Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Submitter: justvd

Nintendo heeft bepaalde delen van zijn Europese site gesloten uit voorzorg. Kwaadwillenden zouden middels phishing gegevens van Nintendo-klanten proberen te achterhalen. Privégegevens zijn niet in gevaar, zegt Nintendo.

Het is onduidelijk waarom Nintendo delen van de site sluit, want meestal gebeurt phishing op een ander domein, dat juist heel erg doet denken aan de site van een betrouwbaar geacht bedrijf. Onder meer Club Nintendo is door de phishing-aanval momenteel niet toegankelijk.

Nintendo bracht het nieuws over de aanval zelf naar buiten via een mededeling die op de homepage verschijnt. De details van de aanval zijn vooralsnog niet duidelijk. De consolemaker zegt in de mededeling dat er op de Europese site geen privé-gegevens worden bewaard, waardoor die ook niet kunnen worden gestolen.

Hackers hebben het afgelopen maanden gemunt op de gamesindustrie. Dit voorjaar werd eerst Sony's PSN gehackt, waarbij accountgegevens van 77 miljoen gamers werd buitgemaakt. Vervolgens werden veel sites van Sony gekraakt. Ook gamessite Codemasters is gehackt. Volgens de beheerders zijn alleen versleutelde wachtwoorden buitgemaakt. Omdat die ontsleuteld kunnen worden via een brute force attack, moeten alle gebruikers hun wachtwoord veranderen.

Melding op Nintendo-site over Phishing

Moderatie-faq Wijzig weergave

Reacties (47)

Het begint vrij sneu te worden he met al dat gehack...zou dit weer Lulzsec zijn die hier wordt vermoedt, of een andere groep? Want toen ze wraak namen op Sony kon ik nog enigzins snappen waarom ze dat deden (al ben ik het niet eens met wat ze deden), maar ze zijn daarna allerlei grote bedrijven gaan hacken om onduidelijke redenen, dus denk dat ze het beetje sympathie wat ze hadden nou wel kwijt zijn.

Wel blij overigens dat Nintendo snel maatregelen nam voordat het erger werd. Genoeg privé-gegevens zijn al gestolen recent...

[Reactie gewijzigd door Cow86 op 11 juni 2011 10:42]

dus denk dat ze het beetje sympathie wat ze hadden nou wel kwijt zijn.
Je weet ineens niet of lulzsec is maar je schuift het toch maar mooi in hun schoenen. Nintendo is geen vijand van lulzsec, als je hun twitter leest hacken ze vrij veel, maar ze publishen echt niet alles wat ze kraken. Zo hadden ze ook de admin van (een lokale?) NHS (national health service) maar die hebben ze een mooi mailtje gestuurd.
http://i.imgur.com/PQ6Xk.png http://www.bbc.co.uk/news/technology-13712377
Je weet ineens niet of lulzsec is maar je schuift het toch maar mooi in hun schoenen. Nintendo is geen vijand van lulzsec
Lees de laatste zin van het BBC artikel waar je naar linkt maar eens:
A day later it claimed to have hacked Nintendo's website.
In elk geval beweert de BBC dus dat het lulzsec is geweest. Ik weet niet echt wat ik nou moet denken van dit soort aanvallen. Aan de ene kant is het nodig om bedrijven ervan bewust te maken dat "security through obscurity" géén goed idee is en dat ze beter moeten beveiligen, aan de andere kant bezorg je een hoop mensen overlast of in elk geval irritatie.

Edit: OK, I stand corrected.

[Reactie gewijzigd door Kurgan op 11 juni 2011 16:01]

Nee, die hack is vorige week hier al op tweakers geweest. Dit zou gaan om een nieuw iets.
Wat betreft dit bericht, het enige wat ik mij kan bedenken wat betreft phishing op het Nintendo domein, is dat de site gehacked is en hier wat anders op is gezet (een phishing pagina dus). Of door middel van XSS iets.
Dat is inderdaad over Nintendo.COM en niet Nintendo.NL

De .COM site was gehackt en nu gaat de beheerder van de .NL-site de leden info geven en wat niet al.
Het gevaar is alleen dat als je je site te snel offline haalt, je een heel andere DoS methode hebt gevonden.

De enige reden die ik kan bedenken om de site plat te halen bij een phishing aktie, is een combinatie van phishing en cross site scripting. Maar ik vind de verklaring op de site maar raar.
De enige reden die ik kan bedenken om de site plat te halen bij een phishing aktie, is een combinatie van phishing en cross site scripting. Maar ik vind de verklaring op de site maar raar.
Er is een andere mogelijkheid. Eén van de belangrijke punten bij een phishing aanval is dat de phishing site zoveel mogelijk moet lijken op de echte site. Door de echte site uit te schakelen kun je kunstmatig een groot verschil creëren: de echte site is down, de phising site niet, dus de phishing site lijkt niet meer op de echte site. Dan is het natuurlijk wel belangrijk dat dit groot genoeg in het nieuws komt, zodat iedereen weet dat de site plat hoort te liggen.
Ik zeg niet dat dat de verklaring is, maar het zou een verklaring kunnen zijn (net zoals een XSS-aanval een verklaring zou kunnen zijn).
Volledig mee eens. Vroeger hoorde je af en toe (een aantal keer per jaar) van een DDoS attack of een inbraak op de server van een groot bedrijf of een overheid... Momenteel is het haast elke week dat een dergelijk nieuwsbericht verschijnt. Het internet blijkt een steeds gevaarlijkere plek te worden.

En het zijn inderdaad de klanten die de dupe zijn. Ik denk vanaf nu alleszins twee keer na voor ik mijn kredietkaartgegevens ergens op een server achterlaat. Zelfs grote bedrijven kunnen de veiligheid van die gegevens blijkbaar niet garanderen.
Dat is ook omdat men het nu beter in de gaten houd, en omdat er een flinke piek is in de aanvallen op web applicaties (mogelijk door nieuw ontdekte methoden waar veel oudere applicaties niet tegen kunnen of iets dergelijks). Met die aanvallen is het vaak moeilijker om je sporen uit te wissen omdat je niet bij de logs kan komen.

Wanneer een hacker echt toegang tot het systeem krijgt en zo ook zijn sporen uit kan wissen is de kans dat het opgemerkt wordt ook een een stuk kleiner.

En laten we eerlijk zijn, waarschijnlijk zijn hackers er achter dat systemen helemaal niet zo goed beveiligd zijn als ze dachten en daardoor grotere bedrijven aan gaan vallen.

Als ik snel veel data wil stelen zou ik In principe 2-3 jaar terug sony/nintendo niet snel hebben uitgekozen voor een hack omdat het tijdverpilling lijkt. Zo'n bedrijf zal de boel toch wel op orde hebben?

Maar nu hackers doorhebben dat ook de grote bedrijven zo lek als een rieten mandje zijn, is het hek van de dam. Het grote verschil is dat de grote bedrijven uiteindelijk wel opmerken dat ze gehackt zijn, en bijvoorbeeld een autodealer die al zn klanten verplicht accounts geeft waar hun prive data al ingevuld is niet... (en nee hoor, ik heb geen specifiek bedrijf in gedachte... O-) )
Blijkbaar is het niet alleen Sony die de laatste tijd flink de sigaar is met de hackers.
Ik vraag mij of of deze groep hier achter ook met een ''goede'' reden naar buitenkomt. Of dat het deze keer puur om de gegevens gaat.
Ik heb ook de indruk dat Sony maar het begin was, onder het mom van "ze hebben otherOs gedelete uit de firmware". Wie is intussen al gehackt: Sony, Nintendo (eerder gekraakt en nu phishing, nog "niks ernstig" dus), Epic Games, Codemasters, Eidos, en waarschijnlijk vergeet ik er nog.

Volgende doelwit Microsoft? Eerst hadden de hackers nog hun redenen om het slachtoffer te hacken (Sony => otherOs + rechtzaken), maar dat is intussen niet meer van toepassing heb ik de indruk.
Daar ben ik het met je eens. Het word tijd dat er regelgeving komt op dit gebied. Het kost deze bedrijven alleen maar geld dat hun websites word gehackt, terwijl al die miljoenen ook wel beter besteed had kunnen worden ( zoals het starten van een nieuwe project waardoor er meer banen komen ) .

Het blijft zo dat je gewoon met je handen van ander mans spullen afblijft, stelen is ook verboden en word ook aangepakt. zo moeten hackers geen andere behandeling krijgen als ze het uit egoďstische stand punt websites gaan hacken.
terwijl al die miljoenen ook wel beter besteed had kunnen worden
Zoals programmeurs meer tijd geven of een deftige opleiding geven om het deftig te maken en geen absurde deadlines stellen en geen capaciteiten vrij te geven om de boel deftig te maken. Als ze het van in 't begin deftig zouden doen hadden ze nu die problemen niet en konden ze inderdaad nu van alles doen met het geld.
/Off topic vraag:
Ik tel vier keer deftig in twee zinnen. Waarom gebruiken tweakers tegenwoordig overal deftig. Het is een synoniem voor goed? Het is voor mensen van boven de dertig een heel vreemd misbruik van een woord dat een volkomen andere betekenis heeft
/end off topic.

Wetgeving is eigenlijk overal gebaseerd op het principe dat je zelf redelijke zorg moet betrachten om je spullen niet kwijt te zijn. Doe je dat, dan wordt vervolgens de dief vervolgd.

Als je je portemonnee willens en wetens midden op de dam neerlegt en dan in je thuis dorp aangifte wil doen wordt deze niet geaccepteerd.

Als er in je huis ingebroken wordt terwijl je de deur open hebt staan, niet thuis bent en de lege doos van je 80" 3D televisie in je woonkamer hebt staan, zal de verzekering zeker niet betalen, maar de politie zal ook niet geloven dat hier sprake is van diefstal maar van vooropgezette uitlokking. Misschien wou je je vriend zo een montior geven om geld wit te wassen terwijl je de verzekering wilde oplichten.

Als je je auto niet op slot zet krijg je zelf een boete.

Kortom als je geen redelijke voorzorgen neemt om je spullen niet kwijt te raken dan wordt het niet als diefstal beschouwd ondanks dat voor deze zaken al honderd jaar wetgeving voor is.

Nu naar de serieuze bedrijfswereld. Als ik mijn bedrijf met tientallen high end VR installaties niet voorzie van een goedgekeurd, zeer zwaar beveilingingspakket van een geauthoriseerd installatie bedrijf. Doe ik dat niet dan:
heb ik geen verzekering.
trekt mijn bank mijn kredietfaciliteiten per direkt in.
krijg ik grote problemen bij de politie om aangifte te doen van diefstal.

Je ziet als bedrijf wordt je geacht voor tienduizenden Euros aan voorzieningen te treffen, terwijl een particulier gewoon zijn slot dicht moet trekken. Zwaardere eisen omdat je duurdere spullen hebt én geacht wordt te weten waar je mee bezig bent. Een particulier wordt best vergeven dat hij een vier Euro Gamma slot heeft in plaats van iets normaals, bij een bedrijf geldt dat je proportioneel dient te handelen in het licht van de risico´s.

Nu de laatste stap naar het ´inbreken en stelen´ van gegevens van websites. Hier gelden exact dezelfde principes voor. Als jouw particuliere website gehackt wordt en je had redelijke, normale voorzieningen getroffen zoals hosting bij een fatsoenlijke provider kan je zo aangifte doen van diefstal.

Cyber criminaliteit is onder het kopje computervredebeuk al jaren strafbaar vlgs. het Nederlands strafrecht. Dus je vraagt om wetgeving die we allang hebben.

Echter, mutatis mutandis moet een bedrijf van het kaliber en met de omzet van Sony, Nintendo etc. voldoen aan een veel hogere inspanningsverplichting om te kunnen spreken van diefstal. Als je admin, admin op je MySQL data van 50 miljoen klanten zet ben je zelf strafbaar omdat je de verplichting hebt persoonsgegevens op grond van de data wetgeving te beheren als een verantwoordelijk huisvader.

Als je net iets minder stompzinnig handelt dan hierboven, maar bijv. SQL injection accepteert dan zal het afhangen van de omvang van je bedrijf. Een klein bedrijfje dat GEEN persoonsdata beheert kan gewoon aangifte van computervredebreuk doen. Gestolen is er immers niets.

Ben je Duinrel, een middelgroot bedrijf dat persoonsgegevens beheert, dan dien je forse maatregelen te treffen om die te beschermen conform de wetgeving. Aangifte van diefstal is mogelijk, maar je krijgt zelf ook een proces aan je broek.

Ben je Sony, Nintendo, Codemasters of ING dan wordt je geacht een ´deftige ?´ ofwel goed geoutilleerde veiligheidsafdeling te hebben die non stop alle sites monitort, alle software controleert etc. Aangifte van diefstal zou in Nederland denk ik niet geaccepteerd worden.

Ik ben het dus met onze ´deftige´ poster Precison eens en zeker niet met Jacket13.

(en ja, ik weet dat Sony aangifte gedaan heeft in de VS, maar daar hebben ze andere (gestoorde) wetgeving als de Digital Millennium Copyright Act (DMCA). Elk land zijn eigen afwijking. In de UK mag je niet in harnas het parlementsgebouw betreden, in de VS mag je geen admin, admin intikken in een SQL database, maar ik beantwoordde het vanuit het Nederlands perspectief.
Voor het gros van de aanvallen zijn de dingen die jij noemt gewoon onzin. Ik ben al enkele jaren ontwikkelaar waarvan een aantal jaren via detachering ook zo nu en dan onder waanzinnige tijdsdruk gezet. Ik sluit natuurlijk niets uit, ik zal ook wel eens een fout maken, maar als je de details hoort van sommige super simpele sql injection hacks is daar gewoon geen excuus voor.
Het word tijd dat er regelgeving komt op dit gebied.

uhhh, er is ook regelgeving, het is namelijk strafbaar om sites te hacken en schade toe te brengen. Het is alleen lastig om de hackers te pakken vaak.

Enuh, het maakt niet uit vanuit welk standpunt ze de websites hacken (tenzij er door het betreffende bedrijf om gevraagd is om de veiligheid te testen), ze moeten gewoon met hun tengels daarbij wegblijven..
Klopt. Moet er een reden zijn dan? LulzSec doet het 'for the lulz'. Het zijn gewoon slimme hackers die in de avonduren wat tijd te veel hebben en dan wat websites gaan kraken. Zou ik ook doen als ik er de skills voor had hoor :P.
volgens mij als je de skills er voor hebt (alle hackers van sony) kan je beter een goede baan zoeken. als je dit soort dingen kan doen kan je bij apple/microsoft/sony/nintendo etc. echt wel veel geld verdienen hoor. nu zijn ze al blij om donaties van 45 dollar
zeker
die geven je niet aan
ze zeggen
*hey werk voor ons en beveilig onze systemen we betalen je er $ per (week?) voor*
professionele hackers hebben ALTIJD wat te doen
Het is heel simpel. Het zijn gewoon criminelen die veel schade aanrichten. Als het zou gaan om het aantonen van beveiligingslekken dan ga je niet de persoons gegevens van de klanten publiceren.
Het is erg vergelijkbaar met vandaaltjes die bushokjes slopen, ook die doen het "voor de lol", en een aantal heeft bedacht dat ze ook winkelruiten in kunnen gooien en de winkel leeg kunnen halen...Het is een kleine stap van "voor de lol" naar domweg crimineel.
Ik denk dat ze gewoon voorzichtig zijn en het vooral niet laten uitlopen als het PSN drama.
Nu kunnen ze even rustig kijken hoe en wat en evt. de beveiliging aanpassen. Hopelijk duurt het niet te lang...
Inderdaad, je kan beter vooraf teveel maatregelen nemen dan dat je achteraf verweten wordt dat je niet alert genoeg bent. Zo geef je ook een duidelijk signaal af naar de buitenwereld wat ook nog eens kan omslaan in goede PR.
Ik denk dat ze hier wel slim aan doen. Er worden meer game sites gehacked de laatste tijd. Nintendo zelf heeft al een bezoekje gehad en voorkomt hier misschien erger mee. Het is alleen weer jammer dat de klant er voor moet "boeten".
Maarja, deze shutdown zal wel niet al te lang duren. Ik denk dat Nintendo zijn zaakjes wel goed op orde heeft.
Ik heb helemaal geen sympathie met dit soort mensen, om geen enkele reden. Want wat ze ook doen de gebruikers van de website of de klanten van het bedrijf zijn altijd de dupe. Dus ik zie het als een aanval op ons en niet op het bedrijf waar ze hackpoging proberen te doen slagen.
Nu is de grote vraag wat ze ermee willen bereiken; sony was wel duidelijk (firmwire weggehaald/rechtszaak/enz) ongeacht of je het er mee eens bent. maar nu al die andere gamesites... hadden ze zoiets van als sony kan dan de rest ook? en laten we dat vooral proberen?
Bij codemasters hebben ze niets bereikt wat wij weten (ja versleutelde wachtwoorden die mensen ondertussen al veranderd hebben). maar echte winst was er niet. of was het ze om nieuwe games te doen? sowieso kan ik weinig sympathie opbrengen als het niet om duidelijke redenen is (dus kwetsbaarheid aantonen/wat het bedrijf doet in de consumentenwereld/enz.)
Je kunt trouwens wel inloggen via de mobiele versie, maar je kunt dan bijvoorbeeld geen pincode's toevoegen. Wel kun je gewoon zien welke spellen en apparaten je eerder al geregistreerd hebt via de site en op welke datum.
Inmiddels doet de website het weer zie hier het bericht.
Vroeger heette dit gedrag toch Cracken of Cracker, om onderscheid te maken tussen de 'kwaadwillenden' en de 'goeden"?
Volgens mij was het 'hacker'(slecht) en 'cracker'(goed)
Maar dan net andersom :)
De aard van een hacker of cracker wordt aangegeven in het woordje ervoor: Whitehat is goed, Blackhat is kwaadaardig. Een referentie naar de Mage/Wizard class in veel RPGs waaronder Final Fantasy.
'hacker'(goed) en 'cracker'(slecht)
FTFY
Incompetente journalisten hebben het vroeger verkeerd gebruikt en nu valt alles gewoon onder 'hacker'
cracker is meer iemand die de beveiliging van software programma's kraakt.
Idd, vandaar de term "gekraakte software" (illegale kopie van software waarbij de
ingebouwde kopieerbeveiliging is uitgeschakeld).
Hacken heeft betrekking op computers en netwerken.
Heeft op zich niets te maken met goed of slecht.
Kan een middel zijn om (extra) in de aandacht te komen bij de media. Is ze goed gelukt. (sluik) reclame
Zo van, kom bij ons, want onze producten worden gekraakt? Niet alles wat media aandacht oplevert is positief.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True