Hackers stelen gegevens 1,3 miljoen gamers Sega Pass

De online gamersdienst Sega Pass is gehackt. Dat heeft de gamemaker bevestigd in een mail naar Nederlandse gebruikers. De hackers stalen gebruikersnamen en versleutelde wachtwoorden, maar geen betalingsgegevens.

Nederlandse gebruikers zijn ook getroffen door de hack, zo blijkt uit de mail die een tweaker ontving van Sega. De hack betreft de online gamingdienst Sega Pass, waar gebruikers van Sega-games zich kunnen aanmelden. Sega bevestigt de hack en zegt dat inlognamen, e-mailadressen en versleutelde wachtwoorden zijn buitgemaakt. Betaalgegevens konden niet worden gestolen, omdat betalingen lopen via derde partijen. Er zijn van 1,3 miljoen gamers gegevens gestolen, zo zegt het bedrijf.

Sega heeft zijn Pass-dienst tot nader order offline gehaald en adviseert gebruikers alert te zijn op verdachte e-mails. Ook wordt het wachtwoord van alle gebruikers gereset om hacks te voorkomen. Ook is de gamemaker met een evaluatie begonnen om te kijken hoe de hack heeft kunnen plaatsvinden. Sega biedt excuses aan voor de hack.

Gamediensten zijn de afgelopen maanden veelvuldig slachtoffer geworden van hacks. Zo wisten hackers binnen te dringen bij PlayStation Network van Sony en lag ook Nintendo op diverse manieren onder vuur. Ook Codemasters viel ten prooi aan hackers. De hackersgroep Lulzsec, die afgelopen weken veelvuldig het nieuws haalde met hacks, heeft de hack niet opgeëist en lijkt er niets mee te maken te hebben.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 18-06-2011 11:05
57 • submitter: mendel129

18-06-2011 • 11:05

57

Submitter: mendel129

Lees meer

SEGA Europa's AWS-inloggegevens waren voor iedereen toegankelijk
SEGA Europa's AWS-inloggegevens waren voor iedereen toegankelijk Nieuws van 31 december 2021
FBI 'onthoofdt' LulzSec met arrestatie kopstukken
FBI 'onthoofdt' LulzSec met arrestatie kopstukken Nieuws van 6 maart 2012
Sega maakt hd-remake van Jet Set Radio
Sega maakt hd-remake van Jet Set Radio Nieuws van 29 februari 2012
FBI arresteert mogelijke LulzSec-hacker van SonyPictures.com
FBI arresteert mogelijke LulzSec-hacker van SonyPictures.com Nieuws van 23 september 2011
AnonymousIRC publiceert accounts datingsite Pepper.nl
AnonymousIRC publiceert accounts datingsite Pepper.nl Nieuws van 3 juli 2011
Nederlandse AntiSec-groep publiceert klantgegevens importeur
Nederlandse AntiSec-groep publiceert klantgegevens importeur Nieuws van 29 juni 2011
LulzSec gooit na laatste dump de handdoek in de ring - update
LulzSec gooit na laatste dump de handdoek in de ring - update Nieuws van 26 juni 2011
Hackers kraken websites van vermeende LulzSec-leden
Hackers kraken websites van vermeende LulzSec-leden Nieuws van 22 juni 2011
Britse politie arresteert vermeend LulzSec-lid - update
Britse politie arresteert vermeend LulzSec-lid - update Nieuws van 21 juni 2011
Nederlandse tiener blijkt mogelijk aan LulzSec gelieerd - update
Nederlandse tiener blijkt mogelijk aan LulzSec gelieerd - update Nieuws van 19 juni 2011
LulzSec valt gamesites aan met ddos-aanvallen
LulzSec valt gamesites aan met ddos-aanvallen Nieuws van 15 juni 2011
Codemasters: hacker had toegang tot gebruikergegevens
Codemasters: hacker had toegang tot gebruikergegevens Nieuws van 10 juni 2011
Sony's PlayStation Network is weer volledig operationeel
Sony's PlayStation Network is weer volledig operationeel Nieuws van 2 juni 2011
Sega maakt officiële Olympische Zomerspelen 2012-game
Sega maakt officiële Olympische Zomerspelen 2012-game Nieuws van 1 juni 2011
Hackers vallen website Codemasters aan
Hackers vallen website Codemasters aan Nieuws van 27 mei 2011
Sega kondigt Mario & Sonic op de Olympische Spelen 2012 aan
Sega kondigt Mario & Sonic op de Olympische Spelen 2012 aan Nieuws van 22 april 2011
Sega kondigt gratis speelbare mmog Spiral Knights aan
Sega kondigt gratis speelbare mmog Spiral Knights aan Nieuws van 16 maart 2011
Meer producten en artikelen
Gaming Economie en maatschappij Privacy Beveiliging Hackers Nederland

Reacties (57)

-Moderatie-faq
57
53
30
1
0
6
Wijzig sortering
Ample Energy 18 juni 2011 11:07
LulzSec is dus niet de enige die er zin in hebben. Ik vraag me af of deze groep wel een echte reden heeft? En gaan ze ook alleen maar accountnamen en ww's stelen, of gaat er echt 'oorlog' gevoerd worden?

Only time will tell
Royale de Luxe @Ample Energy18 juni 2011 11:29
in de belgische krant "het nieuwsblad" stond er een artikel gisteren dat er een oorlog aan het woeden is tussen de hackersgroeperingen. Ik had geen tijd om het hele artikel te lezen.

Maar zo te zien hebben we er een olympische discipline bij zo. De meeste site's hacken voor de fun.
Proxikill @Royale de Luxe18 juni 2011 12:44
Ik denk dat "Het Nieuwsblad" de nieuwsberichten van de internetmedia heeft gevolgd, waar er inderdaad sprake was van een oorlog tussen Anonymous an Lulzsec.
Beide ontkennen dit echter op Twitter:
LulzSec: RT @YourAnonNews: We are NOT at war with @LulzSec #MediaFags
LulzSec: Saying we're attacking Anonymous because we taunted /b/ is like saying we're going to war with America because we stomped on a cheeseburger.

LulzSec: To confirm, we aren't going after Anonymous. 4chan isn't Anonymous to begin with, and /b/ is certainly not the whole of 4chan. True story.
Een echte oorlog tussen verschillende groeperingen lijkt me eigenlijk (nog) niet direct aan de orde, hoewel er misschien wel een groepering zal ontstaan vanuit 4chan die LulzSec zo hard mogelijk wil terugpakken na de openbare "pesterijen" van LulzSec aan het 4chan adres.

Ik heb wel het gevoel dat het echte einde nog niet echt bereikt is. LulzSec zie ik nog niet direct stoppen, maar ik zie ze nog wel in staat om nog meerdere "vijanden" te maken. Vraag is alleen wat je onder een oorlog tussen hackers kan verwachten. Wordt het een spelletje om zo veel mogelijk en zo groot mogelijk website's en systemen te hacken, of gaan ze zich meer op elkaar viseren?

Edit:
@k1n8fisher: ik vrees eerlijk voor het laatste. Elkaar hacken klikt fijn, maar het probleem is dat de kern van hun bestaan het feit is dat ze anoniem blijven en dus eigenlijk lastig op te sporen zijn. Ik denk dat de internationale gemeenschap een grotere kans heeft om zo een groepering op te sporen dan hun "tegenstanders". Bovendien, valt er zoveel te hacken aan elkaar? LulzSec heeft een website en een Twitteraccount, en daar houd dat dan ongeveer wel op. Het jammere aan de zaak is dat als er voor een hackwedstrijd "gekozen" wordt er vooral buitenstaanders, gewone mensen als jij en ik, de gevolgen ervan zullen merken. Als je weer een hack krijgt waarbij er een hoop prive gegevens en wachtwoorden worden openbaar gemaakt worden heeft je "vijandige groepering" niet echt schade, maar wel de personen wiens gegevens openbaar gemaakt worden.

[Reactie gewijzigd door Proxikill op 24 juli 2024 18:09]

TheCapK @Proxikill18 juni 2011 12:57
Als ze dan elkaar gaan pesten met hacks is er voor de rest van de wereld geen vuiltje aan de lucht!
Als het een wedstrijd wordt wie het meeste kan hacken dan moeten we ons eerder zorgen gaan maken!

* TheCapK controleert zijn router en ziet dat hij inderdaad het wachtwoord en admin name heeft veranderd!
RaCio @Proxikill18 juni 2011 22:07
Anonymous is gewoon een verzamelnaam die de media gebruikt voor ideologische en politiek gerichte hackers. Er zijn wel degelijk mensen uit die richting die tegen lulzsec in het verweer komen dus enorm gek is het misverstand van de media niet.

" Elkaar hacken klikt fijn, maar het probleem is dat de kern van hun bestaan het feit is dat ze anoniem blijven en dus eigenlijk lastig op te sporen zijn"

Geen idee of het helemaar waar is, maar een aantal hackers is al begonnen met publiceren van de identiteiten achter lulzsec: http://www.teamliquid.net...ssage.php?topic_id=234795
Ecomonist @Royale de Luxe18 juni 2011 12:32
Ik weet niet op welk artikel jij doelt, maar er is géén "oorlog" gaande tussen Lulzsec en Anonymous of de chans. Dit levert spectaculaire krantenkoppen op, maar is 100% spin van de media zelf.
Verwijderd @Royale de Luxe18 juni 2011 14:59
De enige 'burger onrust' waar ik van weet, is tussen P.C.A. en I.C.A. (Pakistan / India - Cyber Army).

De rest is kattekwaad. En in een enkel geval, een serieuze inbraak door eigen fouten, kijk naar RSA, gesloten troep (en gesloten veiligheid is schijnveiligheid, met backdoors en/of fouten).

Als mensen nou eens leren dat ze voor iedere website een ander wachtwoord moeten gebruiken, zou dat veel schelen voor de mensen zelf. Als je uitgaat van het feit dat wachtwoorden uitlekken, en overal verschillende wachtwoorden gebruikt. Dan heb je als burger minder kans op beveiligingslekken. Dan is hoogstens 1 website (social network, forum, chat, etc) waar je problemen mee hebt.

Er gaan geluiden op om compleet te stoppen met wachtwoorden. Ik ben voor en tegen. Vooral tegen, want:
Ook wij, als IT-ers moeten nog veel leren. We moeten veel beter omgaan met databeveiliging, maar vooral de gebruikers beter informeren. Beveiliging begint bij de gebruiker, niet bij een technische implementatie.

Dus laten we eerst de gebruikers leren, hoe ze serieus om moeten gaan met wachtwoorden. En daarna eens kijken of we een technische verandering nodig vinden.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 18:09]

kimborntobewild @Verwijderd19 juni 2011 07:07
We moeten veel beter omgaan met databeveiliging, maar vooral de gebruikers beter informeren. Beveiliging begint bij de gebruiker, niet bij een technische implementatie.
De meeste IT'ers weten heus wel wat best practices zijn m.b.t. databeveiliging. Maar er moet voldoende geld en voldoende draagvlak (bij de directie) zijn. Vaak zijn beiden afwezig.

Het zijn dus vaak de managers/bovenknuppels die beslissen dat er geen complextiteitseisen aan wachtwoorden mogen worden gesteld, om maar een voorbeeld te noemen. Dat is dat weer zo omdat veel onderknuppels klagen bij die manager. Waardoor de netwerkbeheerder verplicht wordt zulke complextiteitseisen weer uit te schakelen.

Dit is maar een voorbeeldje. Wil je je baan behouden, dan dien je te doen wat je baas zegt (en daarmee veiligheids best-practices negeren / ongedaan maken).
ArcticWolf 18 juni 2011 13:08
Ik heb niet veel verstand van wachtwoorden... maar als ze alleen de versleutelde wachtwoorden hebben gekregen, kunnen ze er niet veel mee toch?

Daarnaast klinkt de beveiliging van Sega veel degelijker dan de rest van de bedrijven die laatst zijn gehackt. Geen idee of Sega opzettelijk de betaling via derde liet lopen of omdat ze er zelf gewoon geen zin in hadden 8)7
arbraxas @ArcticWolf18 juni 2011 13:39
Nu hebben ze de geencrypte bestanden zelf in handen en kunnen er dus veel meer in neuzen met veel meer processorkracht als dat je dat moet doen terwijl ze nog op een server staan.
Nu kunnen ze ook niet meer tegengehouden worden door de stekker uit de server te trekken. Het kwaad is al geschiedt.
Alles valt en staat natuurlijk wel met het gebruikte type encryptie, als ze dat fatsoenlijk gedaan hebben zijn ze nog jaren aan t bruteforcen.
Keneo @ArcticWolf18 juni 2011 13:58
Als de paswoorden met een standaard algoritme versleuteld zijn, zonder een user specific salt toe te voegen kan men deze allemaal tegelijk aanvallen, ipv 1 per 1.

En om het wat leuker te maken kan men gebruik maken van een rainbow table. Dit is een lijst met alle mogelijke hash waarden, en een text waarde die er met overeenkomt.
Dit werkt natuurlijk niet voor sha-512, omdat daar iets te veel combinaties mogelijk zijn, maar men kan wel alle mogelijke alphanumerieke strings tot lengte 8 gaan opslaan samen met hun hash...

Nu zijn er bepaalde mensen die deze reeds gefabriceerd hebben en ter download aanbieden.
En in de donkere hoekjes van het internet zal je voor een zacht prijsje deze ook wel kunnen aankopen van iemand die ooit een beetje cpu tijd overhad op een botnet etc...

Dus, encrypted, leuk, maar zijn er ook salt's toegevoegd, per user?
Hopelijk wel, want dit is samen met encrypten/hashen wel standaard practice...

[Reactie gewijzigd door Keneo op 24 juli 2024 18:09]

Wolfos 18 juni 2011 11:09
Dit geeft de hele game industrie een slechte naam. Waarom alleen games? Bijna niets anders word meer gehackt.
wildhagen
@Wolfos18 juni 2011 11:10
Omdat ze meer mensen treffen als ze een dergelijk netwerk aanpakken, dan wanneer ze een of andere onbekende site hacken.

En hoe meer mensen je treft, hoe meer aandacht je krijgt. En dat is waar het die hackers vaak om te doen is.

Vanuit die optiek is het dus logisch dat ze game-netwerken als eerste aanpakken. Relatief de meeste impact en dus aandacht.

Overigens word er ook nog genoeg anders gehacked hoor, zoals de sites van de CIA en de Amerikaanse Senaat bijvoorbeeld recent nog.
Huismus @wildhagen18 juni 2011 22:30
Als ze nu eens Google of Youtube (ook Google) hacken? Of zijn die te goed beveiligd ofzo? Zal me overgens niets verbazen, wat moet Google anders met al dat overtollig geld doen? Een nog niet veroverde markt veroveren? Zijn die er dan nog?
6 vragen in 4 regels, is dat een record of niet?
Soldaatje @Wolfos18 juni 2011 12:39
Dat is niet helemaal waar, de US senaat en de CIA zijn ook gehacked.
keejoz @Soldaatje18 juni 2011 15:22
Neen, de US senaat en CIA zijn geDDoSed. (spelling? lol)
Verwijderd @Wolfos18 juni 2011 11:11
Ik kan alleen maar vermoeden dat dit te weiten is aan de "mindere" beveiliging. Of de grotere marktwaarde van de gegevens die je er vind.
AsoT @Wolfos18 juni 2011 12:46
Ik vraag mij nog altijd af na waarom Xbox live e.d nog niet gehacked is. Zou dit het werk zijn van Xbox fanboys of ligt dat gewoon aan mij ? :p
Wolfos @AsoT18 juni 2011 17:12
Of Microsoft zelf, zou wel verklaren waarom ze zo'n groot bot net hebben :p
EDIT: Ongewenst? Het was maar een grapje.

[Reactie gewijzigd door Wolfos op 24 juli 2024 18:09]

FrostNixon 18 juni 2011 11:20
Lulzsec op twitter:

"@Sega - contact us. We want to help you destroy the hackers that
attacked you. We love the Dreamcast, these people are going down.
16 hours ago"

Ben benieuwd..
arbraxas @FrostNixon18 juni 2011 11:36
Beetje hypocriet niet, zelf vanalles hacken en dan ook nog s publiceren zodat onschuldige mensen er schade van hebben.
Om dan vervolgens een bericht de wereld in te gooien dat ze die "baddies" wel eens de oren zullen wassen omdat ze precies hetzelfde doen.
Alleen nu met iets wat blijkbaar Lulsec aan t hart gaat.
Ach ja pot, ketel u kent t wel.
BarôZZa @arbraxas18 juni 2011 12:10
Sinds wanneer iets het hypocriet van een hackgroep om aan te bieden dat ze een andere hackgroep gaan hacken? Het is niet alsof ze anti-hacken zijn of het erg vinden voor de gebruikers. Ze houden alleen van Sega.
Het is ook niet alsof ze nu heilige boontjes spelen. Ze willen gewoon meer lulz.
arbraxas @BarôZZa18 juni 2011 12:16
Hypocriet dus, alles mag behalve wat lulsec leuk vind.
Sorry maar door laatste acties zoals het publiekelijk maken van accounts van 1 of andere pornosite, de schade die sommige mensen hebben opgelopen doordat hun accounts publiekelijk zijn gemaakt maakt voor mij dat Lulsec gewoon keihard aangepakt moet worden. Dit is geen Lulz meer, dit is gewoon puur digitaal vandalisme.
Hadden ze het gehouden bij het blootleggen van de beveilingsproblemen hadden ze mijn zegen gehad, nu zijn ze niet beter als reljeugd en die moet je gewoon bij hun ballen pakken en even flink aanknijpen.
Hanterp 18 juni 2011 12:37
Ik ben al die hackers nou toch wel spuugzat. En de schijnheilige boodschap dat ze het doen om op beveiligingslekken te wijzen gelooft zo langzamerhand natuurlijk niemand meer.
stresstak @Hanterp18 juni 2011 17:58
Ik ben al die hackers nou toch wel spuugzat. En de schijnheilige boodschap dat ze het doen om op beveiligingslekken te wijzen gelooft zo langzamerhand natuurlijk niemand meer.
Wees ergens maar blij. Dan wordt er misschien iets meer aan opsporing, oppakken en ruimen gedaan.
Arietje 18 juni 2011 15:09
Ook ik kreeg de e-mail. Schrok wel even, want ik wist helemaal niet dat ik daar een account had. Blijkt dat ik me in 2007 had aangemeld op het forum van sega voor een beta key, en zie dat ik in 2009 automatisch een sega pass account had gekregen.

