Gestolen wachtwoorden

[Global Knowledge]

Avond,

Ik kwam net dit mailtje tegen in mijn inbox:

Nu komt dit van .net, echter is de NL spelserver hier ook het dupe van?

 

[Conceived by Communism]

Ja, daar is een bericht over rondgegaan. Dat is echt alweer een lange tijd geleden echter.

EDIT: https://forum.tribalwars.nl/index.php?threads/forum-beveligingsstatement.195726/

 

[Global Knowledge]

Apart dat ik dan nu pas het mailtje kreeg. Ik dacht dat het wellicht weer was gebeurd. In ieder geval bedankt.

 

[Conceived by Communism]

Het mailtje dat je ontving is wel ontvangen van .net.

 

[Jo Ban]

Wel laat dan. Aangezien het om een lek in de gebruikte forumsoftware ging, en wachtwoorden reeds waren gepubliceerd hadden ze dit veel eerder kunnen melden. Maar ze hadden het in Juni al op het Forum geplaatst.

Ik vind het eerlijk gezegd wat slordig, grote kans dat nog steeds veel AF accounts nog voor het oprapen liggen. (Wachtwoorden zijn vrij beschikbaar)

Innogames NL heb ik verder nooit een mail van gezien omtrent dit, maar wellicht heb ik daar ooit overheen gekeken.

 

[Duckje]

Bedankt voor je bericht,

Na het ontdekken van het lek zijn er meteen maatregelen getroffen door middel van de aankondiging + versnelde uitrol van de vernieuwde forumsoftware.

Nudat alle InnoGames Fora overgezet zij naar Xenforo gaat de volgende fase van start waarin gebruikers die niet hun mailadres gewijzigd hebben aangemaand worden dit te doen. De NL versie van deze mail zal binnenkort de deur uit gaan. Hopelijk begrijp je dat we niet zomaar alle fora tegelijk kunnen mailen, dan zijn we in no time geflagged voor spam en ontvangt niemand nog mails van ons. Dit proces verloopt dus in fasen, stap voor stap.

Met vriendelijke groeten,
Duckje

 

[DeletedUser61134]

Erg jammer als mijn ww gestolen zou worden door iemand.
Gebruik ik namelijk ook op Neopets en Openlibrary

 

[Jo Ban]

@Duckje

Het lek was al van november 2015. Het was algemeen bekend dat het toenmalige forumengine een grote hack kende (heeft bijna elke nieuwssite gehaald). Hoe kan het dan dat er pas zo laat iets is gecommuniceerd?

Dit niet om te bashen, maar meer als kritiek, zodat er de volgende keer misschien meer aandacht aan word besteed.

 

[DeletedUser61134]

Ja precies, stel je voor dat mijn Neopets account gehacked werd.
Of dat iemand rare boeken gaat lenen op mijn account!

 

[Poo.]

Erg jammer als mijn ww gestolen zou worden door iemand.
Gebruik ik namelijk ook op Neopets en Openlibrary

Dan is stap 1 in je eigen veiligheid: dit niet vermelden op andere fora/platformen.

 

[DeletedUser61134]

Dan is stap 1 in je eigen veiligheid: dit niet vermelden op andere fora/platformen.

Helemaal gelijk!
Zal snel mijn wachtwoorden veranderen!

 

[Jo Ban]

De mail die ik nu kreeg geeft aan dat er enkel geencrypte wachtwoorden zijn gestolen. Hoe komt het dan dat het wachtwoord van mijn oude AF account ongeencrypt in de database stond?

En met mij vele andere wachtwoorden. Een deel was inderdaad geencrypt, maar een groot deel zeker niet.

 

[Duckje]

De mail die ik nu kreeg geeft aan dat er enkel geencrypte wachtwoorden zijn gestolen. Hoe komt het dan dat het wachtwoord van mijn oude AF account ongeencrypt in de database stond?

En met mij vele andere wachtwoorden. Een deel was inderdaad geencrypt, maar een groot deel zeker niet.

Een encryptie is enkel zo sterk als zijn decryptiemethode. Het is uiteindelijk een fout in het vBulletin systeem die ervoor gezorgd heeft dat de wachtwoorden gedecrypteerd zichtbaar waren.

Groeten,
Duckje

 

[DeletedUser]

Prutsers

 

[Jo Ban]

@Duckje
Dank voor deze verklaring. Nu vraag ik mij echter nog wel af hoehet mogelijk is dat ik er eerder achter kwam dan jullie. (En ik was denk ik niet de enige)
Het blijven ruim zeven maanden die er tussen het lek en de bekendmaking zaten. Wellicht is het gewoon niet eerder gezien, maar ik neem aan dat innogames het nieuws op het gebied van vbulletin wel heeft gevolgd, en dus op de hoogte was van het probleem.

Ik waardeer de inzet die is gedaan met betrekking tot het nieuwe forumengine, maar ik blijf er bij dat de communicatie beter had gekunt. In mijn geval had ik een wachtwoord in gebruik voor meerdere sites. (Dat was ook een fout van mijn kant)
Gevolg was dat gedurende zeven maanden zonder mijn medeweten Jan en alleman met alleen mijn mailadres dat wachtwoord kon achterhalen, en toegang had tot uiteenlopende zaken inclusief dingen die mij veel geld konden kosten.

Wat ik er zelf van heb geleerd? Ik gebruik nu wel verschillende wachtwoorden.


Wat ik hoop dat innogames heeft geleerd?
Snellere communicatie zodat betrokkenen actie kunnen ondernemen.

 

[DeletedUser81928]

Goedemorgen,

Gezellig dat de wachtwoorden van beide AF accounts van mij veranderd zijn, evenals het wachtwoord van de mail waarop een van de accounts stond. Het andere account ben ik sowieso kwijt, gezien ik de mail niet meer weet van dat account. Beetje jammer, om het zo maar te noemen. Nu kon ik gelukkig mijn wachtwoord wijzigen, dus ik helemaal blij. Nadat ik alles gewijzigd heb, word ik aangemeld op dit AF account. Een account dat niet van mij is. Aangezien mijn account bloemkool4life is en ik via dat account ook mijn wachtwoord gewijzigd heb. Enig idee hoe het kan dat ik zomaar op dit account ingelogd wordt?

Alvast dank voor u antwoord.

Tom (Bloemkool4life)

 

[Jo Ban]

Misschien was dit account aan het opgegeven mailadres gekoppeld?

 

[Duckje]

Misschien was dit account aan het opgegeven mailadres gekoppeld?

Vermoedelijk dit ja, aarzel niet een supportaanvraag in te sturen vanaf bloemkool zodat we je verder kunnen helpen.

 

[DeletedUser81928]

Vanaf bloemkool wordt lastig, gezien ik op dit account kom als ik daar inlog. En als ik een support wil doen met tompeter krijg ik dit.