Pornosite laat gegevens 1,3 miljoen leden uitlekken

De Amerikaanse pornosite Naughty America bevatte volgens een onderzoeker een beveiligingsprobleem, waardoor de gegevens van 1,3 miljoen gebruikers toegankelijk waren. Een woordvoerder van de pornosite ontkent het lek.

Naughty AmericaBeveiligingsonderzoeker Ingratefully zegt tegenover Tweakers dat hij middels een sql-injectie de gegevens van 1,3 miljoen leden van Naughty America en diens dochtersites kon benaderen.

Daaronder waren onder meer gebruikersnamen en wachtwoorden, hoewel beide gehasht waren. Daarnaast waren de gegevens van 500.000 webmasters die deelnamen aan het affiliateprogramma van Naughty America te vinden in de database. Van hen waren naast logingegevens ook adres- en telefoongegevens zichtbaar. De wachtwoorden van de leden waren goed versleuteld, maar dat geldt niet voor die van de affiliates. Ze zouden weliswaar voorzien zijn van een salt, maar volgens Ingratefully zijn ze nog steeds te kraken.

Los daarvan vond Ingratefully op de server van Naughty America een rar-bestand met daarin bronbestanden van de Naughty America-website, al waren die bestanden wel verouderd: het ging om een backup uit 2009. Inmiddels zouden beide beveiligingsproblemen opgelost moeten zijn.

Een woordvoerder van Naughty America ontkent dat de gegevens uit de database afkomstig zijn van Naughty America; het zou gaan om gegevens uit andere databases, die ook door de eigenaar van Naughty America worden beheerd. Bovendien zou het gaan om een systeem dat werd gebruikt om kliks op advertenties te tracken. Onderzoeker Ingratefully zegt echter dat er wel degelijk aanwijzingen zijn dat het gaat om gegevens van Naughty America. Bovendien, stipt hij aan, is het onwaarschijnlijk dat een systeem dat wordt gebruikt om advertentiekliks te tellen, persoonsgegevens opslaat.

Door Joost Schellevis

Redacteur

Feedback • 22-12-2012 11:14 48

22-12-2012 • 11:14

48

Lees meer

'Pornosite xHamster serveerde malware via malafide advertentie'
'Pornosite xHamster serveerde malware via malafide advertentie' Nieuws van 28 april 2015
'Pornosite RedTube serveerde malware na mogelijke hack'
'Pornosite RedTube serveerde malware na mogelijke hack' Nieuws van 18 februari 2015
Logitech plaatst honderden facturen van klanten in open-dir
Logitech plaatst honderden facturen van klanten in open-dir Nieuws van 8 september 2014
Sql-lek Nedgame gaf toegang tot gegevens 123.000 klanten
Sql-lek Nedgame gaf toegang tot gegevens 123.000 klanten Nieuws van 6 november 2013
Waterbedrijf Oasen versleutelde sessie-id's niet
Waterbedrijf Oasen versleutelde sessie-id's niet Nieuws van 25 september 2012
Anonymous hackt databases Australische telco
Anonymous hackt databases Australische telco Nieuws van 29 juli 2012
Hackers breken in bij provider ZeelandNet
Hackers breken in bij provider ZeelandNet Nieuws van 27 juli 2012
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie Nieuws van 2 juli 2012
LinkedIn: wachtwoorden zijn nu gesalt
LinkedIn: wachtwoorden zijn nu gesalt Nieuws van 13 juni 2012
Meer producten en artikelen
Netwerk en systeembeheer Datalek

Reacties (48)

-Moderatie-faq
48
43
24
0
0
3
Wijzig sortering
bonus 22 december 2012 11:22
Helaas is het al bijna geen nieuws meer dat de boel niet helemaal dicht zit. Pijnlijk is het natuurlijk altijd als het om een xxx site gaat, daar gaan je gegevens ;( Maar aan de andere kant, er moeten toch mensen lid zijn van zo'n site anders kom je niet aan 1,3 miljoen leden ;)
Seditiar @bonus22 december 2012 11:54
Ach, hoeveel mensen vullen nou hun echte gegevens bij zulke sites in. Waarschijnlijk veel teveel, maar die zijn dan ook veel te naïef voor deze wereld.
Laguna @Seditiar22 december 2012 12:43
Genoeg als ze met creditcard betalen, anders is het fraude en daarmee strafbaar. Ik zou het dan ook zeker niet naïef noemen.
Seditiar @Laguna23 december 2012 12:28
Hebben ze die gegevens weten te bemachtigen dan? Het haalt toch niets uit als je in je profiel een andere naamt hebt dan op de creditcard staat?
Bulls @Laguna22 december 2012 13:56
Betalen voor porno op internet is toch totaal overbodig. Wie zoekt zal vinden.
FreshMaker @Bulls22 december 2012 15:29
Het zal ergens vandaan moeten komen hé

Dat het 'gratis' voorhanden is, wil niet zeggen dat er niemand aan verdiend heeft
( of geloof je werkelijk dat AL die amateur oops momentjes echt oopsmomenten zijn .... )
Seditiar @FreshMaker23 december 2012 12:27
Behalve dat je op het overgrote gedeelte van de websites flink reclame ziet.
BTU_Natas @FreshMaker22 december 2012 15:38
Goddammit, eerst Sinterklaas toen de Kerstman. En nu is dit ook al niet echt!
Anoniem: 201824 @BTU_Natas22 december 2012 15:49
Weet je het al van de paashaas? O-)
Ayporos @Anoniem: 20182423 december 2012 09:13
Meh... Enige probleem dat ik met betaalde porno heb is dat je altijd alleen met credit card kunt betalen.

Ik ben 24 jaar, heb geen CC en ga ook nooit een CC aanvragen.
Je kunt tegenwoordig alles pinnen; lenen is duur en onverantwoord en een CC is mijns inziens niet iets van deze tijd meer.

Ik snap dat de hele Amerikaanse 'consume' maatschappij draait om de CC en de CC daar nog dagelijks gebruikt wordt maar dat lijkt mij meer 'traditie' dan dat het daadwerkelijk nut heeft.

Pinpas, iDeal, PayPal, wtf moet je nou nog met een CC?!

Ok er is genoeg (goeie) gratis porno (amateur) te vinden en meeste betaalde porno makers/distributeurs hebben ook 'preview' filmpjes in overvloed + alle 'illegale' betaalde porno die je kunt vinden maar ik zou het wel heeel fijn vinden als die porno sites niet meer enkel betalen via CreditCard zouden ondersteunen.

(disclaimer: ik weet dat het ook met leeftijdverificatie te maken heeft maar tbh wat boeit het nou serieus als een 12yo wat porno aanvraagt.. als hij toegang heeft tot een bankrekening/paypal is ie mijns inziens ook volwassen genoeg voor porno)
Glorificationer426 @Ayporos23 december 2012 19:19
Een creditcard kun je ipv afbetalen ook gewoon instellen dat het bedrag in 1x aan het eind van de maand afgeschreven wordt hoor, dan betaal je geen of praktisch niets aan rente.
Zo eng is dat dus helemaal niet :)
XyritZz @Glorificationer42624 december 2012 11:11
Die optie ben ik nergens tegengekomen bij de aanvraag van een creditcard bij ING; en toen ik het wilde wijzigen nadat ik de creditcard al had ontvangen moest ik een belachelijk lang formulier invullen.

Klantvriendelijkheid is in die markt nog ver te zoeken; en ik kreeg sterk de indruk dat ze liever hebben dat je in termijnen aflost.

Uiteindelijk maakt het me niet zo veel uit, ik gebruik mijn CC bijna enkel voor kleine uitgaven en bij die enkele grote uitgave doe ik altijd extra aflossingen waarmee het ook in één keer zonder rente is geregeld.
BoAC 22 december 2012 11:24
En nu maar hopen dat de hash methode sinds 2009 is gewijzigd omdat anders weleens de werkelijke gegevens door reverse enginering eruit gehaald kunnen worden :|
Rixard @BoAC22 december 2012 12:45
Waarschijnlijk is dat niet meteen een probleem.

Wat er gebeurd wanneer iemand inlogd, is dat de gebruikersnaam en het wachtwoord worden omgevormd tot een hash. Deze hash wordt vervolgens vergeleken met de hash in de database. Wanneer die overeenkomen mag er ingelogd worden, anders niet. Dit heeft veel voordelen in veiligheid, maar als belangrijk nadeel dat je niet tussentijds de hashmethode en/of salt kunt veranderen.

Wat wel kan is rainbowtables opbouwen wanneer de hash en salt bekend zijn.
ThomasG @Rixard23 december 2012 01:14
Je hoort eigenlijk per gebruiker een salt te maken, kun je gewoon opslaan naast de wachtwoord hash etc. De salt is dat wel bekend, maar er zal per gebruiker een rainbow table gemaakt moeten worden. Waardoor het er praktisch opneer komt om alle wachtwoorden te bruteforcen. Onbegonnen werk.
AlphaWierie 22 december 2012 12:24
Volgensmij voert bijna niemand zijn echte gegevens in toch ? Tenminste ik niet :+
Op de creditcard gegevens kunnen ze er vrij weinig mee denk ik.
sfranken @AlphaWierie22 december 2012 13:58
Als het creditcard gegevens zijn moet je je echte gegevens invullen anders is het fraude en dus stafbaar
Anoniem: 201824 @sfranken22 december 2012 15:52
Dan hebben ze ook een stuk minder klanten lijkt me...
Tweaker_19 22 december 2012 14:24
Grappig om te zien dat bij dit soort sites de wachtwoorden beter beveiligd zijn dan sommige overheidsinstanties en "normale" commerciele bedrijven....
darkfader @Tweaker_1922 december 2012 22:11
Ze maken dan ook meestal flink winst. En als je een 'bekende' site draait wil je deze dan ook goed beveiligen tegen hackers, DDoS aanvallen (hoop servers ook).
DMZ 22 december 2012 11:41
Ik vind het opvallend om te zien hoe een pornosite betere beveiliging heeft dan menig ander bedrijf. Deze inlognamen en wachtwoorden zijn tenminste gehast, iets wat je niet kunt zeggen van veel andere gegevens die recent zijn buitgemaakt.
HummerHealey @DMZ22 december 2012 15:12
Pornosites lopen al sinds het begin voorop wat technologie betreft. (Heb ik gehoord :+ )
Anoniem: 201824 @HummerHealey22 december 2012 15:50
Tja, ze hebben dan ook meer last van fraudeurs dan een gemiddelde webshop ;)
FlyingDutchMen 22 december 2012 12:16
Tja daar ben je weer mooi klaar mee (gekomen :'( )... Opzich niks nieuws dat der weer iets gehackt word. maarja wel jammer als je gegevens er tussen zit he. Het komt de laatste tijd wel erg veeel voor dat de gegevens op straat komen te liggen. je zou toch denken dat ze wel van elkaars fouten leren en de critieke punten verbeteren. Het valt nog mee dat ze versleuteld zijn. Maarja hierbij ligt het privacygehalte ook iets hoger dan bij bijv. een website zoals bol.com ofzo
Patrick1990 22 december 2012 12:34
Er zijn zo veel bekende problemen met alle (porno)sites; overal kun je tegenwoordig van, inderdaad, porno sites tot premium upload sites (en ga zo maar door) wel wachtwoorden en andere gegevens vinden die dan gratis voor de 'hits' worden gepubliceerd.

Geloof mij maar dat echter zo'n website hier alles behalve blij mee is, naast al die betaalde vaste klanten zal dit na publieke bekendmaking ook wel zijn impact hebben op de de algemene waarde van zo'n site en het aantal bezoekers wat zo'n site aantrekt. Er zijn immers veel vergelijkbare concurrenten, en als die dan dit soort privacy-kwesties beter hebben geregeld kan ik me voorstellen dat een betalend lid t.z.t. wel overstapt!
CedricD 22 december 2012 13:01
Nja, pornosite's... Er zijn er zo miljoenen volgens mij. En seks is volgens mij een basisbehoefte. Niets om je voor te schamen als je geregistreerd staat op een pornosite. Wel jammer dat je privacy op die manier geschonden wordt.
kritischelezer 22 december 2012 13:27
Eindelijk een site die de wachtwoorden van de klanten goed beveiligd heeft, nu de kritieke toepassingen nog op internet.

Gebruikersnamen zijn niet als Henk de Vries. Wachtwoorden zijn niet eenvoudig te achterhalen.

Alle affiliates zijn bekend op internet en staan ingeschreven in kvk en aanverwanten in hun land, daar zijn de gegevens openbaar (adressen en telefoonnummers), niets geheims aan...
HoppyF 22 december 2012 11:20
Een pornosite die lekt, wat moet ik me daar nu weer bij voorstellen? :o

Buiten deze "lullige" opmerking is het wet triest dat gebruikersgegevens zo maar op straat komen te liggen. Los van het doel van de website.

[Reactie gewijzigd door HoppyF op 22 juli 2024 19:33]

Anoniem: 394438 @HoppyF22 december 2012 19:42
America was naughty again: they dropped your data on the ass.
jqv @HoppyF22 december 2012 11:23
De gegevens zijn eruit gesquirt.

Dit zal wel weggemod worden, maar dat zou na al die jaren tweakers.net de eerste Keer zijn. Maar het moest er even uit.
SKiLLa @jqv22 december 2012 14:55
Spuit 11 :Y)

Maar on-topic: Ik ben geneigd die hacker te geloven; sinds wanneer worden login-hashes in een click-database bewaard ??? Maarja, altijd ontkennen, anders beken je schuld en wordt je kapot ge-sue-d in de USA ...
Anoniem: 201824 @SKiLLa22 december 2012 15:48
Wie weet is er in plaats van enkel een lek, ook een privacy issue gevonden. Persoonsgegevens in een click database, dat mag vast ook niet in de VS.
Anoniem: 24417 @jqv22 december 2012 21:37
misschien zijn ze er via een 'backdoor' ingekomen ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq