image

Taakstraf voor man die via credential stuffing op Tweakers.net-accounts inlogde

maandag 1 augustus 2022, 10:06 door Redactie, 11 reacties

Een 31-jarige man is wegens het uitvoeren van een credential stuffing-aanval op Tweakers.net-accounts veroordeeld tot een taakstraf van vijftig uur. De man wist via de aanval toegang tot bijna vierhonderd accounts te krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen.

Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. De aanval vond plaats van 18 maart 2018 tot en met 20 maart 2018, waarbij de verdachte in twee series probeerde om via het programma Private Keeper op 224.000 accounts in te loggen.

Daarbij lukte het de verdachten om op 224 accounts in te loggen. Volgens de aanklacht werden de gecompromitteerde accounts vervolgens gebruikt voor het plaatsen van malafide advertenties, maar dat is volgens de rechter niet bewezen. De verdachte verklaarde dat hij de werkende inloggegevens had verkocht.

Het Openbaar Ministerie had een taakstraf van honderd uur geëist. De rechtbank besloot uiteindelijk een taakstraf van vijftig uur op te leggen omdat de zaak van langer geleden is. Totdat de verdachte de dagvaarding ontving had hij niets van de officier van justitie over de zaak gehoord. De rechtbank vond de feiten echter te ernstig om alleen een voorwaardelijke taakstraf op te leggen, zoals de verdediging voorstelde.

Reacties (11)
01-08-2022, 10:11 door Anoniem
Opvallend dat er geen rekening is gehouden met het kennis-niveau van Tweakers.net bezoekers en de slechte wachtwoord gebruiken van de slachtoffers. Die mensen zouden toch beter moeten weten dan overal hetzelfde wachtwoord te gebruiken. Je hoort gewoon een wachtwoordmanager te gebruiken met unieke wachtwoorden en overal 2FA in te schakelen.

/s
01-08-2022, 11:22 door Anoniem
Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

En als e-mail adressen gebruikt worden als accountnamen! Dat is een slechte zaak, dat moet stoppen.
01-08-2022, 11:24 door Anoniem
Door Anoniem: Opvallend dat er geen rekening is gehouden met het kennis-niveau van Tweakers.net bezoekers en de slechte wachtwoord gebruiken van de slachtoffers.
Bij fora als tweakers.net (en security.nl) waarbij geen directe financiële schade van het hacken van mijn account te te verwachten is, zie ik geen reden om extreem sterke wachtwoorden te gebruiken of 2FA in te schakelen.
01-08-2022, 12:35 door Anoniem
Door Anoniem:
Door Anoniem: Opvallend dat er geen rekening is gehouden met het kennis-niveau van Tweakers.net bezoekers en de slechte wachtwoord gebruiken van de slachtoffers.
Bij fora als tweakers.net (en security.nl) waarbij geen directe financiële schade van het hacken van mijn account te te verwachten is, zie ik geen reden om extreem sterke wachtwoorden te gebruiken of 2FA in te schakelen.

Domme redenering. Ongeacht of je wel of geen schade kunt berokkenen zijn sterke wachtwoorden al dan niet i.c.m. 2FA aan te raden. Bij Tweakers zou je financiële schade kunnen berokkenen. Als het een Tweakersaccount is, die af en toe wat verkoopt met goede reviews, dan zou je de advertenties kunnen misbruiken om medeTweakers financieel op te lichten.
01-08-2022, 13:34 door Anoniem
Behalve dan dat Tweakers pas sinds 2021 2FA aanbiedt, ver na de periode dat deze aanval plaats heeft gevonden. ;)

Bron: https://tweakers.net/plan/3096/tweefactorauthenticatie-vanaf-vandaag-beschikbaar-op-tweakers.html

R
01-08-2022, 13:52 door Anoniem
Door Anoniem: Opvallend dat er geen rekening is gehouden met het kennis-niveau van Tweakers.net bezoekers en de slechte wachtwoord gebruiken van de slachtoffers. Die mensen zouden toch beter moeten weten dan overal hetzelfde wachtwoord te gebruiken. Je hoort gewoon een wachtwoordmanager te gebruiken met unieke wachtwoorden en overal 2FA in te schakelen.

/s
Lol. Gister opperde op tweakers ook al iemand om google DNS te gebruiken. Daar een opmerking over maken dat dat niet verstandig is resulteert gelijk in een -1.
Daarnaast heeft tweakers sowieso weinig op met de privacy van hun bezoekers. Ook hun recente wijziging van hun cookie-beleid laat dit zien. Dat het genoemde feit in het artikel daar mogelijk is, geeft dit ook maar weer eens aan.
01-08-2022, 15:14 door Anoniem
Door Anoniem: Opvallend dat er geen rekening is gehouden met het kennis-niveau van Tweakers.net bezoekers en de slechte wachtwoord gebruiken van de slachtoffers. Die mensen zouden toch beter moeten weten dan overal hetzelfde wachtwoord te gebruiken. Je hoort gewoon een wachtwoordmanager te gebruiken met unieke wachtwoorden en overal 2FA in te schakelen.

/s

Dus als jij een keer in mekaar geschopt wordt is het deels je eigen schuld wanneer je geen zelfverdedigingstraining gevolgd hebt ?
01-08-2022, 16:08 door Anoniem
Door Anoniem:
Door Anoniem:Bij fora als tweakers.net (en security.nl) waarbij geen directe financiële schade van het hacken van mijn account te te verwachten is, zie ik geen reden om extreem sterke wachtwoorden te gebruiken of 2FA in te schakelen.
Domme redenering. Ongeacht of je wel of geen schade kunt berokkenen zijn sterke wachtwoorden al dan niet i.c.m. 2FA aan te raden. Bij Tweakers zou je financiële schade kunnen berokkenen. Als het een Tweakersaccount is, die af en toe wat verkoopt met goede reviews, dan zou je de advertenties kunnen misbruiken om medeTweakers financieel op te lichten.
Ik verkoop geen spullen op Tweakers en ze hebben ook geen creditcardnummer van me. Een goed wachtwoord zou genoeg moeten zijn op een forum waar je af en toe jouw mening uit in een discussie. Beveiliging gaat over het afwegen van risico's en ik schat deze als laag in.
01-08-2022, 16:36 door Anoniem
Door Anoniem:Dus als jij een keer in mekaar geschopt wordt is het deels je eigen schuld wanneer je geen zelfverdedigingstraining gevolgd hebt ?
Je bent bekend met de '/s' uitdrukking?

Door Anoniem: Behalve dan dat Tweakers pas sinds 2021 2FA aanbiedt, ver na de periode dat deze aanval plaats heeft gevonden. ;)
Gelukkig staan de ontwikkelingen niet stil bij Tweakers. Maar vraag mij toch af hoe lang het gaat duren voor ik met mijn FIDO2 beveiligingsleutel kan inloggen. TOTP was misschien nog populair in 2021, maar in 2022 mag je als consument toch op zijn minst 'phishing resistent' 2FA verwachten.
01-08-2022, 17:41 door Anoniem
Door Anoniem:
Door Anoniem:Dus als jij een keer in mekaar geschopt wordt is het deels je eigen schuld wanneer je geen zelfverdedigingstraining gevolgd hebt ?
Je bent bekend met de '/s' uitdrukking?

Uh , nee.

De variant van /s die ik (incidenteel) als "uitdrukking" gebruikt zie worden is search - replace , op basis van de syntax van de sed (stream editor) . In dat geval gevolgd door /oud/nieuw .

Dan is <s> HTML voor strike-through .

Na nog langer zoeken is ook een reddit ding om sarcasme aan te duiden op Reddit . Dan is overigens,voor de stelling , sarcasme niet de juiste aanduiding . 'tongue in cheek' is wat je zou moeten gebruiken als je het niet zo serieus meent als hoe het leest .

Plus natuurlijk niet aannemen dat je incrowd jargon uit één community vertaald naar een andere.
01-08-2022, 18:08 door Anoniem
Door Anoniem:
Door Anoniem:Dus als jij een keer in mekaar geschopt wordt is het deels je eigen schuld wanneer je geen zelfverdedigingstraining gevolgd hebt ?
Je bent bekend met de '/s' uitdrukking?

Over time </sarcasm>. evolved to lose the angle brackets (/sarcasm) and has subsequently been shortened to /s.

https://en.wikipedia.org/wiki/Irony_punctuation#Other_typography
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.