Microsoft bevestigt publicatie van gestolen Hotmail-accounts

Microsoft heeft bevestigd dat de inloggegevens van duizenden gestolen Windows Live Hotmail-accounts openbaar zijn gemaakt. De softwaregigant adviseert zijn gebruikers om het wachtwoord te wijzigen en hun bankrekening goed te controleren.

Onbekenden hebben rond 1 oktober op de website Pastebin.com een lijst met ruim tienduizend Hotmail-accounts gepubliceerd. Het gaat daarbij om e-mailadressen beginnend met de letters 'a' en 'b', en die eindigen met Hotmail.com, msn.com en live.com, zo meldt de BBC. De Britse omroep zegt de lijst gezien te hebben en stelt dat de gegevens authentiek zijn. Het zou vooral accounts van Europese gebruikers betreffen. De accountlijst is inmiddels verwijderd van Pastebin.

Microsoft bevestigt het probleem en laat weten dat het een onderzoek is gestart naar de herkomst van de lijst en de mogelijke gevolgen voor gebruikers van Windows Live Hotmail. De softwaregigant raadt de gebruikers van zijn gratis webmaildienst dringend aan om direct een ander wachtwoord te kiezen. Omdat veel gebruikers hetzelfde wachtwoord ook gebruiken om op andere websites in te loggen, stelt Microsoft dat zij er goed aan doen om ook daar hun wachtwoord te wijzigen. Daarnaast zouden gebruikers extra goed hun bankrekening in de gaten moeten houden om eventuele verdachte transacties te signaleren.

Waar de lijst met accountgegevens precies vandaan komt, is onbekend. Microsoft claimt dat de gepubliceerde inloggegevens niet vanuit het bedrijf zelf afkomstig zijn en vermoedt dat ze door middel van phishing zijn bemachtigd, maar bewijs ontbreekt nog. Een medewerker van de beveiligingsfirma Sophos stelt dat de lijst van tienduizend accounts mogelijk slechts het topje van de ijsberg is en er mogelijk veel meer Hotmail-accounts zijn getroffen.

IT-banen

Reacties (198)

Bor Coördinator Frontpage Admins / FP Powermod 5 oktober 2009 22:25

Ik vraag mij af of en wanneer er een actieve actie komt vanuit Microsoft om mensen te waarschuwen die op de betreffende lijsten staan. Zijn de lijsten ergens geanonimiseerd openbaar gemaakt zodat mensen kunnen echten of hun e-mail adres op de lijst staat oid?

Daarnaast blijft de vraag hoe men deze wachtwoorden heeft kunnen achterhalen. Ik mag toch hopen dat MS ze niet clear text of reversible encoded heeft opgeslagen?

Microsoft geeft zelf aan dat het waarschijnlijk een phising scam betreft wat mij weer doet vermoeden dat lang niet alle accounts in de range a - b zijn geraakt.

[Reactie gewijzigd door Bor op 23 juli 2024 15:33]

Remco Kramer @Bor • 5 oktober 2009 23:14

Na een beetje logisch nadenken:

Microsoft heeft nooit de wachtwoorden ongehashed in de database staan. Dat het een hack op de server(s) van Microsoft is lijkt mij dus zeer onwaarschijnlijk.
Als het géén ms-hack is, lijkt het mij ook onwaarschijnlijk dat alleen login gegevens van a-b accounts verkregen zijn.
Het bericht zegt dat het gros van de gehackte gebruikers Europees is.

Als ik deze lijst met gegevens bekijk, lijkt het mij dus een phishingsite die met name in Europa bezocht word/werd.
Het totale aantal verkregen logingegevens zal rond de 100.000 liggen. (snelle berekening: 10.000 * 13 (26 letters in alfabet) = 130.000 maar lang niet alle letters worden evenveel gebruikt. Dus maar afgerond naar 100.000)

Ik denk overigens niet dat Microsoft de volledige lijst heeft van de gehackte accounts anders zouden ze niet ALLE gebruikers aanraden om hun wachtwoord te veranderen.

Mensen moeten bij het aanmaken van een hotmail / msn / live / paypal / yahoo / gmail / whatever account gewezen worden op dit soort dingen. Dit is gewoon te zot... mensen zijn gewoon te dom om een phishingsite te onderscheiden van een normale site. Dit terwijl het zo ontzettend simpel is.
Misschien zou bij aanschaf van een internet abonnement de gebruiker een site voorgeschoteld moeten krijgen zodra ze de eerste keer verbinding maken met vragen over hun kennis van het internet en uitleg over de risicos op het internet en wat een phishingsite is en hoe deze te herkennen. Zo kunnen deze mensen in ieder geval de basics van het internet en kunnen ze een phishing site kunnen onderscheiden van een normale site. Scheelt een hoop ellende en is vrijwel kosteloos.

-edit-
Krijg zojuist een email van een vriendin van mij:

Hi!

xxx@hotmail.com invited you to check who has deleted or blocked you from their contact list on MSN Messenger.

It's Easy, Secure and Free!

Try it Now, Click Here

Thanks
Status Checker Team.

Link naar site waar je je live adres en wachtwoord in moet vullen. Lekker snugger weer...!
Zal me niks verbazen als deze site verantwoordelijk is voor het posten van deze lijst.

-edit2-
Na het bestuderen van de lijst met wachtwoorden kan ik 100% bevestigen dat het om een phishingsite gaat.
Dit zijn een aantal voorbeelden die op die lijst voor komen:
De wachtwoorden werken niet meer en ik heb bij elk account 1 letter of cijfer weggelaten.

blanco_39@hotmail.co:blasco
blanco_39@hotmail.com:blaco
blanco_39@hotmail.com:blasco

blancamg7hotmail.com:10.03.08
blancamg7hotmail.com:10.03.2008

blackhawk642@hotmail.com:54ndr486r33n84y
blackhawk642@hotmail.com:54ndr486r3n84y

Zoals je misschien ziet zijn het gewoon login pogingen die gelogt zijn. Veelal met foutieve login gegevens. Mensen die een @ missen of verschillende wachtwoorden geprobeerd hebben. Er zitten zelfs pogingen tussen met typfouten in de emailadres.

@snirpsnirp hieronder:
Omdat het HOOGSTWAARSCHIJNLIJK om een "check wie jouw heeft geblokt op MSN" site gaat. Vandaar dat ze alleen live accounts hebben.

[Reactie gewijzigd door Remco Kramer op 23 juli 2024 15:33]

Verwijderd @Remco Kramer • 5 oktober 2009 23:42

Al staan ze gehashed, zullen er middels hash-tables best wel 10-duizenden veelgebruikte wachtwoorden uit te vissen zijn. Aan de andere kant mogen we ervan uitgaan dat MS slim genoeg is om salted hash te gebruiken (toch?) en hun database te beschermen tegen SQL-injection of diefstal (toch?).

In geval van phishing: waarom zou dit zich beperken tot hotmail adressen? Of hebben ze alleen hotmail gepubliceerd en beschikken ze ook over gmail adressen? Denk het eigenlijk wel.

Patriot @Verwijderd • 5 oktober 2009 23:52

In geval van phishing: waarom zou dit zich beperken tot hotmail adressen? Of hebben ze alleen hotmail gepubliceerd en beschikken ze ook over gmail adressen? Denk het eigenlijk wel.

Het is natuurlijk goed mogelijk dat de eigenaren van de adressen met dingen zijn gelokt die voornamelijk van toepassing zijn op een Windows Live ID. Die is wel aan te vragen met non-hotmail adressen, maar dat is vrij zeldzaam volgens mij. Sowieso heb ik het idee dat mensen die slim genoeg zijn om dat aan te vragen, ook slim genoeg zijn om niet in de gemiddelde Phishing-val te trappen.

EDIT: Ik heb de lijst kunnen inzien, maar er staan ook gewoon adressen van yahoo en gmail op de lijst.

[Reactie gewijzigd door Patriot op 23 juli 2024 15:33]

addo2 @Patriot • 6 oktober 2009 01:17

EDIT: Ik heb de lijst kunnen inzien, maar er staan ook gewoon adressen van yahoo en gmail op de lijst.

Je kunt ook andere mailadressen registreren om een "Live ID" (zie het knopje "Of gebruik uw eigen e-mailadres") aan te maken. Deze kun je dan gebruiken voor bijvoorbeeld MSN. De theorie van (o.a.) Remco Kramer van dat het mogelijk een "check who has..." phishing site is daardoor wederom een logische mogelijkheid.

Edit: sorrie Patriot, ik zie nu pas dat ik exact hetzelfde heb geschreven als wat jij eerder had gezegd

[Reactie gewijzigd door addo2 op 23 juli 2024 15:33]

xppn @Bor • 5 oktober 2009 22:59

Nou dat zal vast niet via de mail gebeuren.... mensen zien het gelijk als spam aan. Had het net ook:

xppn zegt tegen een kennis: "let op... wijs om je wachtwoord te veranderen van Hotmail..."
Antwoord kennis: "Ah dat zal vast weer een grap zijn (hoax) krijg ze dagelijks is mijn mail dat soort berichten..."

En bedankt spammers, nu worden dit soort berichten niet meer serieus genomen door de dagelijkse gebruiker....

Trouwens wel een goede reden om je wachtwoord weer eens te veranderen.... Vaak heb je daar geen zin in maar dit geeft toch dat extra duwtje in de rug. Liever het zekere voor het onzekere.... Pishing of niet, het zal mij niet overkomen.

Al lijkt het me overig sterk dat MS de wachtwoorden "leesbaar" op de servers hebben staan zonder encryptie....

brambest 5 oktober 2009 22:19

Great, laat ik nou net een mailadres hebben dat begint met een b, en eindigt op @hotmail..com . Kunnen ze niet gewoon ff iedereen die getroffen zijn mailen en even excuses aanbieden... Niet dat ik veel gegevens erin had staan, maar toch, gewoon om het principe.

Verwijderd @brambest • 5 oktober 2009 23:55

Great, laat ik nou net een mailadres hebben dat begint met een b, en eindigt op @hotmail..com . Kunnen ze niet gewoon ff iedereen die getroffen zijn mailen en even excuses aanbieden... Niet dat ik veel gegevens erin had staan, maar toch, gewoon om het principe.

Er zijn iets van 250 mijoen hotmail account.
Als ze daar 130k wachtwoorden van hebben is dat dus iets van 0,05 %

Dat is dus slechts 1 op de 2000 account die gecompromiteerd zou zijn.

Verwijderd @Verwijderd • 6 oktober 2009 09:00

Tja, zo kun je alles minimaliseren. 99,99% van de bevolking wordt nooit met geweld benaderd, dus geweld is geen probleem.

Vanuit dit oogpunt verdwijnen heel veel problemen. Misschien een leuk opzet voor een politieke partij?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:33]

Verwijderd @Verwijderd • 6 oktober 2009 10:30

Het gaat niet om minimaliseren maar wel dat iemand niet meteen moet denken dat door publicatie van deze info nu ineens ook zijn gegevens op straat liggen.
De kans is sowieso klein en als je weet dat je zorgvuldig met de info bent omgegaan zo goed als nihil.

Verwijderd @Verwijderd • 6 oktober 2009 10:32

(Microsoft zelf geeft aan dat ze niet weten hoe de aanval heeft kunnen plaatsvinden, en hoeveel accounts het betreft. )

Het gaat niet om minimaliseren maar wel dat iemand niet meteen moet denken dat door publicatie van deze info nu ineens ook zijn gegevens op straat liggen.
De kans is sowieso klein en als je weet dat je zorgvuldig met de info bent omgegaan zo goed als nihil.

Daarbij is het getal van 130K wat jij noemt hypothetisch. het kunnen er best meer zijn.
Het vervelende is dat je het niet weet, en juist in het kader van zorgvuldigheid zou ik de kans van 1 op 2000 niet nihil noemen:

Dit geldt te meer omdat minimaal 1 op de 4 computer-gebruikers een hotmail-account blijkt te hebben, en dus (alleen voor Nederland een grove schatting) dus nu 5000 wachtwoorden van Nederlanders in handen van criminelen zijn gevallen. Hun postbussen kunnen gekopieerd zijn, en een deel van de personen herleid naar ware identiteit.

Hotmail-accounts kunnen net als gewone email-accounts gevuld staan met gevoelige informatie, echte namen en adrerssen, en deze situatie sommige personen terecht ongerust achterlaten.
(we weten allemaal wat met Sarah Palin gebeurde, het vorige jaar)

Ik ben er niet bij, want ik heb geen hotmail account, maar als ik dat wel zou hebben zou ik de gebeurtenissen serieus nemen en direct mijn wachtwoord wijzigen, en ook op plaatsen waar ik hetzelfde wachtwoord gebruik.

Het lijkt mij zeer wel mogelijk dat met de email-adressen en wachtwoorden nu geautomatiseerde aanvallen plaatsvinden op websites met een inlog, en daar oneigenlijke dingen gebeuren, laat je fantasie maar gaan, en als jij het kan fantaseren kan het ook gebeuren.

Juist in het kader van zorgvuldigheid moet je dit zeer serieus nemen en is iedere poging tot minimaliseren juist verkeerd.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:33]

mieJas @Verwijderd • 6 oktober 2009 09:03

1 op 20 000

Verwijderd @mieJas • 6 oktober 2009 09:50

http://www.google.nl/search?q=2000+*+130000

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:33]

TeeDee @brambest • 5 oktober 2009 22:25

Moet MS excuses aanbieden?
Als het inderdaad middels phishing is gegaan, dan moet je bij jezelf te rade gaan hoor

[Reactie gewijzigd door TeeDee op 23 juli 2024 15:33]

Patriot @brambest • 5 oktober 2009 23:45

Great, laat ik nou net een mailadres hebben dat begint met een b, en eindigt op @hotmail..com . Kunnen ze niet gewoon ff iedereen die getroffen zijn mailen en even excuses aanbieden... Niet dat ik veel gegevens erin had staan, maar toch, gewoon om het principe.

Je leest verkeerd hoor. Het is niet zo dat alle mailadressen die beginnen met a of b en eindigen op hotmail.com, live.com of msn.com ook daadwerkelijk zijn gekraakt. Ze hebben alleen dat specifieke deel van alle gekraakte adressen laten zien. Het kan dus heel goed zijn (als je voorzichtig met je gegevens omspringt en een goed wachtwoord hebt) dat jouw adres niet bij die gekraakte adressen hoort.

Patriot 5 oktober 2009 22:14

Een medewerker van de beveiligingsfirma Sophos stelt dat de lijst van tienduizend accounts mogelijk slechts het topje van de ijsberg is en er mogelijk veel meer hotmailaccounts zijn getroffen.

Dat, of (in het geval van phishing) de phishers zijn alleen naar adressen die met een a of een b beginnen gaan vissen. Dat vind ik aanzienlijk moeilijker te geloven.

Verwijderd @Patriot • 5 oktober 2009 22:18

Nee ze publiceren gewoon een gedeeltelijke lijst om het te bewijzen. Zou nogal dom zijn om alles te tonen, anders verdien je niets meer aan c-z

Verwijderd @Verwijderd • 6 oktober 2009 10:03

Deze hele lijst is volgens mij bemachtigt via de gigantische snel lopende phishing run van enkele weken/dagen terug.

Er werd een email gestuurt met de vraag "Kijk wie jouw geblokeerd heeft", of andere onzin, en dan werd mensen gevraagt om hun inlog gegevens in te voeren. De phishing run was zelfs in verschillende talen, en doordat het verstuurt wordt vanaf een bekend adres zijn vele mensen ervoor gevallen.

Zodra een persoon namelijk stom genoeg is om er voor te vallen is op dat moment de complete adreslijst bekend aan de criminelen, en wordt de phishing email doorgestuurt naar alle contacten uit naam van de persoon stom genoeg om hun inlog gegevens te overhandigen.

Ik heb vele mensen in mijn contactlijst staan (tegen de 1000), en heb ongeveer 100 van dat soort emails gekregen, dus talloze zijn stom genoeg geweest om er voor te vallen. Als het inderdaad op 10% neerkomt, en we hebben het over ruim 300 miljoen hotmail gebruikers, hou dan je hart vast.

Slurpgeit @Patriot • 5 oktober 2009 22:45

De geruchten gaan dat de complete lijst 12 x 35GB is

Kees BOFH

Netwerk en systeembeheer

@Slurpgeit • 6 oktober 2009 08:24

Mijn geruchtenbron sprak enkele dagen geleden over 3GB, vele dagen voordat het in het nieuws kwam.

[20:10:27] <Jami> some retard ms worker leaked the passwords in plaintext
[20:10:42] <Jami> 3 gig sql dump
[20:11:18] <Jami> the dumps are plaintext, and the header of all but one was stripped

en http://script.quakenet.org/paste/572888

Kortom, lijkt mij een zeer kwalijke zaak als dit allemaal klopt. Helaas kon ik toendertijd niet meer informatie krijgen of dichter bij de source komen, anders hadden we deze discussie vast al 3 dagen geleden gevoerd

Korben @Kees • 6 oktober 2009 09:00

Vind ik toch een zeer ongeloofwaardig verhaal. Ten eerste omdat een MS-medewerker de wachtwoorden in plain-text zou hebben gedumpt. Ik ga er vanuit dat MS de wachtwoorden niet in plain text opslaat, maar hashed zoals het hoort, dus hoe komen zij dan aan die plain text wachtwoorden?

Verwijderd @Slurpgeit • 6 oktober 2009 00:05

420GB aan plaintext? Zou mij verbazen als er überhaupt zoveel Hotmail accounts zijn.

mor0n @Verwijderd • 6 oktober 2009 07:55

Dan denk ik eerder 12 x 35 MB, dat zou wat realistischer zijn. 420GB is domweg onmogelijk als je het nagaat...

jqv @Slurpgeit • 5 oktober 2009 23:47

bevestig dat maar eens.

Ooit werd gezegd dat de mexicaanse griep super gevaarlijk is.
Vraag je om bewijzen, dan blijkt uiteindelijk dat het een milde griepvorm is...

Geruchten zijn niets tot dat je ze kunt bevestigen.
We worden in deze wereld al genoeg opgefokt door dit soort uitspraken.

Verwijderd @jqv • 6 oktober 2009 11:22

De mexicaanse griep is ook super gevaarlijk. Tegen het einde van het jaar gaat 1/3 van de economisch actieve mensen al eens week ziekteverlof nodig gehad hebben. Ondertussen moet je al gaan zoeken om in persberichten nog te vinden op hoeveel het totale dodenaantal staat. Aantal besmette mensen in een land vindt je vaak een nummer over maar dan ook weer niet wereldwijd.

LessRam @Verwijderd • 6 oktober 2009 14:36

En hoe zit dat dan bij een gewone jaarlijkse seizoensgriep?
Daarbij is de situatie zo goed als hetzelfde. Met andere woorden, de mexicaanse griep is (gelukkig) mild in vergelijking met de doem beelden die geschetst zijn.

XyritZz @Patriot • 5 oktober 2009 22:30

Lijkt mij inderdaad logisch dat dit door middel van phishing is gedaan. De reden is vrij simpel: Ik geloof 100% niet dat Microsoft zo dom is om wachtwoorden plaintext op te slaan.

Dat zou dus betekenen dat er twee manieren zijn om die wachtwoorden te achterhalen: De database van Live jatten en collisionpairs gaan zoeken, of de wachtwoorden "gewoon" vragen aan de gebruiker.

Die tweede optie lijkt me toch een stuk makkelijker, hoewel de eerste optie nog wel redelijk te doen zou zijn wanneer MS geen salt toevoegt aan de wachtwoorden.

Little Penguin @XyritZz • 5 oktober 2009 22:50

Dat zou dus betekenen dat er twee manieren zijn om die wachtwoorden te achterhalen: De database van Live jatten en collisionpairs gaan zoeken, (..)

Die tweede optie lijkt me toch een stuk makkelijker, hoewel de eerste optie nog wel redelijk te doen zou zijn wanneer MS geen salt toevoegt aan de wachtwoorden.

Op het moment dat men op de database van Microsoft zou weten in te breken dan is er toch iets iets serieus mis met de beveiliging van Microsoft - ik kan me niet voorstellen dat men dat echter niet op orde heeft. Hotmail/Livemail (en ook Microsoft) zijn nu eenmaal heel interessante targets, als je dan erg gemakkelijk bij de brondatabase kan komen...

In hoeverre er een salt toegevoegd wordt, dat is een vraag (even er vanuit gaande dat er nergens een plain-text versie opgeslagen wordt). Maar met een ingewikkeld wachtwoord is zelfs een salt niet nodig. Mocht je wachtwoord dus "4Me0-m$" zijn is de kans dat men 't via rainbow tables een stuk kleiner dan wanneer je wachtwoord "pietje" is.

Patriot @Little Penguin • 5 oktober 2009 22:58

[...]

Op het moment dat men op de database van Microsoft zou weten in te breken dan is er toch iets iets serieus mis met de beveiliging van Microsoft - ik kan me niet voorstellen dat men dat echter niet op orde heeft. Hotmail/Livemail (en ook Microsoft) zijn nu eenmaal heel interessante targets, als je dan erg gemakkelijk bij de brondatabase kan komen...

Het hoeft ook geen traditionele hack te zijn. Microsoft heeft veel medewerkers, er hoeft er maar één op het juiste moment toegang gehad te hebben. Ik weet niet hoeveel mensen er per minuut inloggen op hotmail, maar 15 minuten een laptop die al het verkeer dat langs de server gaat opslaat (desnoods alleen loginverkeer) heeft volgens mij al snel erg veel binnen.

ASS-Ware @Patriot • 6 oktober 2009 00:19

[...]

Het hoeft ook geen traditionele hack te zijn. Microsoft heeft veel medewerkers, er hoeft er maar één op het juiste moment toegang gehad te hebben. Ik weet niet hoeveel mensen er per minuut inloggen op hotmail, maar 15 minuten een laptop die al het verkeer dat langs de server gaat opslaat (desnoods alleen loginverkeer) heeft volgens mij al snel erg veel binnen.

Zou login verkeer niet versleuteld zijn ?

teaser @ASS-Ware • 6 oktober 2009 08:21

De standaard login pagina van Live is gewoon http. Er staat wel een linkje naar de https login pagina maar welke doorsnee gebruiker klikt daarop... Waarom https niet standaard maken vraag ik me dan af?

Korben @teaser • 6 oktober 2009 08:57

De standaard login pagina van Live is gewoon http.

De loginpagina zelf wel, maar waar die naartoe post is wel degelijk HTTPS.

.oisyn Moderator Devschuur®

Beveiliging

@Little Penguin • 5 oktober 2009 23:26

Maar met een ingewikkeld wachtwoord is zelfs een salt niet nodig. Mocht je wachtwoord dus "4Me0-m$" zijn is de kans dat men 't via rainbow tables een stuk kleiner dan wanneer je wachtwoord "pietje" is

Dat hangt maar net van de reverse-hash functie in de generator af. Als die ook leestekens in ogenschouw neemt maakt het niets uit of je wachtwoord alleen uit letters bestaat of uit letters, cijfers en tekens. Met een ingewikkeld wachtwoord bescherm je je vooral tegen dictionary attacks (en aangezien salts daarbij weinig uitmaken, is dat wel aan te raden)

[Reactie gewijzigd door .oisyn op 23 juli 2024 15:33]

Verwijderd @Little Penguin • 6 oktober 2009 11:19

Mocht je wachtwoord dus "4Me0-m$" zijn is de kans dat men 't via rainbow tables een stuk kleiner dan wanneer je wachtwoord "pietje" is.

