelf weer toestemming geven als je de desbetreffende koppeling wilt gebruiken.

trogdor @lithiumangel • 24 april 2020 15:17

Daarom kan ik het aan raden om een grappige passwords te bedenken.
Bijvoorbeeld: 26XtraLangeApenLeuters
Zo iets is lang en daardoor tamelijk lastig te kraken, redelijk makkelijk te onthouden, en minder vervelend dan iets randoms.

Twixie @trogdor • 24 april 2020 17:09

redelijk makkelijk te onthouden, en minder vervelend dan iets randoms.

Als je 100 paswoorden hebt (en ja, bij mij is dat zo), wordt het wel iets lastiger om te onthouden welk grappig paswoord je waar gebruikt hebt. Natuurlijk kun je dat dan ook in je paswoord mee coderen, bvb 26XtraLangeApenLeutersNintendo. Al is het dan wel gemakkelijker om andere paswoorden te raden (niet dat ik denk dat enige hacker zich daarmee gaat bezighouden).

Ik zweer zelf ook gewoon bij compleet random paswoorden die ik in KeePass bewaar. Enige paswoord dat ik moet onthouden is mijn 30 karakter lange master paswoord van KeePass, die ook vrij gemakkelijk te onthouden is.

HakanX @Twixie • 24 april 2020 19:05

Als je gaat coderen, maak de codering niet leesbaar voor mensen. Gebruik er bv nog een sommetje voor, Letter+1 bv
Nintendo ->
Ojosfoep
En dan nog afkappen of iets anders, zodat het niet even veel letters heeft. Verzin er maar wat dingen voor, ieder voor zich. Dit gaat iig geval voorkomen dat mensen makkelijk kunnen raden. Ik heb wel eens enkele uitgelekte wachtwoordlijsten gecontroleerd en veel coderingen waren direct te zien, waarvan enkele ook op hun email werkte bv. Dan staat er 26XtraLangeApenLeutersNintendo, maak je er 26XtraLangeApenLeutersGmail van en kom je in hun mail.

mrtl 24 april 2020 14:46

Staat deze informatie alleen in het Japans en op de Japanse site? Want dan moet dat bedrijf zich eens goed achter de oren krabben. Het zijn namelijk niet alleen Japanners die slachtoffer zijn.

Retrail @mrtl • 24 april 2020 14:53

Nee gelukkig niet! Een bericht staat ook op (onder andere) de Nederlandse: https://www.nintendo.nl/S...Klantenservice-11593.html

ironx 24 april 2020 15:06

Kan het niet genoeg promoten: 2FA mogelijk? Doen!

debom @ironx • 24 april 2020 15:17

Yep. Maar vergeet niet je backup code goed op te slaan.

Kiswum @ironx • 24 april 2020 16:52

In dit geval kan het alleen met de Google Authenticator. Dat gaat dus o.a. op Huawei's niet werken.
Als je 2FA invoert, doe het dan op verschillende manieren of is dat per definitie onmogelijk?

Verwijderd @Kiswum • 24 april 2020 16:57

Nee, dit werkt gewoon met iedere authenticator app.

Twixie @Kiswum • 24 april 2020 17:04

Google Authenticator gebruikt gewoon een gestandardizeerde TOTP. Dus elke app die ook die standaard ondersteunt kan gebruikt worden.
Ik gebruik zelf Authy, waardoor ik zowel via mijn telefoon als iPad codes kan genereren.

[Reactie gewijzigd door Twixie op 23 juli 2024 17:16]

Mel33 24 april 2020 14:46

Kzou me kunnen voorstellen dat er dan maar 6 tekens werden gebruikt in die 160k accounts.
Of een afgeleide daar van.
6 tekens is snel te achterhalen.

kaghy2 24 april 2020 15:03

Ik denk en hoop dat ik dan goed zit, daar ik al 2FA gebruik voor het NNID en account.

boe2 24 april 2020 15:23

Dat verklaart de inlogactiviteit die ik eerder deze week op mijn account zag...deels.

Ik kreeg een melding dat er op mijn account was ingelogd vanuit China. Nuja, die account gebruikte inderdaad nog een heel oud wachtwoord die ongetwijfeld wel in verschillende lijsten rondzweeft op het internet. Dus lastpass een nieuw wachtwoord laten genereren en klaar.
Alleen, kreeg ik de dag erna een nieuwe inlogmelding...uit Brazilie

RoestVrijStaal @boe2 • 24 april 2020 17:02

Vaak worden botnets gebruikt om buitgemaakte credentials te testen. Dat zijn dus vaak geïnfecteerde PC's die geen updates (meer) hebben ontvangen, zoals die ene Windows XP / Windows 7 computer van oma "die het nog steeds goed doet". Laat staan dat in die regio's de portemonnee kan worden getrokken voor een upgrade naar Windows 10.

RayNbow

Nintendo

@boe2 • 24 april 2020 21:11

Dat verklaart de inlogactiviteit die ik eerder deze week op mijn account zag...deels.

Ik kreeg een melding dat er op mijn account was ingelogd vanuit China. Nuja, die account gebruikte inderdaad nog een heel oud wachtwoord die ongetwijfeld wel in verschillende lijsten rondzweeft op het internet. Dus lastpass een nieuw wachtwoord laten genereren en klaar.
Alleen, kreeg ik de dag erna een nieuwe inlogmelding...uit Brazilie

De vraag is welk wachtwoord had je veranderd? Die van je Nintendo Account? Die van je Nintendo Network ID (NNID)? Beide? Het grootste probleem was dat je op je Nintendo Account kon inloggen met een gekoppelde NNID. Als het wachtwoord van een gekoppeld NNID gelekt of gekraakt is en je verandert alleen het wachtwoord van je Nintendo Account, dan kon men nog steeds inloggen via NNID.

Mitsuko 24 april 2020 15:25

Even voor de duidelijkheid, dit gaat dus niet over inloggen op de eShop met je Nintendo Network ID op de 3DS.

Volgens mij hebben ze alleen inloggen via je Nintendo Network ID op je Nintendo account uitgeschakeld.

Carlos0_0 24 april 2020 17:14

Nintendo riep al eerder deze week gebruikers op om tweefactorauthenticatie aan te zetten.

Ja en dan ondersteunen ze alleen Google variant..., ik heb geen google account of iets ik gebruik die van Microsoft.

Of kan je die van Microsoft ook gebruiken ?

edit:

Microsoft variant doet ook gewoon alleen even QR code scannen van de pagina.

[Reactie gewijzigd door Carlos0_0 op 23 juli 2024 17:16]

Cogency 24 april 2020 14:57

Ehh, ik heb eergister mijn saves van de switch lite online opgeslagen omdat mijn switch lite gister teruggestuurd moest worden. Ik verwacht nu de nieuwe, betekend dit dat ik niet kan inloggen en mijn saves uit de cloud kan halen?
(ik ben echt compleet nieuw met het Nintendo eco system)

macfreak1306

@Cogency • 24 april 2020 15:05

Als ik het goed heb begrepen is de breach gebeurd alleen bij het Nintendo Network ID. De Switch maakt gebruik van je Nintendo Account. Dit zijn twee aparte inlogs. Ik heb toevallig gisteren 2FA aangezet op mijn Nintendo account (uit eigen beweging, dit artikel is het eerste dat ik over de breach lees), om er vervolgens achter te komen dat ik mijn wachtwoord van mijn Nintendo Network ID niet kan aanpassen op mijn pc, alleen via een WiiU of mijn 3DS.

Ik ga er dus van uit dat je straks gewoon weer kunt inloggen op je Switch Lite voor je save games.

EDIT: Ik bedenk me net wel dat het mogelijk is om in te loggen op je Nintendo Account via je Nintendo Network ID, net zoals je op sites "Login met Google" kunt doen. Als je dat in het verleden gedaan hebt is het verstandig om je wachtwoord te veranderen en 2FA aan te zetten.

[Reactie gewijzigd door macfreak1306 op 23 juli 2024 17:16]

JJ Le Funk 24 april 2020 18:59

nintendo heeft verschillende inlogvormen voor dezelfde gebruiker. ik denk dat het daar is misgegaan: accountnaam/inlog ID/emailadres.
Dat daarmee ook de kwetsbaarheid 3x zo hoog ligt in het geval van een breach ergens.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: