Kleine gaming-community Reborn Gaming meldt dat vorige week e-mails, IP-adressen en Steam-ID’s uitlekten via een lek in cPanel/WHM.
Reborn Gaming, een online gamecommunity, is vorige week getroffen door een datalek via een kwetsbaarheid in cPanel/WHM. Daarbij zijn 126 unieke e-mailadressen buitgemaakt, met per record ook een IP-adres en een Steam-ID; het incident werd door de organisatie zelf aangemeld bij de zoekdienst Have I Been Pwned.
New self-submitted breach: Reborn Gaming had 126 unique email addresses breached last week due to a cPanel/WHM vulnerability. Data also included IP address and Steam ID. 68% were already in @haveibeenpwned. Read more: https://t.co/B2Vr6BTpQ8
— Have I Been Pwned (@haveibeenpwned) May 4, 2026
Wat opvalt is niet de omvang, maar de aard van de data. De combinatie van e-mail, IP en een blijvend Steam-ID legt een directe koppeling tussen iemands inbox en zijn spelaccount. 68 procent van de adressen stond al in eerdere lekken, maar juist die nieuwe koppeling voegt context toe. Over wachtwoorden of financiële gegevens is niets gemeld, wat de technische kern van dit incident scherper afbakent.
Beheerpaneel blijkt zwakke schakel
cPanel/WHM is veelgebruikt beheerÂsoftware bij hosting. Een kwetsbaarheid in zo’n beheerpaneel raakt niet één specifieke functie, maar kan deuren openen naar meerdere onderdelen tegelijk, van databases tot logbestanden. Dat maakt het voor kleine communities die op gedeelde hosting draaien een bijzonder risicopunt. De aanval richtte zich hier niet op individuele logins of phishingsites, maar op de laag waarmee servers zelf worden aangestuurd. Context over de exacte fout is niet bekendgemaakt.
Dat Reborn Gaming het incident zelf aanmeldde en snel liet opnemen in een zoekdienst wijst op een directe respons. Voor getroffen leden vergroot dit de kans op tijdige signalering. De dataset is beperkt en er is geen melding van wachtwoorden, maar de blootgestelde velden zijn persoonlijk genoeg voor vervolgmisbruik buiten het eigen platform. Wie wil controleren of zijn adres voorkomt, kan zoeken op haveibeenpwned.com. Voor beheerders onderstreept dit dat patchbeleid voor cpanel.net niet mag achterlopen.
Steam-ID koppeling verandert impact
Een Steam-ID is een vast nummer dat een gebruiker op Valves platform identificeert. Koppeling van dat nummer aan een e-mailadres maakt het veel eenvoudiger om profielen, in-game namen en community-activiteiten bij dezelfde persoon te leggen. Het extra IP-adres kan, afhankelijk van moment en provider, ook iets zeggen over de gebruikte netwerkverbinding. Zo ontstaat uit drie losse velden een helder profiel, zelfs zonder namen of wachtwoorden.
Omdat 68 procent van de adressen al eerder voorkwam, zit de nieuwe impact vooral in die verrijking: oude adressen krijgen nu een direct lijntje naar een game-account. Leden kunnen hun adres checken via haveibeenpwned.com en hun zichtbaarheid op steampowered.com beperken door profielvelden op vrienden of privé te zetten. De vraag is nu of kleine gamecommunities als volgende stap identifiers als Steam-ID’s korter bewaren of losser koppelen. Dat zou de waarde van elk toekomstig lek direct verkleinen.
