Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties
Submitter: mendel129

De online gamersdienst Sega Pass is gehackt. Dat heeft de gamemaker bevestigd in een mail naar Nederlandse gebruikers. De hackers stalen gebruikersnamen en versleutelde wachtwoorden, maar geen betalingsgegevens.

Nederlandse gebruikers zijn ook getroffen door de hack, zo blijkt uit de mail die een tweaker ontving van Sega. De hack betreft de online gamingdienst Sega Pass, waar gebruikers van Sega-games zich kunnen aanmelden. Sega bevestigt de hack en zegt dat inlognamen, e-mailadressen en versleutelde wachtwoorden zijn buitgemaakt. Betaalgegevens konden niet worden gestolen, omdat betalingen lopen via derde partijen. Er zijn van 1,3 miljoen gamers gegevens gestolen, zo zegt het bedrijf.

Sega heeft zijn Pass-dienst tot nader order offline gehaald en adviseert gebruikers alert te zijn op verdachte e-mails. Ook wordt het wachtwoord van alle gebruikers gereset om hacks te voorkomen. Ook is de gamemaker met een evaluatie begonnen om te kijken hoe de hack heeft kunnen plaatsvinden. Sega biedt excuses aan voor de hack.

Gamediensten zijn de afgelopen maanden veelvuldig slachtoffer geworden van hacks. Zo wisten hackers binnen te dringen bij PlayStation Network van Sony en lag ook Nintendo op diverse manieren onder vuur. Ook Codemasters viel ten prooi aan hackers. De hackersgroep Lulzsec, die afgelopen weken veelvuldig het nieuws haalde met hacks, heeft de hack niet opgeëist en lijkt er niets mee te maken te hebben.

Moderatie-faq Wijzig weergave

Reacties (57)

LulzSec is dus niet de enige die er zin in hebben. Ik vraag me af of deze groep wel een echte reden heeft? En gaan ze ook alleen maar accountnamen en ww's stelen, of gaat er echt 'oorlog' gevoerd worden?

Only time will tell
in de belgische krant "het nieuwsblad" stond er een artikel gisteren dat er een oorlog aan het woeden is tussen de hackersgroeperingen. Ik had geen tijd om het hele artikel te lezen.

Maar zo te zien hebben we er een olympische discipline bij zo. De meeste site's hacken voor de fun.
Ik denk dat "Het Nieuwsblad" de nieuwsberichten van de internetmedia heeft gevolgd, waar er inderdaad sprake was van een oorlog tussen Anonymous an Lulzsec.
Beide ontkennen dit echter op Twitter:
LulzSec: RT @YourAnonNews: We are NOT at war with @LulzSec #MediaFags
LulzSec: Saying we're attacking Anonymous because we taunted /b/ is like saying we're going to war with America because we stomped on a cheeseburger.

LulzSec: To confirm, we aren't going after Anonymous. 4chan isn't Anonymous to begin with, and /b/ is certainly not the whole of 4chan. True story.
Een echte oorlog tussen verschillende groeperingen lijkt me eigenlijk (nog) niet direct aan de orde, hoewel er misschien wel een groepering zal ontstaan vanuit 4chan die LulzSec zo hard mogelijk wil terugpakken na de openbare "pesterijen" van LulzSec aan het 4chan adres.

Ik heb wel het gevoel dat het echte einde nog niet echt bereikt is. LulzSec zie ik nog niet direct stoppen, maar ik zie ze nog wel in staat om nog meerdere "vijanden" te maken. Vraag is alleen wat je onder een oorlog tussen hackers kan verwachten. Wordt het een spelletje om zo veel mogelijk en zo groot mogelijk website's en systemen te hacken, of gaan ze zich meer op elkaar viseren?

Edit:
@k1n8fisher: ik vrees eerlijk voor het laatste. Elkaar hacken klikt fijn, maar het probleem is dat de kern van hun bestaan het feit is dat ze anoniem blijven en dus eigenlijk lastig op te sporen zijn. Ik denk dat de internationale gemeenschap een grotere kans heeft om zo een groepering op te sporen dan hun "tegenstanders". Bovendien, valt er zoveel te hacken aan elkaar? LulzSec heeft een website en een Twitteraccount, en daar houd dat dan ongeveer wel op. Het jammere aan de zaak is dat als er voor een hackwedstrijd "gekozen" wordt er vooral buitenstaanders, gewone mensen als jij en ik, de gevolgen ervan zullen merken. Als je weer een hack krijgt waarbij er een hoop prive gegevens en wachtwoorden worden openbaar gemaakt worden heeft je "vijandige groepering" niet echt schade, maar wel de personen wiens gegevens openbaar gemaakt worden.

[Reactie gewijzigd door Proxikill op 18 juni 2011 13:12]

Als ze dan elkaar gaan pesten met hacks is er voor de rest van de wereld geen vuiltje aan de lucht!
Als het een wedstrijd wordt wie het meeste kan hacken dan moeten we ons eerder zorgen gaan maken!

* k1n8fisher controleert zijn router en ziet dat hij inderdaad het wachtwoord en admin name heeft veranderd!
Anonymous is gewoon een verzamelnaam die de media gebruikt voor ideologische en politiek gerichte hackers. Er zijn wel degelijk mensen uit die richting die tegen lulzsec in het verweer komen dus enorm gek is het misverstand van de media niet.

" Elkaar hacken klikt fijn, maar het probleem is dat de kern van hun bestaan het feit is dat ze anoniem blijven en dus eigenlijk lastig op te sporen zijn"

Geen idee of het helemaar waar is, maar een aantal hackers is al begonnen met publiceren van de identiteiten achter lulzsec: http://www.teamliquid.net...ssage.php?topic_id=234795
Ik weet niet op welk artikel jij doelt, maar er is gťťn "oorlog" gaande tussen Lulzsec en Anonymous of de chans. Dit levert spectaculaire krantenkoppen op, maar is 100% spin van de media zelf.
De enige 'burger onrust' waar ik van weet, is tussen P.C.A. en I.C.A. (Pakistan / India - Cyber Army).

De rest is kattekwaad. En in een enkel geval, een serieuze inbraak door eigen fouten, kijk naar RSA, gesloten troep (en gesloten veiligheid is schijnveiligheid, met backdoors en/of fouten).

Als mensen nou eens leren dat ze voor iedere website een ander wachtwoord moeten gebruiken, zou dat veel schelen voor de mensen zelf. Als je uitgaat van het feit dat wachtwoorden uitlekken, en overal verschillende wachtwoorden gebruikt. Dan heb je als burger minder kans op beveiligingslekken. Dan is hoogstens 1 website (social network, forum, chat, etc) waar je problemen mee hebt.

Er gaan geluiden op om compleet te stoppen met wachtwoorden. Ik ben voor en tegen. Vooral tegen, want:
Ook wij, als IT-ers moeten nog veel leren. We moeten veel beter omgaan met databeveiliging, maar vooral de gebruikers beter informeren. Beveiliging begint bij de gebruiker, niet bij een technische implementatie.

Dus laten we eerst de gebruikers leren, hoe ze serieus om moeten gaan met wachtwoorden. En daarna eens kijken of we een technische verandering nodig vinden.

[Reactie gewijzigd door KingOfDos op 18 juni 2011 15:02]

We moeten veel beter omgaan met databeveiliging, maar vooral de gebruikers beter informeren. Beveiliging begint bij de gebruiker, niet bij een technische implementatie.
De meeste IT'ers weten heus wel wat best practices zijn m.b.t. databeveiliging. Maar er moet voldoende geld en voldoende draagvlak (bij de directie) zijn. Vaak zijn beiden afwezig.

Het zijn dus vaak de managers/bovenknuppels die beslissen dat er geen complextiteitseisen aan wachtwoorden mogen worden gesteld, om maar een voorbeeld te noemen. Dat is dat weer zo omdat veel onderknuppels klagen bij die manager. Waardoor de netwerkbeheerder verplicht wordt zulke complextiteitseisen weer uit te schakelen.

Dit is maar een voorbeeldje. Wil je je baan behouden, dan dien je te doen wat je baas zegt (en daarmee veiligheids best-practices negeren / ongedaan maken).
Ik heb niet veel verstand van wachtwoorden... maar als ze alleen de versleutelde wachtwoorden hebben gekregen, kunnen ze er niet veel mee toch?

Daarnaast klinkt de beveiliging van Sega veel degelijker dan de rest van de bedrijven die laatst zijn gehackt. Geen idee of Sega opzettelijk de betaling via derde liet lopen of omdat ze er zelf gewoon geen zin in hadden 8)7
Nu hebben ze de geencrypte bestanden zelf in handen en kunnen er dus veel meer in neuzen met veel meer processorkracht als dat je dat moet doen terwijl ze nog op een server staan.
Nu kunnen ze ook niet meer tegengehouden worden door de stekker uit de server te trekken. Het kwaad is al geschiedt.
Alles valt en staat natuurlijk wel met het gebruikte type encryptie, als ze dat fatsoenlijk gedaan hebben zijn ze nog jaren aan t bruteforcen.
Als de paswoorden met een standaard algoritme versleuteld zijn, zonder een user specific salt toe te voegen kan men deze allemaal tegelijk aanvallen, ipv 1 per 1.

En om het wat leuker te maken kan men gebruik maken van een rainbow table. Dit is een lijst met alle mogelijke hash waarden, en een text waarde die er met overeenkomt.
Dit werkt natuurlijk niet voor sha-512, omdat daar iets te veel combinaties mogelijk zijn, maar men kan wel alle mogelijke alphanumerieke strings tot lengte 8 gaan opslaan samen met hun hash...

Nu zijn er bepaalde mensen die deze reeds gefabriceerd hebben en ter download aanbieden.
En in de donkere hoekjes van het internet zal je voor een zacht prijsje deze ook wel kunnen aankopen van iemand die ooit een beetje cpu tijd overhad op een botnet etc...

Dus, encrypted, leuk, maar zijn er ook salt's toegevoegd, per user?
Hopelijk wel, want dit is samen met encrypten/hashen wel standaard practice...

[Reactie gewijzigd door Keneo op 18 juni 2011 14:01]

Dit geeft de hele game industrie een slechte naam. Waarom alleen games? Bijna niets anders word meer gehackt.
Omdat ze meer mensen treffen als ze een dergelijk netwerk aanpakken, dan wanneer ze een of andere onbekende site hacken.

En hoe meer mensen je treft, hoe meer aandacht je krijgt. En dat is waar het die hackers vaak om te doen is.

Vanuit die optiek is het dus logisch dat ze game-netwerken als eerste aanpakken. Relatief de meeste impact en dus aandacht.

Overigens word er ook nog genoeg anders gehacked hoor, zoals de sites van de CIA en de Amerikaanse Senaat bijvoorbeeld recent nog.
Als ze nu eens Google of Youtube (ook Google) hacken? Of zijn die te goed beveiligd ofzo? Zal me overgens niets verbazen, wat moet Google anders met al dat overtollig geld doen? Een nog niet veroverde markt veroveren? Zijn die er dan nog?
6 vragen in 4 regels, is dat een record of niet?
Dat is niet helemaal waar, de US senaat en de CIA zijn ook gehacked.
Neen, de US senaat en CIA zijn geDDoSed. (spelling? lol)
Ik kan alleen maar vermoeden dat dit te weiten is aan de "mindere" beveiliging. Of de grotere marktwaarde van de gegevens die je er vind.
Ik vraag mij nog altijd af na waarom Xbox live e.d nog niet gehacked is. Zou dit het werk zijn van Xbox fanboys of ligt dat gewoon aan mij ? :p
Of Microsoft zelf, zou wel verklaren waarom ze zo'n groot bot net hebben :p
EDIT: Ongewenst? Het was maar een grapje.

[Reactie gewijzigd door Wolfos op 18 juni 2011 22:21]

Lulzsec op twitter:

"@Sega - contact us. We want to help you destroy the hackers that
attacked you. We love the Dreamcast, these people are going down.
16 hours ago"

Ben benieuwd..
Beetje hypocriet niet, zelf vanalles hacken en dan ook nog s publiceren zodat onschuldige mensen er schade van hebben.
Om dan vervolgens een bericht de wereld in te gooien dat ze die "baddies" wel eens de oren zullen wassen omdat ze precies hetzelfde doen.
Alleen nu met iets wat blijkbaar Lulsec aan t hart gaat.
Ach ja pot, ketel u kent t wel.
Sinds wanneer iets het hypocriet van een hackgroep om aan te bieden dat ze een andere hackgroep gaan hacken? Het is niet alsof ze anti-hacken zijn of het erg vinden voor de gebruikers. Ze houden alleen van Sega.
Het is ook niet alsof ze nu heilige boontjes spelen. Ze willen gewoon meer lulz.
Hypocriet dus, alles mag behalve wat lulsec leuk vind.
Sorry maar door laatste acties zoals het publiekelijk maken van accounts van 1 of andere pornosite, de schade die sommige mensen hebben opgelopen doordat hun accounts publiekelijk zijn gemaakt maakt voor mij dat Lulsec gewoon keihard aangepakt moet worden. Dit is geen Lulz meer, dit is gewoon puur digitaal vandalisme.
Hadden ze het gehouden bij het blootleggen van de beveilingsproblemen hadden ze mijn zegen gehad, nu zijn ze niet beter als reljeugd en die moet je gewoon bij hun ballen pakken en even flink aanknijpen.
Ik ben al die hackers nou toch wel spuugzat. En de schijnheilige boodschap dat ze het doen om op beveiligingslekken te wijzen gelooft zo langzamerhand natuurlijk niemand meer.
Ik ben al die hackers nou toch wel spuugzat. En de schijnheilige boodschap dat ze het doen om op beveiligingslekken te wijzen gelooft zo langzamerhand natuurlijk niemand meer.
Wees ergens maar blij. Dan wordt er misschien iets meer aan opsporing, oppakken en ruimen gedaan.
Ook ik kreeg de e-mail. Schrok wel even, want ik wist helemaal niet dat ik daar een account had. Blijkt dat ik me in 2007 had aangemeld op het forum van sega voor een beta key, en zie dat ik in 2009 automatisch een sega pass account had gekregen.

Mail uit 2009:
This week the SEGA West forums underwent some big changes.
[...]
Since you didn't have a SEGA PASS account we have created one for you, as you'll need this to log into the new forums. Visit forums.sega.com and login with the following details:
En vervolgens een random wachtwoord, dus dat scheelt weer.
Ik kreeg ook een mail en gooide het eigenlijk meteen in de ongewenst map omdat ik dacht dat het spam was. Maar ben toen maar even op internet gaan kijken en het bleek waar te zijn. Maar ik kan echt niet herinneren mezelf ooit aangemeld te hebben bij Sega, en in mijn Postvak IN staat ook helemaal niets, terwijl ik nauwelijks mail heb verwijderd in mijn leven. :?
De hackersgroep Lulzsec, die afgelopen weken veelvuldig het nieuws haalde met hacks, heeft de hack niet opgeŽist en lijkt er niets mee te maken.
Maar dan gaan andere groepen (of zelfs individuŽn) denken: 'wat zij kunnen, kunnen wij ook'. Eenerzijds een beetje een jammere ontwikkeling, anderzijds is dit misschien wel weer een prikkel voor alle serverbeheerders op de wereld om nog eens heel kritisch naar hun beveiliging te kijken.
Je zou natuurlijk kunnen denken dat ze idd. hebben willen aantonen dat het zo lek als wat is en mede daarom geen focus hebben gelegd op het betaalgedeelte.
Ik heb ook een e-mail gehad.

Blijkbaar hebben ze e-mail adressen, wachtwoorden en geboortedata gejat. De wachtwoorden zijn wel versleuteld opgeslagen maar dat zal niet lang duren nu ze er offline mee kunnen spelen. In de mail wordt ook aangeraden om het wachtwoord overal te veranderen, dit is mijns inziens wat extreem. Enkel websites waar je zonder fatsoenlijk gebruikersnaam kunt inloggen zijn in gevaar (Tweakers bijv). Zodra je bij een website niet met een e-mail adres maar met een gebruikersnaam moet inloggen, wordt het al een stuk lastiger voor de hackers. Zeker aangezien ze waarschijnlijk (als ze Łberhaupt achter de wachtwoorden zijn en niet gewoon een lijst met actieve e-mail adressen op de zwarte markt willen verkopen) een botnet gaat gebruiken om de account gegevens massaal automatisch te proberen, hier zullen ze dus geen websites proberen waar je een gebruikersnaam bij nodig hebt. Ik zou natuurlijk wel afraden om het wachtwoord bij nieuwe registraties nog te gebruiken.

Sowieso blijft de #1 regel, gebruik je wachtwoord voor je e-mail nooit 2x. Via je e-mail adres kun je al je andere wachtwoorden recoveren of resetten. Zie dat wachtwoord als je root key. Daarbij gaat mijn voorkeur altijd uit naar iDeal bij Nederlandse betalingen, en iDeal via ClickandBuy bij buitenlandse betalingen. Credit card gebruik ik alleen bij uiterste noodzaak en verwijder de gegevens achteraf.

[Reactie gewijzigd door 96284 op 18 juni 2011 11:58]

Tip 2: Gebruik voor belangerijke zaken 2 step verification.
factor 1: Iets wat je kent: username+pw
factor2 : iets wat je hebt: een hardware token zoals: pinkaard, secureidkaart, eID, telefoon

Je bank gebruikt dit waarschijnlijk al, maar sinds kort is het ook makkelijk te gebruiken voor je google account, welke met gmail, youtube, buzz, picassa, contacts, android phone, messasing, docs... toch een zeer belangerijke account is.

Google Blog artikel
Official video
Blizzard biedt dit al langer aan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True