Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 151 reacties

Hackers die zich AnonymousIRC noemen, hebben inloggegevens van Pepper.nl gepubliceerd. De datingsite, eigendom van RTL, zou inmiddels haar klanten hebben ingelicht, terwijl het Openbaar Ministerie de hackersaanval onderzoekt.

AnonymousIRCAnonymousIRC heeft zondagochtend de persoonsgegevens van ruim 53.000 gebruikers van de datingsite Pepper.nl gepubliceerd, zo heeft de groep bekendgemaakt. Hoewel de wachtwoorden zijn gehashed, zijn de e-mailadressen en gebruikersnamen in plain text te lezen. Ook is het niet ondenkbaar dat de wachtwoorden alsnog ontsleuteld kunnen worden, bijvoorbeeld met behulp van rainbow tables.

De beheerders van de datingsite, onderdeel van het RTL-concern, hebben aan Webwereld laten weten dat zij hun klanten inmiddels via een e-mail op de hoogte hebben gebracht. Op het moment van schrijven is Pepper.nl onbereikbaar.

Hoe de hackers de gegevens hebben kunnen stelen, is bij de beheerders nog niet bekend. Ook is nog onduidelijk wanneer de hackers hebben toegeslagen. Verder zou het Openbaar Ministerie een onderzoek zijn gestart naar de aanval.

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (151)

Het lijkt erop dat pepper inderdaad een static salt gebruikt, ik heb een count gedaan op de meest voorkomende hashes. Zonder een static salt zouden duplicate hashes niet voor mogen komen.

164 B34F40A98D4698520685526D222167D2
144 EB48640AB85FC9CA3817F361AD89BE89
142 C454EA519F09D5799CA43B6EE69D6EC8
93 FEE695B957DD297E24349E2A72CC999C
81 D28ACD5754E58A0904A66371F0F45B5B
73 5371E4D2FB444EBBFD6875DA84330E31
52 E1816B930F40F3A86B742A515C76EF51
48 3AF12722D53364CAAFDD2AFF42CC1B24
46 46BB22C1FFE87F7887795E923991CD92
42 5428BF2F5D3601F72473E89DA95F0D41
41 EE45E36F17A2C17DD4A1BCAF6AD0F7E2
38 9CBB9D9C086D761AB5CFD588AB977DD0
35 E1027CCB20B1A1D345EE0618CAC4F5B7
34 868F55EBCA22DABF8291E7BD54BA1C67
31 8BD8409B26D373B208C1A0AB8661669D
28 694BBFD35DD05C41D9733D82F658A0AF
27 2BF6CEF8405818625082F78FAEF76D22
26 990C9D27400738F0285B2889D2277B7C
26 7332694F576DDAA8A57BAB24D43C9D35
24 3C46238AE28864D7B83F4E64770F16C1
23 E58708E2B776DF02756BB600C6D05612
22 44B158288B64333D13C14DAF69A51515
22 0BC5B9D7A1E9732D5F52FCD1E84D82AD
21 CF648E143CCD687F923304F0484B82AE
21 A8C83AAABFB4C6B0B450F4D5547DE0AB

[Reactie gewijzigd door Lizard op 3 juli 2011 18:47]

Slim, maar eigenlijk weten we nog niks. Immers, als de salt ook compromised is kunnen ze een rainbow table bouwen. Zonder salt wordt dat toch een stuk lastiger, ook al is er slecht een global salt en geen user-specifieke salt.

Of ze moeten eerst de salt proberen te bruteforcen door de meestgebruikte wachtwoorden op de top-3 los te laten :). Dan kun je vervolgens een rainbow table bouwen.

Echter mag ik hopen dat alle account zijn geblokkeerd en dat de wachtwoorden worden gereset.. Maar goed, je zit natuurlijk altijd nog met andere accounts waar mensen vaak hetzelfde wachtwoord gebruiken. Soms zelfs het wachtwoord van het emailaccount.
Nou je kunt proberen in te loggen op de site, kans is enorm groot dat de 164, 144 en 142 wachtwoorden in de top-500 wachtwoorden en misschien wel top-25 meest gebruikte wachtwoorden staan.
For example, hacking results obtained from a MySpace phishing scheme in 2006 revealed 34,000 passwords, of which only 8.3% used mixed case, numbers, and symbol

Ik weet niet of je iets aan het wachtwoord en de hash hebt om de salt te achterhalen? Je moet dan alleen nog brute-forcen op de salt, en niet per wachtwoord dunkt me. Zal nog wel jaren duren bij een 64-bitswachtwoord.

[Reactie gewijzigd door chronoz op 4 juli 2011 00:39]

Lijkt er dus toch op dat Pepper hun hashes met een korreltje Salt namen. :Y)

Trouwens het feit dat zij gegevens van ex-klanten nog in hun database hebben staan is mogelijk strafbaar omdat het een schending van privacy is om gegevens langer te bewaren dan strikt nodig is. (Maar ze worden natuurlijk weer misbruikt om die ex-klanten lastig te vallen met spam om weer terug te komen.)
Ik ben toevallig lid van peper, maar ik heb geen mail of bericht van pepper ontvangen!
Ik was lid van Pepper, maar heb m'n account al tijden geleden opgezegd...Ook mijn gegevens staan in de lijst en ook ik ben niet geïnformeerd... En dan zeggen ze doodleuk op de frontpage: "Zodra je je profiel verwijdert, is er over jou niets meer te vinden op Pepper." :?
Dat wil alleen maar zeggen dat je op de site van pepper geen gegevens over u of uw profiel meer kan opvragen. Dat ze niet verwijderd zijn uit de database is iets anders, dat word ook niet beweerd.

Het is een beetje als een bibliotheek waar een boek verwijderd word uit de ontleen gegevens en de rekken, maar nog steeds bewaard word in archieven ergens in een kelder. Het gewone publiek heeft geen toegang meer tot het boek maar het personeel wel en iemand die de deur van de kelder forceert ook.
De enige manier om ervoor te zorgen dat niemand het boek nog kan lezen is het meegeven met de vuilkar of het zelf vernietigen.

Dat is waar hele privacy heisa om gaat met al die site's die gegevens bijhouden. Zelf al denk je dat je gegevens weg zijn omdat je ze niet meer ziet weet je nooit zeker wat er echt mee gebeurd is. En zo kan het gebeuren dat bepaalde zaken waarvan jij dacht dat ze al jaren niet meer bestonden opeens weer boven komen drijven.

