Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Submitter: Gunirus

Een onbekende hacker heeft op een forum een database aangeboden met daarin accountgegevens van gebruikers van het Runescape-forum Rsnl.eu. De accounts zouden recentelijk zijn buitgemaakt. Rsnl.eu spreekt over een 'grote aanval'.

Rsnl.eu logoDe hacker, die zich Haci noemt, zegt dat hij vier exemplaren van een database met accountgegevens wil verkopen. Of de hacker al daadwerkelijk exemplaren heeft verkocht, is niet duidelijk. Haci stelt dat het gaat om recente en nog functionerende accounts van circa 23.000 gebruikers van het Nederlandse Runescape-forum Rsnl.eu. De wachtwoorden zouden beveiligd zijn opgeslagen maar de beheerders gaan er van uit dat deze encryptie gemakkelijk gekraakt kan worden.

Het is niet duidelijk hoe de hacker de gegevens heeft weten te bemachtigen. Op Rsnl.eu is momenteel te lezen dat er een 'databaseprobleem' is. Ook wordt op het forumdeel van de Runescape-site bevestigd dat deze is getroffen door een 'grote aanval'. De beheerders beloven op korte termijn met meer informatie te komen.

Moderatie-faq Wijzig weergave

Reacties (34)

Als Administrator op genoemd forum zal ik even wat extra informatie geven omtrent de hack. Het is de laatste tijd gebruikelijk om RuneScape fansites te hacken. Onze grotere concurrenten tip.it en RuneHQ zijn recentelijk ook gehackt waarbij ook de hele database is buitgemaakt. Triest... maar helaas wel de realiteit. Er wordt niet stilgestaan bij het feit dat er vele mensen zijn die elke dag met plezier het forum bezoeken en dat ook de Administrators en Moderators elke dag veel vrije tijd in het forum steken. We maken geen winst met de website. Alle advertentie- en donatie-inkomsten worden weer in het forum en de bijbehorende website gestoken. Triest dat sommige mensen ons dat plezier niet gunnen.

We hebben meerdere malen aangeraden om verschillende wachtwoorden te gebruiken voor het forum, RuneScape en e-mailaccounts. Wij hopen dan ook dat de meesten dit hebben gedaan. Overigens zijn de gegevens van zo'n 23.000 gebruikers gekraakt, hiervan is echter maar een fractie actief lid. Het maakt de situatie daarmee natuurlijk niet minder vervelend.

Meer informatie zal zoals gezegd op de website komen, en misschien ook hier.

Met vriendelijke groet,
David de Vogel
Administrator RSNL.eu
We hebben het bij RuneVillage enkele maanden geleden ook voorgehad, dus er zijn inderdaad vrij veel hackers actief in het "RuneScape-milieu". Een hacker had het wachtwoord van een administrator op een of andere manier kunnen verkrijgen en heeft zo bij ons de hele databank kunnen kopiŽren (na eerst tegen enkele van mijn beveiligingen tegenaan te lopen, gezien de access logs op de server). Alle accounts deactiveren en verplichten te reactiveren met een nieuw wachtwoord hielp voor onze actieve gebruikers (voor de anderen was er een mail, maar ik heb recent gehoord dat die niet overal aankwam). Jammer genoeg waren er een 10-tal mensen die hun e-mailadres niet meer onder hun controle hadden, maar dat was dan weer in-game te regelen.

Ik wens je in elk geval veel succes met deze situatie! Bekijk de logs goed en probeer die methode van aanvallen te voorkomen in de toekomst, zo is het nu bij ons niet meer mogelijk om via het Admin Control Panel een backup te downloaden van de server :)
Hallo david, als je slim bent zet je bij het account maken:

Gebruik nooit de password van je runescape account!
Houdt runescape passworden en andere altijd gescheiden!

overigens, heb je al een geforceerde password change ingesteld?
Hallo David,

Heel netjes dat je hier even een recatie geeft. ! _/-\o_
>Alle advertentie- en donatie-inkomsten worden weer in het forum en de bijbehorende website gestoken.
Valt beveiliging en nieuwe versies van gratis software daar ook onder?
Hey,

Ik ben een administrator van rsnl.eu en heb het beloofde bericht op de website geplaatst:
http://www.rsnl.eu/news/4...elijk-offline-wegens-hack

De reden dat er gesproken werd van een databaseprobleem: dit was simpelweg het standaardbericht dat verschijnt wanneer de verbinding met de database niet lukt. Ik had het wachtwoord van het database-account veranderd en aangezien we bezig waren met backups terug te plaatsen, had ik dit niet aangepast in de websitebestanden. Deze melding stond dus los van de problemen met het forum.
Mijn collega (Bv202) heeft hierboven al wat nieuwe informatie gegeven. Graag doe ik dit nog wat uitgebreider.

De hack is waarschijnlijk niet veroorzaakt door een verouderde softwareversie. Waarschijnlijk zijn de e-mailaccounts van twee van onze Admins gekraakt door oude wachtwoorden te gebruiken van een gelekte database van tip.it en RuneHQ een tijdje terug. Hiermee zijn vervolgens de RSNL accounts gehackt. PhpBB heeft een back-up functie waarmee je een back-up kunt maken van de hele database. Erg handig natuurlijk, maar wij hebben ons niet gerealiseerd wat dit voor beveiligingsrisico met zich meebrengt.

Er was bij ons een back-up aanwezig van de nacht van 7 op 8 februari. De back-up was dus minder dan 24 uur oud en deze hebben we succesvol kunnen herstellen. Hierdoor is het aantal verdwenen posts tot een minimum beperkt gebleven.

We hebben nu de nieuwste versie van de forumsoftware. Hierdoor werken een aantal modificaties niet meer, maar hier zal ongetwijfeld een oplossing voor gevonden kunnen worden. De door phpBB aangeboden back-up functie is (uiteraard) geblokkeerd. Hier werd een aantal maal een geforceerde password reset aangeraden. Uiteraard hebben we dit ook gedaan.

Hoewel we het altijd ten strengste hebben afgeraden om op RuneScape en op het forum het zelfde wachtwoord te gebruiken (en uberhaupt het gebruiken van hetzelfde wachtwoord op meerdere plekken) beseffen we ons dat een aantal gebruikers op RSNL hetzelfde wachtwoord heeft als op RuneScape. We hebben daarom JaGeX (de makers van RuneScape) een lijst gestuurd van de bij ons bekend RuneScape namen van onze gebruikers. Deze accounts zijn door JaGeX geblokkeerd en kunnen weer gedeblokkeerd worden middels e-mailvalidatie en wederom het wijzigen van het wachtwoord.

Wij denken hiermee de schade zo beperkt mogelijk te hebben gehouden. De gehackte database zal hiermee dus waarschijnlijk onbruikbaar zijn geworden. Al met al erg vervelend en het levert extra stress op, maar het is een goede les.

Mochten er nog Tweakers zijn met tips, dan horen we die natuurlijk graag!

Met vriendelijke groet,
David de Vogel
Administrator RSNL.eu
dafuq?

maar het ging al serieus slecht met rsnl en krijgen we nu dit ook nog.

achja... speel toch geen runescape meer en gelukkig wel zo slim om niet hetzelfde password te gebruiken.

volgens de hacker zijn ze trouwens op je rs account gekomen BV, klopt dat?

naja jongens succes met het herstellen he :+
Ja, ze hebben mijn E-mailaccount en mijn RuneScape-account kunnen "hacken". Beiden zijn inmiddels terug in mijn bezit en de RuneScape-accounts van vele RSNL-leden zijn inmiddels gelockt door Jagex (we hebben een accountlijst doorgestuurd). Unlocken kan door een e-mailvalidatie te doen en een nieuw wachtwoord in te stellen.
Hebben jullie de leden geinformeerd? Ik heb zelf ook een account op jullie site maar heb geen mail gehad. Ik weet niet zeker of jullie mn juiste emailadres hebben, dus dat zou eventueel een hoop verklaren.

Tevens, ik heb het nog niet letterlijk bevestigd, maar hebben jullie de hashes zonder salt opgeslagen?
Mails hebben we nog niet verstuurd. Het forum is net weer online en vanavond nog zal er een mail gestuurd worden naar alle gebruikers.

De wachtwoorden worden met het standaardalgoritme van PhpBB opgeslagen. Ik zal kijken of het beter is dat dit aangepast wordt. Er zijn ook nog enkele accounts voor het websitegedeelte; daar wordt SHA-512 met een unieke salt per account gebruikt.
ik heb gelukkig geen account. maar het is daar wel zo lek als een mandje als ze zoveel gegevens kunnen buitmaken. is er een verplichte pass change gekomen of is het hele forum niet bereikbaar ?
Als je gelezen had kon je lezen dat het forum niet bereikbaar is (databaseprobleem)
Op dit moment is het hele forum onbereikbaar. We (ik maak deel uit van het team moderators) zijn op dit moment volop bezig om alles weer online te krijgen, met de nodige voorzorgsmaatregelen.
Als 'gewone' hash kunnen ze toch ook uiteindelijk met rainbow of bruteforce het gros weten terug te draaien? Mag aannemen dat ze inmiddels wel een geforceerde password reset hebben gedaan.
Gelukkig is iedereen zo verstandig om verschillende wachtwoorden te gebruiken :X
Lees het artikel a.u.b. dan weet je dat je commentaar irrelevant is.

'De wachtwoorden zouden echter wel als hash opgeslagen zijn.'

OT: Gaat waarschijnlijk om een vrij eenvoudige sql injectie. Het zal eens niet.
Is wel degelijk relevant: immers als het simpel te kraken is, dan is de kans ook aanwezig dat de collision het echte wachtwoord is, en dus bruikbaar is op andere sites.
Vooral omdat als je een dicionary attack doet (of zijn email / username / .. gebruikt) de kans dat je 'match' geen collision is maar het echte password veel groter.
Lees jij het artikel eerst eens a.u.b.

Er staat duidelijk in dat ook deze hash eenvoudig te kraken is (volgens de beheerders).
Triest hoor, dat je wilt aantonen dat site lek is ok, maar ga geen prive gegevens verkopen.

Hoop iig dat die hacker dan ook snel gepakt word en of zijn hele zooi opstraat komt testaan.
offtopic: is runescape tegenwoordig nog wat? tijdje geleden dat ik het gespeeld heb :p
wanneer leren ze t eens XSS injection of gewoon sql injection... probeer t gewoon eens op je site/forum en dan pas live en dan weer testen, het is misschien omslagtig maar zo weet je wel of het kan

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True