Verhoogd aantal account-aanvallen: activeer tweestapsverificatie (2FA)

Het is jammer dat het moet, maar ik ga deze thread voor alle veiligheid toch nog es bumpen.

Ik zie in onze logs de voorbije weken een onafgelaten stroom van aanvallen blijven voorbijstromen van een groot aantal verschillende botnets die een boel (zelfs compleet on)bestaande accounts aan het afgaan zijn met ganse lijsten van gehackte accounts met gekende wachtwoorden.

Zoals oa te zien op de gekende haveibeenpwned website blijven er maar meer en meer lijsten opduiken, waaronder nu zelfs heel recent de uiteraard zeer gekende website:

1738931171079.png


Onze eigen manuele/automatische scanners/blockers doen hun uiterste best, maar de aanvallers zijn uiteraard ook niet zo dom dat die hun eigen maatregelen niet nemen tegen die van ons (want dat zou te gemakkelijk zijn he) :(

Dus remember, ook voor jullie zijn er tools en methoden genoeg om te voorkomen dat jij er aan gaat hangen (en dat niet alleen bij onze website, maar ook nog kritischere targets zoals bvb uw mailbox): gebruik een deftige wachtwoordbeheerder, gebruik een uniek wachtwoord per website, gebruik 2FA (zodat ALS een account lekt, jij nog altijd een tweede drempel opgezet hebt), ...

Is dit leuk? Nee.
Is het leuker als ze je account te pakken hebben? Nog harder nee :fingerguns_r:
 
Laatst bewerkt:
Lifen zei:
Wat gaan ze doen met een beyondgaming account? :unsure:
Klik om te vergroten...

In volgorde van annoyance:

  • Hier wat onzin komen spammen onder die account
  • B&S oplichterijen (publiek of via PM)
  • Gevoelige informatie uit PM's halen ivm B&S verkopen (adressen, rekeningnummers, telefoonnummers, ...)
  • Verifiëren dat de logingegevens werken en voor nog veel meer geld doorverkopen aan een partij die u nog harder het leven kan verpesten door die logingegevens op veel belangrijkere locaties te gaan gebruiken (bvb uw mailbox, bank, werk, ...).
 
Laatst bewerkt:
Cyberkef zei:
In volgorde van annoyance:

  • Hier wat onzin komen spammen onder die account
  • B&S oplichterijen (publiek of via PM)
  • Gevoelige informatie uit PM's halen ivm B&S verkopen (adressen, rekeningnummers, telefoonnummers, ...)
  • Verifiëren dat de logingegevens werken en voor nog veel meer geld doorverkopen aan een partij die u nog harder het leven kan verpesten door die logingegevens op veel belangrijkere locaties te gaan gebruiken (bvb uw mailbox, bank, werk, ...).
Klik om te vergroten...
Sorry als dit niet in deze thread past, maar is het een idee om 2FA te verplichten als je wilt deelnemen aan B&S of wil PM'en? Maakt het al mss wat moeilijker dat jouw gegevens gestolen worden omdat de persoon die je PM't geen 2FA heeft en gehacked wordt
 
Mosh zei:
Sorry als dit niet in deze thread past, maar is het een idee om 2FA te verplichten als je wilt deelnemen aan B&S of wil PM'en?
Klik om te vergroten...
Hoe graag ik dat ook zou willen doen (en dat is héél graag), vrees ik dat we daarmee te veel mensen gaan enerveren dan de bedoeling is :(

2FA is een stevige drempel als dat verplicht is en ook niet zonder problemen (de keren dat er mensen die recoverycodes verliezen, gsm veranderen zonder overzetten, "ugh moet ik nu weer die codes ingeven", ...)
 
Ik vind het wel toevallig dat ik een pwned alarm kreeg op 2 februari.

Breach:9Lives
Date of breach:1 Oct 2014
Number of accounts:109,515
Compromised data:Email addresses, Passwords, Usernames
Description:In October 2014, the (now defunct) Belgian gaming news forum 9Lives suffered a data breach that was later redistributed as part of a larger corpus of data. The breach exposed 109k unique email addresses along with usernames and salted MD5 password hashes.

De gestolen dataset is waarschijnlijk ergens geherpubliceerd heel recent?
 
Omdat ie toen pas is toegevoegd als aparte lijst in die database (iirc zaten ze er al vroeger in, maar onder een andere naam, als verzameling van een hoop andere websites).
 
Laatst bewerkt:
Philharmoniker zei:
Wie of wat hier aangevallen wordt kunnen jullie niet zien zeker?
Klik om te vergroten...

Sure, stond zelfs in men postje hierboven :)

Cyberkef zei:
Ik zie in onze logs de voorbije weken een onafgelaten stroom van aanvallen blijven voorbijstromen van een groot aantal verschillende botnets die een boel (zelfs compleet on)bestaande accounts aan het afgaan zijn met ganse lijsten van gehackte accounts met gekende wachtwoorden.
Klik om te vergroten...
 
Is dat trouwens ook geen nadeel van de doorgedreven SEO? Want wat goede hits bij searches levert, geeft evengoed duidelijke targets voor bots.
Of bekijk ik dat als IT-leek te logisch ?
 
Alles wat je tegenwoordig op het internet zit wordt quasi by default aangevallen, zelfs je internetverbinding thuis (als je daar bepaalde poorten onbedacht zou openzetten, zou je nogal kunnen schrikken van wat daar allemaal ziet passeren :crazy: ). Sommige subnetten al meer dan het ander bvb van datacenters (omdat die interessanter zijn: betere internetverbinding, betere hardware)

Heb nog geweten dat bij onbedachte deploys van sommige software configuraties (KUCH Wordpress met onveilige add-ons KUCH) de website al gehackt was nog voordat alle bestanden geüploaded waren :crazy:
Heb het hier thuis ooit nog zelf meegemaakt door een publieke Steam gameserver op te zetten door hun officiële documentatie te volgen, een paar dagen later werd die al gebruikt in een botnet om andere websites mee aan te vallen (dat was een leuke, we hebben toen gans hun systeem gereverse-engineerd en in hun eigen control room op IRC binnengeraakt waar we alle andere bots konden zien :D ). Good times.

Al een sjans dat iedereen in het BG Infra Team hier al jarenlang ervaring mee heeft :)
 
Cerv.Be zei:
Dit dus.
Klik om te vergroten...
Ik heb het toen en nu niet expliciet aangeraden boven 2FA omdat die connected accounts mij altijd bad vibes geven. Als er iets met die account (stel dat je die kwijtspeelt, of die wordt gelekt) of service (ook al zijn het grote bedrijven, je weet nooit KUCH TWITTER KUCH) gebeurd dan ben je je toegang tot deze account ook kwijt. Idem qua privacy, OAuth2 kan meer info ophalen dan je denkt/wil. Die hete peren schuif je niet door naar een ander met 2fa.

Echter, ook dat is (zelfs al sinds begin januari 2023, enkele weken vóór de post van Five-seveN die je quote :) ) mogelijk via je gebruikersinstellingen met Facebook, Google en Twitter (integratie is gebroken sinds de aanpassingen op X en is pas in een volgende major update van de forum software gefixed, deze zijn we al een paar maand aan het voorbereiden).
En helemaal tegen men gevoel in wordt dat sindsdien best wel nog véél gebruikt :thinking: destebeter zeker :unsure:

De Microsoft connector app voor Personal Microsoft account users (andere types zijn niet ondersteunt in deze software) heb ik zonet aangemaakt op onze BeyondGaming o365 account. Deze is nu geactiveerd en getest.
En heb terwijl ik toch bezig was ook de GitHub connector app aangemaakt op onze Github BeyondGaming organization en toegevoegd/getest aan de lijst met connectors.

Linkedin (al circuleren er superveel oude gehackte accounts rond hiervan) en Yahoo (niet echt relevant voor deze regio vermoed ik) zijn ook mogelijkheden, maar hebben we toendertijd niet ingesteld.
Apple is pas een mogelijkheid in een latere major update van de forum software (maar gaan we wrsl niet doen wegens te duur/omslachtig).

Nog een andere nieuwe security feature in de volgende update van het forum is passkeys.
 
Laatst bewerkt:
Cyberkef zei:
Echter, ook dat is (zelfs al sinds begin januari 2023, enkele weken vóór de post van Five-seveN die je quote :) ) mogelijk via je gebruikersinstellingen met Facebook, Google en Twitter (integratie is gebroken sinds de aanpassingen op X en is pas in een volgende major update van de forum software gefixed, deze zijn we al een paar maand aan het voorbereiden).
Klik om te vergroten...
Dat is toen niet gemeld in deze openingspost en zit een beetje verdoken in de menu's.
Kennelijk omdat jij een MFA token van BG beter vindt dan een SSO platform gebruiken? Dat leid ik toch af uit uw reactie.
Die hete peren schuif je niet door naar een ander met 2fa.
Klik om te vergroten...
We moeten u zeker niet herinneren aan de 9lives hack waar de volledige database met gegevens, emails en (hashed?) passwoorden op straat gegooid werd? Moeten wij vzw BG en de BG crew meer vertrouwen met onze password data dan Google, Microsoft of Facebook?
Minstens een evenwaardig alternatief.
Cyberkef zei:
Nog een andere nieuwe security feature in de volgende update van het forum is passkeys.
Klik om te vergroten...
:clap:
 
Laatst bewerkt:
Cyberkef zei:
  • Gevoelige informatie uit PM's halen ivm B&S verkopen (adressen, rekeningnummers, telefoonnummers, ...)
Klik om te vergroten...
Je vergeet potentieel nog de meest gevoelige informatie van allemaal: de duizenden posts van de user kunnen linken aan zijn email adres.

En je kan de mensen ook veel beter laten inloggen via enkel hun username. En mail adres enkel voor recovery.
Dan weten hackers namelijk ook niet welke gelekte wachtwoorden ze op dit forum moeten uitproberen.

Je maakt het wel erg gemakkelijk voor hun door het email adres als username toe te staan.
Het was maar een vluchtig gedacht, ik weet dat je ook kan inloggen puur met username, maar email hoort daar imo niet thuis (cfr hackers).
 
Laatst bewerkt:
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

nestorius
Hoe bescherm jij jouw gegevens op internet.
3 4 5
Reacties
93
Weergaven
9K
Philharmoniker
Philharmoniker
Loser
  • Gesloten
  • Artikel Artikel
FAQ Forum
2 3
Reacties
50
Weergaven
8K
Loser
Loser
Terug
Bovenaan