Botnet maakte 50.000 Nederlandse e-mailadressen en wachtwoorden buit - update

In Nederland zijn behalve Ziggo meer organisaties getroffen door het botnet dat de afgelopen maanden miljoenen e-mailadressen en wachtwoorden stal. Dat liet het Nationaal Cyber Security Centrum maandag weten. In totaal maakte het botnet 50.000 Nederlandse combinaties buit.

Het Nationaal Cyber Security Centrum heeft alle combinaties van organisaties die deel uitmaken van de doelgroep van het centrum, zoals de rijksoverheid en providers als Ziggo, de afgelopen tijd gecontroleerd. Uit die controle blijkt dat gebruikers van meerdere organisaties door het botnet zijn getroffen, zo meldt het centrum.

Volgens woordvoerder Lodewijk Hekking maakte het botnet in totaal 50.000 Nederlandse e-mailadressen en waarschijnlijk ook wachtwoorden buit. Het gaat weliswaar om oude gegevens, maar die zijn nog wel te gebruiken als ze de afgelopen tijd niet zijn bijgewerkt. De getroffen organisaties van wie de gegevens zijn, zijn door het Nationaal Cyber Security Centrum ingelicht. Zij zullen volgens de woordvoerder zelf vervolgstappen ondernemen. Hekking wil niet zeggen om welke organisaties het gaat. "Daarover doen wij geen uitspraken."

Tweakers meldde zondag al dat Ziggo tot de getroffen organisaties behoort. Zeker tweeduizend combinaties van Ziggoklanten maakten criminelen buit. Dat gebeurde met individuele aanvallen; hackers hebben niet direct via de servers en databases van Ziggo toegang tot de accounts gekregen. De kabelaar lichtte getroffen klanten via een brief in. Hoogstwaarschijnlijk benaderen ook andere organisaties die getroffen zijn, hun gebruikers zelf.

Het balletje begon de afgelopen weken te rollen nadat de Duitse zusterorganisatie van het Nationaal Cyber Security Centrum, het Bundesamt für Sicherheit in der Informationstechnik, begin deze maand naar verluidt een server in handen kreeg waarop miljoenen e-mailadressen en wachtwoorden van Duitsers stonden. Die waren door een botnet naar de server verstuurd. Toen bleek dat ook Nederlandse gegevens op die server stonden, seinden de Duitsers het centrum in. Het Nationaal Cyber Security Centrum raadt Nederlanders aan om via een site van het Bundesamt für Sicherheit in der Informationstechnik te controleren of hun e-mailadres is aangetroffen in de dataset.

Update, 13.00 uur - Het Nationaal Cyber Security Centrum laat Tweakers weten dat het botnet 50.000 Nederlandse e-mailadressen en waarschijnlijk ook wachtwoorden heeft buitgemaakt. Het artikel is hierop aangepast.

Door Yoeri Nijs

Nieuwsposter

Feedback • 21-04-2014 10:54 52

21-04-2014 • 10:54

52

Lees meer

Tweeduizend e-mailadressen en wachtwoorden Ziggoklanten buitgemaakt - update
Tweeduizend e-mailadressen en wachtwoorden Ziggoklanten buitgemaakt - update Nieuws van 20 april 2014
Opnieuw e-mailadressen en wachtwoorden miljoenen Duitsers gestolen
Opnieuw e-mailadressen en wachtwoorden miljoenen Duitsers gestolen Nieuws van 3 april 2014
'Ziggo verhoogt snelheden per 1 mei voor alle abonnees' - update
'Ziggo verhoogt snelheden per 1 mei voor alle abonnees' - update Nieuws van 31 maart 2014
'Botnet steelt e-mailadressen en wachtwoorden van 16 miljoen Duitsers'
'Botnet steelt e-mailadressen en wachtwoorden van 16 miljoen Duitsers' Nieuws van 21 januari 2014
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Netwerk en systeembeheer

Reacties (52)

-Moderatie-faq
52
51
43
6
0
4
Wijzig sortering
erikloman 21 april 2014 11:41
De BSI heeft een botnet C&C server in handen gekregen waar 18 miljoen login/passwords staan. De gegevens in deze C&C server zijn afkomstig van geïnfecteerde computers. Mocht je voor je werk ook gebruik maken van een geïnfecteerde computer, dan hebben de criminelen ook die wachtwoorden. Werk je voor een website, dan kunnen de criminelen daar een aanval op zetten om websitebezoekers te infecteren. En zo wordt het botnet groter en groter.

Deze operatie van de BSI is analoog aan het Pobelka botnet:
nieuws: Pobelka-botnet bracht interne netwerkstructuren in kaart
http://www.surfright.nl/nl/pobelka
ehtweak 21 april 2014 21:26
Ik heb eens een, door mij gebruikt email adres (één v.d. velen :) ) ingevuld bij het Bundesamt für Sicherheit en kreeg vervolgens een emailtje terug dat ik 'bekend' ben onder dat email adres.
Ze vertellen er echter niet bij, bij WELKE site/forum/whatever het dan betreft.
(oh ja, en ik was/ben geen klant van Ziggo).
Dus waar je dan, wat, moet veranderen, vraag ik me af? 8)7

Verder trouwens nooit iets vreemds gemerkt en/of vage interpret zaken meegemaakt...

Hier is nog wat info over dit thema van Heise Security:
http://www.heise.de/secur...echtnis-Test-2165340.html
ook hier heeft men als commentaar dat het totaal onduidelijk is WELKE online media het nou eigenlijk betreft.

Und diejenigen, die informiert werden, können mit dieser Information eigentlich nichts anfangen. Denn welches ihrer Passwörter betroffen ist, verrät ihnen das BSI nicht. Und es macht ja durchaus einen Unterschied, ob der Login für irgendein Chat-Forum betroffen ist oder der Paypal-Account. Der zentrale Ratschlag des BSI lautet, sämtliche Passwörter zu ändern, wenn man betroffen ist. Erinnern Sie sich noch an alle Dienste, bei denen Sie sich mit einer bestimmten Mail-Adresse im Laufe der vergangenen Jahre registriert haben? Ich nicht.

[Reactie gewijzigd door ehtweak op 22 juli 2024 20:49]

daanb14 21 april 2014 12:17
En wat moet je nu doen?
Ik heb gehoord dat de mensen die gehackt zijn een brief hebben gehad.
Moet ik nu mijn e-mailadres en wachtwoord aanpassen ondanks dat ik geen brief heb gehad?
Heeft het gevolgen voor bankgegevens?
kodak
@daanb1421 april 2014 13:40
Check je mailadressen ff op de link die onderaan in het nieuwsbericht staat. Dan weet of je er tussen zit.

Als je er daar niet tussen zit wil dat niet zeggen dat je nooit last hebt gehad van een botnet of malware enzo. Of nooit last zal krijgen. Dus het is verstandig om je wachtwoorden een keer in de zoveel tijd wel eens te wijzigen en je systemen regelmatig te scannen.

Of het gevolgen heeft voor bankgegevens? als er malware op je pc of mobiel zit dan kan het met de juiste rechten alles zien wat aan informatie via je pc of mobiel is verwerk. Of het luisterd via je microfoon mee als je niet eens aan het skypen of bellen bent.
Mathijs @kodak21 april 2014 16:54
I agree that my personal data resulting from the use of the security test offered on this website may be collected, processed and used to conduct the test and abuse detection.
Nee dank je. Dan liever preventief wachtwoorden wijzigen.
kodak
@Mathijs21 april 2014 17:23
Ik lees daar: 'wij van de bsi hebben je data toch al bij de criminelen onderschept, als je mailadres actief langs komt komen we verder in het onderzoek.' Maar ja het is wel vaag wat de gevolgen zijn van dat conduct the test and abuse detection.
Mathijs @kodak22 april 2014 19:40
Bij mij komt het meer neer op: 'ook als uw emailadres niet voorkomt in onze lijstjes, zullen we het in ieder geval toevoegen aan ons lijstje van adressen die we nog niet hadden.'
Van daaruit kunnen ze weer geld verdienen met het verkopen van bestanden of andere big data. Maarja, de test is 'gratis'.
Anoniem: 544923 @daanb1421 april 2014 12:42
Als je het zeker wilt zijn kan je je wachtwoord veranderen.
gjmi @fireglide21 april 2014 16:36
Welke check doet UPC dan die ZIGGO niet doet?

En heb je het artikel wel gelezen? Ik lach me dood als er ook klanten van UPC bijzitten.

Voor de duidelijkheid: Dit heeft niets met ZIGGO zelf te maken. Ze komen alleen in het nieuws omdat ze meteen alert reageren en hun klanten die getroffen zijn op een juiste manier inlichten. ZIGGO heeft het juist goed opgepakt. ZIGGO is niet gehackt, ZIGGO helpt alleen op een pro-actieve manier mee aan het oplossen ervan.
R4gnax @fireglide21 april 2014 11:10
Beetje jammer van Ziggo, dat ze hier geen goede check op hebben zitten. Bij UPC is dat toch beter geregeld vind ik!
Slaat nergens op. Het is niet Ziggo die gehackt is. Het zijn een aantal individuele klanten van Ziggo die malware op hun systemen hebben of hebben gehad waar via hun individuele gegevens gestolen zijn. Juist een pluim voor Ziggo dat ze dit op hebben gemerkt en er iets mee gedaan hebben.

[Reactie gewijzigd door R4gnax op 22 juli 2024 20:49]

devil-strike @R4gnax21 april 2014 11:25
Ziggo heeft niets opgemerkt, de duitsers hebben dat namelijk die hebben het gestuurd naar cyber center en die heeft ziggo ingelicht.
Padje @devil-strike21 april 2014 12:20
Wees blij dat Ziggo dit niet opmerkt want dat zou betekenen dat ze het internet verkeer aan het monitoren zijn. De verantwoordelijkheid ligt mijn inziens ook zeker niet bij de provider die levert slechts een dienst namelijk een internet verbinding...
MrBreaker @R4gnax21 april 2014 11:29
Pluim voor Ziggo? Voor het openemen van de telefoon? Ze zijn juist door 'het Nationaal Cyber Security Centrum' gewezen op het botnet, daar heeft Ziggo verder niets mee van doen gehad. Ik vind sowieso dat, de verantwoordelijkheid bij de eindgebruiker ligt en niet bij de providers, het zou enkel 'netjes' zijn als ze dit ontdenkt hadden en actie hadden ondernomen.
nooberke @fireglide21 april 2014 11:03
Volgens mij valt er Ziggo niks kwalijk te nemen, het is juist de organisatie die het snelste reageerd?
mae-t.net @fireglide21 april 2014 16:28
Hoe zouden ze dat moeten controleren dan? En hoe doet UPC dat?
sroolvink 21 april 2014 12:48
Wel grappig, Mijn pa heeft ook een brief hierover thuis gehad. Enige pc waar dit account op draait of uberhaupt benaderd word heeft ook gelijk nog 3 andere ziggo mailadressen in thunderbird draaien die ook allen op die pc worden benaderd en op die anderen staat juist de interessante informatie en die zijn dus niet geraakt.

Mijn vraag is dus, hoe kan dan 1 account van de 4 gekraakt zijn, terwijl ze alle 4 in thunderbird worden geopend. Terwijl er een dagelijkse hitman over heen gaat en geen enkele malafide stukje heeft gevonden in de afgelopen 2 maanden. Aangezien deze alleen word gebruikt om de mail te checken.
Anoniem: 463321 @sroolvink21 april 2014 13:03
Als die 4 email-adressen tot één Ziggo-klantnummer behoren dan krijg je maar 1 brief lijkt me.
sroolvink @Anoniem: 46332121 april 2014 13:42
In die brief word verwezen naar het desbetreffende mailadres waar het om gaat.
Armin
@sroolvink21 april 2014 21:38
Mogelijk ooit eens een webportal gebruikt? Of ooit die email eens gebruikt bij een webforum of uitchecken van een online shop? En denk niet automatische dat je pa dat nooit doet :-)
Etc.

Merk namelijk op dat de informatie erg vaag is. Er wordt gesteld dat er email + wachtwoord combinaties gelekt zijn, maar er staat niet bij dat dit ook perse het ziggo email plus ziggo wachtwoord is. Het kan ook een wachtwoord zijn van een ander account. En uiteraard gebruiken mensen nogal eens hetzelfde wachtwoord op verschillende lokaties.

Wellicht is een webshop of een of ander discussie-site gekraakt Of de PC van de systeembeheerder. Etc.
kodak
@sroolvink21 april 2014 13:16
Ga aub niet hopen dat je malwarescanners alle malware tegenhouden!!! Wel eens van statistieken van virustotal gehoord? Daar staan 42 verschillende malwarescanners - haal je er een nieuw stuk malware doorheen dan herkent maar een klein percentage (soms maar 1 of twee van die bekende scanners) de malware. En boem, daar is dus weer een slachtoffertje erbij.

Die malware blokkeert na besmetting de malwarescanner, waardoor je ook geen waarschuwing krijgt dat het andere troep op je pc heeft gezet, bijvoorbeeld een botje.
En die malware werkt steeds weer anders, de een leest configuratie uit - de ander heeft een keylogger. Stel dat laatste was aan de hand en je pa heeft maar van een van die accounts ooit een gebruikersnaam en ww ingetikt dan heeft die keylogger alleen die gegevens.

Een andere mogelijkheid: het komt niet van die huidige pc van je pa af? Dus vanaf een andere pc? Heeft je pa ooit op een andere plek zijn mail zitten checken? Of heeft je pa ooit een andere pc gehad? Ik lees nergens hoe oud de gejatte gegevens zijn.
sroolvink @kodak21 april 2014 13:43
Klopt geef ik je gelijk in, maar nee dit is de de enige pc waar hij deze mail op checkt. Verder gebruikt hij altijd zijn werklaptop.
Q 21 april 2014 10:58
Wat mij nog steeds niet 100% duidelijk is:

1. een hele hoop gebruikers zijn gehacked en de malware heeft hun login gegevens gestolen.
2. een of meer servers van (service providers van) ISPs zijn gehacked waardoor deze info is gestolen.

Volgens mij gaat het om 1. omdat er over een botnet wordt gesproken, en ik neem aan dat dit botnet niet is gebruikt om te brute forcen op (2).

Indien (1) dan denk ik niet dat ik getroffen ben.
AuteurOssebol @Q21 april 2014 11:02
Voor de duidelijkheid: het gaat om individuele aanvallen, waarbij criminelen gegevens ván Ziggoklanten hebben buitgemaakt. De aanval was niet gericht op Ziggo zelf. Ik heb dit nog even verduidelijkt in het artikel.
rob12424 @Ossebol21 april 2014 11:43
Ja maar dan is de vraag: Er staat de gegevens zijn verouderd, dus vaak al bijgewerkt. Als het om een botnet gaat zeg ik oke. Maar dit zijn individuele hack acties dus er is waarschijnlijk al info gestolen voor het wachtwoord veranderd is!?

Immers met een botnet zoeken ze een doel uit de metadata die een botnet verzamelt en wat interessant is gebruiken ze of gaan ze nog een keer langs.

Het lijkt mij dat ze bij een individuele aanval 1st screenen wat interessant kan zijn en dan pas gaan aanvallen neem ik aan?

iemand geeft hieronder aan dat het om een c&c server gaat. Dus wel degelijk een botnet.

[Reactie gewijzigd door rob12424 op 22 juli 2024 20:49]

AuteurOssebol @rob1242421 april 2014 13:55
De gegevens stonden op een server die later door de Duitsers in beslag zou zijn genomen. Dat verklaart waarom de gegevens verouderd waren.
BoringDay @Ossebol22 april 2014 07:23
Waar komen dan die klant gegevens vandaan? En niet gericht op Ziggo zelf en toch gaat het om een paar miljoen klanten van Ziggo? Is er dan nog andere data?

Iets zegt met dat het verhaal niet klopt of niet compleet is.
Armin
@Q21 april 2014 21:30
Exact de juiste vraag.

De Duitse dienst heeft dit gewoon slordig aangepakt. Enerzijds hebben ze een mooie website opgezet waar mensen kunnen kijken of ze getroffen zijn, maar er werd nihil informatie gegeven over hoe de data gevonden was, en hoe die buitgemaakt was.

Wellicht deed men dat iet om het onderzoek niet te frusteren, en dat is legitiem indien men zeker wist dat een herhaling niet waarschijnlijk was, maar dat is dus evident niet het geval. Immers amper 3 maanden later was het weer raak.

Dus de Duitse dienst heeft of een bedrijf de hand boven het hoofd gehouden, door de informatie niet bekend te maken, of heeft zelf ook geen goed idee hoe de data gestolen is. Aangezien het nu weer raak is, vermoed ik het laatste.

De opmerking van het Nederlandse NCSC verbaast me daarom een beetje. Enerzijds ben ik het er mee eens dat als er 'maar' 2000 adressen gestolen zijn van Ziggo dat erg klein is op het totale bestand, en een hack van Ziggo niet waarschijnlijk is. maar anderzijds, zoiets moet je niet zeggen tenzij je ook echt wat weet. En als je dat weet, meldt het dan.

Het lijkt erop dat het malware of phishing is, maar gezien de grote schaal moet het dan wel heel bijzondere malware zijn. Of zijn er écht nog zoveel mensen die met niet-geupdate of ontbrekende virrusscanners rondlopen?

Ik vermoed dus dat men nog eigenlijk geen enkel idee heeft van wat voor soort malware of phishing we te maken hebben.
grizzler 21 april 2014 11:19
Hun e-mailadres? Welk e-mailadres? Ik heb er tientallen. Ga ze echt niet allemaal over die database halen. Mijn eigen systemen zijn schoon, dus als die adressen ergens zijn geoogst, moet ik weten wáár!
kodak
@grizzler21 april 2014 13:04
Nou dan doe je het toch lekker niet. Van hoeveel malware of systemen weet je dat je gegevens gejat zijn zonder dat opsporingsdiensten ze tegen zijn gekomen? Zelfs toen je dacht dat je systemen 'schoon' waren. Denken dat je systemen schoon zijn is in de meeste gevallen een foute aanname, je wil het graag zeker weten en dat is niet 100% te zeggen. Het blijft een risicoafweging net als wanneer je je mailadressen niet wil controleren.

Maar je kan natuurlijk ook een steekproef doen....
gjmi @grizzler21 april 2014 16:29
Euuhh, lees artikel: BOTNET! ze zijn dus van overal geoogst.
En wat wil je dan weten, een lijst van namen en adressen van de personen die computer hebben waarop de malware staat? Dan moet je weten welke computer tijn tijde van de hack welk IP adres had. Oh, en dan moet je ook nog weten waar die computer staat en van wie die is.

Aangezien je zeker bent dat jou computers schoon zijn.. Welke adressen en wachtwoorden heb je gebruikt op computers die mogelijk niet schoon zijn? Haal alleen die door de database..

En hoe moeilijk is het eigenlijk om die tientallen :? adressen even door die database te halen. kost alleen een beetje tijd.
Domstad-Rudie 21 april 2014 15:46
Het e-mailadres dat ik van Ziggo heb, staat op de server. Dat e-mailadres gebruik ik op geen enkele computer. Mijn gmail-account "haalt eventuele Ziggo-mail op". Onbeveiligd, want dat kan voor zover ik weet niet met een Ziggo-account. De scan van mijn eigen PC leverde - zoals ik verwachtte - niks op. Wel gebruik ik het (korte) Ziggo adres bij diverse websites, allemaal zoals het hoort met een uniek, computer gegenereerd wachtwoord. Allemaal wijzigen? Om te beginnen bij Ziggo en ook bij PayPal. Over de rest moet ik nog nadenken. Misschien eerst het e-mailadres van Ziggo beëindigen.
Henk54 @Domstad-Rudie21 april 2014 20:49
Mijn gmail-account "haalt eventuele Ziggo-mail op". Onbeveiligd, want dat kan voor zover ik weet niet met een Ziggo-account.


Via poort 995 en met verbindingsbeveiliging: SSL/TLS,
kun je wel degelijk een beveiligde verbinding maken met Ziggo
Armin
@Henk5421 april 2014 21:40
Moet je wel perse IMAP gebruiken.

Maar verder goede tip! Bij SMTP moest ik het ook via via uitvinden. Jammer dat ze het zelf niet adverteren ...

Zelfde als bij KPN waar het late zomer 2013 ook opeens stealth ingevoerd was. Je zou toch zeggen dat men mensen zo snel mogelijk op secure email willen krijgen. :?
Domstad-Rudie @Armin21 april 2014 21:50
@armin: ziggo noemt alleen beveiliging bij uitgaande mail:

https://www.ziggo.nl/#klantenservice/e-mail/pop-instellingen
Armin
@Domstad-Rudie22 april 2014 00:52
Net gekeken en het schijnt inderdaad dat sommige pagina's al geupdate zijn, en andere nog niet.

De algemene internet voor PC pagina is al geupdate, maar omdat POP3 met TLS niet bestaat (enkel IMAP) staat bij de pop-instellingen nog leuk dat je geen encryptie moet aanzetten. Dus lekker onversleuteld over de wifi bij de Starbucks zodat iedereen lekker kan meelezen 8)7

Ja, beveiliging staat hoog in het vaandel bij onze Ziggo ... |:(
Domstad-Rudie @Henk5421 april 2014 21:24
@Henk54: die beveiliging heb ik aan staan, maar die werkt - als ik het goed begrijp - alleen op uitgaande mail en niet op binnenkomende mail.
PostHEX 21 april 2014 18:59
Hekking wil niet zeggen om welke organisaties het gaat. "Daarover doen wij geen uitspraken."

Nou, mooi is dat. Blijft lekker gissen voor de potentieel exposed gebruiker. Ik snap niet waarom het oké is om Ziggo wel te benoemen, maar de rest niet.
Armin
@PostHEX21 april 2014 21:42
De NCSC is er dan ook niet voor de gebruikers/burgers, maar voor de providers en overheid.

Nee, niet cynisch, maar dat is hun officiele taakomschriving. O-)
Anoniem: 86020 21 april 2014 22:10
Het zou me niets verbazen als de link hier alleen bedoeld is om eens te meten wie klakkeloos een maiadres invult op een url waar gerenommeerde sites als tweakers naar verwijzen #consperacytheory
Jaer @Anoniem: 8602021 april 2014 23:13
Anderen kunnen ook je mailadres invullen ... Dus zo waterdicht is dit nou ook weer niet..

Conspiracy x2

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq