Databaseserver LotrO was toegankelijk voor anonieme gebruikers

De database met accountgegevens en het officiële forum van Lord of the Rings Online bleken zonder inloggegevens via het internet toegankelijk. Ook was het forum vatbaar voor sql-injectie. Ontwikkelaar Turbine heeft beide offline gehaald.

Gebruiker 'freundlich' van het onofficiële LotroCommunity-forum ontdekte dat de accountdatabase van de mmog Lord of the Rings Online vatbaar was voor sql-injectieaanvallen. De database werd voor zowel het spel als het officiële forum gebruikt en bevat onder meer gebruikersnamen, md5-hashes van wachtwoorden, ip-adressen en persoonsgegevens. Er zouden ook betalingsgegevens beschikbaar zijn. Gebruiker Amrundir ontdekte dat de database ook via het internet voor iedereen toegankelijk was.

De gebruiker heeft het lek gemeld bij ontwikkelaar Turbine, die de database en het forum offline heeft gehaald. Via Twitter meldt Turbine slechts dat het forum momenteel niet beschikbaar is. Ook de fora van Asheron's Call en Dungeons & Dragons Online, die eveneens uit de stal van Turbine komen, zijn momenteel niet beschikbaar.

Turbine introduceerde in december 2009 de uitbreiding Siege of Mirkwood en nam daarbij een nieuwe communitywebsite in gebruik. Bij deze nieuwe website werden gamers gedwongen om dezelfde gebruikersnaam-wachtwoordcombinatie te gebruiken voor het spel en het forum, iets waarvoor de ontwikkelaar kritiek kreeg te verduren. Turbine nam op 1 juni het beheer van de Europese LotrO-servers over van Codemasters en voegde deze samen met zijn Amerikaanse servers en diensten.

LotrO-hack LotrO-hack

Door Bart de Water

Nieuwsposter

Feedback • 12-10-2011 14:35 52

12-10-2011 • 14:35

52

Lees meer

Lord Of The Rings Online - Mines Of Moria

geen prijs bekend

4 van 5 sterren
Lord Of The Rings Online - Mines Of Moria - Compilation Edition

geen prijs bekend

4 van 5 sterren
Turbine sluit servers van Asheron's Call-mmorpg's
Turbine sluit servers van Asheron's Call-mmorpg's Nieuws van 21 december 2016
Lord Of The Rings Online - Mines Of Moria - Special Edition

geen prijs bekend

1 van 5 sterren
Lord Of The Rings Online - Shadows Of Angmar

vanaf € 14,-

3 van 5 sterren

Alles over dit product

Warner Bros. kondigt Middle Earth: Shadow of Mordor aan
Warner Bros. kondigt Middle Earth: Shadow of Mordor aan Nieuws van 13 november 2013
Turbine stelt Lotro-uitbreiding Riders of Rohan uit tot 15 oktober
Turbine stelt Lotro-uitbreiding Riders of Rohan uit tot 15 oktober Nieuws van 23 augustus 2012
Tivoli gaat aangifte doen tegen hacker - update
Tivoli gaat aangifte doen tegen hacker - update Nieuws van 19 december 2011
Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen
Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen Nieuws van 18 december 2011
E3: Lotro-uitbreiding Rise of Isengard verschijnt op 27 september
E3: Lotro-uitbreiding Rise of Isengard verschijnt op 27 september Nieuws van 7 juni 2011
Turbine gaat Europese Lotro-servers zelf beheren
Turbine gaat Europese Lotro-servers zelf beheren Nieuws van 26 april 2011
Codemasters breidt Lotro uit met Rise of Isengard
Codemasters breidt Lotro uit met Rise of Isengard Nieuws van 19 november 2010
Free-to-play Lord of the Rings Online verdubbelt omzet
Free-to-play Lord of the Rings Online verdubbelt omzet Nieuws van 10 oktober 2010
Lord of the Rings Online wordt gratis speelbaar
Lord of the Rings Online wordt gratis speelbaar Nieuws van 18 augustus 2010
Warner Bros. koopt Lotro-ontwikkelaar Turbine
Warner Bros. koopt Lotro-ontwikkelaar Turbine Nieuws van 21 april 2010
Meer producten en artikelen
Gaming Games Privacy Websites en community's Codemasters Beveiliging Hackers Mmog Online gaming Pc-game Rpg