[Reactie gewijzigd door .MaT op 3 juli 2011 16:08]

Dit viel mij ook op, ze krijgen van mij dus een mail waarin ze mogen uitleggen waarom ze mijn gegevens niet hebben vernietigd nadat ik me had afgemeld. Met welk doel ze de gegevens bewaren en waarom klanten er niet van op de hoogte worden gesteld.

Voor zover ik weet dien je klanten op de hoogte te stellen als gegevens blijven bewaard en wat er dan met de gegevens gedaan wordt.

Dit begint dus erop de lijken dat pepper niet zo heel erg netjes omgaat met de privacy van zijn (ex) klanten.
Kijk dan ook eens in de gestolen data of je er tussen staat.
Ja, ik sta ertussen!! :(
Hoe erg ik ook tegen dit soort acties ben, ik hoop wel dat het voor veel mensen de ogen opent. Hopelijk zien mensen in dat wat een bedrijf ook beloofd, je altijd erg voorzichtig moet zijn met de (persoonlijke) gegevens die je online brengt. Geen enkele beveiliging is waterdicht en je kan niet altijd voorzien wat voor een ellende uit zo'n hack voortvloeit.

Ik ben wel bang voor de hoeveelheid van dit soort hacks die nog gaan komen voordat mensen inzien dat privacy toch wel heel belangrijk is en dat je wel zeker wat te verbergen hebt.
De vraag is: zijn die ogen niet al lang open?

Dat mensen gevoelige informatie op websites plaaten, betekent niet dat zij willen dat je die informatie openbaar maakt. Soms is de meerwaarde van een website lidmaatschap hoger dan de risico's, waardoor je toch besluit lid te worden. Dat betekent echter niet dat het gedrag van de mensen die hacken gerechtvaardigd is.

Kijk naar het vliegverkeer: iedereen weet dat er eens in de zoveel tijd een vliegtuig wordt gekaapt. Toch blijven we vliegen. Dat betekent nog niet dat het acceptabel is om een vliegtuig te kapen, en het feit dat we blijven vliegen betekent ook niet dat we niet weten dat vliegtuigen ook kunnen worden gekaapt.
Ligt het nou aan mij of is het tegenwoordig heel erg "in" om websites/databases te hacken en vervolgens alle gegevens te publiceren? Maar goed, wel aardig dat deze hackers geen namen en adressen hebben gepubliceerd, dat zou nog eens wat veroorzaken... Zijn vast veel mensen die even gaan kijken of iemand die zij kennen geregistreerd staat. :P

+ Ik zou het erg slecht vinden als de wachtwoorden alleen via 1x MD5 zijn gehashed, doe dan op z'n minst 2x een MD5 of SHA1 over een wachtwoord en hij is niet meer om te draaien naar plain text...

EDIT: De website lijkt weer online te staan.

[Reactie gewijzigd door SXForce op 3 juli 2011 15:04]

Zou mij ook erg slecht lijken als ze niet meer dan een simpele MD5 eroverheen gegooid hebben. Gebruik dan tenminste SHA256 hashing met een salt key erin verwerkt of iets dergelijks.

En inderdaad, het enige wat ik de laatste tijd hoor is hack dit, hack dat... gegevens hier, daar, overal gepubliceerd :P Begint erg op te vallen.
Het is achteraf altijd makkelijk praten. Je weet dat dat nu de betere manier is, sterker nog jullie voorstellen zijn ook nog vrij triviaal te kraken als je het domweg zo implementeert... Zeker 2x md5 of sha1 is vrij zinloos, met een beetje gpgpu-bruteforcer kan je md5's met richting de 2-5 miljard per seconde kraken, door het 2x erin te stoppen red je dan dus richting de 1-2 miljard. Als je dan bedenkt dat doorgaans het gros van wachtwoorden bestaat uit woorden uit bekende woordenlijsten van hooguit een paar miljoen, kan je je vast wel voorstellen dat het vrij triviaal is om een groot aantal matches daaruit te vinden. Zelfs met 2x md5 of sha1.

Sha256 maakt het iets zwaarder, een generieke salt voegt dan weer weinig toe voor het brute-forcen.

Je zal meerdere factoren moeten combineren, zoals het verbieden van (eenvoudige) dictionary-woorden als wachtwoord, unieke salts per gebruiker introduceren en een flink aantal keer (>2000) de wachtwoorden opnieuw door een stevige hashing (sha256 of beter) halen. Zie bijvoorbeeld het PBKDF2-algoritme.

Pas met de combinatie van dat soort maatregelen kan je je redelijk goed weren tegen de pogingen van hackers om die wachtwoorden te kraken. En ik kan me goed voorstellen dat als je meer dan vijf jaar geleden je login-systeem hebt opgebouwd, dat je toen helemaal niet op de hoogte van de mogelijkheden of noodzaak van dat soort maatregelen was.

En hoe je het ook wendt of keert, elk developmentteam heeft maar beperkte tijd, beperkte kennis en beperkte mogelijkheden. Al die hackers hebben het daardoor natuurlijk makkelijk, maar dat geeft ze nog geen recht om die gegevens dan zomaar openbaar te maken (zoals soms ook gesuggereerd wordt in dit soort discussies).
Eens met je uiteenzetting, maar niet met de opmerking dat de beperkte tijd van een development team dit soort zaken in de hand werkt. Het implementeren van MD5/SHA kost niet meer moeite dan het implementeren van BCrypt. Developers zijn schijnbaar gewoon niet op de hoogte van de alternatieven/verschillen.

Het verschil tussen die bcrypt en MD5 is dat MD5/SHA hashes niet ontworpen zijn voor wachtwoorden, maar om zo snel mogelijk een grote hoeveelheid data te kunnen hashen (handig voor fingerprints van grote bestanden bijvoorbeeld). BCrypt is juist ontworpen om wachtwoorden veilig te hashen en slaat in 1 string ook salt, hash en een werkfactor op. Die werkfactor bepaald hoeveel cycles er gemaakt worden, dus kun je over de tijd ook de beveiliging van de wachtwoorden mee laten groeien. BCrypt is overigens gebaseerd op blowfish, hetgeen al berucht is om zijn inefficiënte keygeneratie. (zie ook)

En die moeilijkere implementatie? In Rails is het implementeren van een bcrypt password niet moeilijker dan het toevoegen van has_secure_password en een password_digest column voor je users. Ik neem aan dat dit voor vele andere frameworks niet anders in elkaar steekt.
Eens met je uiteenzetting, maar niet met de opmerking dat de beperkte tijd van een development team dit soort zaken in de hand werkt. Het implementeren van MD5/SHA kost niet meer moeite dan het implementeren van BCrypt. Developers zijn schijnbaar gewoon niet op de hoogte van de alternatieven/verschillen.
ACM doelt meer op het feit dat het lastig is om achteraf over te stappen op een betere encryptie/hashing methode. Veel sites bestaan al jaren, en de kennis/situatie van toen is vaak niet gelijk aan de kennis/situatie van nu.
P.s. Ik gebruik al sinds 2 jaar unieke salt keys per gebruiken dus in dat opzicht sprak ik ook. Je hebt in elk opzicht in ieder geval gelijk!
Nu ben ik benieuwd wat heeft het voor toegevoegde waarde om een salt per user te gebruiken. Deze staat dan vaak in dezelfde tabel als de hash. Voor brute force is dit volgens mij zinloos. Als je salt nu niet in de database stopt maar ergens anders en hackers krijgen toegang tot het een hebben ze nog niet per definitie het andere.

Kom je bij het volgende punt. Gebruik ze beide. Maar ja heeft dat weer zin? Je moet het ook niet moeilijk willen maken om het moeilijk maken naar mijn mening (als je begrijpt wat ik bedoel). Veiligheid voorop maar het moet wel meerwaarde hebben.
Een salt kan misschien ook een combinatie zijn van (een deel van) een email adres + gebruikers naam + .. andere gebruikers data. Daar een hash over, en dan weer een paar bits van die hash gebruiken als salt. Dan is het impliciet opgeslagen.
Zoiets deed ik in ieder geval destijds met een project voor mijn opleiding.
Nu ben ik benieuwd wat heeft het voor toegevoegde waarde om een salt per user te gebruiken.
Zorgen dat rainbow tables nutteloos zijn?

Als de methode van hashen bekend is Dat is ie; anders zit je bij security-through-obscurity en dat wil je al helemaal niet. Bovendien, als iemand je database kan dumpen dan kan ie vast ook wel je code vinden. en je hashes lekken uit dan lukt het toch wel om één specifiek account te kraken. Het beschermen van een, om welke reden dan ook, "interessant" account (president@whitehouse.gov, sergei@google.com, whatever) is extreem lastig. Als je een paar mafkezen hebt die de moeite erin willen steken (*kuch* anonymous *kuch*) dan wordt die hash toch wel gekraakt. Wat wel mogelijk is, is om te voorkomen dat het eenvoudig is om alle hashes te kraken.
Als je geen salt gebruikt en één keer MD5 er overheen haalt, dan zijn er mensen die de rainbow tables gewoon klaar hebben liggen. Als je een grote, interessante database hebt, dan zijn er mensen die de moeite erin willen steken om die rainbow tables aan te leggen zodra jouw database (en bijbehorende salt) uitlekt. Als je echter voor elke gebruiker een eigen salt gebruikt, dan moet er per gebruiker een rainbow table worden aangelegd (nou ja, in dat geval is het daadwerkelijk opslaan van de table zinloos, maar het punt blijft: dan moet elk account afzonderlijk gekraakt worden). In dat laatste geval moet het oorspronkelijke password wel heel interessant zijn, anders gaat niemand de moeite doen om één account te kraken. (Let op, uitzondering: als iemand je database kan stelen, dat geheim houdt en met een klein groepje aan het kraken slaat, dan is het password van een willekeurige admin opeens ook interessant, mits ze sneller kunnen kraken dan dat die admin zijn password wijzigt.)
Het gebruiken van een salt is/was vooral nuttig wanneer rainbow tables gebruikt worden, aangezien die met een salt compleet nutteloos zijn
Het mag natuurlijk niet maar het toont wel aan hoe slecht het gesteld is op internet. Misschien niet slecht bedoeld maar wel slecht gesteld.
Het mag natuurlijk niet maar het toont wel aan hoe slecht het gesteld is op internet.
Hangt er vanaf op welke manier het gebeurd, lees je eens in, in het verschil tussen hacken en cracken, wat overigens wel illegaal is (het cracken an sich dan :+). Zolang je dus niet weet of men Pepper.nl geholpen heeft met het dichten van het lek, kan je niemand schuldig verklaren.

Ik heb overigens eerder vanavond inderdaad de database online zien staan, met allemaal reacties van "Wat moet dit nou weer hier?!".

[Reactie gewijzigd door CH40S op 3 juli 2011 22:47]

"Zolang je dus niet weet of men Pepper.nl geholpen heeft met het dichten van het lek, kan je niemand schuldig verklaren."

het zou niet eens moeten kunnen.
dat het gebeurd is maakt alle betrokken partijen schuldig.

pepper (aan het slecht beveiligen)
de hackers (aan het hacken)
de internet providers (aan het niet blokkeren en niet kunnen traceren)
de regeringen (aan het aan de machteloos toekijken)

TRIEST gesteld met de hele situatie
Ik word er gewoon kwaad van, als mensen slechte zaken proberen goed te praten.
Ben met je eens dat het treurig is dat dit kan en dat Pepper zijn zaken niet goed op orde heeft. En dat de rol van de hackers dubieus is, ben ik ook met je eens.

Maar hoe je er in hemelsnaam bijkomt dat de regering en de ISP hier betrokken bij zouden zijn of hier zelfs wat aan hadden moeten doen, snap ik echt niet. Ongeacht hoe de hack is uitgevoerd (SQL injection over HTTP, open DB connectie, slecht beveiligde telnet/ssh verbinding, vul-zefl-iets-in), als jij wilt/zorgt dat dit mogelijk is, dan heeft de ISP hier toch niks mee te maken. Dit is echt de verantwoordelijkheid van Pepper zelf.

En de regering kan hier wel wetten tegen verzinnen maar als het de hacker zo makkelijk gemaakt wordt, is het dweilen met de kraan open. Ga er van uit dat ze niet heel veel moeite hebben gedaan voor deze hack want het is geen voor de hand liggend doelwit... Site is niet populair of berucht en er valt ook niet veel financieel voordeel te halen.
"
Ben met je eens dat het treurig is dat dit kan en dat Pepper zijn zaken niet goed op orde heeft. En dat de rol van de hackers dubieus is, ben ik ook met je eens.
"
dan zijn we het daar over eens.

"
Maar hoe je er in hemelsnaam bijkomt dat de regering en de ISP hier betrokken bij zouden zijn of hier zelfs wat aan hadden moeten doen, snap ik echt niet. Ongeacht hoe de hack is uitgevoerd (SQL injection over HTTP, open DB connectie, slecht beveiligde telnet/ssh verbinding, vul-zefl-iets-in), als jij wilt/zorgt dat dit mogelijk is, dan heeft de ISP hier toch niks mee te maken. Dit is echt de verantwoordelijkheid van Pepper zelf.
"

ik bedoel dat ISP's er betrokken in zouden moeten zijn. om door bv aanvallen naar hun klanten te detecteren en blokkeren en evt te loggen als het toch is gebeurd...als service naar hun klanten en om het internet veiliger te maken. hoe dat technisch zou moeten weet ik niet. Daar heb ik niet genoeg kennis voor. Al die opties van aanvallen die jij noemt moet je dus allemaal beveiligen.....pfffffff zijn er niet te veel protocollen en manieren van inloggen en verbinden etc waardoor een een soort wildgroei en onoverzichtelijk geheel is dat het internet heet? Dat valt toch niet meer te overzien en beveiligen. Moet er niet gewoon 1 protocol komen ipv van al die wildgroei?

En de regering zou iets in de wetgeving kunnen doen. Zou pepper niet een licentie kwijt kunnen raken zolang ze de zaakjes niet op orde hebben?

Maar even een andere gedachte. stel je wil en klein bedrijfje opzetten. Met een online service (winkel of wat dan ook) waar ook persoongegevens voor nodig zijn. Dan mag je met het huidige internet wel een erg dure specialist in de arm nemen. En dan is het waarschijnlijk nog niet veilig. Een klein bedrijfje heeft daar misschien niet eens het geld voor. resultaat of hij begint er niet aan. of weer een lekke online service erbij. Dat zou toch beter geregeld moeten zijn.
het zou niet eens moeten kunnen.
Aka: sluit het internet af, pas dan zou het niet meer kunnen, ware het neit dat anno 2011 het internet te groot is om zomaar af te sluiten... ;)
dat het gebeurd is maakt alle betrokken partijen schuldig.
Behalve de ISP imo, die is alleen verantwoordelijk voor de verbinding en eventueel de server (fysiek), SLA en Algemene Voorwaarden afhankelijk uiteraard.
de internet providers (aan het niet blokkeren en niet kunnen traceren)
de regeringen (aan het aan de machteloos toekijken)
Als je dingen blokkeerd, of de site dat doet, of de ISP, dan wordt de website of functionaliteiten op de website of server geblokkeerd, dat werkt dus ook niet. ;)
TRIEST gesteld met de hele situatie
Ik word er gewoon kwaad van, als mensen slechte zaken proberen goed te praten.
Ik praat het niet goed, ik zeg alleen dat niemand erover kan oordelen of het goed of slecht is, omdat daarover te weinig informatie bekend is. Vaak zijn (zeker in andere media dan t.net) altijd de hackers de boosdoeners en daardoor komt hacken in een kwaad daglicht te staan.

[Reactie gewijzigd door CH40S op 4 juli 2011 00:10]

Ik praat het niet goed, ik zeg alleen dat niemand erover kan oordelen of het goed of slecht is, omdat daarover te weinig informatie bekend is. Vaak zijn (zeker in andere media dan t.net) altijd de hackers de boosdoeners en daardoor komt hacken in een kwaad daglicht te staan.
Als er prive gegevens worden gepubliceerd deugt dat niet, dat is zo simpel als wat. Als je een site tot betere beveiliging probeert te bewegen en ze reageren niet, kan je publiceren dat ze een kwetsbaarheid hebben. Desnoods zelfs welke kwetsbaarheid. Maar gevoelige gegevens publiceren doe je gewoon niet als het je er om te doen is ze te beschermen. Dat zijn geen grey-hat hackers, dat zijn op z'n best vandalen.
Als er prive gegevens worden gepubliceerd deugt dat niet, dat is zo simpel als wat. Als je een site tot betere beveiliging probeert te bewegen en ze reageren niet, kan je publiceren dat ze een kwetsbaarheid hebben. Desnoods zelfs welke kwetsbaarheid. Maar gevoelige gegevens publiceren doe je gewoon niet als het je er om te doen is ze te beschermen. Dat zijn geen grey-hat hackers, dat zijn op z'n best vandalen.
Als die privé gegevens (want daar gaat het in dit geval om) zo gevoelig liggen, waarom zou je die dan delen in de eerste plaats met het open en grote boze internet? :? Als je niet wil dat die info gedeeld word, dan hoef je dat ook niet kenbaar te maken. :)

Natuurlijk zijn er ook andere mogelijkheden om een lek aan het licht te brengen, zoals naar de media stappen en dergelijken, maar zal dat effect hebben? Ik denk het niet. Nu krabt het management achter hoofd en besluit dat de beveiliging beter moet en is het geen optie meer (wat het dan wel zou zijn geweest).

[Reactie gewijzigd door CH40S op 4 juli 2011 20:44]

"
Aka: sluit het internet af, pas dan zou het niet meer kunnen, ware het neit dat anno 2011 het internet te groot is om zomaar af te sluiten...
"
Als ik je goed begrijp stel jij dat het internet is zooo lek is, de enige manier om veilig te doen, is door het niet te doen. Dan is het nog erger dan ik al dacht :(

"
Behalve de ISP imo, die is alleen verantwoordelijk voor de verbinding en eventueel de server (fysiek), SLA en Algemene Voorwaarden afhankelijk uiteraard.
"

maar mogen die ISP's hun handen dan in onschuld wassen?
ik vind dat zij ook een verantwoordelijkheid hebben.
naar mijn idee zou een ISP bijvoorbeeld virussen en kinderporno etc buiten de deur van hun klanten moeten houden. (Een auto komt ook standaard met een airbag) T'is even een hele extreme gedachte, dat weet ik. maar ik probeer even buiten het doosje te denken. Als je dit probleem wilt aanpakken dan moeten naar mijn idee ALLE partijen meewerken... ook de ISP's.

"
Als je dingen blokkeerd, of de site dat doet, of de ISP, dan wordt de website of functionaliteiten op de website of server geblokkeerd, dat werkt dus ook niet.
"
ik bedoel de hacker blokkeren, niet de website natuurlijk.
Of zit het systeem zo slecht in elkaar dat dat niet kan?

"
Ik praat het niet goed, ik zeg alleen dat niemand erover kan oordelen of het goed of slecht is, omdat daarover te weinig informatie bekend is. Vaak zijn (zeker in andere media dan t.net) altijd de hackers de boosdoeners en daardoor komt hacken in een kwaad daglicht te staan.
"

ik stel ook niet dat alleen de hackers de boosdoeners zijn.
ik stel alleen dat het internet een zwak systeem is op gebied van beveiliging en dat alle betrokken partijen daar een aandeel in hebben.

ps. hoe maak ik die mooie blok verwijzingen naar teksten uit andere posts?
[quote]
.....kan je niemand schuldig verklaren.
/quote]
De hacker dan toch wel. Moet je eens doen: op een willekeurig groot parkeerterrein aan de deuren en kleppen van alle auto's gaan rommelen. En dan eens kijken of dat op prijs wordt gesteld. Die gassies hebbe toch bewust het voornemen een site te kraken. Niet uit nobele gevoelens.
nou, ik ben het wel met je eens...

of het nu dit naampje of dat naampje of die of die andere techniek is boeit niet..... dat er zo regelmatig van alles via internet gehacked wordt is gewoon triest... punt.
ook triest vind ik dat de hackers niet te traceren zijn... tzou gewoon terug te herleiden moeten zijn wie of op zijn minst welke computer erachter zit... dat dat niet kan, kan niks anders betekenen dat het internet niet lekker in elkaar zit.

en jaaaa maar ze hebben vals gespeeld met die techniek en daarom kan dat niet.
NOU EN ?! dan is het gewoon een zwak systeem als dat kan. Ook al hebben die bedrijven de zaakjes niet voor elkaar, dan zouden de service providers je zo moeten kunnen vertellen wie en waar dat was.... "ja maar dat is via een proxy en internationaal blabalbalblabla...." dus het is allemaal goed te praten omdat het zwakke internet systeem dat niet kan ??? je gaan verstoppen achter allemaal pietpraat en met technische termen aan komen zetten..... ik hoef niet te weten hoe en wat het precies in elkaar steekt. het kan gekraakt, dus is het niet goed....

en jaaaaa is vast allemaal hun eigen schuld want dan hadden ze die en die beveiliging moeten doen.. NOU EN ?!!! maakt dat die klanten wat uit? Is het de gebruikers / ps3 gamers te verwijten? nee, blijkbaar doen veel bedrijven het niet goed en DUS is het slecht gesteld met de veiligheid op het internet.... en wiens schuld dat is maakt niet uit.

En al die beveiliging experts kunnen allemaal mooi lullen en met termen smijten en ons dom noemen. maar die systemen blijven gekraakt worden.. en dat is hun aan te rekenen, niet ons.

en dan moeten wij ons inlezen ? laat die technische mensen die de veiligheid moeten garanderen zich eens inlezen. dat de veiligheid bij het bedrijf zelf wordt neergelegd is naar mijn idee al fout.... de grote providers en internetknooppunten zouden die gasten zo moeten kunnen traceren en oppakken...

en of ze nou aardig zijn en lief en niks ergs met die gegevens hebben gedaan maakt me ook niks uit... die nuance van wat wel en niet mag qua hacking moet er helemaal niet zijn..... ik kan ook wel met goede bedoelingen en met veel liefde snoepjes stelen... maakt dat het goed of legaal? nee !!!! ze hebben gewoon van die server af te blijven. en als hacken of cracken niet illegaal is.. moeten ze dat snel illegaal maken.

ik zal nu wel voor dom ofzo uitgemaakt worden.. maar boeit me niet.
zolang die shit nog allemaal te kraken is, hebben we ook geen ene reet aan die zogenaamde "experts" die mij dom noemen.
of het nu dit naampje of dat naampje of die of die andere techniek is boeit niet..... dat er zo regelmatig van alles via internet gehacked wordt is gewoon triest... punt.
ook triest vind ik dat de hackers niet te traceren zijn... tzou gewoon terug te herleiden moeten zijn wie of op zijn minst welke computer erachter zit... dat dat niet kan, kan niks anders betekenen dat het internet niet lekker in elkaar zit.
Je laat gewoon zien dat je weinig kennis van zaken hebt. Op het internet is er nu eenmaal geen digitale vingerafdruk, waarmee je jezelf kan identificeren... ;) Overigens betwijfel ik het nut daarvan, aangezien alles te kraken en te spoofen is.
en jaaaa maar ze hebben vals gespeeld met die techniek en daarom kan dat niet.
Zou jij dat niet doen dan, als jij een site zou hacken? :?
NOU EN ?! dan is het gewoon een zwak systeem als dat kan. Ook al hebben die bedrijven de zaakjes niet voor elkaar, dan zouden de service providers je zo moeten kunnen vertellen wie en waar dat was.... "ja maar dat is via een proxy en internationaal blabalbalblabla...." dus het is allemaal goed te praten omdat het zwakke internet systeem dat niet kan ???
Heb je je wel eens verdiept in de geschiedenis van internet? :? Zo te lezen niet, want dan had je wel beter geweten. Met name over het ontstaan van het internet heb ik het dan.
je gaan verstoppen achter allemaal pietpraat en met technische termen aan komen zetten..... ik hoef niet te weten hoe en wat het precies in elkaar steekt. het kan gekraakt, dus is het niet goed....
Elke beveiliging is te omzeilen, hoe sterk je die ook maakt en hoe lang het dan vervolgens duurt.
en jaaaaa is vast allemaal hun eigen schuld want dan hadden ze die en die beveiliging moeten doen.. NOU EN ?!!! maakt dat die klanten wat uit? Is het de gebruikers / ps3 gamers te verwijten? nee, blijkbaar doen veel bedrijven het niet goed en DUS is het slecht gesteld met de veiligheid op het internet.... en wiens schuld dat is maakt niet uit.
Bij wie de schuld ligt, dat maakt idd niet uit, maar punt is wel, dat als het systeem gekraakt is, dat dan wél de gegevens van de klant op straat liggen en dat zal de klant zeker een zorg zijn!
En al die beveiliging experts kunnen allemaal mooi lullen en met termen smijten en ons dom noemen. maar die systemen blijven gekraakt worden.. en dat is hun aan te rekenen, niet ons.
Dus een beveiliging expert is verantwoordelijk voor de infrastructuur en inrichting van een ICT omgeving van een ander? :? Lekker bezig kerel... ;)
en dan moeten wij ons inlezen ? laat die technische mensen die de veiligheid moeten garanderen zich eens inlezen. dat de veiligheid bij het bedrijf zelf wordt neergelegd is naar mijn idee al fout.... de grote providers en internetknooppunten zouden die gasten zo moeten kunnen traceren en oppakken...
Wie heeft die infrastructuur gemaakt en onderhouden bij een bedrijf of wat dan ook? Dat is dan toch de ICT afdeling aldaar of niet dan? Dus wat je hier nu allemaal schrijft... Dat raakt kant noch wal. ;)
en of ze nou aardig zijn en lief en niks ergs met die gegevens hebben gedaan maakt me ook niks uit... die nuance van wat wel en niet mag qua hacking moet er helemaal niet zijn..... ik kan ook wel met goede bedoelingen en met veel liefde snoepjes stelen... maakt dat het goed of legaal? nee !!!!
Waar staat dat het goed of legaal is? :? Je weet de details niet en zolang je die niet weet, kun je niet oordelen!
ze hebben gewoon van die server af te blijven. en als hacken of cracken niet illegaal is.. moeten ze dat snel illegaal maken.
Hacken is legaal, cracken is dat niet, valt onder computerhuisvredebreuk geloof ik.
ik zal nu wel voor dom ofzo uitgemaakt worden.. maar boeit me niet.
zolang die shit nog allemaal te kraken is, hebben we ook geen ene reet aan die zogenaamde "experts" die mij dom noemen.
Er zal altijd een mogelijkheid zijn om dingen te kraken, hacken of cracken, dat zal nooit of te nimmer verdwijnen, net als bugs uit software nooit verleden tijd zal zijn. In feite is een exploit namelijk gewoon niets anders dan een bug, waar je misbruik van maakt.

[Reactie gewijzigd door CH40S op 4 juli 2011 00:45]

yoyo,

leuke discussie wel :D no hard feelings daarover. dat was ook de bedoeling van m'n post. Deze reactie had ik ook al verwacht.

"
Je laat gewoon zien dat je weinig kennis van zaken hebt. Op het internet is er nu eenmaal geen digitale vingerafdruk, waarmee je jezelf kan identificeren...
"

Dat internet geen digitale handtekening heeft, bevestigd alleen maar mijn punt.
"zwak systeem" Ik beweer ook niet de oplossing te hebben... ik constateer dat alleen. dat ik weinig (vergeleken met velen van tweakers members) kennis van zaken heb omtrent www. dat klopt. dat geef ik ook toe.
het enige wat ik stel is dat het systeem van internet zo lek als een mandje is.
ik baseer dat niet op technische kennis maar op het feit dat het zo vaak misgaat.

"Zou jij dat niet doen dan, als jij een site zou hacken? "
ik zou geen enkele site hacken

"Elke beveiliging is te omzeilen, hoe sterk je die ook maakt en hoe lang het dan vervolgens duurt."

juist!!! precies mijn punt. Daarom kun je je afvragen of we wel goed bezig zijn door al die systemen met persoonsgegevens aan het internet te koppelen. precies. Daarom vraag ik me ook af of de ISP's en de regering hier geen rol in moet spelen...
het gaat toch om bv betalingsverkeer etc.
zou een ISP een hack/attack niet kunnen detecteren en dan bv dat IP blocken en de politie af wat dan ook alarmeren? Het zijn gewoon dingen die ik me afvraag.
Dat zou een rol van ISP's en de staat kunnen zijn.

"Dus een beveiliging expert is verantwoordelijk voor de infrastructuur en inrichting van een ICT omgeving van een ander? Lekker bezig kerel... "
Nou nee, maar wel voor dat systeem wat hij beheerd of beveiligd heeft lijkt me toch?

"Hacken is legaal, cracken is dat niet, valt onder computerhuisvredebreuk geloof ik."
aiaiaght

"
Er zal altijd een mogelijkheid zijn om dingen te kraken, hacken of cracken, dat zal nooit of te nimmer verdwijnen, net als bugs uit software nooit verleden tijd zal zijn. In feite is een exploit namelijk gewoon niets anders dan een bug, waar je misbruik van maakt.
"

Dat begrijp ik ook. ik maak zelf ook firmware waar heeeeeel af en toe een foutje in zit.
In het vakgebied waar ik in zit zijn geen persoonsgegevens of andere waardevolle info te vinden. Ik kan nl die veiligheid niet garanderen en daarom maak ik die systemen ook niet. De vraag is "als anderen dat ook niet kunnen, hoe slapen die lui dan nog lekker?" "En durf ik nog wel met creditcard online iets te kopen?" Hoe meer dit soort dingen blijven plaatsvinden hoe minder vertrouwen mensen erin hebben. Dat is toch slecht voor alle partijen. Daarom vind ik het de hoogste tijd dat er iets aan gedaan moet worden... Maar hoe dat is de grote vraag. ik heb de antwoorden ook niet.

nogmaals ik constateer alleen dat het nu niet goed geregeld is.

dank voor de discussie,
groet
.. tzou gewoon terug te herleiden moeten zijn wie of op zijn minst welke computer erachter zit... dat dat niet kan, kan niks anders betekenen dat het internet niet lekker in elkaar zit.
Nou zie je toch wat belangrijks over het hoofd. Misschien is het wel een zwakte van het internet, maar het is tegelijk ook de enorme kracht van het internet: zonder dat zou het web door overheid en industrie gecontroleerd worden.

Denk je eens in dat iedere oproep voor een demonstratie in pakweg Syrie of Wit-Rusland te traceren zou zijn. Als alles traceerbaar is, is ook alles traceerbaar, niet alleen de dingen waar jij het niet mee eens bent.
goed punt. Zo had ik er nog niet tegen aan gekeken. het sterke punt is ook meteen het zwakke punt.... anoniem meningen posten maar ook anoniem hacken.
Tja. Dieven mogen ook niet stelen maar het gebeurt wel en op het moment dat het gebeurt moet je je beschermen. Dus de ontwikkelaars moeten hun sites beter maken netzoals een bank camera's heeft. Het is jammer dat het moet maar het is nodig!
Het publiceren van persoonsgegevens niet slecht bedoeld? Ik dacht het wel. Ze hadden ook aan kunnen tonen dat ze de website gehacked hebben om zo de beheerders bewust te maken van het beveiligingsprobleem. In plaats daarvan gingen ze een flinke stap verder door persoonsgegevens openbaar te maken.
Het is ook slecht gesteld met de diefstalbeveiliging in veel huizen, slecht hang en sluitwerk, duidelijk als iemand op vakantie is. Dat is echter geen vrijbrief om even in te breken om te laten zien dat het huis slecht beveiligd is.

Het is jammer dat het woord hackers op vele manieren gebruikt en misbruikt wordt. Je hebt ethische hackers die problemen willen laten zien.

Dit zijn gewoon criminele hackers die een databse online zetten. Wil je een punt maken dan hack je de boel maar gooi je geen gegevens op straat. Doe je dat toch dan ben je gewoon crimineel.
En inderdaad, het enige wat ik de laatste tijd hoor is hack dit, hack dat... gegevens hier, daar, overal gepubliceerd :P Begint erg op te vallen.
Het is natuurlijk ook een kwestie van hoeveel aandacht er aan geschonken wordt (door de media). Nu alles digitaal moet gaan en veel ook digitaal gaat, is het alleen maar een kwestie van tijd voordat je niets anders meer hoort. ;)

[Reactie gewijzigd door CH40S op 4 juli 2011 00:46]

Er staan toch gewoon namen en e-mail adressen in. Ik heb nu al twee vage kennissen gevonden die een account hebben. Niet dat mij dat wat boeit, maar lijkt me voor hun niet echt relaxt.

Overigens vind ik het hacken net zoiets als bij iemand inbreken en spullen jatten. Snap niet echt dat er begrip voor getoond wordt op sommige plaatsen. Een geoefende inbreker kan ook in bijna elk huis inbreken. Hadden die mensen hun huis dan ook maar beter moeten beveiligen?

[Reactie gewijzigd door FicoF op 3 juli 2011 17:07]

elke verzekeraar zal je dat antwoord kunnen geven: JA
Ik vind dit allemaal te ver gaan.
Dit gaat allemaal voorbij de doelen van Anonymous.

Hacken is kijken naar lekken in het beveiligingssysteem, en de beheerders ervan inlichten.
Dit zijn gewoon een aantal zielige scriptkiddies waar ik geen respect voor kan op brengen.
De beheerders inlichten is schijnbaar niet genoeg om ze erop te wijzen dat veel websites onveilig zijn. Na dit soort incidenten gaan beheerders zelf ook maar eens kijken of hun site wel veilig is in plaats van dat hackers dat volgens jou maar moeten doen.
Het is bij deze kiddies zelfs niet de intentie van problemen aan te tonen maar gewoon dat ze het kunnen. Er is geen enkele noodzaak om de privégegevens van 53000 mensen op straat te gooien. Als je ook maar een beetje eer hebt dan publiceer je slechts een deel van de naam en het e-mail adres en laat je de wachtwoordhashes achterwege.

Dit is gewoon aandacht willen trekken, tonen dat jij er ook bij kan horen. Dat je e-dick niet zo klein is als anderen denken.
En dat baseer je op welke feiten precies?

"Ze zeggen dat ze het doen om dingen aan te tonen, maar ik weet wel beter, want ik ben alwetend!" enzo.
De publieke feiten spreken toch voor zich?

Wat zij beweren is totaal onbelangrijk, het gaat om hun acties. USA kan ook wel beweren Irak binnen te vallen om dat land van een wrede dictator te verlossen en vrijheid te brengen, als het om publieke daden gaat tellen alleen de feiten en de argumenten, niet de voorgespiegelde intenties.

En die feiten spreken niet voor deze groep. En ook niet voor de andere groepen cybercriminelen en scriptkiddies die laatste weken met hun sloopwerk zoveel vernieling hebben aangericht.

In tegenstelling tot de werkwijze van deze bandieten vallen er bij de acties van hackers weinig tot geen slachtoffers, en zeker niet bij de gebruikers van een slecht beveiligde site. Dit is een simpele morele regel van hackers die uit activisme beveiligingsproblemen aan de kaak stellen. Die is hier niet gevolgd en daarom zijn het ook geen hackers maar gewoon scriptkiddies of vandalen, die vallen imho in dezelfde, weinig eervolle categorie als virusschrijvers, spammers en nigeriaanse scammers.
Dat arbitraire "morele regels" niet worden gevolgd, wil niet zeggen dat iemands bedoelingen direct anders zijn.

Mijn punt hier was niet beweren dat het allemaal "voor het goede doel is", aangezien je dat helemaal niet kunt weten (immers, de bewering is dat het wel zo is, terwijl wat er gebeurd is in de andere richting wijst, echter het niet direct tegenspreekt). Het punt wat ik probeerde te maken is dat ik een beetje moe wordt van mensen die zich gedragen alsof ze alwetend zijn, en precies weten wat er in iedere persoon waar ze over lezen, om gaat. Je kunt het in dit geval simpelweg niet weten, dus beweer niet dat je het wel weet.

Tenzij je iets kunt onderbouwen met harde feiten (en dus niet persoonlijke interpretaties) kun je simpelweg niet als een feit presenteren dat ze liegen. Je kunt het best vermoeden, en ervan overtuigd zijn dat dat het geval is, maar dat betekent niet dat je het zomaar als feit kunt neerzetten.
Oke, je hebt gelijk als het gaat om wat Blokker_1999 letterlijk zegt, ik geef toe dat ik daar een beetje snel overheen las. Ik wordt zelf namelijk moe van het rechtvaardigen van wangedrag met goede intenties :)
Mja, je weet inderdaad nooit zeker wat er in iemand anders hoofd om gaat, maar je kunt wel een redelijke educated guess maken hoor. Op zijn minst denken deze klojo's niet echt al te hard na over de gevolgen van hun acties, of als ze dat wel doen hebben ze een chronisch tekort aan een geweten.
Helemaal mee eens (T.net moet een 'thumb up'-systeem invoeren) maar dit is ook AnonymousIRC, dus;
- De naam van Anonymous enz enz
- De doelen van één of andere dubieuze partij (Lulzsec-achtig iets)
Anonymous heeft geen vastgestelde doelen.
Ik kan me niet voorstellen dat deze actie op enig begrip kan reken en het is ook niet echt 'for the lulz'. Toekomstige acties van Anonymous die mogelijk wel ergens over gaan zullen op deze manier ook op minder sympathie kunnen rekenen. Er kleeft nu meer een soort baldadigheid aan de naam. Een site van een kerk hacken, een betaal pornosite en nu weer een datingsite.

[Reactie gewijzigd door ChicaneBT op 3 juli 2011 15:31]

Baldadigheid is het verkeerde woord, er is niets kapot gemaakt. Het is meer een soort waarschuwing lijkt me; Iedere hobbyist kan een website in elkaar zetten, security in de wind slaan, en wij vertrouwen ze klakkeloos onze gegevens toe.

Doen dit soort clubjes niets, dan pruttelt alles rustig door en gaat het een keer goed mis. Soms moet je iets kapot maken om het te verbeteren.
Baldadigheid is het verkeerde woord, er is niets kapot gemaakt.
Nee, niks kapot gemaakt nee, alleen de reputatie en de business voor deze datingsite, en potentieel het vertrouwen van de gemiddelde internetter om uberhaupt nog iets op het net te zetten.

Als het de bedoeling is om 'awareness' te kweken en de vinger op een zere plek te leggen - en dat die er is zal niemand ontkennen - dan zijn er minder destructieve manieren om de aandacht te krijgen.
Antisec beweert dat de wachtwoorden in het bestand dat het niet gesalt zouden zijn, maar ik kom niet op de hash in het bestand uit. Hopelijk is men toch zo slim geweest om een salt toe te passen.
Precies mijn observatie. Rainbowtables geven me ook geen geluk.

Wie stelt zich beschikbaar voor een brute-force? :P
Klopt. Lijkt erop dat er een sitewide salt is gebruikt (of een ander soort transformatie anders dan simpelweg md5).
Het wordt eens tijd dat de politie wat meer online gaat opereren, er gebeurd nagenoeg niks tegen hackers/crackers/kiddies of hoe je ze ook wil noemen.
En tegen bedrijven die slordig met persoonsgegens omspringen gebeurt al helemaal niks. :(

[Reactie gewijzigd door Vorlon_Kosh op 3 juli 2011 17:33]

Het wordt eens tijd dat mensen meer gaan leren over beveiligingen online. Alles wordt aan 'die technici' overgelaten, liefst zo goedkoop mogelijk. Meer politie is de oplossing niet, meer algemene kennis, en een degelijke controle op huidige beveiliging door de verantwoordelijken wel.
Nou ook even gekeken maar mijn gegevens staan er (gelukkig) niet in. De database is dus wel al een tijdje oud.

Meteen maar mijn wachtwoord veranderd naar iets randoms en account verwijderd. Wel erg slecht dat Pepper de gegevens (inclusief wachtwoorden) bewaard na verwijdering.
Ah, dat is interessante informatie. Vertel eens, wanneer ongeveer ben jij op die site begonnen? Daarmee is de minimale leeftijd van die data te achterhalen.
Om precies te zijn 25 juni. Dat is de datum waarop ik een registratiebevestiging heb gekregen.

Wellicht dat ik mezelf even opnieuw registreer onder hetzelfde mail adres en dan vervolgens een update doe op mijn mailadres. Ik mag aannemen dat er louter een update-statement gerund wordt op die mailadressen of zouden ze ook historie bijhouden van username / pass / mailadressen.
De eerste hash in het lijstje is op 21 mei op een website geplaatst om gecrackt te worden, dus de lijst is in ieder geval zo oud, aangezien het onwaarschijnlijk is dat die hash ergens anders vandaan komt.
Er is helemaal geen gerichte aanval, er worden automatsich duizenden pogingen tot SQL injecties of andere hacks gedaan op willekeurige sites en als er eentje raak is kraait men victorie.

En wordt beloond met een Tweakers nieuwsvermelding.
Precies. Don't feed the trolls, maar dan toegespitst op dit soort lame hacks. De nieuwswaarde is laag, de sensatiefactor is hoog. Ik hoef niet elke keer zo uitgebreid te lezen hier dat er ergens een script-kiddie met succes een database op zijn scherm heeft gehad. Alle reacties zijn ook steeds weer hetzelfde.
Het lijkt wel alsof er wekelijks één of andere website word gehackt, je kan me een doemdenker vinden, maar volgens mij is er meer aan de hand, ook hoe dit allemaal in de media komt.
Dit is goed voor Sarkozy en consorten (Europese Unie, VS, etc.), zo kunnen ze weer nieuwe wetten invoeren net gelijk toen met de aanslag op de twin towers, alles deed men om het terrorisme tegen te gaan en alles veiliger te maken, maar de burger moet wel aan privacy inboeten.
Nee, dit is louter een sociologisch fenomeen. Net als muziekstijlen en kledingstijlen ineens kunnen opbloeien, is nu een competitieve cultuur aan het opkomen waar het de sport is voor hackers sites te defacen en publiekelijk te vernederen met alle gevolgen van dien. Vervolgens gieten ze dit in het vat van 'vrij internet' en 'sticking it to the man', om zo sympathie te wekken bij naïeve mensen. Veel mensen trappen hier in en zetten ze in gedachte onterecht in het vrijheidsstrijdersconclaaf van o.a. Wikileaks. Een psychologisch doorontwikkelde vorm van trollen dus.

Dat SQL injecties welig tieren in (vooral in scripttalen met lage leercurve) wist iedereen al, performance en scalability zijn immers ondergeschoven kindjes bij veel projecten omdat ze niet direct financieel converteerbaar resultaat opleveren. Dat zal nu wel veranderen met al deze publiciteit, dus dat is eigenlijk het enige voordeel van dit hele gedoe.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True