Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties

Door een basale programmeerfout zijn de gegevens van bijna een miljoen bezoekers van gratis pornosite YouPorn.com op straat komen te liggen. De blunder kwam aan het licht toen een deel van de database op het internet werd gepubliceerd.

Uit onderzoek van EuroSecure, een Zweedse beveiligingsdistributeur die de 'hack' heeft onderzocht, blijkt dat YouPorn het de aanvaller wel erg gemakkelijk heeft gemaakt. In november 2007 blijkt een ontwikkelaar de debuglog-functie aan te hebben laten staan op het primaire serverpark van de pornosite. Hierbij werden niet alleen gegevens over de prestaties van de server opgeslagen, maar werden ook de gegevens van nieuwe accounts in de logfile opgeslagen, schrijft de onderzoeker.

De logfile werd vervolgens door iemand ontdekt omdat deze onbeveiligd op een server stond en direct benaderbaar was. In de databasegegevens stonden meer dan drie miljoen records, waarvan ruim 838 duizend unieke accounts. De wachtwoorden stonden in plaintext in de logfiles. Het meest gebruikte wachtwoord was 123456, gevolgd door 123456789 en 12345.

De accounts lijken primair aangemaakt om toegang te kunnen krijgen tot de chatdienst van Youporn. Deze dienst is sinds woensdagavond offline.

Moderatie-faq Wijzig weergave

Reacties (92)

Wordt het onderhand niet eens tijd de benadering om te gaan draaien? Tot nu toe worden hacks gezien als een bewijs dat de beveiliging niet deugd. Alsof het een gunst is wat de hacker verleend.

Maar als ik zelf op het gemeentehuis inbreek, dossiers uit de kast pak en uit het raam op straat gooi, onder het mom van"beveiliging testen" wordt ik wél opgepakt en vastgezet voor diefstal, huisvredebreuk, vandalisme etc.

Hackers zullen altijd voorop blijven lopen met daarachter de beveiligers. Net als inbrekers en beveiligers in de echte wereld. Waarom benaderen we het dan anders?
De meeste hacks zul je nooit wat van horen. Een beetje foute hacker verkoopt de database aan criminelen, misbruikt de accounts voor spam, etc. Hetzelfde geld voor de betere inbreker: die zal die dossiers niet uit het raam gooien maar slechts een kopietje maken en de originelen weer netjes terugleggen.

Uiteraard zijn deze publicerende hackers ook niet helemaal zuiver, maar iedereen die weet dat mijn account gehackt is kan direct actie ondernemen om zich tegen eventuele gevolgen te beschermen. Overigens komt dit ook voor in de offline wereld. Er zijn diverse journalisten die de wet hebben overtreden om iets aan te tonen. Vaak worden ze dan niet gestraft omdat hun actie het algemeen belang diende.

Wellicht zouden de hackers bij het publiceren de wachtwoorden achterwege kunnen laten. De vraag is dan echter of de publicatie wel voldoende impact maakt om door de pers te worden overgenomen. (Wat weer belangrijk is voor bovengenoemd beschermend effect.)
in dit geval opent de 'hacker' enkel een bestand dat publiek op het internet staat. lijkt me niets illegaal of inbreken aan.
Maar hij/zij heeft er blijkbaar wel naar zitten zoeken...
Als zoeken verboden is dan is google gebruiken ook illegaal
Een slechte beveiliging lijkt dezer dagen eerder regel dan uitzondering... Zeker elke week komen weer duizenden accounts op straat te liggen door domme fouten. De vraag is hoe je je als gebruiker tegen kan beschermen.
Het lijkt me verstandig om niet zomaar bij elke website te registreren, en indien het nodig is om je wachtwoord een beetje aan te passen.
Ik weet niet of je op basis van 'worst practices' een uitspraak kan doen over de algehele toestand. Me dunkt dat steekproeven daar beter voor geschikt zijn.

Semi-OffTopic
Wat betreft de meest toepasselijke empathische reactie voor gebruikers van yourporn: "fuck!"


Edit:
Wat ik overigens interessant vond was dat men gisteren bij het journaal (NOS meen ik) meldde dat het voortaan verstandiger zou zijn dat mensen speciaal hiervoor een wat anoniemer e-mailadres zouden aanmaken. Nou vraag ik mij af of dat de mening van de redactie was of die van de nieuwslezer zelf. Überhaupt interessant dat men via het nieuws oproept tot anonimiseren van gegevens.

[Reactie gewijzigd door LaitSolaire op 23 februari 2012 08:24]

Ik zweer bij email aliassen; maak per website een nieuwe email alias aan.

Bijv. web.tweakers@youwdomain.com, web.youporn@yourdomain.com, web.zorgverzekeraar@your...

Dan weet je exact waar die bij hoort en eventuele spam kun je ook terug herleiden naar de bron. Immers is het email adres maar bij 1 bedrijf/website bekend. En dan niet zo dom zijn om overal hetzelfde wachtwoord te gebruiken.

Lullig als een DB gehacked wordt, maar dit is denk ik redelijke manier om het werkbaar te houden.
Voor de tweaker die geen eigen domein heeft maar wel een gmailaccount:

zet +welkekreetdanook achter je gebruikersnaam en je mail komt gewoon binnen. Bijvoorbeeld: gebruikersnaam+pr0n@gmail.com en gebruikersnaam+tweakers@gmail.com

Op die manier kan je altijd zien waar mail vandaan komt en wie je mailadres heeft gelekt/verkocht.
Een "." tussen het gmail adres kan ook. Dus n.aam@gmail.com of na.am@gmail.com
Dat een punt weggefilterd word bij gmail is erg handig.

Je zou bijna een binair protocol kunnen ontwikkelen en dit gebruiken:

jandevries
jandevries.
jandevrie.s
jandevrie.s.
jandevri.es
jandevri.es.
jandevri.e.s
jandevri.e.s.
jandevr.ies

etc. :)
Erg handig. Tot ik een mailadres zonder punt aanvroeg, maar dit een e-mailadres van iemand anders was. Maar dan met punt. Gevolg is dat ik zijn e-mailaccount overnam, zijn trouwfoto's zag, zijn documenten voor zijn werk, zijn hele hebben en houden. Dus ook zijn logingeegevens, en andere gevoelige info. Inderdaad erg handig van een miljardenbedrijf die al jaren kennis heeft van de dotbug..
Vooropgesteld, dit werkt (maar niet altijd zoals hier onder al te lezen is)
Dat lijkt een leuke oplossing maar denk je nu werkelijk dat spammers deze regel niet kennen?
Ze zullen dus gewoon de "+<whatever" er af knippen en off-you-go !
Van het officiele google blog:

Posted by Robby Stein, Associate Product Marketing Manager Google:

I recently discovered some little-known ways to use your Gmail address that can give you greater control over your inbox and save you some time and headache. When you choose a Gmail address, you actually get more than just "yourusername@gmail.com." Here are two different ways you can modify your Gmail address and still get your mail:
Append a plus ("+") sign and any combination of words or numbers after your email address. For example, if your name was hikingfan@gmail.com, you could send mail to hikingfan+friends@gmail.com or hikingfan+mailinglists@gmail.com.
Insert one or several dots (".") anywhere in your email address. Gmail doesn't recognize periods as characters in addresses -- we just ignore them. For example, you could tell people your address was hikingfan@gmail.com, hiking.fan@gmail.com or hi.kin.g.fan@gmail.com. (We understand that there has been some confusion about this in the past, but to settle it once and for all, you can indeed receive mail at all the variations with dots.)
For me, the real value in being able to manipulate your email address is that it makes it really easy to filter on those variants. For example you could use hikingfan+bank@gmail.com when you sign up for online banking and then set up a filter to automatically star, archive or label emails addressed to hikingfan+bank. You can also use this when you register for a service and think they might share your information. For example, I added "+donation" when I gave money to a political organization once, and now when I see emails from other groups to that address, I know how they got it. Solution: filtered to auto-delete.


Lijkt me wel te werken.

[Reactie gewijzigd door MarcelGo op 23 februari 2012 10:09]

Het is alleen jammer dat veel applicaties een verkeerd algoritme gebruiken om het e-mailadres te controleren en je kan dus vaak geen + gebruiken,
Ja dat kan. Maar is een mailtje van "facebook" krijg waarbij de +facebook er niet in staat weet ik al dat er iets niet klopt.

Geen enkele snelle oplossing is perfect maar elke actie dan je kan nemen om jezelf te beschermen en het spammers moeilijker te maken kan je nemen. Belangrijkste les, hoe goed spammers ook zijn, je hebt zelf ook een verantwoordelijkheid. Vertrouwen op de webdevelopers is een doodzonde.
Ja dat kan. Maar is een mailtje van "facebook" krijg waarbij de +facebook er niet in staat weet ik al dat er iets niet klopt.
Dan stuurt Facebook de mailtjes naar naam+facebook@gmail.com en verkopen ze naam@gmail.com door aan de spammers. Simpel! :)
Dat zou werken als developers weten hoe ze een e-mailadres valideren, meer dan de helft van de sites melden "ongeldig e-mailadres" als ik het probeer terwijl mijn e-mailadres geldig is. Het enige wat niet geldig is, is de validatie van dat e-mailadres :( Wel een goede tip dus maar het is weinig bruikbaar helaas.
Als de validatie al niet goed gaat dan mag je je best zorgen maken over de rest van inrichting van zo'n site. In de gevallen waarbij de + niet werkt gebruik ik een 2e gmailaccount speciaal voor spam, pr0n, etc.
Leuk idee, maar hier heb je wel een eigen domein voor nodig. Mijn ervaring met een eigen domein is dat je heel snel ook spam krijgt op adressen als info@ contact@ etc.

Voor sites waar ik slechts een account nodig heb omdat het moet maak ik meestal gebruik van tijdelijke mail adressen.
als je een eigen domein hebt kan je natuurlijk ook de info@, contact@, etc@, gewoon blokkeren. Ik beheer nogal wat domeinen, en vind overigens de hoeveelheid spam op de info@ wel meevallen.
Wellicht komt dit omdat ik alle mail naar domeinen doorstuur naar een daarvoor aangemaakt google-account, zodat ik niet alleen de spamfilter van mijn provider heb, maar ook die van google.

En als dit onjuist is zou ik het graag horen.
ik krijg totaal geen spam binnen op info, contact enz.
ik heb geen bekend domein, meer alleen voor email

toch beangstigend als je naar de email adressen bankingtools@[domein].nl of uwv@[domein].nl spam verstuurd krijgt inc alle doopnamen in de openigns regel.

en ook 'legale' spam van bijvoorbeeld pathe valt nu makkelijk uit te filteren
Dit is bij Google ook mogelijk.
gebruiker+tweakers @ gmail.com
gebruiker+youporn @ gmail.com
Dit zal allemaal bij gebruiker @ gmail.com aankomen en je ziet gelijk bij welke website dit vandaan komt.
Helaas accepteren veel sites gebruiker+tweakers @ gmail.com niet in verband met de plus.

[Reactie gewijzigd door ReTechNL op 23 februari 2012 09:11]

Zoals hierboven ook al gesteld, het blijft te eenvoudig om het originele emailadres te herleiden. De enige oplossing is aparte emailadressen per site aan te maken. Hotmail is hier prima geschikt voor, mits een hotmail adres door de bewuste site wordt geaccepteerd. Heb je zelf behoefte aan extra emailadressen neem dan eens contact met me op.
Ik weet niet of je op basis van 'worst practices' een uitspraak kan doen over de algehele toestand. Me dunkt dat steekproeven daar beter voor geschikt zijn.

Semi-OffTopic
Wat betreft de meest toepasselijke empathische reactie voor gebruikers van yourporn: "fuck!"


Edit:
Wat ik overigens interessant vond was dat men gisteren bij het journaal (NOS meen ik) meldde dat het voortaan verstandiger zou zijn dat mensen speciaal hiervoor een wat anoniemer e-mailadres zouden aanmaken. Nou vraag ik mij af of dat de mening van de redactie was of die van de nieuwslezer zelf. Überhaupt interessant dat men via het nieuws oproept tot anonimiseren van gegevens.
Alvast public awareness kweken, zodat mensen gezegd kan worden dat het hun eigen fout is dat ze zoveel info online gegooid hebben wanneer een random database weer gehacked wordt? :+
Helaas zijn het niet de meest kleine websites die dit soort veiligheidsissues hebben, een betere oplossing is dus gewoon een veilig, uniek voor iedere website zijnde, wachtwoord te gebruiken met eventueel een uniek aan de site gekoppeld emailadres. Ook als de websites wel veilig zouden zijn moet je niet een simpel niet uniek wachtwoord gebruiken op meerdere locaties...
Klopt, maar als je persoonsgegevens er ook bij liggen ben je alsnog de sjaak.

Identiteitsfraude komt vaker voor dan je denkt en is ernstiger en lucratiever dan met 'n password toegang tot b.v. je mail account.
Tenzij het betaalde accounts zijn, zullen de gegevens waarschijnlijk niet of moeilijk zijn te herleiden tot eigenaren van de accounts.
Wat een actie, niks hacken gewoon database log binnenhengelen.

Los daarvan trek ik de volgende niet wetenschappelijk conclusie:

Gebrukers die ik tegenkom die graag een van de wachtwoorden 12345, 123456 en/of 123456789 gebruiken zijn p0rn0sitebezoekers.

En de melding van de NOS om anonieme adressen te gebruiken druist recht in de lobby om gebruik van anonieme gegevens strafbaar te maken. Die is ook mooi.
Ik denk dat merendeel van de internet gebruikers, zoals tweakers anoniem het internet opgaan..

T.Net is 1 van de sites waar ik wel netjes mijn juiste gegevens hebt gebruik... Veelal gratis sites. Gebruik ik een spam achtig hotmail acountje. waar ik geen persoons gegevens neer zet. Ik gebruik daar ook andere type wachtwoorden dan op mn betaalde en t.net accounts.
het welbekende 'anal' en 'fuck' is ook te vinden, deze had ik meer verwacht dan 1245456. maar goed.

hier is het overzichtje met de favo wachtwoorden.

ik vind het opzich wel overdreven. 12356 is 1.79% dan 123456789 is 1.21%, dit noem ik niet echt verbluffend.
1% is énorm veel op 828 duizend accounts ...


dat zijn 8280 accounts waar je in kan, als er dan nog eens een CC aan gekoppeld zou zijn, of het mail account hetzelfde PASS gebruikt .. dan heb je al een mooie collectie..

vergeet niet dat er miljarden mogelijkheden zijn om een wachtwoord te kiezen, niet zomaar een paar duizend, en dan is een hitrate van 1% wel veel !
Ik denk dat je andersom moet redeneren. Slechts lekken op hele grote sites komen in het nieuws. Als gebruiker kan je je het beste wapenen volgens mij door voor registratiesites een apart mailadres te gebruiken en te zorgen voor verschillende wachtwoorden.
er zijn ook genoeg fake registratie-e-mail-diensten. Zij leveren 1 e-mailadres waarop iedereen kan "inloggen" en daarmee kan je je dan registreren.
Er zullen ongetwijfeld ook kleine sites gepakt worden. Echter is het niet interessant om een nieuwsitem te maken van de site van Jantje zijn kat die gehackt is.

Het is gewoon een feit dat heel veel websites op dit moment hun beveiliging niet op orde hebben, en er ook niet de moeite voor nemen (lees: heel veel hacks d.m.v. SQL Injection welke je kan voorkomen met ongeveer 5 regels code).

Ik vind dat echt heel erg kwalijk, en vind ook dat er consequenties aan dit soort nalatigheid moet hangen. Bovendien bewijst dit weer om op iedere website een totaal ander wachtwoord te hebben.
Daar heb je password-hasher voor: https://addons.mozilla.or...fox/addon/password-hasher

Zou eigenlijk in de HTML/HTTP standaard ingebakken moeten zijn.
Ja of hackers worden steeds handiger, het is maar net hoe je het bekijkt ;)
Maar dit was gewoon te wijten aan een toch redelijk domme fout.
En tegenwoordig moet je je helaas vaak bij iedere site eerst registeren voordat je ook maar wat mag / kunt, dus dan moet je wel.
Het meestgebruikte wachtwoord was 123456, gevolgd door 123456789 en 12345.
het zijn ook wachtwoorden die heel lastig te raden zijn he :+
Punt is is dat men te lui is om ook hun email wachtwoord te veranderen. Ik durf te wedden dat je toch een 2/3de vind onder email accounts waarvan het wachtwoord ook werkt.

In dit geval kan een hacker identiteitsdiefstal doen, zich voor te doen als een ander. Wellicht staan er wel hele belangrijke dingen in die mailboxen.
klopt maar hoe groot is de kans dat het wachtwoord van youporn hetzelfde is als die van het emailadres zelf
Voor veel mensen groter dan je denkt vrees ik. Veel mensen hebben al moeite met het onthouden van hun pincode, laat staan met 2 à 3 wachtwoorden...
ik maak me er zelf ook schuldig aan. Ik heb zo'n 50 accounts welke ik actief gebruik, varierend van netwerklogin tot ftp en pr0n. Het is best een uitdaging om een sterke methodiek te gebruiken die A sterke wachtwoorden maakt B te onthouden is C toe te passen is op (bijna) alle systemen.

Ik kom bijvoorbeeld nog regelmatig systemen (Vaak websites) tegen die een melding geven als "wachtwoord maximaal 12 tekens"... hoezo? Dat een wachtwoord niet te kort mag zijn is logisch, maar te lang? Gehasht hebben ze nog een vaste lengte voor je db ook.
Hoeveel tweakers schrokken toen ze dit nieuws hoorden? }>
@ Q

Ik niet. Youporn associeer ik toch al met : lekken... :+
Dat kan er ook wel bij, nietwaar?
En je bent imho wel bevertje maf om je "gewone mailadres te gebruiken voor een site als Youporn lijkt me.
Daar schiet je hem recht in roos, uh, de roos natuurlijk.
Sorry hoor, maar zelfs tijdens debugging is het loggen van wachtwoorden 'not done'.
Dat ligt er natuurlijk maar net aan wat je aan het debuggen bent. Het kan best zijn dat de website eerder last heeft gehad van een issue waarbij mensen problemen hadden bij het inloggen. Zo'n 7 jaar geleden had ik ook te maken met een website waarbij het registratie formulier per ongeluk een spatie achter het wachtwoord zette indien er een fout in het formulier zat.

Later blijkt dan dat die personen niet kunnen inloggen omdat de hash niet meer overeenkomt. Echter meer dan 90% van de gebruikers kon wel inloggen. Op dat moment moet je dus wel login gegevens gaan loggen om te achterhalen waar de fout zit. Gaat het genereren van de password hash fout, wordt het wachtwoord veld fout uitgelezen, wordt de verkeerde salt key gebruikt, etc. Wij hebben toen ook zeker twee weken die gegevens moeten loggen, maar deze werden buiten de website directory opgeslagen..

Ik weet dat een betalings provider in 2001 een tijdje ook de creditcard gegevens heeft gelogd omdat toen een tijdje legitieme gegevens als foutief werden gezien. Later bleek dat de betreffende creditcard maatschappij voor internet-only creditcards een ander 'mask' gebruikte voor de luhn-check dan voor reguliere creditcards.

En de enigste methode om achter dat soort problemen te komen is door de gegevens te loggen. Echter moeten die gegevens (logging) wel netjes verwijderd worden nadat het probleem is opgelost, echter in dit geval is dat na ruim 5(!) jaar nog steeds niet gebeurd..
Voor dat soort sites gebruikt toch geen zinnig persoon zijn reguliere emailaccount of heb ik dat nou mis?
Voor dat soort sites gebruikt toch geen zinnig persoon zijn reguliere emailaccount of heb ik dat nou mis?
Denk dat het meeste acounts zijn die uploade daaro?
Er staat in het artikel dat youporn gratis is, waarom zou je uberhaupt iets met een emailadres doen? Ja chatten misschien ja, maar als je toch al naar Youporn gaat, dan gaat het toch om de gratis filmpjes of niet dan?
Je kunt by the way ook een leuke add-on voor firefox installeren: bloody vikings! Na het installen van deze add-on, wordt deze zichtbaar wanneer je een rechtermuisklik doet in een invulveld op een website, bijvoorbeeld wanneer je dus een emailadres moet invullen en wordt er een tijdelijk emailadres gemaakt waar je gedurende 10 minuten mails op kunt ontvangen (genoeg om je te kunnen registreren of een accountactivatie te doen).
dan kun je ook gewoon een 2de @live adres aanmaken.

Zo heb ik van alles een 2de aangemaakt.
Ik heb een 2de @ live adres wat ik bij alle registraties invul. Ook heb ik een 2de facebook voor als dat weer eens nodig is (ook handig als je je vrienden kunt belonen met iets, kan ik altijd zelf doen zoals het chocomel pakket.)

Dan krijg je dus alle spam op 1 account. Ik heb ondertussen meerdere accounts hieraan gelijnkt omdat ik op sommige sites geblokkeerd ben (ik zag bij mijn verzonden items dat het account werd gebruikt voor spam)
Zo krijg je al die spam mails in 1 account
en dat zijn er nogal wat, zo'n 70 / 80 per dag!
Nou mooi is dat... Ik kan nu net zo goed mijn nachtkastje naast de bank in de woonkamer gaan zetten. :(
Dat is wel ontzettend lullig :|

Maargoed wie registreerd zich dan ook op een porno website, we hebben het hier over het internet, het medium waar meer gratis porno te vinden is dan zinnig materiaal....
Gelukkig was het niet YouTube laten we dan maar zeggen..
Eerlijk gezegd denk ik dat voor veel mensen het toch wat minder gevoelig is wanneer publiek bekend wordt dat ze naar video's van katten kijken, dan video's van poesjes.
Liever gegevens van een pornosite op straat (90% van de wereld kijkt porno, dus alle vingertjes die wijzen zijn hypocriet, dan dat paypal gehackt wordt en dat die gegevens op straat komen liggen.

Hoewel ik wel moet zeggen dat chatten via een pornosite wel wat genant is.
Hoewel ik wel moet zeggen dat chatten via een pornosite wel wat genant is.
Het gaat dan natuurlijk ook niet om chatten tussen de gebruikers onderling. ;)

Niet dat er uiteindelijk veel te zien zal zijn, want denk je dat er echt dames dagelijks voor de webcam uit de kleren gaan zonder dat ze er een cent voor hoeven zien? :+
ik ken zo de sites. ja
Eerlijk gezegd denk ik dat voor veel mensen het toch wat minder gevoelig is wanneer publiek bekend wordt dat ze naar video's van katten kijken, dan video's van poesjes.
Of video's van mannen... Dan kun je denken het is 2012 maar dit kan vrij nadelig uitpakken als je bv. gelukkig getrouwd bent of een belangrijke baan hebt waar men je met dat soort dingen zwart kan maken.
Toch denk ik dat je privacy meer gevaar loopt als je videos van Alex Jones op Youtube kijkt dan porno op Youporn.
@ richzzz

Je heb ook nog de andere gratis versie genaamd xtube.com als alternatief voor de youporn. De naam is allemaal geïnspireerd op youtube naar mijn inziens.

[Reactie gewijzigd door aliberto op 23 februari 2012 09:00]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True