Reacties (52)

-Moderatie-faq
52
49
33
7
0
8
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 12 oktober 2011 15:33
Wie in godsnaam zet de mysql poort direct open naar 0.0.0.0, ik kan hier niet eens een redenen voor bedenken. Dit hele verhaal heeft niks met mysql injecties te maken.
J.J.J. Bokma @Verwijderd12 oktober 2011 19:27
Hoe dat in de praktijk gaat: hij doet het niet, laten we de firewall rule weghalen. Doet het nog niet, laten we nog wat instellingen wijd open zetten. Pruts, pruts.... hij doet het. Ik zie dat regelmatig, helaas. Meestal is de firewall het eerste wat "open gezet" wordt. Oh, en rebooten van de hele server, uiteraard. (Inplaats van een simpele reload/restart van de service).

Daarnaast zie ik bij MySQL (e.d.) vaak dat een stuk software met een gebruikers deel en een admin deel precies 1 gebruiker heeft, met *alle* rechten...
casparz @J.J.J. Bokma12 oktober 2011 20:50
Zo herkenbaar inderdaad. En dan het commentaar: "Maar hij doet het nu toch..."
MueR Admin Discord
@Verwijderd12 oktober 2011 15:45
Als ik een gok moet doen, hebben ze dit gedaan om makkelijker de databases op de live servers te kunnen beheren. Dat ze een dergelijke toegang vervolgens ook voor de anonieme user toekennen is natuurlijk van de zotten.
Faure 12 oktober 2011 14:39
Kijk zo kan het ook. Je vindt een lek, je meldt het aan de ontwikkelaar zonder schade te berokkenen en vertelt nadat het niet meer toegankelijk is dat je het hebt gevonden om eventueel een eervol klopje te krijgen. Honderd keer beter dan alle gegevens online te gooien als een soort 'kijk ons eens stoer/geniaal/toonaangevend zijn!'.
MueR Admin Discord
@Faure12 oktober 2011 14:44
Nee, zo ging het niet. Die jongen kreeg geen reactie op zondagavond in-game, geen reactie na het inseinen van de admins via email, geen reactie op emails naar support. Zijn topic hierover op het officiele forum werd getrashed zonder uitleg, zoals gewoonlijk. Pas toen het op LOTROCommunity.com werd gepost en een van de community managers werd ingeseind, is de boel per direct offline gehaald en werd het lek gedicht. Hij wilde eerlijk en integer zijn, maar het bedrijf Turbine hielp niet mee.

Behalve dat detail heb je gelijk ja :)

[Reactie gewijzigd door MueR op 22 juli 2024 19:59]

mrdemc @MueR12 oktober 2011 15:07
Maakt in principe niet uit. Het komt op hetzelfde neer: Deze hacker verdient een schouderklopje voor z'n manier van werken en het geduld waarmee hij/zij de ontwikkelaars heeft willen waarschuwen.
Marijn_ @mrdemc12 oktober 2011 15:27
Ik vind hacker al een groot woord voor iemand die merkt dat een database gewoon niet beveiligd is (want anoniem toegankelijk).
Iemand die een open staande kluis vindt is toch ook geen kluizenkraker?

Hoe dan ook goed dat hij geprobeerd heeft het netjes bij het bedrijf te melden.
En dan nu maar eens het password daar gaan wijzigen *zucht*
MueR Admin Discord
@Marijn_12 oktober 2011 15:31
Je moet de definitie van hacker even goed nalezen :) Een hacker is niet altijd een inbreker met kwade zin.
Marijn_ @MueR12 oktober 2011 15:34
Ik ben me ervan bewust dat er geen kwade bedoelingen vereist zijn.
Uit jou link is de meest passende beschrijving echter "Iemand die tracht om via andere dan de officiële wegen een computersysteem binnen te dringen teneinde een beveiligingsprobleem te kunnen aantonen en mogelijk verhelpen" en ik vind dit dus nogal vergezocht voor iemand die niets hoeft te doen om binnen te dringen omdat de deur al open staat ;)
Beetje hetzelfde als degene die voor de miljoenennota 2010 in 2011 veranderde in de URL, is dat nou een hacker?
Anyway, off topic ^_^

[Reactie gewijzigd door Marijn_ op 22 juli 2024 19:59]

Tokkes @Marijn_12 oktober 2011 18:06
en ik vind dit dus nogal vergezocht voor iemand die niets hoeft te doen om binnen te dringen omdat de deur al open staat
Doet me denken aan "gehackte" hotmail-accounts in m'n kennissenkring een tijdje terug. Blijkt dat ze dan als geheime (?) vraag hebben: "Wie is mijn favoriete tovenaarsleerling?"

Tja, hoeveel tovenaarsleerlingen zijn er waarover 7 succesvolle boeken zijn geschreven? :D

Zo'n mensen troggel ik met plezier hun geld af om hun "PC" te "beveiligen". En dan durven ze het "gehackt" noemen, zOMG.

Een slotenmaker komt ook niet gratis nieuwe sloten installeren omdat jij je sleutel met een adreslabel eraan hebt laten rondslingeren.

[Reactie gewijzigd door Tokkes op 22 juli 2024 19:59]

Wolfos @MueR12 oktober 2011 17:51
Nee, maar iemand die ziet dat de deur openstaat is ook niet meteen een beveiligingsexpert ;)
Rockvee2 12 oktober 2011 14:49
Ik zal niet verbaasd opkijken als tweakers vatbaar is voor sql-injecties. Zoveel websites die lek zijn.
Kees BOFH @Rockvee212 oktober 2011 14:56
Ik zou er wel van opkijken, en ik zou het graag willen weten (en er dan ook op reageren uiteraard).
NMe @Rockvee212 oktober 2011 14:56
Ik zie niet in hoe dat relevant is. Zoals curry684 hierboven al zegt is dit nogal wat erger dan een simpele SQL-injectiefout. Het is volledige en onvoorwaardelijke toegang tot elk stukje data in de database. Persoonsgegevens, betalingsgegevens, wachtwoorden, de hele mikmak. Veel succes met dat voor elkaar krijgen bij Tweakers. :z
Verwijderd @NMe12 oktober 2011 14:58
Ik zeg ook niet dat iedere SQL openstaat voor een -A connectie, :)
Maar inderdaad, dit is gewoon een grove fout.
AndrewF @Verwijderd12 oktober 2011 19:52
Natuurlijk niet. Als je een degelijk ORM library correct gebruikt zoals ActiveRecord dan is je website gewoon niet vatbaar voor SQL injections.

Elke zichzelf respecterende web developer moet uiteraard op de hoogte zijn van web app exploits en de security guide van het gebruikte framework.
-GSF-JohnDoe 12 oktober 2011 14:49
md5-hashes van wachtwoorden
Jammer dat dit nog steeds gebruikt wordt, MD5 is al lang niet meer veilig als wachtwoordhash.
Mellow Jack @-GSF-JohnDoe12 oktober 2011 15:02
Ligt eraan wat je wachtwoord vereisten zijn. Bij een verplichting van minimaal 1 hoofdletter, 1 normale letter, 1 cijfer en 1 raar tekentje met een minimale lengte van 14 karakters kan het nog wel eens lastig zijn om van een complete database de wachtwoorden te achterhalen ;)
NMe @Mellow Jack12 oktober 2011 15:14
Lengte van een wachtwoord zegt veel meer over de entropie dan de gebruikte tekens. Je kan beter een wachtwoord van 30 alfabetische karakters en spaties hebben dan dat je een wachtwoord van 14 karakters hebt dat aan de eisen voldoet die jij hier omschrijft. ;)

Daarnaast is MD5 helemaal niet per se slecht. Als jij een MD5-hash maakt van een salted SHA-1-hash van een wachtwoord (waarbij de salt user-speicifiek is), dan is die lastig genoeg om te kraken; rainbow tables werken dan al niet meer, en je zal je dan moeten beroepen op dictionary attacks en brute force. Dat moet je bij andere encryptiemethoden ook. ;)
BryanD @Mellow Jack12 oktober 2011 15:09
vergeet alleen niet dat het misschien wel veiliger is om dat te doen, maar ook irritanter...geen van mijn standaard wachtwoorden hebben speciale tekens....twee van mijn standaard wachtwoorden bevatten hoofdletters en 2 bevatten cijfers...
rik86
12 oktober 2011 14:39
tja, dat zoiets gebeurd is natuurlijk al knullig, maar dat ze er niets over communiceren is schandalig;

't is dat ik een lifetime abo heb dus in principe gratis kan spelen, maar anders zou ik d'r nu wel mee gaan stoppen, wat een incompetentie daar.
Verwijderd @rik8612 oktober 2011 14:44
Lol, dus omdat er fouten gemaakt worden stop je met een spel dat je op zich wel bevalt. Overal waar mensen werken worden fouten gemaakt.
MueR Admin Discord
@Verwijderd12 oktober 2011 14:46
Dit is niet zomaar een "oeps". In een standaard mysql installatie op een linux bak kan dit namelijk niet. De MySQL poort staat niet naar buiten open, de anonieme user mag alleen van localhost connecten. Hier heeft iemand moeite gedaan om dit mogelijk te maken.
kimborntobewild @MueR12 oktober 2011 17:45
Waarschijnlijk heeft iemand moeite gedaan om iets (anders) mogelijk te maken, maar is er sprake van collateral damage. Collateral damage is vrij gebruikelijk als er fouten worden gemaakt bij het aanpassen / installeren van netwerken/netwerkonderdelen.
rik86
@Verwijderd12 oktober 2011 15:00
nee, als ik er voor had moeten blijven betalen ;) maar omdat 't gratis is, vind ik 't niet zo'n probleem.

Grote probleem daar is dat er niet naar de customers geluisterd worden en ze totaal niet communiceren. Het spel zelf is leuk en goed, maar de randzaken zijn soms echt verschrikkelijk
Verwijderd @rik8612 oktober 2011 15:31
Ik verwacht dat met een tijdje deze game helemaal gratis wordt, en dat je voor items enzo moet betalen.
Siebsel @Verwijderd12 oktober 2011 16:43
Dat is al zo sinds het begin van de zomer...
Verwijderd @Siebsel12 oktober 2011 17:25
En het legt Turbine beslist geen windeieren. De winst is behoorlijk gestegen en het aantal spelers ook. Al met al is het volgens mij een goede zet geweest die de game weer een nieuwe impuls heeft gegeven.
Verwijderd @Siebsel14 oktober 2011 16:09
Ehh... dat is al zo sinds vorig jaar!
NMe 12 oktober 2011 14:39
Ongelofelijk hoe een zichzelf respecterend bedrijf zijn complete gebruikersdatabase niet alleen publiekelijk toegankelijk maakt maar óók nog eens anonieme toegang toestaat. Daar heeft daadwerkelijk iemand moeite voor moeten doen om het op die manier op te zetten. De verantwoordelijke persoon of personen mogen hun ICT-vergunning wel inleveren. 8)7
Peetz0r @NMe12 oktober 2011 17:29
Zijn daar vergunningen voor dan?
Tokkes @NMe12 oktober 2011 18:02
"You need a license to drive, but they let every fool with a computer access the internetz."
twister00004 12 oktober 2011 14:41
Hmm vraag me af of ze ook creditcard gegevens hebben, heb namelijk wel eens ingame wat turbinepoints gekocht voor lotro. Het staat er wel niet bij, maar ze zullen het ook niet snel toegeven dat zoiets is gehackt

[Reactie gewijzigd door twister00004 op 22 juli 2024 19:59]

BRAINLESS01 @twister0000412 oktober 2011 14:49
Als je dat voor 1 juni gedaan hebt ben je waarschijniljk veilig, want toen werd lotro nog beheerd door Codemasters. Na 1 juni is het wel mogelijk, afhankelijk van de manier waarop je betaald hebt.

Dom van ze, maar het lijkt goed af te lopen.
MueR Admin Discord
@twister0000412 oktober 2011 14:54
Zoals freundlich bevestigt in het topic, ja, betalingsgegevens waren ook toegankelijk :(
TheRealThomas 12 oktober 2011 15:03
Echt Jammer van een bedrijf als Turbine. Het spel is zeer vermakelijk maar dit is zeker niet goed voor het Imago.
curry684 @Verwijderd12 oktober 2011 14:41
Uhm SQL-injection lekken zijn niet altijd even spectaculair, maar hier was de complete master-database gewoon via anonymous MySQL-shell te benaderen met global select-rechten, inclusief alle salts en resulterende hashes. Ergo, complete DB-compromised, middagje spelen met een dictionary attack en je hebt tienduizenden forumaccounts gekraakt. Oh wacht, die hebben verplicht hetzelfde password als de in-game accounts!

Dit is dus echt geen 'standaard SQL lekje' hoor....
sdk1985 @curry68412 oktober 2011 17:31
Dit verklaart hoe mijn Trion account door een chinees ip adres benaderd kon worden terwijl mijn email en pc niet gekraakt waren. Secundaire gmail account (voor niet persoonlijke zaken zoals deze accounts) van mijn vriendin had ook ineens logins uit china en de VS, pc was ook safe.

Het lijkt er sterk op dat die dictionary attack reeds heeft plaats gevonden.

[Reactie gewijzigd door sdk1985 op 22 juli 2024 19:59]

Tokkes @sdk198512 oktober 2011 18:01
Misschien moet je dan maar je wachtwoord-beleid aanpassen en niet dezelfde passwords gebruiken voor verschillende services ;-)
Precision @curry68412 oktober 2011 15:52
Met een klein beetje geluk kun je uit die tienduizenden accounts een paar paypal accounts of mailaccounts halen :)
kimborntobewild @Precision12 oktober 2011 17:36
Dat lukt zelfs zonder geluk.
Brummetje 12 oktober 2011 14:37
En the story continues... de laatste tijd is het echt overal raak.... en het zou me ook niets verbazen als het bij veel het zelfde probleem/problemen is/zijn.
kimborntobewild @Brummetje12 oktober 2011 17:35
Natuurlijk is het veel hetzelfde probleem.
Je ziet immers steeds maar weer dezelfde fouten: SQL-injectie, buffer overflows, domme wachtwoorden, totaal verouderde software gebruiken waarvan al jaren bekend is dat 't zo lek is als een mandje... En nog een paar standaard fouten.
Dan heb je misschien al 90% van alle veiligheidsgaten te pakken.
Yezpahr @kimborntobewild12 oktober 2011 18:51
+1!
Dat is het hele probleem in 1 compacte strakke post.

Ik vind het wel een vage manier van zaken bij deze.
Een aanhanger van LotrO 'ontdekt' zomaar even dat de site toegankelijk is als anonieme gebruiker...

Ik ga als fan van tweakers.net ook niet proberen de site te hacken toch?
Wat zet hem aan dit wel te doen? Voorkennis? Er zit een verdacht smaakje aan het verhaal.
godofal @Yezpahr13 oktober 2011 00:14
hoezo is dat zo verdacht?
ik begrijp dat best hoor, dat mensen kijken hoe veilig hún account/betalingsgevens nou eigenlijk zijn

als je daar als amateur (neem aan dat het geen proffesionele hacker is) zo binnen komt met idd de standaard dingetjes vind ik het écht niet gek dat iemand dat vroeger of later probeert

liever vroeger en iemand die het meld, dan later iemand die er kwade bedoelingen mee heeft

bovendien, welke tweaker kan eerlijk zeggen dat ie toen hij/zij nog een klein tweakertje was nooit eens heeft geprobeerd dingen te doen die niet mogen op een school/thuis-netwerk/PC? ik niet }>
Fireshade @godofal13 oktober 2011 10:15
Het kan overigens prima dat 'professionele' hackers ook games als LotRo spelen, he... :)
Yezpahr @godofal13 oktober 2011 12:57
En hoe lang is het al on-line?

Dat bedoelde ik met verdacht, want zo vroeg is het niet meer :P ...
Ik denk dus dat er wel misbruik van is gemaakt, maar dat die mensen het natuurlijk niet meldden.

En ik heb inderdaad ook wel als klein tweakertje dingen geprobeerd op school/thuis-pc die niet mochten. Botnetje van RAT gemaakt, VBS-script gemaakt die zich over het netwerk verspreid en de gebruiker in staat stelt SOL te starten (was verwijderd bij ons, maar stond nog in dllcache :D ) en een VBS script gemaakt die de pc ECHT op slot zet voor andere leerlingen zodat ik bij een wc-pauze mijn pc nog heb.

Natuurlijk 'wel' alles ongedaan gemaakt toen ik 2 maanden te vroeg hoorde dat ik mijn examen niet mocht doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq