Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

Gameswinkel Nedgame kampte met een beveiligingsprobleem waardoor de gebruikersnamen, adresgegevens, telefoonnummers en slecht versleutelde wachtwoorden van bijna 123.000 klanten te downloaden waren. Dat meldt een anonieme bron aan Tweakers.

NedgameKwaadwillenden konden de kwetsbaarheid misbruiken om de gegevens van alle klanten te downloaden. Het ging om een zogenoemde sql-injectie, waarbij aanvallers eigen tekst in een sql-query kunnen plaatsen om zo malafide database-queries uit te voeren. Sql-injecties zijn relatief eenvoudig te voorkomen.

Een anonieme bron meldde het beveiligingsprobleem bij Tweakers via de klokkenluiderssite Publeaks, waarmee documenten vertrouwelijk en anoniem naar media kunnen worden gelekt. Tweakers heeft het probleem kunnen verifiëren. Nadat Tweakers het beveiligingsprobleem meldde bij Nedgame, werd het sql-lek binnen een uur gedicht; het is echter onduidelijk hoe lang het lek precies open heeft gestaan.

In totaal stonden de gegevens van 123.000 klanten in de database van Nedgame. Daarbij ging het onder meer om naam, e-mailadres, huisadres, telefoonnummer en het versleutelde wachtwoord. De wachtwoorden waren slecht beveiligd: ze waren gehasht met het inmiddels achterhaalde md5-algoritme. Ook werd er geen salt toegepast op de wachtwoorden. Een salt is een extra waarde die aan een wachtwoord wordt toegevoegd voordat het wordt gehasht. Gebeurt dat niet, dan zijn wachtwoorden relatief eenvoudig te achterhalen via rainbow tables. In dit geval bleek dat ook mogelijk.

De gebruikersnamen en wachtwoorden waren niet in één keer te downloaden: de uitvoer van het commando dat werd gebruikt voor de sql-injectie was beperkt tot 512 karakters. Wel hadden aanvallers een script kunnen schrijven om de gegevens van elk account één voor één te downloaden. Het is onduidelijk of er misbruik is gemaakt van het lek. Niels Thomassen, eigenaar van Nedgame, zegt dat hij er niet van uitgaat dat dat is gebeurd, maar geeft toe dat dat niet uit te sluiten is. Het bedrijf overweegt nog of het uit voorzorg de wachtwoorden van alle gebruikers zal resetten.

Moderatie-faq Wijzig weergave

Reacties (50)

Wat ik nu niet uit het verhaal kan halen is dat Nedgame zelf op de hoogte was van het probleem voordat Tweakers het aan Nedgame meldde. Het lek is na het melden vervolgens wel binnen een uur gedicht en dat doet er in elk geval aan denken dat Nedgame zulke meldingen dus serieus neemt.

Ik vind het een wat rare situatie worden als publeaks gebruikt gaat worden om anoniem bugs/beveveiligingsincidenten door te geven zonder dat duidelijk is dat de partij waar het om gaat er zelf van op de hoogte is. Vervolgens vind ik het helemaal vreemd dat Tweakers dan ook nog gaat publiceren zonder dat bovenstaande duidelijk is.
Wat ik nu niet uit het verhaal kan halen is dat Nedgame zelf op de hoogte was van het probleem voordat Tweakers het aan Nedgame meldde. Het lek is na het melden vervolgens wel binnen een uur gedicht en dat doet er in elk geval aan denken dat Nedgame zulke meldingen dus serieus neemt.

Ik vind het een wat rare situatie worden als publeaks gebruikt gaat worden om anoniem bugs/beveveiligingsincidenten door te geven zonder dat duidelijk is dat de partij waar het om gaat er zelf van op de hoogte is. Vervolgens vind ik het helemaal vreemd dat Tweakers dan ook nog gaat publiceren zonder dat bovenstaande duidelijk is.
De eigenaar van Nedgame was in mijn interview met hem in ieder geval verbaasd, dus waarschijnlijk waren ze niet van op de hoogte. Maar wat maakt dat uit voor de strekking van het verhaal? Zoals DeTeraarist zegt: melden bij een bedrijf heeft risico's. Media durven ze niet aan te klagen, dus dan zijn wij een veilige manier om het op te lossen.
Het maakt voor de strekking van het verhaal uit dat Nedgame nu ineens met zo'n blote billen op internet staat over een beveiligingslek in hun site waar ze niet zelf vanaf wisten. Zo'n winkel lost zoiets wellicht liever op zonder meteen met de billen bloot te moeten, en terecht ook nog. Het wordt natuurlijk anders als uit documentatie blijkt dat ze er al weken vanaf weten en er toch niks aan doen of dat je op een andere wijze kan spreken over grove nalatigheid.

De (negatieve) impact die bovenstaand verhaal (vereeuwigd op internet) kan hebben op zo'n winkel is niet te onderschatten, terwijl dat helemaal niet had gehoeven en er helemaal geen aanwijzing is voor opzet of kwade bedoelingen.

Ook keuren jullie hiermee impliciet het ongevraagd "testen" van websites goed: "kijk maar of er een lek te ontdekken valt, wij publiceren het wel". Nee, wat mij betreft niet lekker en ook weinig ethisch.
Het maakt voor de strekking van het verhaal uit dat Nedgame nu ineens met zo'n blote billen op internet staat over een beveiligingslek in hun site waar ze niet zelf vanaf wisten. Zo'n winkel lost zoiets wellicht liever op zonder meteen met de billen bloot te moeten, en terecht ook nog. Het wordt natuurlijk anders als uit documentatie blijkt dat ze er al weken vanaf weten en er toch niks aan doen of dat je op een andere wijze kan spreken over grove nalatigheid.
Als het wachtwoorden waren die goed waren versleuteld, was het al een stuk minder nieuwswaardig geweest. In plaats daarvan werd gekozen voor ongesalte md5-hashes... Los daarvan: sql-injecties zijn eenvoudig te voorkomen; ik hoop dat transparantie erover bedrijven aanzet om er alles aan te doen om dergelijke kwetsbaarheden te dichten.
Ook keuren jullie hiermee impliciet het ongevraagd "testen" van websites goed: "kijk maar of er een lek te ontdekken valt, wij publiceren het wel". Nee, wat mij betreft niet lekker en ook weinig ethisch.
Wij keuren het pentesten van websites goed noch af. Bovendien geven we een getroffen website altijd de gelegenheid om het lek te dichten en een reactie te geven voordat we ermee naar buiten treden.

Persoonlijk denk ik dat het testen van websites op beveiligingsproblemen het internet alleen maar veiliger kan maken en daar sta ik niet alleen in: de overheid heeft een leidraad responsible disclosure opgesteld en de grote telecomproviders hebben een meldpunt datalekken.

[Reactie gewijzigd door Joost op 6 november 2013 20:14]

Met de leidraad responsible disclosure ben ik het dan ook helemaal eens. Alleen wat jullie hebben gedaan is imo dus juist het tegenovergestelde van responsible disclosure. Jullie zetten Nedgame voor het blok en publiceren sowieso (daarmee alleen gewin te hebben voor jullie zelf).

Het lelijke is nog wel dat Nedgame zich wat dat betreft wél aan de leidraad responsible disclosure heeft gehouden door snel en adequaat te reageren op schijnbaar de eerste beste melding (wat het gebruik van Publeaks door de originele melder dus al helemaal niet rechtvaardigt).

[Reactie gewijzigd door rodie83 op 6 november 2013 20:31]

De redactie van Tweakers is voorstander van het toepassen van de best practice: iemand die een lek constateert, meldt dit bij de site en geeft een redelijke termijn om het te dichten. Om diverse redenen kan het gebeuren dat sites niet adequaat reageren; als wij hierover een melding krijgen zullen we altijd alsnog de site de gelegenheid geven binnen redelijke periode een reactie te geven en het op te lossen voor we tot publicatie overgaan.
Kan ik hieruit dan afleiden dat Nedgame op eerdere meldingen niet adequaat heeft gereageerd? Dan zou het bijzonder waardevol zijn als dat aan het bericht wordt toegevoegd. Indien dat niet het geval is, waarom zijn jullie dan gaan publiceren?
Uiteraard snap ik je punt, een lek melden zou op z'n plaats zijn, maar daar zitten ook risico's aan. Als je je niet anoniem genoeg kan melden bij een bedrijf, dan loop je de kans aangeklaagd te worden, ook al heb je geen kwaad in de zin. Middels publeaks gaat het anoniem en heb je veel minder kans om aangeklaagd te worden.
Naast de vraag of Nedgame al eerder van het lek op de hoogte was gebracht (mijn indruk is van niet), beantwoordt het artikel ook niet de vraag hoe lang geleden Nedgame op de hoogte is gebracht. Oftewel, hoeveel tijd hebben ze gehad om een reactie voor te bereiden?

Als bij mij als bedrijf zo'n melding binnen was gekomen, zou ik eerst willen onderzoeken wat de schade is geweest. Hoelang heeft dat lek opengestaan, zijn er in de logs tekenen van misbruik te ontdekken, bij welke informatie konden ze precies komen.
Aangezien Nedgame gewoon een gamewinkel is, hebben ze die kennis waarschijnlijk niet zelf in huis, maar moeten ze daarvoor naar een externe partij. En dan spelen er nog juridische zaken. Uitspraken van de winkel kunnen gevolgen hebben voor je juridische aansprakelijkheid. Je zult heel zorgvuldig in je reactie moeten zijn en er juridisch advies over moeten inwinnen. en dat kost tijd. En het artikel geeft niet aan of tweakers Nedgame die tijd heeft gegeven (iets wat natuurlijk niet het probleem van tweakers is).

Ik vind het dan ook veel te vroeg om Nedgame nu al meteen tot de grond toe af te branden.
Goed om te zien dat Publeaks direct zijn vruchten afwerpt!

Verder stom natuurlijk dat dit middels simpele SQL-injectie mogelijk is... wederom maar weer het bewijs dat het niet zo vanzelfsprekend is dat bedrijven hun security op orde hebben :(
Wel vreemd dat dit via Publeaks binnen komt. Waarom kan dit niet gewoon niet via de nieuws submit?
Kan daar meerdere redenen voor verzinnen, de een nog meer paranoide dan de ander.
Maar wellicht heeft dit te maken met de persoon die het indient. Ik als medewerker van Nedgame zou in ieder geval niet iets dergelijks aan een nieuwssite gaan melden als er op een of andere manier het risico bestaat dat mijn naam aan het artikel verbonden kan worden...

(hypothetisch, ik zeg niet dat het een medewerker is die het heeft ingediend maar stel dat :))
Precies, en als jij of ik de werknemer zou zijn, zouden we het toch gelijk melden bij de betreffende afdeling, toch?

Raar om je bedrijf op deze manier te willen naaien ipv het ze gewoon even te zeggen.

(Ik begrijp dat het een voorbeeld is, daarom zal het ook geen medewerker zijn)
Maar vaak gebeurd het ook dat er geen aandacht aan wordt geschonken, geen tijd en geld om dat te fixen.
Net alsof het bedrijf daar naar zal luisteren......
Als je dit angeeft als medewerker en je wordt opgezocht voor toelichting, dan kan ik mij voorstellen dat je baas niet erg blij met je is.
Wikileaks. Wikileaks zoekt zelf informatie en publiceert die ook zelf, Publeaks is niet meer dan een brievenbus
waarom is die post dan niet publiekelijk toegankelijk?
Controlerend vermogen van de pers versterken
dus wordt gescreent (gecensureerd) door de pers
Informatie die het daglicht moet zien
... waar blijven die documentjes? bij welke persgroep moet je aanmelden om die inzichtelijk te krijgen? welke voorwaarden?
dus wordt gescreent (gecensureerd) door de pers
Waarom zou dit censuur zijn? Censuur is het voorkomen dat bepaalde meldingen geuit worden, ik zie niet in hoe tweakers dit überhaupt zou kunnen. Zij hebben namelijk geen controle over wat je op alle andere websites, of zelfs ergens anders, doet. Intrinsiek kan censuur dus alleen door instituten met veel meer macht, bijvoorbeeld overheden. Op kleinere schaal kunnen ze op hun eigen site een mening voorkomen, maar ook dat doen ze niet; je kan prima iets op het forum posten. Het ergste wat ze met anonieme submits kunnen doen is het niet als frontpage-nieuws publiceren. In dat geval kun je ze hooguit slechte journalistiek verwijten. Dan kan de melder gewoon naar een andere nieuwssite gaan, als hij/zij niet tevreden is.

Het gemak waarbij er bij elke poep of scheet tegenwoordig 'censuur' bij wordt gehaald...

[Reactie gewijzigd door bwerg op 6 november 2013 19:47]

dus wordt gescreent (gecensureerd) door de pers
En gefactcheckt, in plaats van dat we alles zomaar op internet gooien. Maar daar hecht je zeker geen waarde aan?
Fijn..... slecht nieuws voor de webwinkel. Is er bekent hoe lang deze leak al aanwezig was? Wat mij voooral verbaasd is dat hun userbase zo groot is. Ik had tot nu nooit gehoord van deze webwinkel.
Zo blijkt maar weer... altijd verschillende wachtwoorden gebruiken voor verschillende websites.
het is dan ook niet een webwinkel persé. Ze hebben gewoon fysieke winkels + website.

Of is BCC nu ook al een webwinkel omdat ze een website hebben ter ondersteuning van hun winkels :?
Als je gewoon eens naar nedgame surft zie je dat het een webwinkel is....
ja? en kijk dan eens rechts op de hoofdpagina van hun site. Daar zie je aangegeven waar de fysieke winkels zich in Nederland bevinden. Dus Nedgame is geen webwinkel in de zin dat ze alleen online hun spullen aanbieden. De website is gewoon een aanvulling op hun normale winkelactiviteiten.

[Reactie gewijzigd door Yucko op 6 november 2013 16:17]

Ik zeg ook nergens dat het alleen een webwinkel is :). De website van dixons is toch ook een webwinkel , tevens ook een fysieke maargoed.... Soms even iets langer nadenken dan meteen bashen.
Uit voorzorg maar even mn wachtwoord veranderd. @ Twilkie: toch grappig dat ik vaak fysiek in deze webwinkel kom en met contant geld betaal ;)
zegt dat hij er niet van uitgaat dat dat is gebeurd, maar geeft toe dat dat niet uit te sluiten is.
Goh, dit is altijd de eerste reactie. Nee joh, er gebeurt nooit wat grmbl dus dat zal nu ook wel niet het geval zijn...

De enige nette reactie op zoiets is dat hij er niets zinnigs over kan zeggen en dat je er dus maar beter wél vanuit kan gaan, omdat anders alle klanten het risico lopen dat accounts met hetzelfde wachtwoord worden gekraakt. Als je reageert met de stelling dat je denkt dat het wel losloopt stel je je eigen imago boven het belang van je klanten, terwijl je zelf een fout hebt gemaakt.
Ben het helemaal met je eens, op één ding na. Als de wachtwoorden inderdaad zijn uitgelekt, en die wachtwoorden op meerdere sites zijn gebruikt, dan helpt het die gebruikers niet veel om ze te resetten. De 'hacker' kan ze immers op het gemak uitzoeken en uitproberen op andere sites. Resetten helpt natuurlijk wel, maar alleen tegen misbruik van de Nedgame acount van die gebruiker.

Hoe dan ook moet Nedgame niet zomaar aannemen dat er niks gelekt is. Beter gewoon uitgaan van het ergste, wachtwoorden resetten, excuusbericht aan klanten, de systemen verbeteren zodat er niet ingebroken kan worden en de gegevens beter opslaan zodat de aanvaller er niks mee kan als er toch wordt ingebroken.
Het bedrijf overweegt nog of het uit voorzorg de wachtwoorden van alle gebruikers zal resetten.
Dat is wel het minste wat je kan doen, en dan nog daar over twijfelen. 8)7
De meeste bedrijven doen dat inderdaad gelijk, vreemd dat ze hierover twijfelen..
Niet dat het heel veel uitmaakt. Het gaat er juist om dat mensen hetzelfde wachtwoord ook op andere sites gebruiken. Wat zou de schade kunnen zijn als er een wachtwoord actief wordt misbruikt op de site van Nedgame? Betalingen doen gaat bijvoorbeeld al niet.
Je wilt toch niet dat mensen ongevraagd op jou account zitten? Ook al kan je er vrij weinig mee zou ik het niet prettig vinden. De encryptie moet echt opgeschroefd worden. Bij NedGame gaat het hier toch om 123.000 klanten, dat is een enorme lijst met gegevens. Bij Adobe was de encryptie ook niet super geregeld met meer dan een miljoen klant gegevens.

Aan de andere kant heb je natuurlijk ook nog de NSA waardoor je eigenlijk betere encryptie zou willen hebben op een heleboel fronten. Verontrustend dat er enorm veel sites zijn waar je wachtwoorden gewoon niet veilig opgeslagen zijn.

Ik begin het idee te krijgen dat er 5+ jaar geleden een systeem in gebruik is genomen. Het werkt prima maar de veiligheid voldoet gewoon niet aan de hedendaagse standaarden. Je moet nu gewoon rekening houden dat er een redelijke kans aanwezig is dat je wachtwoord een keer uitlekt.. dus goed opletten dat je overal een ander wachtwoord gebruikt.

Je kan overstappen op iets als KeePass maar daar heb ik ook m'n twijfels over. Het is open-source maar de gemiddelde programmeur snapt waarschijnlijk amper wat er gebeurd. Net als met het TrueCrypt algorithme..
Bedankt nedgame voor het niet informeren van mij over mijn gegevens. Jullie waren altijd een goede concurrent van gamemania in de 2ehands markt, en ik bezocht de fysieke winkel ook vaak.
Nu dit op deze manier bekend moet worden ben ik best over de zeik.
ik zou graag welgemeende excuses horen over de slechte beveiliging. Anders zal ik mijn positie als klant gaan heroverwegen. Dit is namelijk schandelijk.

waarom -1? Bedrijven moeten zulke info zelf delen imo, zoiets mag niet bekend worden omdat toevallig iemand wil lekken. Het bedrijf moet dit zelf bekend maken

[Reactie gewijzigd door GAIAjohan op 6 november 2013 16:13]

Wie weet krijg je je die mail nog wel?
NedGame is een goede game winkel die zich niet alleen focust op de nieuwe consoles maar ook op bv de Dreamcast.

Iedereen kan fouten maken, natuurlijk is het jammer dat het zo is, maar er is ook niet bekend of er iets uberhaupt gelekt is.
Wel netjes dat ze na het melden binnen een uur hebben op gelost, zo mag ik het natuurlijk ook bekeken worden.

Ik hoop dat je er niet vanuit gaat dat alle sites die jij bezoekt super beveiligd zijn want dan valt het nog vies tegen ben ik bang.
Wel netjes dat ze na het melden binnen een uur hebben op gelost, zo mag ik het natuurlijk ook bekeken worden.
Dat is netjes ja, maar ik zet een beetje twijfels bij de manier van benaderen.
Als dit zo makkelijk op te lossen was, waarom is een simpel belletje/mailtje naar het bedrijf dan niet genoeg? Waarom moet het op zo'n moeilijke manier?

Het kan natuurlijk een medewerker zijn die het al tijden geprobeert heeft te melden zonder dat er iets gebeurde. Dat zou me niet eens iets verbazen.
Maar nu staat die winkel even met de billen bloot vol in de media (hier tenminste) en dat kost ze kudus bij de klanten en dus geld.
Als ik nu in probeer te loggen:

Nieuw wachtwoord aangemaakt Let op: Uw wachtwoord is verlopen. Wegens veiligheidsredenen is er een nieuw wachtwoord voor je aangemaakt. We hebben het nieuwe wachtwoord per e-mail naar rob@lindoboom.nl verzonden.

:)
Misschien -1 omdat je vanuit je riante positie als klant wel erg makkelijk van alles eist en niet even in durft te zien dat dit gigantisch vaak voorkomt?

Begrijp me niet verkeerd, dit mag niet gebeuren, maar je klimt wel erg snel in de gordijnen.
Het zal vaak genoeg voorkomen, ook bij andere websites. Maar als dan blijkt dat het alleen bekend is vanwege een klokkenluidersactie mag een klant best klagen, en flink ook. Die is namelijk getracht buitenspel te houden door de aanbieder van die website. Proberen er geen ruchtbaarheid aan te geven is schandelijk. Dat geldt net zo goed voor andere bedrijven. Mocht hetzelfde gebeuren bij een ander bedrijf, namelijk proberen ondergronds te houden, terwijl accounts van mensen gevaar lopen dan zou ik net zo goed schande spreken.

Ze hadden direct bij de bekendwording intern de website op zwart moeten gooien, iedereen een mail sturen en de problemen oplossen. Ipv dat iemand dit via publeaks openbaar maakt.

tevens zou de zwakke beveiliging intern gewoon bekend moeten zijn geweest.

Als klant ben je koning toch? Dan mag je best wat eisen. Zonder klanten geen Nedgame.

[Reactie gewijzigd door GAIAjohan op 6 november 2013 16:48]

Ik ben het volledig met je eens. Dat dit soort zaken vaker voorkomen is een, maar dat ze hun klanten niet informeren, het lek open laten staan totdat het in de pers komt en vervolgens twijfelen of ze de wachtwoorden moeten resetten is natuurlijk van de zotte.
TOch ben ik blij dat ieder invidue straks een Cyber verzekerings polis kan afsluiten. Ook bedrijven kunnen dat natuurlijk doen, motivatie om dit te doen is dat de beveiliging op orde is. Zodra er dan wordt ingebroken wordt er natuurlijk uitgekeerd als er schade is aangericht natuurlijk.

Denk niet dat Nedgame aan deze voorwaarden voldoet. Volgens mij zit hier dan ook een addertje onder het gras. VIndt sowieso als je meer dan 100 klanten hebt dat je beveiliging gewoon op orde moet zijn. Nu heeft een misschien wel kwaadwillende partij allemaal, naam, e-mailadres, huisadres, telefoonnummers etc.. etc.. Als je een beetje doordenkt, dan kun je zelf wel verzinnen wat je hier allemaal mee kan doen ;) Die simpele wachtwoorden die men gebruikt op nedgame, die zijn niet interessant want Nedgame bevriest gewoon alle accounts, klaar.

Stel je toch eens voor dat er ineens in hongarije een krediet kaart op jouw naam staat o.i.d. Een telefoon abonnement, noem het maar op ;) vervalste identiteit noem het maar op :(

Aanklagen die handel :) In deze tijd hoort je database niet gehackt te kunnen worden door simpele sql-injecties :/
Het is onduidelijk of er misbruik is gemaakt van het lek. Niels Thomassen, eigenaar van Nedgame, zegt dat hij er niet van uitgaat dat dat is gebeurd, maar geeft toe dat dat niet uit te sluiten is.
Mischien ligt het aan mij, maar ik zou precies het tegenovergestelde denken? Ga er juist *wel* van uit dat de gegevens misbruikt zijn en informeer je klanten zo snel mogelijk...
Er zou een standaard set security eisen met bijbehorende geautomatiseerde verificatie tools moeten komen waaraan websites van bedrijven (dus ook webshops) wettelijk moeten voldoen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True