Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties

Hackers hebben duizenden gebruikersnamen en wachtwoorden van de private torrentsite RevTT gepubliceerd. Een deel van de logingegevens zou al door derden zijn gebruikt, maar de beheerders van de torrentsite ontkennen te zijn gehackt.

De groep die zichzelf Afghanistan Hackers noemt, heeft op The Pirate Bay een torrent geplaatst die verwijst naar een bestand met inloggegevens van circa 19.000 RevTT-gebruikers, zo meldt TorrentFreak. Downloadstatistieken en e-mailadressen zouden deel uitmaken van de data, terwijl de hackers in de komende weken nog meer logindata zouden willen posten.

Op de torrentsite, een zogenaamde privétracker waarvoor een login nodig is, zouden kort na de publicatie talloze personen de logingegevens gebruikt hebben om content te downloaden. Ook kon met een deel van de logins toegang worden verkregen tot een betaalde sectie van de torrentsite, met 'exclusieve' content.

Opvallend is dat beheerders van de torrentsite in het forum verontruste berichten van gebruikers over de hack verwijderden en de accounts blokkeerden. Vervolgens werd een posting geplaatst waarin de beheerders ontkenden gekraakt te zijn. Het is echter onduidelijk hoe de inloggegevens zijn buitgemaakt. Inmiddels zou de site zijn deuren hebben gesloten.

Moderatie-faq Wijzig weergave

Reacties (42)

Hello,

RevTT Database accounts got hacked.

All users username and password is listed in a txt file, go to this link and download it:
Check it yourself.

Other links to download the username and password list:

http://edited

https://edited

It contains all username and password of RevTT users.


Note: There are around 50,000 accounts, others will be released after 2 weeks.


RevTT is doomed!!!
Dit is wat IP torrents is gepost, samen met een paar screenshots van accounts.
Lijkt erop dat revTT wel degelijk is gehackt.
En dat de "there are no tanks in Bagdad" vergelijking uit de eerste post wel degelijk op gaat.

De links naar de lijsten heb ik verwijderd.

[Reactie gewijzigd door arbraxas op 19 september 2012 14:07]

vraag me af hoe de ww's opgeslagen zijn bij IPTorrents, maar goed heb dat zojuist in dat topic maar eens gevraagd :P gewoon omdat ik maar een paar 1st lvl passwords heb :P en deze dus overal gebruik =p maar goed ik gebruik bijna overal andere nicknames, dus ach boeiend.
"There are no tanks in bagdad"

Overigens, torrentsite met betaalde content. Erg fout... (en DE reden waarom de Scene zo'n hekel heeft aan torrent-sites)

Edit: waarom wordt dit nou weer gedownmod? Iedereen met een beetje historisch besef ziet toch de parallel met de Iraakse PR man, die glashard blijft beweren dat er geen invasie is, terwijl achter hem de tanks door het beeld rollen?

[Reactie gewijzigd door chrisboers op 19 september 2012 13:55]

Zijn er überhaupt torrentsites die géén betaalde content hosten dan?

edit. Ik begreep je verkeerd. Met betaalde content bedoel je dus dat gebruikers ervoor moeten betalen. Ik was er niet van op de hoogte dat RevolutionTT dit had. In een ver verleden wel een account gehad, toen was het nog niet zo.

[Reactie gewijzigd door Gabliboeba op 19 september 2012 14:09]

Chrisboers bedoelt content die exclusief voor mensen zijn die VIP toegang kopen, neem ik aan. En dan zijn er wel torrentsites die niet aan zulke praktijken doen en in plaats daarvan VIP gebruikers andere voordeeltjes bieden, zoals soepelere regels.
Jup die zijn er, daar geeft de betaling je alleen meer recht op meer ratio / immuniteit. Ga geen bronnen noemen.

[Reactie gewijzigd door stverschoof op 19 september 2012 14:23]

Het is natuurlijk vervelend wanneer je gehackt bent. Maar is het is heel erg wanneer je het glashard ontkent.
Iedere site kan gehackt worden. Geef het gewoon toe en vertel wat je eraan gaat doen of er al aan gedaan hebt om het op te lossen en ervoor te zorgen dat het in de toekomst beter beveiligd gaat worden.
Het is toch behoorlijk kwalijk dat een site wachtwoorden in plain text opslaat.

Evenzo kwalijk is het feit dat nog steeds een hele hoop mensen dezelfde emailadres/username-wachtwoord combinatie gebruikt voor meerdere sites.
Ja >zucht< je hebt gelijk. Na al die hacks denk je toch dat ieder zichzelf respecterend bedrijf eens gaat checken of alles in de eigen keuken goed geregeld is.
Noem het lui, noem het laks of gewoon erg ignorant. Feit is dat de gebruikers er wederom de dupe van worden. Hun gegevens liggen op straat. En waar hebben zij deze login naam en dit wachtwoord nog meer gebruikt? Wellicht in iets aangepaste vorm?
Het is toch behoorlijk kwalijk dat een site wachtwoorden in plain text opslaat.
Het is behoorlijk kwalijk dat een site überhaupt wachtwoorden opslaat.

Wie dat anno 2012 nog doet verdient het gewoon om gehackt te worden.
Evenzo kwalijk is het feit dat nog steeds een hele hoop mensen dezelfde emailadres/username-wachtwoord combinatie gebruikt voor meerdere sites.
Da's ook waar ja, wie dat doet (als gebruiker zijnde) verdient het eveneens dat zijn gegevens misbruikt worden :)
Het is behoorlijk kwalijk dat een site überhaupt wachtwoorden opslaat.
Uhh... hoe wil jij bij een website inloggen met een username en password wanneer die site geen wachtwoorden opslaat?

Je kunt niet verwachten dat nu direct iedere website met tokens en smartcards gaat werken.

Nee, je kunt beter de bedrijven vertellen hoe zij op een veel veiliger manier wachtwoorden kunnen opslaan. Sterke hashing algoritmes met variabele salt, zoals hier staat uitgelegd.

[Reactie gewijzigd door musiman op 19 september 2012 14:17]

AKA, HMAC Hash Message Authentication Code

SHA-512 + HMAC is naar mijn weten nog niet gekraakt
Simpel, Client side encryption via Javascript. Net zoals hier.
Wow, dat kende ik nog niet. Thanks!
Uhh... hoe wil jij bij een website inloggen met een username en password wanneer die site geen wachtwoorden opslaat?
Doordat ze alleen de hashes opslaan (gehashed met een variabele salt en een krachtige hash functie, inderdaad zoals de link die je noemt).

Wellicht weet je dit zelf al maar voor de volledigheid: een hash opslaan is dus niet het password opslaan (en hashen is niet encrypten).
Wel grappig hoe dat de eigenaars van de site blijven ontkennen dat ze gehacked zijn geweest en post in verband daarmee gewoon verwijderen en dergelijke :P
Als jij ontkent dat je een achterlijke $#$%# bent en ze schrijven het op je voordeur: of het nu waar is of niet, dan haal je het er toch ook vanaf? Dit is een typisch geval van "je kan niet bewijzen dat iets NIET gebeurd is"


edit: voor de volledigheid, ik geloof echt wel dat het WEL gebeurd is :|

[Reactie gewijzigd door jeroen_loeffen op 19 september 2012 14:24]

Benieuwd of mijn accountgegevens ook buitgemaakt zijn. Kom bijna nooit op de site, maar heb wel een account... Hints waar je zoiets kan checken?
Pastebin ofzo, anders wil google wel helpen.
Maar je gebruikt toch voor iedere site een ander wachtwoord, dus zo'n probleem is het niet. :*)

[Reactie gewijzigd door Soldaatje op 19 september 2012 14:15]

Het is behoorlijk kwalijk dat een site überhaupt wachtwoorden opslaat.
Dit zou een site altijd moeten doen om de gebruiker te verifiëren.
Vaak gebeurd dit met een match van username en wachtwoord. ;)
Ik neem aan dat hij bedoelt, dat hij kwalijk is dat sites een "raw" password bewaren. Ipv de password onherkenbaar te maken in de databank, en waarbij men bij de inloggen, dezelfde procedure toepast.

Simpel voorbeeld is: md5 ( password ) == database_md5_password.

Niet echt veilig meer deze dagen, aangezien men md5's kan heropbouwen met beetje werk. Maar we spreken dan niet van het heropbouwen van 1 of 2 password, maar over 10.000 of 100.000 = onbegonnen werk.

Het is in ieder geval nog altijd beter, dan gewoon puur "raw" paswoorden in de databank. Beter is natuurlijk met een crypt + salt. Of multi layer ...

Maar puur "raw" is één van de grootste domheden dat je ooit kan doen. En toch gebeurt het niet alleen vaak, het is zelf bij enorm grote sites standaard praktijk.

Soms hoor je het argument van: "Ja maar, hoe kunnen we anders mensen hun account checken bij problemen, als we hun password niet kennen". Ofwel reset je het password met een nieuw random password, of je bouw een ID switch in je systeem, wat je in staat stelt in te loggen via de admin -> user ( en enkel op die manier! Met natuurlijk security ). Zijn heel wat redenen dat mensen argumenteren dat blank paswoorden nodig zijn, maar in praktijk zijn deze allemaal nutteloos, en zijn er technische mogelijkheden om watever argument ongedaan te maken. Maar ja, het is toch zo veel makkelijker als men direct aan de raw password aankan nietwaar!

Tot ze gehakt worden, en dan is het altijd hetzelfde liedje. Ontkennen, ontkennen, ontkennen, tot ze gepublished worden, en dan *oeps* ... dan rollen de koppen.
of linken met facebook, linkedin e.d.
Ja, ga jij even je private tracker delen op facebook, of erger, met je zakelijke contacten :P

[Reactie gewijzigd door SinergyX op 19 september 2012 14:47]

Dit zou een site altijd moeten doen om de gebruiker te verifiëren.
Zie ook mijn reply een paar posts hierboven. Om een login te verifiëren hoeven ze enkel een hash op te slaan (waaruit per definitie op geen enkele manier het originele password valt terug te halen), *niet* het password zelf.

(edit) Wat Wulfklaue dus ook uitlegt. En md5 gebruik je uiteraard niet meer anno 2012.

[Reactie gewijzigd door kumquat op 20 september 2012 23:02]

Ook kon met een deel van de logins toegang worden verkregen tot een betaalde sectie van de torrentsite, met 'exclusieve' content.
Wat bedoelt men met 'exclusief', warez? pron?
gelukkig heb ik geen revtt account maar goed als ik er een gehad zou hebben zou het toch mijn laagste of eenalaagste tire wachtwoord hebben en hoewel ik hem op heel veel plaatsen gebruik kan een hack daar van geen kwaad. Een na laagste zou mijn tweakers account ook zijn maar all deze dingen zijn niet echt iets waar een hacker wat mee moet.
Bij mijn FXP forum jaren geleden had ik gewoon IP restriction, een vast IP of meerdere per user
Jip, bestaat nog steeds :)
toch slim van me gewest om nergens accountjes aan te maken :)

ben tegen het accounts aanmaken overal op internet grotere kans dat dit gebeurd namelijk:)

verder is dit niet zo heel interesant torrents zullen blijven bestaan ik had nog nooit van deze site gehoord dus mij persoonlijk doet het al niets.
Uhhh, accountje tweakersnet?
Gmail?
Ik noem maar wat.
Wat een onzin, je kan toch gewoon verschillende wachtwoorden gebruiken overal.
ben tegen het accounts aanmaken overal op internet grotere kans dat dit gebeurd namelijk:)
Gewoon overal random usernames en passwords gebruiken (en random webmail adressen voor zover nodig). Niets aan de hand.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True