Mail uit 2009:
This week the SEGA West forums underwent some big changes.
[...]
Since you didn't have a SEGA PASS account we have created one for you, as you'll need this to log into the new forums. Visit forums.sega.com and login with the following details:
En vervolgens een random wachtwoord, dus dat scheelt weer.
Ovindel @Arietje18 juni 2011 15:38
Ik kreeg ook een mail en gooide het eigenlijk meteen in de ongewenst map omdat ik dacht dat het spam was. Maar ben toen maar even op internet gaan kijken en het bleek waar te zijn. Maar ik kan echt niet herinneren mezelf ooit aangemeld te hebben bij Sega, en in mijn Postvak IN staat ook helemaal niets, terwijl ik nauwelijks mail heb verwijderd in mijn leven. :?
BOOTZ 18 juni 2011 11:09
De hackersgroep Lulzsec, die afgelopen weken veelvuldig het nieuws haalde met hacks, heeft de hack niet opgeëist en lijkt er niets mee te maken.
Maar dan gaan andere groepen (of zelfs individuën) denken: 'wat zij kunnen, kunnen wij ook'. Eenerzijds een beetje een jammere ontwikkeling, anderzijds is dit misschien wel weer een prikkel voor alle serverbeheerders op de wereld om nog eens heel kritisch naar hun beveiliging te kijken.
SkyStreaker 18 juni 2011 11:18
Je zou natuurlijk kunnen denken dat ze idd. hebben willen aantonen dat het zo lek als wat is en mede daarom geen focus hebben gelegd op het betaalgedeelte.
Verwijderd 18 juni 2011 11:55
Ik heb ook een e-mail gehad.

Blijkbaar hebben ze e-mail adressen, wachtwoorden en geboortedata gejat. De wachtwoorden zijn wel versleuteld opgeslagen maar dat zal niet lang duren nu ze er offline mee kunnen spelen. In de mail wordt ook aangeraden om het wachtwoord overal te veranderen, dit is mijns inziens wat extreem. Enkel websites waar je zonder fatsoenlijk gebruikersnaam kunt inloggen zijn in gevaar (Tweakers bijv). Zodra je bij een website niet met een e-mail adres maar met een gebruikersnaam moet inloggen, wordt het al een stuk lastiger voor de hackers. Zeker aangezien ze waarschijnlijk (als ze überhaupt achter de wachtwoorden zijn en niet gewoon een lijst met actieve e-mail adressen op de zwarte markt willen verkopen) een botnet gaat gebruiken om de account gegevens massaal automatisch te proberen, hier zullen ze dus geen websites proberen waar je een gebruikersnaam bij nodig hebt. Ik zou natuurlijk wel afraden om het wachtwoord bij nieuwe registraties nog te gebruiken.

Sowieso blijft de #1 regel, gebruik je wachtwoord voor je e-mail nooit 2x. Via je e-mail adres kun je al je andere wachtwoorden recoveren of resetten. Zie dat wachtwoord als je root key. Daarbij gaat mijn voorkeur altijd uit naar iDeal bij Nederlandse betalingen, en iDeal via ClickandBuy bij buitenlandse betalingen. Credit card gebruik ik alleen bij uiterste noodzaak en verwijder de gegevens achteraf.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 18:09]

Keneo 18 juni 2011 12:15
Tip 2: Gebruik voor belangerijke zaken 2 step verification.
factor 1: Iets wat je kent: username+pw
factor2 : iets wat je hebt: een hardware token zoals: pinkaard, secureidkaart, eID, telefoon

Je bank gebruikt dit waarschijnlijk al, maar sinds kort is het ook makkelijk te gebruiken voor je google account, welke met gmail, youtube, buzz, picassa, contacts, android phone, messasing, docs... toch een zeer belangerijke account is.

Google Blog artikel
Official video
Verwijderd @Keneo18 juni 2011 13:37
Blizzard biedt dit al langer aan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq