Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Submitter: BluRay

Hackers zijn erin geslaagd om bij de multimediadienst Boxee.tv binnen te dringen en de gegevens van 158.000 gebruikers te stelen. Zij kregen onder andere gebruikersnamen, wachtwoorden, forumberichten en ip-adressen in handen.

Dat meldt Arstechnica op basis van een bestand dat op internet circuleert en de genoemde gebruikersgegevens bevat. In het bestand, dat ongeveer 800MB groot is, werden onder andere e-mailadressen en gehashte wachtwoorden gevonden. Daarnaast kregen de hackers ook forumberichten, ip-adressen, geboortedata, eerder gebruikte wachtwoorden en andere persoonlijke informatie in handen.

Waarschijnlijk zijn de hackers binnengekomen via de vBulletin-forumsoftware van Boxee.tv. Het blijkt namelijk dat alleen gegevens die via het forum zijn opgeslagen in handen zijn gekomen van hackers. Daarnaast kwam er een screenshot naar buiten waarop is te zien dat de hackers een bericht hebben achtergelaten op het forum. Gebruikersaccounts voor de mediasoftware zelf lijken niet buit te zijn gemaakt.

Boxee werd afgelopen zomer overgenomen door Samsung, die daarvoor 30 miljoen dollar neertelde. Het bedrijf maakt mediacentersoftware op basis van XBMC, maar kwam eerder ook met mediaspeler-hardware op de markt. Boxee heeft nog niet op de hack gereageerd. Beveiligingsdienst LastPass heeft klanten waarvan namen voorkwamen in de gehackte database gewaarschuwd dat zij hun wachtwoord moeten veranderen.

Boxee.tv hack

Moderatie-faq Wijzig weergave

Reacties (33)

Kijk hier of jouw email ertussen zat!
En hoe veilig is dit? Makkelijke manier om snel een email database op te bouwen?!
Ik heb wat emails getest en wat ik zag klopt, enkele emails waarmee ik ooit adobe heb geregistreerd werden als pwned bekend gemaakt, en die database is inderdaad door hackers buit gemaakt.
Ik bleek ook voor te komen in de adobe hack,
ik kon al meteen niet meer inloggen en wachtwoord resetten blijkt ook niet te werken.
gelukkig heb ik geen creditkaart gegevens ingevoerd dus geen onverwachte kosten voor mij.
Bedankt voor die site. Die van mij komt alleen voor in de Adobe hack... nooit geweten :o
Dit is gewoon Vbulletin zegt dus niks over de beveiliging van Samsung.
Ik ga ervan uit dat ze niet verder zijn gekomen dan de Vbulletin Database.
Behalve dus dat ze onveilige software gebruiken om diensten aan te bieden, een forum op basis van vBulletin, in dit geval. Die software moet gewoon up-to-date zijn, of als ie dat was, niet gebruikt worden (omdat het dus lek is, en dit is echt niet de eerste keer dat een server geraakt wordt door een lek in vBulletin!).
Deze hack heeft niks met Samsung te maken. Dit is een hack van de oude Boxee forums, die zijn eigendom geworden van Samsung toen ze Boxee medio vorig jaar overgenomen hebben.
Het pijnlijke is dat de forums destijds meteen gesloten zijn en alleen nog ter referentie online stonden.
Ik kreeg laatst ook een mail van lastpass over adobe. Hele goede service van hun!
Maak zelf pas sinds korte tijd gebruik, maar helemaal fan hier! Zeker omdat je eenvoudig zeer complexe wachtwoorden kan generen, dus daarmee een belangrijk risico (hergebruik van zelfde wachtwoorden) kan voorkomen.

Alleen nu is LastPass wel een belangrijke schakel, maar ik denk (hoe naïef wellicht dan ook) dat ze daar voldoende in gespecialiseerd zijn.
In combinatie met two-factor authentication hebben "hackers" niets aan je masterpassword.
http://lifehacker.com/is-...it-gets-hacked-1555511389

En inderdaad, ideaal programma. +/- 8 euro per jaar.
Daarom zo eng dat banken zo veel van je weten.....
En tot je dood weten ze precies waar je wat hebt gekocht en hoe laat!!!

En ho maar dat ze deze gegevens van je vernietigen....
Hoe creepy is dat... hetzelfde als elke hack zaak....

[Reactie gewijzigd door A87 op 4 april 2014 12:12]

Zijn het - zoals het artikel leest - gehashde wachtwoorden, of gehashte wachtwoorden? Hele werkwoord is 'hashen', stam is 'hash' en een sis-klank stam krijgt een -t.

Mijn geld op gehashte.
klopt, t'kofschip, zit een H dus met een Te(n)
Er staat boven het artikel niet voor niks een "feedback" knop. Hier kun je spelling foutjes etc. doorgeven.
Ook zo leuk hè, als persoonlijke informatie op straat ligt. Beveiligingsproblemen aankaarten door contact op te nemen met het bedrijf: prima. Op internet plaatsen dat het bedrijf niet luisterde en ze een beveiligingsprobleem hebben: ook prima. Als dat ook niet werkt, wat data die niet te herleiden is naar een specifiek persoon publiceren: op het randje.

Maar zomaar even een website binnenvallen en alle data publiceren, nah, daar kan ik niet om lachen.
Ook zo leuk hè, als persoonlijke informatie op straat ligt. Beveiligingsproblemen aankaarten door contact op te nemen met het bedrijf: prima. Op internet plaatsen dat het bedrijf niet luisterde en ze een beveiligingsprobleem hebben: ook prima. Als dat ook niet werkt, wat data die niet te herleiden is naar een specifiek persoon publiceren: op het randje.

Maar zomaar even een website binnenvallen en alle data publiceren, nah, daar kan ik niet om lachen.
Eén voordeel, nu weet de hele wereld het.
Als deze "hackers" gewoon naar Samsung waren gegaan dan werd dit zoals altijd onder het matje geveegd. Vervolgens weet niemand van iets en wij de consumenten zitten met een vals gevoel van veiligheid. Wat is dan erger?
Van mij mogen VEEL meer diensten en bedrijven zo op hun bek gaan ook ten koste van wat privé gegevens. Op de lange termijn zorgen dit soort acties er wel voor dat meer bedrijven eindelijk zullen inzien dat ze hierdoor een gigantische flater slaan en niet zo slordig met onze gegevens om kunnen gaan.

[Reactie gewijzigd door Typecast-L op 4 april 2014 09:13]

Ten koste van privacy mogen bedrijven en diensten op hun bek gaan. Zo zo.

Probeer nog eens.

Ten koste van de vrijheid van meningsuiting en censuurverbod (7) mogen bedrijven en diensten op hun bek gaan.

Ten koste van 'Gelijke behandeling en discriminatieverbod' (1) mogen bedrijven en diensten op hun be gaan.

Ten koste van 'kiesrecht' (4) mogen bedrijven en diensten op hun bek gaan.

Gewoon enkele grondrechten, naast die van privacy.

"Het uitgangspunt is evenwel dat het recht op eerbiediging van de persoonlijke levenssfeer naar zijn inhoud in de eerste plaats op de vrijheidssfeer van de burger betrekking heeft en als een direct werkend recht moet worden geredigeerd. Dit vindt bevestiging in het directe verband met het huisrecht en het briefgeheim, welke steeds als klassieke grondrechten zijn beschouwd; daarop wijst ook de plaatsing van de privacybescherming in het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (artikel 8) en in het Internationaal verdrag inzake burgerrechten en politieke rechten (artikel 17)."

http://www.st-ab.nl/g1/1-83019ks03-grondwet01.htm

Dus wat lul je nou precies?
Ten koste van privacy mogen bedrijven en diensten op hun bek gaan. Zo zo.

Probeer nog eens.

Ten koste van de vrijheid van meningsuiting en censuurverbod (7) mogen bedrijven en diensten op hun bek gaan.

Ten koste van 'Gelijke behandeling en discriminatieverbod' (1) mogen bedrijven en diensten op hun be gaan.

Ten koste van 'kiesrecht' (4) mogen bedrijven en diensten op hun bek gaan.

Gewoon enkele grondrechten, naast die van privacy.

"Het uitgangspunt is evenwel dat het recht op eerbiediging van de persoonlijke levenssfeer naar zijn inhoud in de eerste plaats op de vrijheidssfeer van de burger betrekking heeft en als een direct werkend recht moet worden geredigeerd. Dit vindt bevestiging in het directe verband met het huisrecht en het briefgeheim, welke steeds als klassieke grondrechten zijn beschouwd; daarop wijst ook de plaatsing van de privacybescherming in het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (artikel 8) en in het Internationaal verdrag inzake burgerrechten en politieke rechten (artikel 17)."

http://www.st-ab.nl/g1/1-83019ks03-grondwet01.htm

Dus wat lul je nou precies?
Ik lul niet en wens ook niet zo bijdehand aangesproken te worden.
Daarnaast mis je geheel mijn punt. Wanneer dit soort acties niet gedaan worden dan liggen jou gegevens allemaal al (jaren) op straat zonder dat je er erg in hebt. Wanneer niemand een bedrijf hier op aanspreekt of stappen tegen onderneemt dan kunnen dus alle kwaadwilligen zonder problemen bij jou gegevens want die bedrijven nemen het in eerste instantie al niet zo nauw met beveiliging of onze grondrechten.

Natuurlijk had ik het graag anders gezien, echter leven we niet in een fantasie wereld en moeten we op dit moment kiezen tussen twee kwaden.

1. Exact weten welke data op straat ligt en bedrijven op hun bek laten gaan.
Ook de consument weet welke data er op straat ligt dus men kan hier rekening mee houden.

2. Het op de nette manier oplossen door de hackers in contact te brengen met het bedrijf in kwestie en niets naar buiten brengen. Wanneer dit gedaan word dit onder het matje geveegd en de consument weet dus niet dat hun gegevens voor een beetje hacker al lang te verkrijgen is. Het bedrijf doet er vervolgens niets mee omdat er geen gevolgen aan zitten. Dus jou gegevens blijven nog steeds openlijk beschikbaar. Gevolg: jou gegevens blijven net zo onveilig bewaard als de afgelopen jaren. Waar elke hacker kinderlijk eenvoudig toegang tot kan verkrijgen.

Dat bedoel ik met een vals gevoel van veiligheid. Reken er maar op dat andere bedrijven ook schrikken van nieuwsberichten als deze en nog eens kritisch gaan kijken naar hun eigen beveiliging.

Onder de streep is het dus kiezen voor 1 weten welke data op straat ligt 2. Niet weten welke data op straat ligt. Het wint geen schoonheidsprijs maar dan kies ik toch voor 1. Op de lange termijn zal dit voordelen hebben.

[Reactie gewijzigd door Typecast-L op 4 april 2014 12:28]

Ik wens niet mijn rechten op te geven. Ik wens ook niet de baby met het badwater weg te spelen.

Ik wil niet compromitteren om deze rechten omdat ik weet dat het niet zal helpen omdat ICT in de basis niet goed in elkaar steekt. Er zal aldoor misbruik blijven bestaan. En dus hoe veel rechtenverlies ik er ook tegenaan gooi of bereid ben in welke mate dan ook te verliezen, het zal niet helpen en op de duur ben ik wel alles kwijt.
maar je hoeft je persoonlijke gegevens niet af te geven. dat is een keuze.

Wat je niet vrij geeft, komt ook niet potentieel op straat te liggen
Op een forum moet je ook geen persoonlijke informatie invullen. Gewoon een nickname, uniek paswoord en een e-mail adres dat je enkel gebruikt voor fora, en je kan zelf de schade al beperken.
Via vBulletin dan ook. Mag hopen dat het niet met een simpel upload script een shell / localexploit geupload is, dat zou een kwalijke zaak zijn van Boxee.

& net zoals iChaos zijn zegt, blijft jammer om te zien dat mensen zo met andermans gegevens omgaan. Stelletje hypocrieten, ze zullen het vast niet tof vinden als hun data ineens op straat ligt.
Een glimlach op je gezicht toveren was dan ook hun doel niet en zal ook nooit hun doel worden.
Dat er volop gehacked wordt is overigens zo slecht niet tenzij je niet weet hoe je het Internet moet gebruiken (dus GEEN persoonlijke data afgeven wanneer dat ook niet nodig is). Door al die berichten van websites en dergelijke die gehacked worden gaan de beheerders ervan misschien wat beter denken aan beveiliging. Ondertussen wordt ook de software veiliger. Jammer voor de mensen die er schade door geleden hebben, maar een deel daarvan kan je zelf voorkomen (door dus geen persoonlijke info te geven wanneer het niet nodig is). Bij sommige bedrijven of instanties is het natuurlijk onvoorkombaar dat je schade leidt (overheden bijvoorbeeld, isp's, etc).
Hacken zal blijven gebeuren en je kan ook alleen maar hopen dat bedrijven die gehacked worden er ook iets aan doen. En dat andere bedrijven genoeg motivatie krijgen om er op voorhand al iets aan te doen. Roepen dat het niet hoort omdat het illegaal is helpt de beveiliging niet echt he.
Haal dan gelijk je Ava weg van anonymous of vendetta want anonymous doet dit dagelijks.. Het feit dat dit kan, zorgt ervoor dat het gebeurt.. Hackers zoeken dit op en dan vind ik de verantwoordelijk heid bij de website liggen en niet bij de gebruiker. Natuurlijk Hacken mag niet maar ze hebben een goed excuus: Beveileging testen.
Ik had al verwacht dat ik -1 zou krijgen, toch lach ik er wel om. Dit laat zien dat zelfs grote bedrijven zoals Samsung echt niet altijd zo veilig zijn als sommige mensen denken.

"Maar zomaar even een website binnenvallen en alle data publiceren, nah, daar kan ik niet om lachen."

Ik dus wel, daardoor leert niet alleen het bedrijf ervan, maar ook de gebruikers. Lekker overal je echte gegevens invullen, niet zo slim dus..
Tjonge, wat een niveau weer...
En nu nog een keer, maar even diep ademhalen en nadenken voor je iets typt, zodat de rest het ook kan begrijpen :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True