Als er gebruik gemaakt wordt van rainbowtables maakt het juist _niet_ uit of je wachtwoord "4Me0-m$" of "pietje" is. Het genereren van de hash kost de meeste tijd en juist doordat rainbowtables worden gebruikt, zijn die hashes bekend. Met een bekende hash maakt het dus niet meer uit of er wel of geen andere tekens dan alphanummeriek worden gebruikt. Uiteraard heb je wel tables nodig waarvan de hashes voor niet alphanummerieke karakters in zitten wat de rainbowtables wel een stuk groter maakt.
(wat ^^ .oisyn zegt dus)

Wat wel zinvol is, is het gebruik van zeer lange wachtwoorden/wachtzinnen. Bijvoorbeeld voor een Truecrypt volume gebruik ik een wachtwoord van minimaal 25 karakters. De meeste rainbowtables bevatten geen hashes voor wachtwoorden met zo veel karakters.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:33]

Verwijderd @XyritZz • 5 oktober 2009 23:26

Ik vind het wel erg veel emails voor phishing eigenlijk.

Met goede phishing zou je wellicht een paar duizend kunnen krijgen maar ik betwijfel echt of men 130.000 emails kan phishen (aangenomen dat de daders ook ongeveer evenveel emails hebben van c t/m z)

Aan de andere kant misschien met een undetectable malware die de windows hosts file aanpast. Maar dan nog is het erg veel.

Verwijderd @Verwijderd • 5 oktober 2009 23:47

Een trojan keylogger is ook mogelijk.
Als je een botnet van honderdduzenden computers kan samenstellen dan is het loggen van password ook prima mogelijk.

Patriot @Verwijderd • 6 oktober 2009 08:35

Ik vind het wel erg veel emails voor phishing eigenlijk.

Met goede phishing zou je wellicht een paar duizend kunnen krijgen maar ik betwijfel echt of men 130.000 emails kan phishen (aangenomen dat de daders ook ongeveer evenveel emails hebben van c t/m z)

Aan de andere kant misschien met een undetectable malware die de windows hosts file aanpast. Maar dan nog is het erg veel.

Als je kijkt hoeveel jongeren zo'n account hebben, en hoe ongelooflijk naïef die mensen zijn, dan vind ik 130.000 niet zo'n gek cijfer eigenlijk.

Antipater @XyritZz • 5 oktober 2009 22:45

Met rainbow attacks zijn soms ook salted hashes te ontcijferen. Maargoed, blijft speculeren hoe de gegevens bemachtigd zijn.

.oisyn Moderator Devschuur®

Beveiliging

@Antipater • 5 oktober 2009 23:15

Een rainbow attack is nutteloos als iedere user een eigen salt heeft, omdat je dan teveel tijd besteedt aan het berekenen van de table zelf (en kun je dus net zo goed gaan bruteforcen)

YopY @.oisyn • 6 oktober 2009 09:15

Is niet nutteloos, alleen je hebt ongelofelijk veel rekenkracht (en tijd) nodig om de hashes voor allerlei wachtwoorden + salts te berekenen. Het kán wel.

.oisyn Moderator Devschuur®

Beveiliging

@YopY • 6 oktober 2009 10:51

Het is nutteloos omdat je per rainbow-table maar 1 hash kunt kraken (omdat er een user-specifieke salt is, en je de salt moet verwerken in je tabel), waardoor het in feite gewoon een bruteforce-aanval wordt voor die ene specifieke hash. Een rainbow-table heeft pas nut als je 1 statische tabel kunt maken waar je heel veel wachtwoorden doorheen kunt halen.

[Reactie gewijzigd door .oisyn op 23 juli 2024 15:33]

Verwijderd @.oisyn • 7 oktober 2009 10:22

Het komt er dus gewoon op neer dat de gegevens via phising zijn bemachtigd.

Sakkesa @Antipater • 8 oktober 2009 19:54

Met rainbow attacks zijn soms ook salted hashes te ontcijferen. Maargoed, blijft speculeren hoe de gegevens bemachtigd zijn.

Ik denkt dat je het principe van een salt niet begrijpt, deze maakt een rainbow table nutteloos.

mrlammers @XyritZz • 6 oktober 2009 09:43

Ik geloof 100% niet dat Microsoft zo dom is om wachtwoorden plaintext op te slaan.

Dat hebben ze zelf ook niet gedaan.

Microsoft heeft bevestigd dat: "Thousands of accounts on web-based e-mail system Hotmail have been compromised in a phishing attack..."
Iemand anders heeft die lijst gepubliceerd.

BBC News and Neowin has seen a list of 10,028 names beginning with the letters A and B. Graham Cluley, consultant at security firm Sophos, told BBC News the published list may just be a subset of a longer list of compromised accounts.

Whoops.

BBC News has confirmed that the accounts are genuine and predominantly originate in Europe.

Ergo: Europeanen zijn goedgelovige sukkels en behoorlijk gevoelig voor fake mailtjes en internetpagina's waarop ze hun inloggegevens achterlaten.

Tip: gebruik je login gegevens nooit ergens anders dan op de inlogpagina van de host van de service waarop je wilt inloggen. Dat verkleint de kans aanzienlijk.

Daarnaast zouden gebruikers extra goed hun bankrekening in de gaten moeten houden om eventuele verdachte transacties te signaleren.

Zouden er echt mensen zijn die hun betalingsverkeer doen via hotmail?

[Reactie gewijzigd door mrlammers op 23 juli 2024 15:33]

Joolee @mrlammers • 6 oktober 2009 10:17

Paypal is een goed doelwit natuurlijk. Daarnaast heb je ook nog creditcards voor welke je veel minder gegevens nodig hebt.

Gepetto @Patriot • 6 oktober 2009 09:56

De meest voor de hand liggende manier waarop het gebeurd is lijkt me een andere vorm van phising. Er ging heel lang een bericht rond op internet dat je het wachtwoord van iemand kon achterhalen door je voor te doen als een medewerker van MS. Je moest dan een mailtje sturen aan een mailadres met daarin het adres van het te achterhalen wachtwoord. Uiteraard moest je er wel je eigen adres en wachtwoord in vermelden "om in te kunnen loggen op de database"

Hier een voorbeeld (let op!! dit is grote onzin, dus niet doen!!)

Blijkbaar zijn er nogal wat mensen ingetrapt in dit soort sites.

Verwijderd @Gepetto • 6 oktober 2009 11:52

LOL. Hoezo doorzichtig....
Dat soort gasten zouden en permban voor gebruik van internet (of beter, computers) moeten krijgen.

Ik heb deze site dan toch maar gemeld bij yahoo via http://help.yahoo.com/l/u...urity/forms/phishing.html

Waarschijnlijk gaat er niets mee gebeurd worden omdat geocities eind van de maand op zwart gaat.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:33]

Gepetto @Verwijderd • 6 oktober 2009 20:33

Jawel.. Heel goed gedaan, de site die ik als voorbeeld gebruikte was enkele uren later al uit de lucht. $_/-\o_$

Helaas zijn er nog heel veel meer van dit soorts sites, maar ik ga hier uiteraard niet een nieuw voorbeeld posten. Het idee lijkt me wel duidelijk zo.

cappie @Patriot • 6 oktober 2009 07:53

Denk eens aan al die gare plugins (lees: malware) voor Internet Explorer...

Wat moet je trouwens met hotmail? Da's toch niet voor serieuze email?

YopY @cappie • 6 oktober 2009 09:20

Wat moet je trouwens met hotmail? Da's toch niet voor serieuze email?

Nee, en daarom hebben ze ook zoveel accountinformatie bemachtigd,

Verwijderd @cappie • 6 oktober 2009 11:49

Nee, voor serieuze email moet je uiteraard bij gmail zijn

yannickie111 5 oktober 2009 22:17

er staat: De softwaregigant adviseert zijn gebruikers om het wachtwoord te wijzigen en hun bankrekening goed te controleren.

sinds wanneer zit een hotmailaccount gekoppeld aan een bankrekening!?

p.s: ik wist niet hoe ik, kan quoten...
dus dat net zoals hierboven het bovenste tekstje lichtgrijs is...

JordyOnrust @yannickie111 • 5 oktober 2009 22:31

Heel veel mensen gebruiken de zelfde inlog gegevens voor allerlei websites. Dus ook om in te loggen bij de bank.
Hopelijk schut het mensen beetje wakker om regelmatig wachtwoorden te wijzigen, maar ook meerdere wachtwoorden te gebruiken.

quote: klaasbram
Ja wat wil je met al die "vrienden" sites waar je even je hotmail adres met wachtwoord in moet vullen om zo iedereen uit te nodigen. Ik vertrouw die zooi gewoon niet.

Dat soort zaken geloof ik ook nooit. Je wilt niet weten wat voor spam je er allemaal van krijgt, en wie zegt dat men je wachtwoord niet doodleuk opslaat. Beetje dom als je daarop je gegevens invult.

offtopic:
Je kunt de [quote] [/quote] tags gebruiken voor het quoten van tekst.

edit:
De [pre] tag weg gehaald uit offtopic.

[Reactie gewijzigd door JordyOnrust op 23 juli 2024 15:33]

Little Penguin @JordyOnrust • 5 oktober 2009 22:53

Heel veel mensen gebruiken de zelfde inlog gegevens voor allerlei websites. Dus ook om in te loggen bij de bank.

Volgens mij gaat dat in Nederland gelukkig niet op - hier kun je over het algemeen niet even zelf een wachtwoord kiezen, maar heb je pasjessystemen (icm met 'n paslezer) of een TAN-lijst e.d.

crizyz @Little Penguin • 6 oktober 2009 01:44

Pay-pal? Kun je ook koppelen aan je bankrekening...

Verwijderd @yannickie111 • 5 oktober 2009 22:22

Je hebt ook betaalde diensten langs je passport. Bijvoorbeeld de betalende versie van hotmail, xbox live, ...

ps: [ quote][ /quote] zonder spaties ertussen

RobIII @yannickie111 • 5 oktober 2009 22:23

sinds wanneer zit een hotmailaccount gekoppeld aan een bankrekening!?

Dat is 't niet, maar in je mail kunnen wel weer zaken staan die (bijvoorbeeld(!!)) logins verschaffen naar andere zaken die weer... en die weer... en voor je 't weet trekken ze via iTunes of weet ik 't wat je rekening leeg.

p.s: ik wist niet hoe ik, kan quoten...

[q]tekst_hier[/q]

[Reactie gewijzigd door RobIII op 23 juli 2024 15:33]

Verwijderd @yannickie111 • 6 oktober 2009 10:05

sinds wanneer zit een hotmailaccount gekoppeld aan een bankrekening!?

PayPal bijvoorbeeld: Ga naar de website, klik op inloggen, klik vervolgens op wachtwoord vergeten (vul het email adres in) en je kunt naar hartenlust shoppen als het account aan een bankrekening staat gekoppeld.

Blacksnak @yannickie111 • 6 oktober 2009 10:30

er staat: De softwaregigant adviseert zijn gebruikers om het wachtwoord te wijzigen en hun bankrekening goed te controleren.

sinds wanneer zit een hotmailaccount gekoppeld aan een bankrekening!?

Ik denk dat ze dit er vooral bijzeggen omdat heel veel mensen overal hetzelfde paswoord gebruiken. Ook bij hun bankprogramma (site).

Upquark @yannickie111 • 5 oktober 2009 22:22

De tekst tussen [ quote ] en [ / quote ] tags zetten. (maar dan zonder spaties uiteraard)

Zo dus.

[Reactie gewijzigd door Upquark op 23 juli 2024 15:33]

yannickie111 @Upquark • 5 oktober 2009 22:32

De tekst tussen [ quote ] en [ / quote ] tags zetten. (maar dan zonder spaties uiteraard)

hartelijk bedankt Upquark!
ik heb vandaag weer iets geleerd:D

p.s: dit is wel een beetje offtopic, maarja...

ik moet je toch op 1 of andere manier bedanken he?

flamingworm @yannickie111 • 5 oktober 2009 22:42

[ q ] en [ /q ] is dan weer ietsje korter en werkt evengoed

Patriot @flamingworm • 5 oktober 2009 23:43

Als je dan echt kort wilt, laat die tweede q dan ook gewoon weg (dat is overigens een handige tip voor alle tags, je kunt hem sluiten met [/].

[Reactie gewijzigd door Patriot op 23 juli 2024 15:33]

S_Chief @yannickie111 • 5 oktober 2009 22:24

offtopic:
Dan moet je het stukje wat je wilt quote tussen [quote]-tags plaatsen. Je begint met [quote]*hier wat je wilt quoten* en dan [ /quote] (maar dan de laatste tag zonder spaties).

The-Source 5 oktober 2009 22:16

Ja wat wil je met al die "vrienden" sites waar je even je hotmail adres met wachtwoord in moet vullen om zo iedereen uit te nodigen. Ik vertrouw die zooi gewoon niet.
En ben de laatste tijd ook hard bezig om voor elke site een eigen wachtwoord te maken aan de hand van een bepaald profiel.
Wat bestaat uit een gedeelte van de url, mate van belangrijkheid + nog een variable om het toch nog zo te maken dat het te onthouden is

En moet zeggen dat ik daarbij toch een veiliger gevoel krijg omdat me wachtwoorden nu uit minimaal 12 tekens bestaat

(hoofd / kleine letters, getallen en speciale tekens zitten er allemaal in

)

RobIII @The-Source • 5 oktober 2009 22:27

Ja wat wil je met al die "vrienden" sites waar je even je hotmail adres met wachtwoord in moet vullen om zo iedereen uit te nodigen. Ik vertrouw die zooi gewoon niet.

Gezonde argwaan. Sites als hyves en facebook en weet-ik-veel zullen nog wel redelijk betrouwbaar zijn, maar er zijn 1001 andere sites die god-knows-what met die info doen inderdaad.

En dan heb je nog de dagelijkse shitload aan mail met "wie heeft jou geblokkeerd?" waar veel mensen geheid vandaag-of-morgen in stinken: "Even één keertje even kijken wie me allemaal geblokkeerd heeft..." -> De sjaak.

[Reactie gewijzigd door RobIII op 23 juli 2024 15:33]

Jimbolino @RobIII • 5 oktober 2009 23:38

Ik vind het ook stom dat ze uit gaan van physing, terwijl dit soort sites:
- Veel makkelijker op te zetten zijn.
- Legaal zijn
- Een viraal verspreidingspatroon hebben
- Veel minder arbeid/onderhoud nodig hebben dan physing

Waarom doet Microsoft niets aan dit soort sites?
Zet in je EULA dat het niet mag, klaag die mensen aan!
Blokkeer ip adressen etc etc.

Verwijderd @Jimbolino • 5 oktober 2009 23:50

Waarom doet Microsoft niets aan dit soort sites?

Dat doen ze zeker.
In IE7 en IE8 zit phising filtering en in IE8 ook nog aanvullende filtering op malware sites.

Verwijderd @Jimbolino • 6 oktober 2009 07:55

Wanneer de gegevens op deze manier zijn gewonnen, dan beschikken ze niet enkel over Microsoft accounts. Dan loopt iedereen van de site gebruik gemaakt heeft een potencieel risico.

Eigenlijk geloof ik daar niet echt in. Ze hebben gewoon letters a en b uit hun lijst gehaald en het zijn allemaal MS adressen. Anders stonden er wel yahoo en google adressen in.

Conclusie de hack (of whatever) heeft bij MS plaats gevonden. (waarschijnlijk een medewerker of zo, dat is bijna altijd de eerste oorzaak en elk bedrijf is daar vatbaar voor...)

YopY @Verwijderd • 6 oktober 2009 09:31

Conclusie de hack (of whatever) heeft bij MS plaats gevonden. (waarschijnlijk een medewerker of zo, dat is bijna altijd de eerste oorzaak en elk bedrijf is daar vatbaar voor...)

Da's een mogelijke conclusie, niet definitief. Het kan maar zo zijn dat ze Yahoo etc adressen apart verkopen.

Edit: En ik heb gelijk, zie nieuws: Onbekenden publiceren ook Gmail- en Yahoo Mail-inloggegevens

[Reactie gewijzigd door YopY op 23 juli 2024 15:33]

arie_papa @RobIII • 6 oktober 2009 08:44

Grappig inderdaad dat mensen daar intrappen terwijl dit gewoon een standaard functie is binnen Windows Live Messenger

Proxx @arie_papa • 6 oktober 2009 10:01

leg eens uit dan ?

ik heb er nog nooit van gehoord. en zo maak je de hele functie van blokkeren of overbodig of niet dan

Patriot @RobIII • 5 oktober 2009 23:40

[...]

En dan heb je nog de dagelijkse shitload aan mail met "wie heeft jou geblokkeerd?" waar veel mensen geheid vandaag-of-morgen in stinken: "Even één keertje even kijken wie me allemaal geblokkeerd heeft..." -> De sjaak.

Liever vandaag dan morgen. Ik heb iedere week wel een stuk of drie van die mailtjes van contacten. Ik bel vaak als het kan even, maar met een beetje pech zijn ze tegen die tijd al vergeten dat ze hun gebruikersnaam en wachtwoord hebben ingevuld.

PhilipsFan @Patriot • 6 oktober 2009 00:02

Meestal kunnen ze zich helemaal niks herinneren... Of ze beweren bij hoog en bij laag dat ze nooooooit hun password zouden afgeven...

Verwijderd @The-Source • 5 oktober 2009 22:20

Zolang je er een systeem in zit dat je als mens makkelijk kan onthouden, is het natuurlijk altijd makkelijker te achterlijker.
Veiligste is een plugin of app die random wachtwoorden genereerd en onthoudt per site. Natuurlijk blijf je dan met het risico in de plugin/app of als je het master wachtwoord kwijt bent zit je heel zwaar in de problemen.

avdg-BE @Verwijderd • 5 oktober 2009 23:04

Ik denk dat je zelf nog redelijk moeilijk te kraken wachtwoorden kan maken, zonder moeite te hebben om het te onthouden. Bv een zin maken en letter eruit pakken, letters wisselen, hoofdletters cijfers en speciale tekens gebruiken, regelmatig wachtwoord vervangen noem maar op.
Maar wat ik wel kan verstaan is dat je moeilijk een unieke wachtwoorden kunt bedenken voor elke site waar je geregistreerd ben, en dan ben je in veel gevallen beter af met een vertrouwde en goed beveiligde plugin.

Icekiller2k6 @avdg-BE • 5 oktober 2009 23:31

Valt best mee hoor
voorbeelden:
De kat is van huis dus dansen de muizen
D3K4t1svanhu1sdusdans3nd3Mu1z3n!

niet echt moeilijk te onthouden, eerste twee woorden hoofdletter & laatste.
en e=3, i=1.

ToAoM @Icekiller2k6 • 6 oktober 2009 02:01

Er zijn genoeg dictionaries waarin er rekening gehouden wordt met standaard substituties. Ze zijn makkelijk te onthouden, maar ook makkelijk te genereren.

Passphrases (als in een hele zin) of semi random combinaties van letters (eerste letter van elk woord uit een zin bijvoorbeeld) en cijfers (en leestekens als je het jezelf echt moeilijk wil maken) zijn goed te onthouden, maar moeilijk te genereren.

Icekiller2k6 @ToAoM • 6 oktober 2009 14:39

Hmm ik gaf ook maar een voorbeeld.. je kunt bijvoorbeeld ook de naam van uw kinderen ofzo erin stoppen of naam van uw gemeente... kans dat dat voorkomt is dan weer kleiner.

YopY @Icekiller2k6 • 6 oktober 2009 09:29

Even kijken, 20 karakters, hoofd + kleine letters + cijfers, da's 26+26+10 = 62 karakters, twintig letters, 20 ^ 62 = 461168601842738790400000000000000000000000000000000000000000000000000000000000000 mogelijke combinaties. Lijkt me redelijk sterk ja, ;p.

Echter, in de meste systemen wordt dit wachtwoord gehashed. Als dat met het (ondertussen gekraakte) MD5 algoritme gebeurt, zonder salt, dan heb je nog maar 2 ^ 128 = 340282366920938463463374607431768211456 combinaties - waardoor je gehashte wachtwoord uiteindelijk zwakker is dan je wachtwoord zelf. SHA is iets beter, maar pas bij een hashgrootte van meer dan 256 wordt het aantal mogelijke combinaties groter dan het originele wachtwoord.

/nerd

Barleone @Verwijderd • 5 oktober 2009 22:36

1. Het is maar de vraag of die plugin te vertrouwen is..
2. Het is maar de vraag of de omgeving waarin die plugin draait te vertrouwen is..

Ik denk dat klaasbram zelf een heel sterk idee heeft, en dat zijn hersens tot dusver nog net een tikkie te moeilijk te decrypten zijn, dat hackers daaruit zijn cipher kunnen ontleden.

Patriot @Barleone • 5 oktober 2009 23:38

1. Het is maar de vraag of die plugin te vertrouwen is..
2. Het is maar de vraag of de omgeving waarin die plugin draait te vertrouwen is..

Dat zijn twee vragen die je bij iets als een hotmail-account wellicht nog niet hoeft te stellen. Het is een goede zaak voorzichtig te zijn, maar jezelf dusdanig beperken dat je geen lekker gebruik meer kan maken van je mailaccount is imho niet wat je wilt. De kosten moeten nog wel een beetje opwegen tegen de baten.

Ik denk dat klaasbram zelf een heel sterk idee heeft, en dat zijn hersens tot dusver nog net een tikkie te moeilijk te decrypten zijn, dat hackers daaruit zijn cipher kunnen ontleden.

Hoe ver wil je gaan? Ik durf te wedden dat ik met een mes tegen de stroomdraad van een PC minder ga bereiken dan met een mes tegen de keel van klaasbram.

Als je een beetje onderzoek doet kun je met gemak een programma vinden wat in ieder geval redelijk te vertrouwen is, en ik durf te beweren dat die voor het meeste huis-tuin-en-keukengebruik voldoet.

Uiteindelijk gewoon goed onthouden dat beveiliging nooit optimaal is, en als je beveiliging dan toch gekraakt wordt is ook het einde van de wereld niet dichterbij (tenzij je veel met nucleaire lanceerinstallaties bezig bent, I guess

). Niet dat het wenselijk is, uiteraard.

The-Source @Patriot • 6 oktober 2009 07:16

Maar dit gaat over hacks via internet. Beste jongen/meid dat je mij op afstand via een pc zo kunt bedreigen dat ik een wachtwoord afsta (even er vanuit gaan dat ze geen familie leden kidnappen etc maar dan heb je meestal wel meer op je kerfstok

)

watercoolertje @The-Source • 6 oktober 2009 08:29

Kijkt je iets te veel (actie) films klaasbram

The-Source @Verwijderd • 5 oktober 2009 22:30

Ja stel je wachtwoord wordt als hash gejat zoals dat laatst bij Fok gebeurde en deze blijkt niet gesalt te zijn. Dan is A bij een lang wachtwoord meestal geen rainbow beschikbaar en daarnaast mocht die er wel zijn dan gaat die niet werken op een andere site omdat daar de hash altijd anders is omdat je variabelen anders zijn.
Je beschermt je zelf als waren tegen slecht beveiligde websites. Bij een beetje belangrijk iets voor mij zit ik toch al gauw op 18 a 20 tekens als wachtwoord

Slashdotter @Verwijderd • 5 oktober 2009 22:35

Roboform werkt precies zoals je beschrijft.

iMispel @The-Source • 5 oktober 2009 23:07

Ja wat wil je met al die "vrienden" sites waar je even je hotmail adres met wachtwoord in moet vullen om zo iedereen uit te nodigen. Ik vertrouw die zooi gewoon niet.

Daar heb je groot gelijk in. Maar ik denk dat het echte probleem zich nog veel verder dan dit strekt. Veel mensen hebben (zo meen ik toch te weten) slechts 1 paswoord. Op elke site waar je je tegenwoordig registreert moet je jouw email adres invullen en een wachtwoord kiezen. Voor zulke mensen is elke site waar registratie nodig is een potentieel gevaar.

Het is niet zo heel moeilijk om als malafide site een login email en wachtwoord te vragen en een script te schijven om email en wachtwoord te testen bij de meest populaire websites. Dat zelfde script kan je ip-adress eenvoudig achterhalen en proberen op jouw computer in te loggen. Ihmo een enorm risico, dit gedrag.

Ik raad mensen dan ook altijd aan minstens 3 wachtwoorden te gebruiken (hoe ongemakkelijk ook): 1 voor email, 1 voor de computer login en 1 voor regstratie op websites. Voor Tweakers lijkt dit mss logisch, maar helaas heeft Jan met de pet nog niet zo over veiligheid gedacht.

[Reactie gewijzigd door iMispel op 23 juli 2024 15:33]

Nickname55 @The-Source • 5 oktober 2009 23:09

En vervolgens een txt bestandje in je map "Mijn documenten" waar ze allemaal in staan

Kluutmaran @Nickname55 • 6 oktober 2009 01:56

En dan de map sharen in een public netwerk op een hoge school!

Heb de persoon in kwestie maar even gewaarschuwd maar kon zo zijn inloggegevens bij de bank inzien en al zijn andere inloggegevens.

Ik heb al jaren een apart wachtwoord voor mijn mail. Is toch ook logisch aangezien je bij andere sites vaak je password gemaild krijgt als je die vergeten bent. Anders zou iemand dat mailtje toevallig kunnen zien en meteen van elke website het password kunnen resetten / wijzigen.

Net toch maar even mijn hotmail password gewijzigd (voor het eerst sinds een jaar of 5) dus toch ergens goed voor zo'n bericht.

Blacksnak @Kluutmaran • 6 oktober 2009 10:26

Inderdaad, heb het ook nog maar eens gewijzigd voor alle zekerheid. Van mijzelf zullen ze het nooit ontvangen maar moest het op een of andere manier toch vanuit MS geleaked zijn dan is het toch op zijn minst al nutteloos nu.

Bulldock 5 oktober 2009 22:18

Wat is de bedoeling hierachter? Gaan 'ze' microsoft chanteren met de overige gestolen hotmailaccounts?
En 10.000 accounts beginnend met a of b, dan gaat het totaal om ca 150.000 accounts? Vrij succesvolle phishing actie.

Verwijderd @Bulldock • 5 oktober 2009 22:23

Ik krijg al tijden van mensen die ooit in m'n msn hebben gestaan mailtjes waar in staat "Kijk wie je op msn geblokkeerd heeft" of iets in die trant. het zou me niets verbazen als dat zo'n site is die accounts verzameld en iedereen uit de msn lijst mail stuurt. Zo kom je vrij makkelijk aan een hele boel accounts.

Dennahz @Verwijderd • 5 oktober 2009 22:31

Jep, het zal wel zoiets geweest zijn, maar dan in het Engels = veel grotere doelgroep dan van die kleine, Nederlandse sites die dit doen.

Al met al een flink trieste manier van doen natuurlijk, maar misschien toch wel een (nodige) wake-up call dat mensen niet overal hun gegevens neer moeten strooien en eens moeten nadenken over hun wachtwoord e.d.

Sowieso voer je je gegevens toch niet in bij een willekeurige site die beweerd te kunnen zien wie je geblokkeerd heeft? Dat kan ook gewoon via MSN Plus, dus daar heb je zo'n site echt niet voor nodig. Beetje common sense is teveel gevraagd denk ik.

Verwijderd @Dennahz • 6 oktober 2009 07:54

Jep, het zal wel zoiets geweest zijn, maar dan in het Engels = veel grotere doelgroep dan van die kleine, Nederlandse sites die dit doen.

ja? Mochten het vooral engelstalige slachtoffers zijn, zou dat kunnen. De meeste slachtoffers zijn europeanen. Die spreken veel verschillende talen. Daarbij willen (of kunnen) die lang niet allemaal engels gebruiken. (vooral fransen en italianen zij daar een goed voorbeeld van).

yannickie111 @Verwijderd • 5 oktober 2009 22:33

zo.n mailtje heb ik vandaag ook 1 gehad, voor het eerst....
er staat wel bij dat het "safe" is enzo, maar ik heb hem maar meteen weggedaan zonder te openen....
zou idd goed kunnen dat zo'n programaatje die acoounts verzamled

October @yannickie111 • 6 oktober 2009 00:27

Ik heb ook zo'n mailtje gekregen. Eerste keer trouwens. En ik krijg laatste tijd ook spam maar spam kun je het niet echt noemen, er wordt in geschreven dat ik $750.000 heb gewonnen gewoon plain text maar verder is er geen link of wat dan ook.

"Pietje wil weten of je hem geblokkeerd hebt hou hem op deze wijze op de hoogte."

En mijn mail begint ook met een B. En die "Pietje" had ik inderdaad geblokkeerd. Moet ik me zorgen maken nu?

[Reactie gewijzigd door October op 23 juli 2024 15:33]

Dennahz @October • 6 oktober 2009 07:48

Nee, absoluut niet. Die "Pietje" zal zijn gegevens wel ingevoerd hebben op zo'n website, dus zij zullen wel kunnen zien dat jij hem geblokkeerd hebt en sturen je daarom zo'n mailtje.

DIe informatie is volgens mij gewoon opvraagbaar, want het kan ook gewoon via MSN-plus.

RobertMe @Dennahz • 6 oktober 2009 08:31

De grap is dat kijken wie jouw geblokkeerd heeft al een tijdje niet meer kan (zit niet meer in het messenger protocol) het enige wat je kunt zien is wie jouw heeft toegevoegd (extra->privacy of zoiets) en verschillende MSN clients gaan dan dus die lijst vergelijken met je eigen lijst, zo zie je wel wie jouw verwijderd heeft, maar wie jouw geblokkeerd heeft kun je niet achter komen.

XGmode @RobertMe • 6 oktober 2009 09:11

Ik kon het prima bekijken via "pidgin" op linux, weet niet of het nu nog kan ( is zeker meer dan een half jaar geleden ).

Verwijderd @Bulldock • 5 oktober 2009 23:35

Chantage lijkt me hier geen (meer) sprake van. Het is niet onlogisch dat ze een poging hebben gedaan en daar hebben ze geen pastebin voor nodig.
De imagoschade is nu al geleden door Microsoft, dus chantage is nu mosterd na de maaltijd.

Verwijderd 5 oktober 2009 23:06

De hele lijst is nog terug te halen via de Google Cache. Sommige wachtwoorden zijn te lang/complex voor een brute-force aanval en dat Microsoft de wachtwoorden in plain-text in een database op slaat lijkt me al helemaal sterk. Waarschijnlijk zijn ze, zoals al gezegd wordt, achterhaald door middel van phishing op websites zoals guess-who-blocked-you.com, blockchecked.nl of een van de vele andere phishing/trojan-downloader websites.

Remco Kramer @Verwijderd • 6 oktober 2009 00:11

Check de lijst maar eens. Dit zijn een aantal voorbeelden die op die lijst voor komen:
De wachtwoorden werken niet meer en ik heb bij elk account 1 letter of cijfer weggelaten.

mailto:blanco_39@hotmail.co:blasco
mailto:blanco_39@hotmail.com:blaco
mailto:blanco_39@hotmail.com:blasco

blancamg7hotmail.com:10.03.08
blancamg7hotmail.com:10.03.2008

mailto:blackhawk642@hotmail.com:54ndr486r33n84y
mailto:blackhawk642@hotmail.com:54ndr486r3n84y

Verwijderd @Remco Kramer • 6 oktober 2009 00:17

Een paar die wel werken hebben allemaal een mail van http://**.someone-blocked-you.com/ in hun mailbox

mysterie opgelost.

Verwijderd @Verwijderd • 6 oktober 2009 00:02

Je ziet dat soms dezelfde email adres meerdere malen in de lijst staat met verschillende wachtwoorden. Ik denk dat dat wel een hint is op welke manier de lijst is 'ontstaan'. In ieder geval niet gestolen uit de MS database. Ik denk eerder dat de gebruikers zelf ergens op een malafide website hebben ingevuld, soms meerdere keren tot ze het juist hebben ingevuld.

doctormetal 5 oktober 2009 22:31

The list included details of Microsoft's Windows Live Hotmail accounts with email addresses ending hotmail.com, msn.com and live.com.

Betekent dit dat @live.nl niet getroffen is? En hoew zit het dan met live accounts die niet aan een hotmail of live adres gekoppeld zijn?

De informatie is wel erg minimaal.

Kevinp @doctormetal • 5 oktober 2009 22:37

waarschijnlijk is live.nl ook getroffen. Maar als het klopt wat MS zegt dan is het door phishing gebeurd en is het dus je eigen schuld, of in ieder geval zo dat je zelf niet hebt op gelet. Dan heb je het ook zelf in de hand gehad.

Wanneer het gestolen is is het een informant van binnenuit gebeurd (diefstal) of heeft iemand gehackt om het te bemachtigen.

EDIT

@doctormetal • 6 oktober 2009 10:01

Zoals ik de lijst heb gezien zitten er geen @live.nl adressen in. Dit betekend uiteraard niet dat deze niet getroffen zijn.
Ook zijn er @gmail.com adressen in de lijst, dus het lijkt te gaan om e-mailaccounts met een Windows Live Passport, en niet om echte hotmail/live/msn adressen.

GamingZeUs 5 oktober 2009 22:52

Ik blijf het leuk vinden! Alleen maar slechte dingen te melden over Live mail!
Tuurlijk, gmail heeft ook zijn kuurtjes. Maar nooit in de hoogte van duizenden adressen gekraakt.

Nouwja, alles kan gephished worden (snap eigenlijk niet hoe mensen er in trappen

)

Verder vraag ik me af hoe je dit soort lijsten slijt. Ik denk dat het profitabeler is om een bot te schrijven om van ieders bank adress even een kleine donatie te doen aan een nader te noemen bankrekening. (of bankrekeningen om een dwaalspoor op te zetten)
Of ben ik nu weer op ideen aan het brengen?

Remco Kramer @GamingZeUs • 5 oktober 2009 23:46

Lekkere vergelijking...

Gmail word gebruikt voor een hoop dingen..., maar Live Mail word voor veel meer gebruikt. Het komt met name door Live Messenger dat Live Mail een makkelijke prooi is voor "internetters met wat minder kennis". Als Gmail zo'n dienst had was het ook wel mikpunt geweest van deze phishingsites hoor...

Patriot @GamingZeUs • 6 oktober 2009 00:01

Ik blijf het leuk vinden! Alleen maar slechte dingen te melden over Live mail!
Tuurlijk, gmail heeft ook zijn kuurtjes. Maar nooit in de hoogte van duizenden adressen gekraakt.

Dit afschuiven op de gebruikte dienst is echt je reinste onzin.

edit:
Sterker nog, het gaat niet uitsluitend om Live-adressen

Nouwja, alles kan gephished worden (snap eigenlijk niet hoe mensen er in trappen )

Gelukkig besef je dat blijkbaar zelf ook.

Verder vraag ik me af hoe je dit soort lijsten slijt. Ik denk dat het profitabeler is om een bot te schrijven om van ieders bank adress even een kleine donatie te doen aan een nader te noemen bankrekening. (of bankrekeningen om een dwaalspoor op te zetten)
Of ben ik nu weer op ideen aan het brengen?

Het één sluit het ander niet uit. Bij het verkopen van zo'n lijst raak je zelf de lijst niet kwijt. Je kunt dus zelf eerst even de meeste adressen langsgaan om te kijken of er geld te halen valt. Vervolgens verkoop je het aan mensen die bereid zijn verder te kijken (of dom genoeg zijn om niet te beseffen dat jij het meeste waarschijnlijk al hebt geplunderd). Uitiendelijk kun je de adressen zelf (wachtwoord is niet interessant) ook nog doorverkopen aan spammers, daar zit best wel handel in.

[Reactie gewijzigd door Patriot op 23 juli 2024 15:33]

TeeDee @GamingZeUs • 6 oktober 2009 00:04

Hahaha! Leuk he. Kijk eens naar de Google cache en zoek dan eens op gmail.com.

Graag gedaan hoor.

crizyz @TeeDee • 6 oktober 2009 02:20

Leuk idee, maar bij mij werkt het niet, cache verwijdert door google misschien?

Verwijderd 5 oktober 2009 23:28

Raar maar waar..ik heb een emailadres dat begin met een a en met een b en op beide adressen ontving ik een mailtje(het zelfde mailtje) die alleen naar adressen met een a of en b waen gestuurd. Gelukkig heb ik NIET op de link geklikt die in het mailtje stond..Mar mijn vermoeden is dat het op deze manier gebeurd is....

Was volgens mij een mailtje met...ik geloof dat dit jouw foto is..heb ik wel tig berichtjes van gehad...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:33]

Ventieldopje @Verwijderd • 5 oktober 2009 23:35

In dat geval is het de schuld van de mensen zelf om op dit soort vaak herkenbare fishing mailtjes in te gaan.

Zowieso gebruik ik mijn hotmail account alleen voor msn en niet voor mail, daar hebben de meeste tweakers (including me) gewoon een gmail accountje voor.

Patriot @Verwijderd • 6 oktober 2009 00:09

Raar maar waar..ik heb een emailadres dat begin met een a en met een b en op beide adressen ontving ik een mailtje(het zelfde mailtje) die alleen naar adressen met een a of en b waen gestuurd. Gelukkig heb ik NIET op de link geklikt die in het mailtje stond. Maar mijn vermoeden is dat het op deze manier gebeurd is.

Volgens jou zijn dus alleen adressen die beginnen met een a of een b slachtoffer geworden? Dat lijkt me sterk, heb je toevallig iets om dat te onderbouwen?

Barleone @Patriot • 6 oktober 2009 11:21

1. Laddy refereert naar de tekst uit het artikel aangaande de beginletters a en b.
2. Vermoedelijk hebben de hackers maar een klein deel van de gestolen gegevens getoont. Puur om te bewijzen dat ze ze hebben.

Barleone @Verwijderd • 6 oktober 2009 11:25

1. Dat je dergelijke mails ontvangt wil niet zeggen dat het vanaf dezelfde hackers komt. Er zijn zoveel phishing hackers actief tegenwoordig..
2. Dat je geen emailadres met een Z hebt en dus niks hebt ontvangen wil niet zeggen dat jouw phishing mails niet naar C t/m Z-adressen zijn verstuurd.

Op dit item kan niet meer gereageerd worden.

Microsoft bevestigt publicatie van gestolen Hotmail-accounts

Lees meer

IT-banen

Reacties (198)

Sorteer op:

Weergave: