Codemasters: hacker had toegang tot gebruikergegevens

Codemasters heeft zijn klanten gemeld dat een indringer op de webserver van de game-uitgever toegang heeft gehad tot namen, mailadressen, naw-gegevens en de bestelgeschiedenissen. Ook versleutelde wachtwoorden zouden zijn buitgemaakt.

De hacker zou zich op vrijdag 3 juni via codemasters.com toegang hebben verschaft tot de backend van de uitgever. Vervolgens heeft de inbreker enkele subdomeinen kunnen bereiken, inclusief bijvoorbeeld de database waar DiRT 3 VIP-codes werden ingevoerd. Ook de Estore werd gecompromitteerd, maar Codemaster heeft zijn klanten per e-mail verzekerd dat financiële gegevens zoals creditcarddata niet zijn buitgemaakt.

Het gamebedrijf zegt niet te weten of er daadwerkelijk data naar buiten is gesmokkeld, maar het bedrijf gaat hier wel van uit: "Wij geloven dat namen van leden, gebruikersnamen, schermnamen, e-mailadressen, geboortedata, gecodeerde wachtwoorden, nieuwsbriefvoorkeuren, biografieën die door gebruikers zijn ingevoerd, details van de laatste activiteit op de website, ip-adressen en details van Xbox Live Gamertags allemaal zijn gecompromitteerd."

De site Codemasters.com verwijst op moment van schrijven naar de Facebookpagina van de uitgever, en volgens het bedrijf blijft dit 'de komende tijd' het geval. Later dit jaar zal hoe dan ook een nieuwe website in gebruik worden genomen. Codemasters raadt klanten aan de wachtwoorden van Codemasters-accounts en eventuele identieke wachtwoorden op andere sites te wijzigen, en alert te zijn op malafide e-mails en scams. Volgens het bedrijf worden momenteel meer gamebedrijven door kwaadwillenden onder vuur genomen, waarschijnlijk naar aanleiding van de geslaagde hacks bij Sony.

Lees meer

Reacties (50)

+1 ArnoAG
10 juni 2011 18:07

Jep ik heb het mailtje binnen gekregen... gelukkig hebben ze geen betalingsgegevens!

hoe kan het dat dit soort dingen de laatste tijd vaak gebeurd??? zij de hackers slimmer geworden of is de beveiliging gewoon erg slecht??

ik maak me verder niet heel erg druk, er valt bij mij niet veel te halen met een e-mailadres en een (oud) adres en telefoonnummer..

kimborntobewild
@ArnoAG • 11 juni 2011 12:24

hoe kan het dat dit soort dingen de laatste tijd vaak gebeurd??? zij de hackers slimmer geworden of is de beveiliging gewoon erg slecht??

Dat komt omdat de kennis m.b.t. veiligheidsgaten steeds wijdverspreider wordt, en omdat men nog steeds massaal Windows gebruikt en ook de nieuwste Windows-versies gewoon nog steeds gatenkaas zijn. Verder worden er steeds meer websites gebouwd door niet-kundigen (vooral op 't gebied van veiligheid), omdat zulke programmeurs goedkoper zijn, en zal men vanwege financiële problemen veroorzaakt door de bankwereld steeds meer bezuinigen op veiligheid en controles. Er is grote afkeer tegen het laten testen van je spullen door clubs zoals de CCC en andere veiligheidasexperts. Dit omdat men die experts op één hoop gooit met black hat hackers. Dus wordt de boel simpelweg niet goed getest. Verder zijn componenten zoals Adobe Reader en vooral Adobe flash ook elke keer zo lek als een mandje.
Zeker is dat er minder hacks zouden zijn als Linux populairder werd ten koste van Windows.

+2 nickelz
@kimborntobewild • 11 juni 2011 15:58

Nu vind ik dit een riskante uitspraak " Zeker is dat er minder hacks zouden zijn als linux populairder werd ten koste van Windows" ...

Ben het absoluut eens dat Linux een stuk veiliger is, maar nu wordt op het moment Windows ook wel helemaal doorgelicht van top tot teen wat betreft veiligheid en lekken. Als Linux nu populairder zou worden dan Windows, wordt binnen de kortste keren daar ook wel flink op los gehackt... Misschien moeilijker, maar nooit onmogelijk!

Waar geld valt te halen, is interessant voor criminelen en er zullen altijd nieuwe manier gevonden worden om zo geld buit te maken ten koste van de techniek!

Bierkameel
10 juni 2011 17:43

Toch apart dat ze alles binnen hebben kunnen hengelen behalve de creditcard gegevens, misschien stonden die in een andere veilige database maar zet daar dan ook meteen de wachtwoorden in

Of ze slaan geen creditcard gegevens op maar als dat zo was hadden ze dat vast duidelijk gezegd.

dyna18
@Bierkameel • 10 juni 2011 17:46

Codemaster verwerkte niet zelf de CC betalingen. Dat hadden ze uitbesteed aan een 3e partij. Vandaar dat (met mazzel) de creditcard gegevens niet gestolen werden.

SunnieNL

@Bierkameel • 10 juni 2011 19:39

In de email staat vrij duidelijk dat de CC betalingen via een 3rd party gingen

+1 VNA9216
@Bierkameel • 10 juni 2011 17:48

Echter die wachtwoorden moeten iedere keer benaderd worden, cc gegevens kan je in principe afschermen door bijvoorbeeld je webserver de betaal request door te laten sturen naar een andere server die op zijn beurt de betaling afhandelt, terwijl hij in geen geval cc gegevens mag terugsturen naar de webserver, alleen een betaling is gelukt of niet gelukt melding oid. (althans, zoiets zou ik zelf het lieftst gebruiken) dan kunnen (theoretisch in ieder geval) je CC gegevens niet via een hack van de website op straat kunnen komen te liggen, maar moet er veel meer mis zijn in je betaalsysteem.

majoh
10 juni 2011 18:22

Mail ook gehad. Lekker dan binnen korte tijd twee keer mijn gegevens gejat...
En ook mijn wachtwoord weer, wtf is dat nu weer. Sla dat gecodeerd op of zo!

Iets te snel, blijkbaar wel gecodeerd. Maar met een goede hash boeit dat dan toch niet, zou niet te achterhalen moeten zijn omdat het eenzijdig versleuteld wordt...

[Reactie gewijzigd door majoh op 10 juni 2011 18:24]

+2 Zerotorescue
@majoh • 10 juni 2011 20:03

Het artikel geeft aan dat het wachtwoord enkel is versleuteld, wat waarschijnlijk inhoud dat het mogelijk is om het wachtwoord weer te decoderen. Als dit niet het geval zou zijn, dan wordt er meestal vermeld dat er wachtwoord-hashes buit gemaakt zijn in plaats van bovenstaande. Versleuteling houdt in dat er een specifieke sleutel is gebruikt voor de encodering - indien deze is buitgemaakt zou de decodering triviaal kunnen worden.

Indien de hacker ook toegang had tot de website zelf (wat niet wordt aangegeven), is de kans groot dat de sleutel ook buitgemaakt is. Omdat deze (kleine) kans bestaat, zou ik toch het zekere voor het onzekere nemen en mijn wachtwoord(en) aanpassen.

+1 Eppux
@majoh • 10 juni 2011 19:17

Vreemd, ik heb een Codemaster account (hoewel ik het niet snel meer zal gebruiken nu Turbine LotRO heeft overgenomen), maar ik heb geen mail gekregen.

ratz
@Eppux • 10 juni 2011 19:28

Codemasters gebruikte 2 user databases : CodeM voor singleplayer en COGpass voor MMO's zoals LOTRO en DDO. COGpass was niet gehacked.
Ik neem aan dat ze alleen naar CodeM leden een mail hebben gestuurd.

+2 DJvGalen
@ratz • 10 juni 2011 22:30

Weet je dat heel zeker?

Ik heb de mail ook gehad en volgens mij heb ik mij alleen ooit eens aangemeld voor LOTR nieuwsbrief en Beta. Als ik naar https://cogaccounts.codemasters.com/ ga dan zegt hij ook dat er geen account bekend is voor het emailadres waar ik de mail op binnen heb gekregen.

Kan ook op de Codemasters Games wiki pagina geen titels terugvinden die ik gespeeld heb, behalve Overlord op PS3 maar die heb ik volgens mij nooit geregistreerd en Rockstar Ate my Hamster maar dat was voor er internet was en zeker voor ik dit mail adres kreeg

+1 sab

@ratz • 10 juni 2011 20:26

Ik heb de mail ook gehad, en het enige wat ik volgens mij met Codemasters te maken heb gehad is dat ik ooit naar "Codemasters presents campzone sponsored by gameparty.net TM" (oid) ben geweest, en daarvoor een account moest aanmaken.

mindcrash
@majoh • 10 juni 2011 18:56

Maar met een goede hash boeit dat dan toch niet, zou niet te achterhalen moeten zijn omdat het eenzijdig versleuteld wordt...

Daarom melden ze juist dat de wachtwoorden gecodeerd waren. Dat is én duidelijke taal én uit PR overwegingen gewoon goede marketing nadat Sony het op dit vlak totaal heeft laten afweten en juist hierdoor imagoschade heeft opgelopen; naast het creeren van een situatie waarin men vrij kwetsbaar was voor hacks is men daar immers ook slordig met informatiebeveiliging om gegaan.

0 Sharepoint Rob
11 juni 2011 15:11

En ja hoor, de dag erna is mijn WoW account gehackt. Ik denk niet dat dit toeval is. Ik heb namelijk veel verschillende passwords. 1 voor bankzaken, 1 voor overheid, 1 voor mail, verschillende voor werk en dus 1 voor games. En dat was gehackt. 6 jaar gespeeld zonder problemen en de dag nadat ik een mail kreeg van codemasters dat mijn inloggegevens bemachtigd waren wordt mijn WoW account leeggeroofd.

Blizzard heeft wel snel werk verricht, heb alles al weer terug. Codemasters weigert echter aansprakelijkheid.

+2 Gerardus
@Sharepoint Rob • 12 juni 2011 04:26

Zodra je account leeggeroofd word ligt de fout het vaakst bij de gebruiker van het account. Misschien heb je ooit eens iemand anders laten spelen op je account? Of heeft iemand achter je meegekeken?

Natuurljk wil ik niet meteen zeggen dat de fout bij jou ligt, maar ga eerst toch even na of je toevallig zelf het beveiligingslek bent, en niet een of ander bedrijf.

1 dag na het naar buiten brengen van de hack... ongeveer 1 week geleden gehackt... Dat lijkt me 8 dagen ongeveer dat de hackers de data hebben...van zoveel miljoen accounts?

Vrij onlogisch dat ze precies jouw account eruit hebben gepikt zodat ze je wachtwoord voor codemasters in konden voeren op WOW, ook nog eens zeker wisten dat je met hetzelfde email adres WOW speelde, en dat je dure spullen op WOW had (of in ieder geval, dat de fictieve waarde van je spullen in de gamewereld van WOW vrij groot was).

+1 Sharepoint Rob
@Gerardus • 12 juni 2011 10:31

Ik ben ik IT specialist, mijn computer is veilig (gisteren nog gecheckt) en mijn wachtwoorden deel ik niet. Qua tijdsframe kan het ook wel kloppen denk ik hoor. 8 dagen tussen het bemachtigen van de gegevens en het verkopen aan gold farmers, die vervolgens stelselmatig acocunts gaan plunderen is vrij realistisch in mijn ogen. Gold farmen is big business in China. Checken of een account/wachtwoord combinatie klopt is een kwestie van een paar seconden. Zet er een paar honderd chinezen op en ze gaan zo door die lijst.

bazkie_botsauto
10 juni 2011 19:28

toch jammer, kan me niet herinneren dat codemasters iets ernstigs fout heeft gedaan (maw: dit verdient). of het moet hun matige bugfixsupport zijn

in het geval van sony vond ik het nog wel begrijpelijk, die doen zoveel mogelijk moeite om mensen hun te laten haten. in beide gevallen blijft het natuurlijk vooral zuur voor de benadeelde klanten.

+1 sygys
@bazkie_botsauto • 10 juni 2011 19:51

Vind je dat Sony je benadeeld? Ik vind het gewoon mee lullen met de meute. Wie gebruikte er nu de ander os functie? Volgensmij geen mens. Voor de rest ben ik zeer tevreden over Sony. Ik begrijp ook goed dat ze alles dicht timmeren ik zou ook niet willen dat een product wat ik had gemaakt werd gebruikt om illegaal spellen op te spelen.

Pixeltje

@sygys • 10 juni 2011 20:02

Die redenatie is wat krom, denk je niet? Het feit dat jij de other OS functie niet gebruikt hebt wil niet zeggen dat niemand dat deed, en het feit dat jij tevreden was/bent wil niet zeggen dat iedereen die mening deelt.

Ik zie echter niet in wat dat überhaupt met dit nieuwsitem te maken heeft; Sony (en nu Codemasters) zijn gehacked en de reden daarvoor is niet bekend. Het kan zo zijn dat iemand of een groep hacked uit een soort gevoel van onrecht oid, maar het kan natuurlijk ook gewoon voor economisch belang zijn; geld. De gegevens die je buitmaakt zijn wellicht (veel) geld waard in de juiste verkeerde kringen.

Codemasters heeft de hack een week stilgehouden, een week tijd waarin die gegevens verkocht en gebruikt hadden kunnen worden. Nu is bekend dat er gehacked is en is het risico van gebruiken van de gestolen gegevens veel te groot.

+2 timbo007up
@Feraturion • 10 juni 2011 20:41

Doe mij best om beetje hacker te worden en wordt ik zomaar beschuldigt. Ik hack om mij eigen software te verbeteren. En uiteraard probeer ik het met de software/sites waarvan ik in het beheer ben of toestemming heb om het te proberen. Dan is er nog een hellend vlak met telefoons maar dat is een ander verhaal

Vind het jammer dat het woordt hacker nu zo'n negative lading krijgt. Maar helaas er zijn goede en slechte, wat je altijd zal blijven houden. Het is maar hoe je er mee omgaat en ik vind dat Codemasters hier goed mee om is gegaan! Duidelijk en netjes!

+1 Gerardus
@Feraturion • 12 juni 2011 04:15

De eerst optie zal je duur komen te staan, want de gene die je in elkaar trapt mag jou aanklagen...Kan je zelf gaan brommen, De 2e optie lijkt me al een stuk beter, maar zorg dan wel even dat je ook bewijzen hebt. Zonder bewijzen kom je in de rechtbank ook niet ver.

bepaalde soorten hackers krijgen veel mensen tegen. Een ander geval is bijvoorbeeld is de hacker Geohotz (zie wikipedia voor meer info). Die heeft juist Sony een behoorlijke tik op de vingers gegeven, maar heeft er zelf geen voordeel uit gedaan, wetende dat dat strafbaar was. Het hacken door Geohotz werd door de meeste mensen als een wijze les gezien en hij had en kreeg daardoor veel aanhangers.

Poops_McGhee
@Feraturion • 10 juni 2011 23:25

Er is er laatst weer eentje opgepakt in Griekenland. 5 jaar brommen in een griekse cel zal hem wel een lesje leren. Uiteraard is die ene nog velen te weinig, maar op den duur zullen ze krijgen wat ze toekomt, hoop ik.

HaTe
11 juni 2011 00:16

Ik kreeg net ook mail van Epic Games:

Our Epic Games web sites and forums were recently hacked. After some downtime, they're back up and running now.

SVDW91
10 juni 2011 19:15

CodeM staat in verbinding met het forum, dus ik zal mn wachtwoord moeten wijzigen.

Wel vreemd dat ze pas na een week iets laten weten

MueR
@SVDW91 • 10 juni 2011 19:51

Er heeft al een tijdje een melding op het forum gestaan. Codemasters heeft die email pas verstuurd toen ze een beeld hadden van wat er nou precies weg was. Scheelt ze een "Sonytje". Ze hebben nu met hun eerste "globale" communicatie gewoon gezegd: luister, ze hebben toegang gehad tot deze informatie, zeker niet je credit cards en je wachtwoord was versleuteld, dus het ligt niet direct op straat.

Als je direct roept "ja we zijn gehacked" maar nog geen details kan geven creeert dat alleen verwarring, zoals je bij Sony hebt gezien. Daar wisselden de claims dat er niets gestolen was elkaar af met "alles is weg". Om over de bombshell van de plain-text wachtwoorden nog maar te zwijgen.

Codemasters kiest de verstandige weg hier. Eerst alles op een rijtje, dan duidelijke en begrijpbare communicatie naar de klanten toe.

+1 SleepWaker
@MueR • 11 juni 2011 05:03

Dat was het hem nou juist Sony melde helemaal niet direct dat ze gehacked waren, het duurde meer dan een week voordat ze het wouden toegeven. Daar komt nog bij dat toen ze het wel toegaven ze totaal geen duidelijkheid konden geven over de gegevens die wel of niet veilig waren.

0 wizzfrizzle
10 juni 2011 17:52

Poe, wat is iedereen mild ineens? Er staat geen PSN boven het bericht en nog niemand heeft zich druk gemaakt over zijn gegevens die op straat liggen, apart dit

Glodenox

@wizzfrizzle • 10 juni 2011 18:16

Ook het feit dat er hier nadrukkelijk wordt vermeld dat het gaat om versleutelde wachtwoorden en men zeer duidelijk aangeeft welke mogelijke gegevens er verzameld zijn, zorgt ervoor dat mensen hier toch net iets meer respect voor opbrengen dan hoe men bij de PSN hack volledig in het duister moest tasten voor een hele tijd.

Mavamaarten
@wizzfrizzle • 10 juni 2011 18:04

Omdat codemasters gewoon toegeeft dat er vanalles is foutgelopen.
En natuurlijk ook omdat niet iedereen een codemasters account heeft, en iedereen die een PS3 heeft natuurlijk wel (de meesten toch)

0 Floor
@sygys • 10 juni 2011 21:38

Welke klootzakken? Falend veiligheidsmanagement? Slechte beheerders? Onkunde?

Bij beveiliging moet er vanuit gaan dat je onder vuur genomen wordt. Vooral met dit soort bedrijven met grote klantendatabases is het interessant om te hacken.
Natuurllijk is het ongeoorloofd toeeigenen van gegevens de misdaad maar het wordt af en toe ook wel erg makkelijk gemaakt (geen oordeel over deze hack overigens want daar ken ik de details niet van).

+1 Grrmbl
@Floor • 10 juni 2011 22:51

Die hackers. Ze worden al dan niet gecharterd door de grotere criminelen van de wereld. Duister wereldje. Waren de sprookjes die ze op de kleuterscholen vertellen maar waar. Dan was het allemaal een stuk simpeler.
Veiligheidsmanagement zou net zo overbodig moeten zijn als anti inbraak beveiliging van je huis.

0 Remus
@Grrmbl • 11 juni 2011 07:25

nm, verkeerd gelezen

[Reactie gewijzigd door Remus op 11 juni 2011 07:26]

0 Floor
@Grrmbl • 11 juni 2011 12:01

Tja, een wereld zonder haat en jaloezie zou perfect zijn maar is een utopie. Je hebt al veiligheidsprocedures nodig voor wanneer je iemand ontslaat. Die mag vanaf bekend worden niet meer in de back-office. Veiligheid is 'iets' meer dan wat rechten instellen.
Echter de nalatigheid en onkunde die je her en der tegenkomt ..

Wolfos
10 juni 2011 18:54

Hopen dat het snel ophoud, straks krijgen mensen van de hele gaming industrie een gevoel van "als ik mijn gegevens hier invul dan word het toch maar gejat".

blouweKip
@Wolfos • 10 juni 2011 20:10

Ergens heeft het wel wat positieve effecten, misschien dat men zich nu wat beter bedenkt voordat men maar zomaar gegevens invult op internet.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Help Tweakers weer winnen!

Cookies op Tweakers

Codemasters: hacker had toegang tot gebruikergegevens

Lees meer

Reacties (50)

Sorteer op:

Weergave: