Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 112, views: 32.606 •
Submitter: ThePendulum

Ubuntu Forums, het officiële forum van de gelijknamige Linux-distributie, is getroffen door een hack. Volgens de beheerders zijn van alle gebruikers hun inloggegevens en e-mailadressen buitgemaakt. Voorlopig is het Ubuntu-forum offline.

Dat meldt Ubuntu Forums zelf op een aankondigingspagina waar bezoekers naar ge-redirect worden als zij het forum proberen te bezoeken. Volgens de site heeft een hacker de gebruikersnamen, wachtwoorden en e-mailadressen van alle gebruikers van Ubuntu Forums gestolen. Wel stellen de beheerders dat de bewuste wachtwoorden niet in plain text zijn opgeslagen.

De hack werd bekend toen iemand met de Twitter-gebruikersnaam @Sputn1k_ de Ubuntu-forums had gedefaced. Kort daarna werd de site offline gehaald. Het is echter vooralsnog onduidelijk hoe de hacker is binnengekomen. Ook hebben de beheerders niet aangegeven wanneer de forums weer operationeel zullen zijn.

Alhoewel er dus nog veel onduidelijk is over de hack, lijkt het erop dat de hacker alleen is binnengedrongen op de forums van Ubuntu. Andere diensten van Canonical, zoals Ubuntu One of LaunchPad, zijn niet getroffen, aldus het bedrijf.

Ubuntu Forums hacked

Reacties (112)

Reactiefilter:-11120107+171+215+32
En alle gebruikers, dat is ongeveer 1.8 miljoen.

En OmgUbuntu weet te melden dat het waarschijnlijk komt doordat vBulletin niet up to date was.

[Reactie gewijzigd door Chip. op 21 juli 2013 13:54]

vBulletin, bestaat dat nog? Ik snap niet dat ze geen volwassen open-source forum als phpBB gebruiken, zeker als ze open-source zo lopen te promoten.
vBulletin is een goed product, wordt goed bijgehouden, en werkt prima. Maar als het niet wordt bijgewerkt krijg je kansen op dingen zoals dit: https://bitcointalk.org/index.php?topic=225138.0
Er is niets mis met vBulletin, naast phpBB de beste forumsoftware beschikbaar.. Tja, en als je niet zorgt dat de software up to date is, dan kan dit gebeuren, ook als je phpBB zou gebruiken..
...de beste forumsoftware beschikbaar..
O? En wat gebruikt Tweakers.net dan voor het forum?

Voor de duidelijkheid, dat was een retorische vraag ;)
Mwah Simple Machines Forum is toch echt nog altijd de beste conmunity software op het gebied van security track record... En t werkt nog stukken beter dan zowel phpBB als vBulletin ook! SMF heeft in het hele bestaan nauwelijks last gehad van security issues, en altijd binnen 24 tot 48 uur patches uitgebracht bij geraporteerde problemen... Kan je van phpBB niet zeggen hoor :P
Met als verschil dat SMF voor de eindgebruiker toch minder prettig werkt.

Ik ben en blijf een phpBB'er :) Of UseBB.. Soms.
Dat is meer afhankelijk van smaak dunkt mij. Ik vind persoonlijk phpBB zeer ongebruiksvriendelijk en het er ook niet uit zien.

Jij zegt zelf al: ik ben en blijf phpBB'er.
Met andere woorden: jij bent er aan gewend en vind dit prettig werken.
De een vind het een fijn werken, de ander het ander.

Dat neemt echter niet weg dat SMF een stuk betere security trackrecord heeft dan phpBB. :)
Waarom zou je betalen voor "maar forumsoftware" ? Wat bied invision wat phpBB niet heeft ?
Waarom zou je in godsnaam de Ubuntu forums aanvallen? Ik kan me nu geen enkele voorstelling inbeelden waarin dit nou nut heeft...
Schijnbaar wel, misschien wilde de hacker aantonen hoe "slecht" zo iets beveiligd is?
Ik vind het anders redelijk slecht beveiligt als iemand zo even ruim 1,5 miljoen personengegevens kan buitmaken...
Zoals door Chip. aangegeven heeft het forum zo'n 1.8 miljoen gebruikers, dat zijn evenveel mail adressen. het lijkt me dat ze deze adressen wel voor een mooie prijs kunnen verkopen.

Gerichte reclame kan voor bepaalde bedrijven zeker een fiks bedrag waard zijn.
Verzamelen van de inlogggevens zoals naam/e-mail/wachtwoord en die vervolgens op allerlei andere plekken (internetbankieren!) gaan proberen.

Heel veel mensen 'hergebruiken' hun wachtwoorden. Daarom is het ook heel verstandig om voor elke site een ander password te gebruiken en die middels een password-manager te beheren.
Daarom is het ook heel verstandig om voor elke site een ander password te gebruiken
Voor sites waar je enkel wat op forums rondhangt of comments post of whatever lijkt me dat schromelijk overdreven.

Wel is het zeer raadzaam unieke wachtwoorden te gebruiken voor diensten zoals je bankzaken, je internet/telecom provider(s), HTTP/IMAP/Pop3 mail, Steam, websites/diensten die je creditcard gegevens hebben, etc. Dus alles waarbij geld, diensten en privé informatie betrokken is.
en die middels een password-manager te beheren.
Alleen als die password manager goed beveiligd is, en het systeem waarop die draait qua software en fysiek goed beveiligd is.

[edit.]

@White Modder:
Voor bijvoorbeeld Paypal is enkel een password nodig en omdat je het aan je bankpas kan koppelen valt het wel degelijk onder je bankzaken.

[Reactie gewijzigd door houseparty op 22 juli 2013 10:47]

bankzaken en passwoord gaan niet samen, en gelukkig maar.
En dan word het password van je password manager gehackt ben je ze alsnog allemaal kwijt. Ik heb een aantal verschillende wachtwoorden, voor de meeste internet diensten gebruik ik dezelfde omdat deze toch niet interessant zijn.

Voor mijn mail en dergelijke heb ik wel andere wachtwoorden, geen password manager voor nodig. Daarnaast waar het kan zet ik ook de sms inlog aan.
En wanneer zou je Password manager gehackt worden dan? De file heb je zelf in beheer en voer je alleen in de applicatie in.

Daarnaast, waarom je een password manager nodig zou hebben?

- Mijn pa is zo oud dat ie echt al die meuk niet onthoud en weet dat ie niet overal hetzelfde wachtwoord moet invoeren.
- Afgezien van mijn vele accounts op de diverse site, beheers ik diverse websites en wat kleine netwerken. Websites is gauw al FTP + DB + wordpress o.i.d. en netwerken lhakt er helemaal in (meerdere computers, routers, accespoints, mail etc).

Ww schrijf je niet op en je wil wel een beetje sterk ww hebben, dus dan ga je snel hoor met het aantal wat je moet bijhouden. Zeker de applicaties die changes eisen om de zoveel tijd.
paswoorden zijn niet plaintext, Indien goeie encrypte gebruikt is zijn die paswoorden zo goed als nutteloos;
1,8 miljoen hashes, daar zullen er best een aantal van in rainbow tables voorkomen.
rainbow tables zijn redelijk achterhaald met de huidige hardware. En als ze goeie (bcrypt) hashes gebruikten al helemaal nutteloos. Maar het zal wel weer een simpele MD5 Nash geweest zijn, dat is eigenlijk nauwelijks beter dan plan text.
Met 'dictionary attacks' worden al gauw een groot deel van de wachtwoorden ontcijfert. Zolang de encryptie techniek snel is, kan dat ook in paar minuten gebeurd zijn. Kijk maar eens naar een defcon presentatie er van, wordt elk jaar wel aandacht aangegeven/'de uitvinders' willen aandacht.

Die dictionary attacks zijn al schokkend effectief. Vooral met encrypties zoals MD5. Men gaat tegenwoordig ook al veel gebruikte manieren langs voor strong wachtwoorden, zoals het patroon [woord] + [cijfer] + [leesteken].
Als je weet waar mensen vaak hun hoofdletter plaatsen en welke cijfers/leestekens meest gebruikt worden (bvb ! of @), dan is het langsgaan van de 'meest gebruikte' hashes mogelijk met redelijke 'resultaten'.

Kan je denken aan enkele tientallen procenten hitrate, tot >50%. Kwestie van enkele uren zo'n 'slimme' bruteforcer laten draaien.

Stel dan maar voor dat bij 1,8M accounts 50% een match wordt gemaakt met wachtwoorden, en bvb nog eens 5% hetzelfde wachtwoord op het e-mail adres staat.
Dat zijn al 45000 e-mail accounts... Dan is zo'n deface attack echt wel een groot probleem..
In dat opzicht is met redelijk weinig effort tegenwoordig Md5 'niet veel beter' dan plaintext meer.

Waarschijnlijk gebruikt vbulletin wel iets complexers tegenwoordig, maar ik verwacht met een iets complexers algoritme nog wel 'redelijke resultaten'.
Daarom dat er salts worden gebruikt zodat per wachtwoord de hele dictionary opnieuw moet worden opgebouwd. Jouw simpele wachtwoord + lange salt + traag hashing algoritme; is niet "worden al gauw een groot deel van de wachtwoorden ontcijfert.". Trouwens voor wachtwoorden wordt hashing gebruikt en geen encryptie.
Laat staan als er ook nog persoonlijke salts zijn. Dan kan je rainbow-tables helemaal vergeten.
Daarom dat er salts worden gebruikt zodat per wachtwoord de hele dictionary opnieuw moet worden opgebouwd. Jouw simpele wachtwoord + lange salt + traag hashing algoritme; is niet "worden al gauw een groot deel van de wachtwoorden ontcijfert.". Trouwens voor wachtwoorden wordt hashing gebruikt en geen encryptie.
Vegeet alle soorten van hash maar. Gebruik bcrypt omdat het "decodereren" van je wachtwoord super traag is.
It’s important to note that salts are useless for preventing dictionary attacks or brute force attacks. You can use huge salts or many salts or hand-harvested, shade-grown, organic Himalayan pink salt. It doesn’t affect how fast an attacker can try a candidate password, given the hash and the salt from your database.

Salt or no, if you’re using a general-purpose hash function designed for speed you’re well and truly effed.
bcrypt gebruiken in je code en je het duurt op eens "600-jaar-ish" voordat iemand 1 hit op je wachtwoordt heeft.

even voor de goede orde
Rainbow tables, despite their recent popularity as a subject of blog posts, have not aged gracefully. CUDA/OpenCL implementations of password crackers can leverage the massive amount of parallelism available in GPUs, peaking at billions of candidate passwords a second. You can literally test all lowercase, alphabetic passwords which are ≤7 characters in less than 2 seconds. And you can now rent the hardware which makes this possible to the tune of less than $3/hour. For about $300/hour, you could crack around 500,000,000,000 candidate passwords a second.
en de rest van het artikel

http://codahale.com/how-to-safely-store-a-password/

[Reactie gewijzigd door ponsjuh op 22 juli 2013 09:08]

Vegeet alle soorten van hash maar. Gebruik bcrypt omdat het "decodereren" van je wachtwoord super traag is.
bcrypt is een hashfunctie, maar dan eentje die instelbaar trager gemaakt kan worden zodat je ervoor kunt zorgen dat brute-force aanvallen meer tijd kosten.

Dat is een goed iets, dus ik kan het gebruik van bcrypt en soortgelijke adaptive password hashes alleen maar toejuichen. Maar doe niet alsof het geen hashfunctie is ;)
It’s important to note that salts are useless for preventing dictionary attacks or brute force attacks. You can use huge salts or many salts or hand-harvested, shade-grown, organic Himalayan pink salt. It doesn’t affect how fast an attacker can try a candidate password, given the hash and the salt from your database.
Dat is simpelweg niet waar. Niet in alle contexten in ieder geval.

Neem deze database van 1.8 miljoen accounts. Als de wachtwoordhashes niet salted zijn, dan kan een aanvaller (bv met een dictionary) de X meest voorkomende wachtwoorden hashen, en die hashes vergelijken met alle hashes in de buitgemaakte database. De truuk is dat de aanvaller per wachtwoordpoging maar één keer hoeft te hashen en de resulterende hash snel kan vergelijken tegen alle hashes in de buitgemaakte database. De aanvaller hoeft maar 1 miljoen hashes uit te rekenen om 1 miljoen wachtwoorden te proberen tegen 1.8 miljoen accounts!

Als de wachtwoordhashes daarentegen allemaal hun eigen salt hebben, dan werkt deze aanpak niet. De aanvaller moet dan een wachtwoordpoging hashen speciefiek voor één hash uit de database. Worst-care moet de aanvaller daarom 1800 miljard hashes uitrekenen. Blijkbaar toch nuttig, die salts.
1.800.000.000.000 / 500,000,000,000 candidate passwords a second. = 3.6 seconden dus ik zie niet in waarom een salt echt iets toevoegt.

bcrypt past ook een salt toe maar het belangrijkste is dat deze het aantal "request" voor 1 password met een factor x vertraagt je kan dus niet 500 miljard /sec halen maar bijvoorbeeld maximaal 60. De meeste "hackers" willen snel toegang hebben en kunnen niet 6 jaar wachten op een hit.

Maar ik ben het met je eens hashed passwords is beter dan plaintext
1.800.000.000.000 / 500,000,000,000 candidate passwords a second. = 3.6 seconden dus ik zie niet in waarom een salt echt iets toevoegt.
Om te beginnen geldt die rekensom alleen als je MD5 als wachtwoordhash gebruikt. Gebruik je iets tragers, dan duurt het al langer. Neem bijvoorbeeld bcrypt met een work-factor van equivalent aan 0.1 seconden CPU-tijd, en dan beschouwen we de situatie met en zonder salts.

Zonder salt moet de aanvaller 1 miljoen hashes berekenen (zie mijn vorige post), dat kost hem iets meer dan een dag.

Met salt moet de aanvaller 1800 miljard hashes berekenen, en dat kost hem ongeveer 5708 jaar.

Hoe je het wendt of keert, het toevoegen van een salt verhoogt in dit geval de werklast van de aanvaller met een factor 1800000. Dat is gewoon in ELK geval een goed iets. Bij een trage hashfunctie (zoals bcrypt) gaat de situatie daarmee van aardig kraakbaar naar vrijwel onkraakbaar.

Maar zelfs bij MD5 hashes voegt het wat toe, hoe weinig het ook is. Het beschermt bijvoorbeeld de mensen met een sterker wachtwoord (die dus niet bij de miljoen meest gebruikte wachtwoorden zitten) omdat een volledige brute-force op random strings met 1.8 miljoen verschillende salts alsnog teveel gevraagd is voor de aanvaller.

Kijk, dat md5 (en vergelijkbare general-purpose hashfuncties) te snel zijn om nog zinnig te zijn als wachtwoordhash ben ik helemaal met je eens. Ik zeg ook nergens dat dat niet zo is! Maar in je originele post deed je voorkomen alsof salts nutteloos zijn, terwijl het tegendeel waar is. Salts zijn een noodzakelijk iets bij wachtwoordhashes.
Als ik voor elke site waarop ik geregistreerd ben een verschillend wachtwoord moet gebruiken moet ik gewoon die wachtwoorden ergens in een document opslaan. Dat document is plain text. Iemand die op mijn computer zit kan zo mijn wachtwoorden gemakkelijk stelen. Als je pc crasht en je bent dat document kwijt dan ben je zwaar de pineut.

Mijn techniek:
  • Forums/gewone sites: hetzelfde wachtwoord
  • E-mail: ander wachtwoord
  • Bank/belangrijke sites: nog een ander wachtwoord
Wachtwoord van e-mail accounts worden 1 à 2x per jaar gewijzigd, alsook het ww voor de bankaccounts.
Hetzelfde aan deze kant, e-mail heb ik van mijn provider en banken geven hun eigen inlogcode's en gebruikersnamen die ik lekker zo laat, ze staan niet op de computer, dus men mag mijn hele schijf leeghalen en dupliceren, want er staat niets van enigerlei waarde of geheim op. Het enige wat mij kan gebeuren is dat ik op Tweakersnet door het jatten van een wachtwoord een levenslange ban krijg, waar ik ook niet mee zit want heb het 40 jaar zonder computers moeten doen en dat is mij tot op de dag van vandaag best gelukt zonder wachtwoorden en accounts. Voor de rest heb ik geen Gmail of andere dingen op het internet die vertrouwelijk zijn. ;) Het grote probleem voor de gen die mijn wachtwoorden jat, is dat het e-mail adres dat ik gebruik al een jaar niet meer bestaat, want die heb ik opgeheven bij de provider, dat houdt in dat ik bij de meeste site's een nieuw account zou moeten maken omdat wachtwoord herstel volledig onmogelijk meer is via dat e-mail adres :) want quicknet bestaat niet meer sinds jaren alleen nog ziggo.nl

[Reactie gewijzigd door Athalon1951 op 21 juli 2013 18:54]

Dat is een slechte strategie gebaseerd op gebrek aan kennis. Je hoeft je wachtwoorden namelijk niet op te slaan in een simpel text document (of word of whatever plain-text achtig iets). Een password management tool is hiervoor het antwoord en de enige juiste strategie als je echt veilig bezig wilt zijn. Een simpel tootlje met 1 master wachtwoord (welke goed encrypt en alleen op je eigen pc staat) waarmee je alle andere wachtwoorden kunt opvragen. Al die wachtwoorden staan met een degelijke encryptie op je eigen computer (dus echt niet in plain text) en daar kun je alleen bij als je het master-password weet. Welke dus weer degelijk goed encrypted alleen op je eigen pc staat.

Het lijkt mij dat dit toch wel redelijk algemeen bekende informatie is bij het overgrote deel van de tweakers.net bezoekers.

Zelf gebruik ik Clipperz. Web-based tool wat op m'n servertje op zolder draaid. Je kunt vanaf daar ook een HTML pagina exporteren waarmee je de laatste versie van je wachtwoorden mee kunt nemen en zelfs offline kunt gebruiken. Uiteraard allemaal beveiligd met een degelijke encryptie en je master wachtwoord.

[Reactie gewijzigd door Ron-ner op 21 juli 2013 21:14]

Volkomen los van jullie mening over het onderwerp en deze toch al enigszins off-topic thread, verbaast het mij nogal dat jullie je wachtwoordstrategie hier zo uitgebreid gaan lopen uitleggen :) Ik begrijp dat security through obscurity achterhaald is, maar dan wel alleen bij gebruik van een kwalitatief alternatief, en daar gaat de discussie nu juist over :)
Tuurlijk wel, Linux / Ubuntu is ontzettend aan het opkomen en daar zijn bepaalde partijen vast niet blij mee. Het zou zo maar kunnen dat iemand Ubuntu in kwaad daglicht wil stellen.
Waarom krijgt Snooby ee -1?

Het zou niet de eerste keer zijn dat een bepaald bedrijf iets kuts zou willen of financieren.

[Reactie gewijzigd door Vegettokai op 21 juli 2013 14:25]

Gewoon de groote van de userbase, reden genoeg. Dat is namelijk behoorlijk wat inlog gegevens (die mogelijk op andere sites/diensten gebruikt worden).
En dat zo'n wordlist van een groffe 1.8 miljoen ubuntu geeks wel eens waardevol kan zijn. :)
tja, om in jouw denkwijze door te gaan, waarom zou je dan uberhaupt een forum aanvallen..
Toch wel ka-uu-tee voor die mensen, ik verwacht dat het forum wel even offline zal gaan...
Welcome to hack 9999. Ik denk dat iedereen zijn email / password ondertussen wel in één of andere hack is buitgemaakt ik maak mij er tegenwoordig ook niet meer zo druk in want ik gebruik nu dit systeem:
  • Niet belangrijke websites als tweakers, ubuntu one forum, ... krijgen allemaal een simpel password, als dit gestolen word zal ik echt niet van wakker liggen
  • Alle websites met credit card gegevens aan krijgen bij mij hun eigen password zodat als die gehacked worden het een geisoleerd incident is.
  • Mijn alle belangrijkste account zoals gmail, amazon, ... krijgen 2 factor authentiation.
Misschien niet de meest secure methode, beste is om nattuurlijk een uniek password voor elke site te gebruiken, maar dit is voor mij nog houdbaar in het aantal passwoorden ...
Yeps zo doe ik het ook.
Zo heb ik een paswoord of 5 voor verschillende levels van sites.
En mijn paswoorden stel ik altijd samen uit zinnen en neem van de woorden in de zin steeds de eerste eerste letters of cijfers. bvb: Ik lees Tweakers.net 4 keer per dag -> IlT.n4x/d
Met dergelijke paswoorden (uiteraard geencrypteerd opgeslagen) ben ik er zeker van dat ze een heleboel weken nodig zullen hebben om het brute force te decrypteren en dat ze er eerst veel andere zullen vinden.
Ik doe mijn wachtwoorden nog anders.
Ik heb ooit een keer random op mijn toetsenbord geslagen en dat gebruik ik als wachtwoord.
Bij iedere site pas ik wel 1 karakter aan of voeg ik 1 karakter toe of haal ik 1 karakter er af.
En dat onthou ik dan wel allemaal.
Weet je, als je die gehele zin zou gebruiken als wachtwoord, ipv telkens de eerste letters, zou je nog een gigantisch veel beter wachtwoord hebben.
Ik gebruik KeePass

Edit: Alleen zou ik wel een backup maken(printen bijv.) als je HDD crasht en alles weg is.

[Reactie gewijzigd door BJ_Berg op 21 juli 2013 18:18]

Ik gebruik voor elke website een uniek password.
Een moeilijk password gevolgt door de eerste letter van het domein. Tweakers.net begint met een 't',dus hier is hier is het zoiets als:

!@Abcgfu57gtdbt

Slechts een moeilijk wachtwoord om te onthouden. Maar overal uniek.
De deface pagina, nam een screenshot:

https://dl.dropboxusercon...-07-20%2022%3A12%3A07.png

Zijn twitter account:
https://twitter.com/Sputn1k_

EDIT: Account blijkbaar offline gehaald door twitter met "interne serverfout" boodschap als gevolg. Droge humor maar ik kan er alvast om lachen.
https://dl.dropboxusercon...-07-21%2019%3A42%3A25.png

In Google cash dan maar:
http://webcache.googleuse...l=us&client=firefox-a

[Reactie gewijzigd door denbatte op 21 juli 2013 19:49]

De Twitter-account lijkt al uitgeschakeld te zijn, pagina bestaat ondertussen niet meer.
Waarom sluiten ze in godsnaam z'n Twitter account af?
Neem aan dat hij de ToS niet heeft gebroken en dat ze dat alleen doen omdat ze weten wie het is.
Gaan social media nou ook al politie agentje spelen?
Een bericht van de hacker zelf:
You can stop worrying about your passwords. Yes, they were encrypted. Encrypted with the default vBulletin hashing algorithm (md5(md5($pass).$salt). Whilst it may not be the strongest, when you're dealing with 1.8m users it would take a very long time to get anywhere with the hashes. You don't have to worry about a DB leak. That isn't how I like to do things.

If I do get into a website, most of the time there's no REAL malicious intentions. Grab the database, leave a message. That's it. I don't like to over-do things. Might cause some downtime, but what if it WAS the "syr14n c3b3r 4rmy" (not that their brain-dead brains have the power to do anything whatsoever), and they did have malicious intentions, and they did leak the database and use it to their own advantage?

Oh, and keep on raging and sending me rage tweets, I love it.
Bron: http://www.twitlonger.com/show/n_1rlft0d
Meestentijds geen slechte intensies, volgens de hacker. En anderen tijds?
Het wordt hoog tijd dat we eens stoppen met het verzamelen van emailadressen waneer dat niet strict noodzakelijk is. Voor een fora is het helemaal niet noodzakelijk dat men een emailadres geregistreerd. Iemand die zijn wachtwoord kwijt is kan gewoon een nieuwe account aanmaken.

Hiermee wordt het een stuk anoniemer en is er minder gevaar dat je prive email misbruikt wordt. Ook wordt een forum minder aantrekkenlijk om te hacken omdat er toch geen emailadressen buitgemaakt kunnen worden.

Ik erger me altijd als er meer gevraagd wordt dan de gegevens die strict noodzakelijk zijn. Bij webshops vraagt men ook vaak om niet-relevante gegevens zoals geboortedatum, telefoonnummer en email. Alleen het afleveradres is relevant in zulke situaties.
Niet helemaal eens in het geval van email en forums.
Je email adres wordt gebruikt als unieke link met de gebruiker.

Stel: Je plaatst een post, vergeet je wachtwoord, maakt een nieuwe account, oude account verdwijnt na een bepaalde tijd inactief zijn.
Hoe kan het forum jou als persoon dan nog linken aan de geplaatste posts?
Juist... niet.

En er zijn nu eenmaal mensen die waarde hechten aan wat ze op het internet posten.

In veel andere gevallen heb je echter wel gelijk.
Strict noodzakelijk is iets anders dan relevant!

Iedere webshop die gedraaid wordt door een slimme ondernemer wilt weten wie zijn doelgroep is en wat de belangrijkste kenmerken zijn van die doelgroep. Dat is zo relevant voor marketing dat het bijna noodzakelijk is om je bedrijf te draaien.

Bovendien, als je het echt niet wilt geven dan vul je toch gewoon valse informatie in? Al denk ik in dit geval dat het gunstiger is voor de betrouwbaarheid van zijn data en de ervaring van jou als gebruiker om dan gewoon een knopje "wil ik niet geven" te maken.

[Reactie gewijzigd door Willaaam op 21 juli 2013 14:27]

Totaal met je oneens. We moeten ons niet laten limiteren omdat de DB wel eens gehackt zou kunnen worden.

Ten eerste is de "confirm email" op fora een zeer effective manier om spammers tegen te houden, en handing als je je wachtwoord vergeet. (Gewoon een nieuw account aanmaken is natuurlijk onzin aangezien veel mensen hun reputatie niet willen verliezen.

Het vragen om persoons gegevens op webshops is niet alleen zodat de shop die gegevens kan verzamelen. Het gaat ook fraude tegen. (Indien de gegevens gecheckt worden, wat helaas niet altijd het geval is)
Geboortedatum ook, want bepaalde producten hebben een leeftijdsgrens.
Telefoonnummer is ook wel handig als er een bezorger voor de deur staat en de bel het niet doet, of als ie de deur helemaal niet kan vinden. Email adres wordt alleen gevraagd als je een account aanmaakt, als je dat niet doet is de optie er vaak om dat gewoon niet in te vullen. Of je vult gewoon onzin in, het is niet alsof je je account moet activeren.
Hiermee wordt het een stuk anoniemer en is er minder gevaar dat je prive email misbruikt wordt.
Of je circuleert wat willekeurige random email adressen voor zaken als inschrijven op forums en andere sites. Als zo'n emailadres dan ooit eens buitgemaakt wordt dan verlies je er niets mee.

Tevens hou je je privé mail adressen dan gewoon privé. Enkel zij waarmee je privé ook wilt communiceren hebben immers je privé email nodig. Dat scheelt ook nog eens een hoop spam.
Bij webshops vraagt men ook vaak om niet-relevante gegevens zoals geboortedatum, telefoonnummer en email.
Wat let je die gegevens random in te vullen?

Tevens: een emailadres en/of telefoonnummer is toch wel erg handig als er iets met je order is. Een van de twee is het minimale wat een webshop van je moet weten om iets van service te kunnen verlenen aan je. Wat is er bovendien zo erg aan het afgeven van een mailadres als ze je thuisadres al hebben? Je thuisadres lijkt me van de afgegeven persoonsgegevens toch echt verreweg de meest gevoeligste.

En ja, zo'n webshop vindt het fijn je geboortedatum te weten en je mailadres zodat ze je via opvolgmail met marketing kunnen bestoken. Al zijn ze daarbij wel verplicht je geen marketing te sturen als je aangeeft dat niet te willen (opt-in of opt-out). En meeste webshops zullen los van die verplichting je van de mailinglijst halen als je aangeeft dat te willen, gepikeerde klanten doen immers minder snel vervolgaankopen.
Zal wel uit wraak voor Unity geweest zijn...

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013