Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Gegevens 339 miljoen gebruikers AdultFriendFinder gestolen

maandag 14 november 2016, 10:45 door Redactie, 18 reacties

Een aanvaller is er vorige maand in geslaagd om de gegevens van 339 miljoen gebruikers van de website AdultFriendFinder te stelen, waaronder 256.000 gebruikers met een Nederlands e-mailadres. Ook werden verschillende pornosites door de aanvaller gehackt, waaronder Penthouse.com, Stripshow.com, Cams.com en iCams.com, waar nog eens van meer dan 70 miljoen gebruikers gegevens werden buitgemaakt, zo laat de website LeakedSource weten.

Het totaal aantal gestolen gebruikersgegevens komt daarmee uit op ruim 412 miljoen. De websites, die allemaal onderdeel van het Friend Finder Network zijn, werden via een local file inclusion-kwetsbaarheid gehackt. Dit netwerk bewaarde wachtwoorden van gebruikers in platte tekst of via een geshalte sha-1-hash. De gehashte wachtwoorden zouden daarnaast naar kleine letters zijn veranderd zodat ze veel eenvoudiger te kraken zijn, aldus LeakedSource. Het houdt echter ook in dat de wachtwoorden minder nuttig voor aanvallers zijn om in het echt te gebruiken.

LeakedSource zegt dat het inmiddels 99% van alle wachtwoorden heeft achterhaald. 123456 is met 900.000 hits het meestgebruikte wachtwoord, gevolgd door 12345 dat 635.000 gebruikers hadden gekozen. Verder werden ook verschillende lange wachtwoorden gekraakt, zoals "1234tellmethatyoulovememore" en " pussy.passwordLimitExceeded:07/1". Naast de wachtwoorden is er ook een overzicht van gestolen e-mailadressen gemaakt. Daaruit blijkt dat er 256.000 gebruikers met een e-mailadres eindigend op live.nl waren.

Verder stonden er in het geval van Adult Friend Finder, dat zich als de grootste community voor swingers omschrijft, ook nog eens bijna 16 miljoen accounts van verwijderde gebruikers in de database. Hoewel de gebruikers hun account hadden opgezegd, waren de gegevens niet echt verwijderd. In tegenstelling tot een eerdere hack van Adult Friend Finder zijn er dit keer geen gegevens over seksuele voorkeur gestolen.

XS4ALL eerste landelijke provider die DNSSEC activeert
5 december weer landelijk controlebericht NL-Alert
Reacties (18)
14-11-2016, 11:04 door Anoniem
Ach, de zoveelste hack en het zal zeker niet de laatste zijn. De bevindingen zijn wederom het zelfde als bij alle vorige hacks. Het is wachten op de echt grote klapper en die is hard nodig om de mensen besef bij te brengen. Dan heb ik het over een hack bij de overheid waarbij gevoelige gegevens worden geroofd. Wat ik hier al eens eerder heb gezegd, een mens leert van vallen en op opstaan. We zijn nog niet hard genoeg gevallen.
14-11-2016, 11:14 door Anoniem
Twee vragen:
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?
14-11-2016, 11:32 door Anoniem
Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1

Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
14-11-2016, 11:42 door Anoniem
Door Anoniem: Twee vragen:
Hoeveel nepprofielen zitten daar tussen?
Hoeveel accounts zijn nog wel aangemaakt maar nooit geactiveerd?

Op die laatste vraag krijg je nog antwoord als je de blog leest waarnaar wordt gelinked vanuit het artikel.
14-11-2016, 11:48 door Anoniem
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1

Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.

Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).

Beveiliging is zo sterk als ze zwaktste schakel...
14-11-2016, 14:55 door Anoniem
Dus enerzijds worden we opgeroepen zo sterk mogelijke wachtwoorden te bedenken, en anderzijds worden die op zo'n lousy manier opgeslagen dat de eerste de beste hacker ze boven water kan toveren. Daar gaat je voorraad goed onthoudbare sterke wachtwoorden, en daar gaat je zelfbedachte methode van genereren.

Nou, dan blijf ik voor zulk prutsites wel bij 123456 of een OTP (door steeds een reset aan te vragen). Het is toch wel een gotspe om als er zoveel wachtwoorden zo makkelijk gekopieerd kunnen worden, te gaan klagen over de gebruikers "die geen sterke wachtwoorden kiezen.".

Of is het de zoveelste SGP actie om mensen bij sekssites weg te jagen?
14-11-2016, 15:53 door Anoniem
Door Anoniem:
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1

Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.

Een sterk wachtwoord moet ook veilig opgeslagen staan. Een lange passphrase zoals diegene die je noemde is wel degelijk veilig als deze met een sterke cipher versleuteld is (wat in dit geval niet gebeurt is).

Beveiliging is zo sterk als ze zwaktste schakel...


Ik weet niet of dat een geldig argument is. Een wachtwoord wordt niet versleuteld opgeslagen. Er wordt een algoritme op losgelaten waar een hash uitkomt. Kraken van wachtwoorden bestaat uit het uitproberen van combinaties tot de uitkomst dezelfde hash is.
14-11-2016, 19:13 door Anoniem



Ik weet niet of dat een geldig argument is. Een wachtwoord wordt niet versleuteld opgeslagen. Er wordt een algoritme op losgelaten waar een hash uitkomt. Kraken van wachtwoorden bestaat uit het uitproberen van combinaties tot de uitkomst dezelfde hash is.

Ja dat hoop je dan, dat er een beetje fatsoenlijke hash (met salting) overheen gehaald is. Maar dat gebeurt dus niet altijd (MD4... brrr) en dan is het algoritme wel degelijk te kraken of erger nog, de wachtwoorden staan gewoon in plain text opgeslagen en dan ben je reddeloos verloren met je mooie passphrase.

Overigens is hashing wel een vorm van versleuteling, alleen gooi je als het goed is een stuk weg zodat het niet te ontsleutelen is.
14-11-2016, 19:37 door Anoniem
Die lange passphrases kunnen eenvoudig te achterhalen zijn als ze ooit al eens zijn gecalculeerd. Daarom vul je nooit je eigen passphrase in op een publieke site om zo de MD5 of SHA2 sum te berekenen...
14-11-2016, 20:36 door Dick99999 - Bijgewerkt: 14-11-2016, 20:39
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1

Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Inderdaad jammer dat de krakers geen methodes blootgeven. kraken van gladiatoreetjaimelesexetjaimefum is ook merkwaardig. (gladiatore et jaime le sex et jaime fum ?)
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)
14-11-2016, 22:22 door Anoniem
Gegevens 339 miljoen gebruikers AdultFriendFinder gestolen
- Nou, daar zijn degenen die op dat netwerk zaten dan maar mooi klaar mee....
* Huh? Klaar mee?....
- Jawel, klaar mee. Die bezoekers van dat achterlijke pornonetwerk... Die zijn er maar mooi klaar mee.
* huhuhhuh...hihihih... HAHAHAHA, ze zijn er K L A A R...M E E !
* Jawel dames en heren, 339 miljoen gebruikers zijn er maar mooi klaar mee. (en nog gratis ook...)

(kantoorhumor)
14-11-2016, 22:43 door Anoniem
Ongelofelijk hè D:
Door Dick99999:
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1

Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Inderdaad jammer dat de krakers geen methodes blootgeven. kraken van gladiatoreetjaimelesexetjaimefum is ook merkwaardig. (gladiatore et jaime le sex et jaime fum ?)
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)

Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
14-11-2016, 23:15 door Anoniem
Door Anoniem: Die lange passphrases kunnen eenvoudig te achterhalen zijn als ze ooit al eens zijn gecalculeerd. Daarom vul je nooit je eigen passphrase in op een publieke site om zo de MD5 of SHA2 sum te berekenen...

Goed advies!

Je kunt denk ik wel middels een applicatie op je eigen systeem een md5 berekenen. De hash kun je dan veilig opzoeken in een online rainbow table.
15-11-2016, 07:55 door PietdeVries
Door Anoniem: <snip>
(kantoorhumor)

't Zal dan wel het kantoor van de plaatselijke plantsoenendienst zijn als ik je bijdrage zo lees...
15-11-2016, 09:20 door Dick99999 - Bijgewerkt: 15-11-2016, 09:22
Door Anoniem: Ongelofelijk hè D:
Door Dick99999:
Door Anoniem: Maar hoe kraak je dan een wachtwoord als:
pussy.passwordLimitExceeded:07/1

Als dit mogelijk is, is sowieso geen passphrase veilig. Gezien dit wachtwoord ook nog cijfers en leestekens bevat.
Inderdaad jammer dat de krakers geen methodes blootgeven. kraken van gladiatoreetjaimelesexetjaimefum is ook merkwaardig. (gladiatore et jaime le sex et jaime fum ?)
Ook bij eerdere grote inbraken heb ik de kraakmethoden proberen te achterhalen. Meestal zijn het woordenlijsten waarop de zinnen voorkomen en waarop bijvoorbeeld ook hashtags zijn verzameld.
Tekengebaseerde al dan niet slimme brute force is bij SHA met zout voor deze voorbeelden ondenkbaar, behalve een toevalstreffer. Een wachtzin van 5 woorden met brute force kost ook jaren op een 8GPU systeem. Het moeten dus wel lijsten met veelzeggende termen zijn geweest. Bij jouw voorbeeld kan ik me nog voorstellen combinatie van 3 lijsten: (Pussy) en (passwordLimutExeeded) en (nummers/datums)

Ongelofelijk hè
Bedankt voor je respons.
Het zou ook nog kunnen, dat de krakers deze complexe wachtwoorden al eerder tegenkwamen in een plaintekst situatie. En dat ze een rainbow table hebben aangelegd van eerder gebruikte wachtwoorden. In dat geval was het kraken een fluitje van een cent!
Nee, een rainbow table kan niet, want deze SHA1 hashes gebruikte 'salt't zodat als wij het zelde wachtwoord hebben, de hash toch verschillend is. Ik neem aan uniek zout voor elk wachtwoord, maar je weet nooit welke slimmigheden site ontwikkelaars uithalen (zoals hier alles lowercase maken voor de hashing). Dat was bij de Ashley Madison kraak anders. Zij gebruikte geen zout en een 8*GPU susteem kon een kraak record zetten, ik dacht 10^15 hashes/sec.

Inderdaad lijsten van wachtwoorden kan je kopen en vinden, kijk eens op de volgende site, daar staan bijna een miljard wachtwoorden: http://www.mysql-password.com/database/12671
15-11-2016, 10:22 door Anoniem
Nou de Telegraaf heeft hun expert er ook naar laten kijken. Kijk even mee: http://www.telegraaf.nl/tv/nieuws/binnenland/27023288/__Sekssites_gehackt__dit_moet_u_doen__.html

Er helemaal geen advies wordt gegeven! Hij had op zijn minst kunnen zeggen dat iedereen die gehackt zijn/haar password(s) direct moet wijzigen! Vooral wanneer je het zelfde password ook op andere websites gebruikt! Een menneke die gadgets reviewed is nog geen ITer.
15-11-2016, 10:43 door [Account Verwijderd]
[Verwijderd]
15-11-2016, 20:34 door Anoniem
Maar hoe kraak je dan een wachtwoord als: pussy.passwordLimitExceeded:07/1

Dit netwerk bewaarde wachtwoorden van gebruikers *in platte tekst* of via een geshalte sha-1-hash.

Of was dit misschien een wachtwoord dat in platte text werd bewaard???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Stelling: Sociale media vormen een bedreiging voor de democratie

14 reacties
Aantal stemmen: 730
Juridische vraag: Is de AVG van toepassing op het filmen van personen in een niet-openbare ruimte?
13-02-2019 door Arnoud Engelfriet

In 2013 blogde je over de vraag: Mag een cliënt de thuiszorg met een webcam filmen? Toen was een eenduidig antwoord met ja of ...

18 reacties
Lees meer
Google Chrome en privacy
13-02-2019 door Anoniem

dag, google chrome heb ik niet geinstalleerd vanwege de afstand die ik wil bewaren tot google. ik gebruik firefox. maar chrome ...

17 reacties
Lees meer
Ik wil stoppen met het gebruik van Whatsapp maar mijn vrienden-kennissen niet.
10-02-2019 door Anoniem

Beste Security vrienden, Ik zit met een dilemma die mij al een aantal jaren bezig houd. Ik heb mijzelf al meerden malen ...

44 reacties
Lees meer
Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?
06-02-2019 door Arnoud Engelfriet

Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op ...

21 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter