'Hackers stelen gebruikersdata van datingsite Adult Friend Finder'

Adult Friend Finder, een Amerikaanse datingsite voor mensen die naar 'casual seks' op zoek zijn, is volgens de Britse zender Channel 4 gekraakt. Aanvallers zouden daarbij de gegevens van 3,9 miljoen Adult Friend Finder-leden hebben buitgemaakt.

Onder de buitgemaakte gegevens zouden naast persoonsgegevens als namen en e-mailadressen ook de opgegeven seksuele voorkeur van gebruikers zijn. Ook zou zijn vastgelegd of gebruikers op zoek zijn naar een buitenechtelijke relatie. Dat meldt Channel 4, dat claimt dat de aanvallers de hack bespreken op een forum dat enkel via anonimiseringssoftware toegankelijk is.

Een aanvaller met de naam ROR[RG] zou de gegevens op het forum hebben geplaatst. Het zou daarbij gaan om gegevens van 3,9 miljoen van de 63 miljoen leden van de casual-datingwebsite. Ook leden die hun account hadden verwijderd, komen voor in de database, stelt Channel 4.

Kwaadwillenden zouden op het forum hebben aangegeven slachtoffers te willen bestoken met spammail; een van de leden van de website, wier gegevens voorkwamen in de gelekte database, zegt tegenover Channel 4 inmiddels mails met virussen te hebben ontvangen. Ook is de kans aanwezig dat ze met de verzamelde informatie identiteitsfraude proberen te plegen.

Opvallend is het percentage vrouwen dat in de database voorkomt. Hoewel Adult Friend Finder op zijn voorpagina gebruikers met foto's van aantrekkelijke vrouwen probeert te verleiden om lid te worden, komen er maar weinig vrouwen voor in de database. Van de 27.000 uitgelekte Britse accounts is slechts 6 procent vrouw.

Door Joost Schellevis

Redacteur

Feedback • 22-05-2015 15:43 49

22-05-2015 • 15:43

49

Lees meer

ESET: twee draagbare bluetooth-seksspeeltjes waren vatbaar voor MiTM-aanvallen
ESET: twee draagbare bluetooth-seksspeeltjes waren vatbaar voor MiTM-aanvallen Nieuws van 11 maart 2021
Hackers zetten gebruikersinfo 'vreemdgaan'-site online
Hackers zetten gebruikersinfo 'vreemdgaan'-site online Nieuws van 20 juli 2015
Aanvallers kraken Epic Games-forums
Aanvallers kraken Epic Games-forums Nieuws van 15 juli 2015
'Kwaadwillenden zetten gegevens Belgische werknemers online'
'Kwaadwillenden zetten gegevens Belgische werknemers online' Nieuws van 17 november 2014
'Inbraken database geheime dienst VS te herleiden tot computer Manning'
'Inbraken database geheime dienst VS te herleiden tot computer Manning' Nieuws van 11 juni 2013
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie Nieuws van 2 juli 2012
Pastebin wil meer doen tegen gevoelige uploads
Pastebin wil meer doen tegen gevoelige uploads Nieuws van 2 april 2012
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (49)

-Moderatie-faq
49
46
34
3
0
0
Wijzig sortering

Sorteer op:

Weergave:
WeAreLegion 22 mei 2015 20:32
Voor de mensen die willen weten of hun email adres / username er bij staat. Kan je dat checken op de volgende website: https://haveibeenpwned.com/

(stond in een stuk over de hack op Arstechnica)
diefightdie 22 mei 2015 15:46
"Ook leden die hun account hadden verwijderd, komen voor in de database"

Baart me zorgen. Recentelijk een grote clean-up gedaan en mijn account laten verwijderen bij veel sites. Hopelijk gaan zij niet hetzelfde met hun data om
The Zep Man
@diefightdie22 mei 2015 15:48
Baart me zorgen. Recentelijk een grote clean-up gedaan en mijn account laten verwijderen bij veel sites. Hopelijk gaan zij niet hetzelfde met hun data om
Vaak wordt een account niet werkelijk verwijderd. Immers is het veel makkelijker om een account alleen op inactief te stellen. Een website wilt bijvoorbeeld nog steeds factuurgegevens van een klant op kunnen vragen tot vijf jaar na de laatste, waarvoor een koppeling met de persoonsgegevens vereist blijft.

Een deactivatie ziet er bijvoorbeeld zo uit (SQL):
UPDATE customers SET active = 0 WHERE customerId = 123456;

Met een enkele query is een account gedeactiveerd. Als je een account effectief zou willen verwijderen en je hebt een relationele database met vreemde sleutels waarvan de integriteit wordt afgedwongen, dan zou je ook uit alle gerelateerde tabellen de betreffende records moeten verwijderen wanneer deze gelinkt zijn met de klantentabel. Dit is veel extra meerwerk met weinig toegevoegde waarde voor de eigenaar van de database. En een complexer datamodel met een scheiding tussen te archiveren gegevens en operationele gegevens is voor veel bedrijven de moeite niet waard, en zo blijft de data dus in het systeem staan.

Data toevoegen en voor langere tijd opslaan zijn goedkope en simpele acties, zeker met deze kleine hoeveelheden. Al heb je capaciteit tekort, dan gooi je er gewoon meer hardware tegenaan. Data mutatie is echter kostbaar en meer onderhevig aan onderhoud en gevoeliger voor fouten, omdat je er data mee kan verliezen. Een enkele waarde veranderen (actief naar inactief) en die actie mogelijk loggen in een aparte tabel is goedkoper dan een account met alle bijbehorende informatie daadwerkelijk verwijderen.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 12:02]

assembler @The Zep Man22 mei 2015 16:12
Desalniettemin is het bedrijven wel verplicht om klantdata desgevraagd te verwijderen, ipv alleen te deactiveren.
Zijn webwinkels verplicht klantgegevens te verwijderen?
Juridische vraag: wanneer kan ik persoonsgegevens wissen?

Zie Artikel 36, lid 1., Wet bescherming persoonsgegevens
"Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen."

Dit is natuurlijk alleen van toepassing in NL.

[Reactie gewijzigd door assembler op 27 juli 2024 12:02]

capsoft @assembler22 mei 2015 16:19
Misschien een stomme vraag, maar what if... jouw web applicatie en database op een server staan in de cloud in een datacenter buiten Nederland? Jouw bedrijf is Nederlands, maar jouw dienst die je aanbiedt host je buiten de landsgrens.
QQ2 @capsoft22 mei 2015 16:46
Als je een op Nederlanders gerichte dienst aanbeid heb je je te houden aan de Nederlandse wet (Iets oversimplificatie maar goed) Beste voorbeeld is Facebook, gehost in Ierland maar Nederlandse taal ondersteuning amongst other things zorgt er voor dat ze zich ook aan de Nederlandse wetgeving moeten houden
dasiro @QQ222 mei 2015 18:16
toch volgens de Nederlandse overheid, de Belgische heeft vorige week hier nog een rel over gehad met als excuus van FB dat ze in Ierland zitten
Thomqa @assembler22 mei 2015 16:21
Inderdaad, op de site van de overheid is een standaard brief te downloaden die je naar bedrijven kunt sturen al je wilt dat zij jou gegevens verwijderen. Echter een uitzondering hierop zijn de factuur gegevens, deze zijn ze weer verplicht 5 jaar te bewaren.
velenski @assembler22 mei 2015 16:24
AFF is in tegenstelling wat het artikel aangeeft, een deel Nederlandse site
Delen ervan zijn ondergebracht in Nederland zoals servers.
Ook Zijn onderdelen van het bedrijf op papier gevestigd in Nederland.

Maar wat betreft het verwijderen van data, dat is natuurlijk onzin.
Wij zijn verplicht om data/factuur/betaal gegevens, 5 jaar te bewaren.
Accounts worden gewoon gedeactiveerd/gesloten.

Als ik gegevens niet kan overleggen van klanten dan ben ik mooi zuur.
allemaal lekker dubbel en zuur
Verwijderd @assembler22 mei 2015 16:40
Het is gewoon toegestaan om bijvoorbeeld klanten die hun account hebben opgezegd nog altijd te benaderen voor promotionele activiteiten om ze als klant weer terug te winnen. Er is dus een legitiem doel om iemand persoonsgegevens te blijven verwerken. Daarom dus is het ook legitiem om die gegevens nog vast te houden.
Memori @assembler22 mei 2015 16:41
Een soortgelijke regeling bestaat in het DPA 1998 voor de Commonwealth.
The Zep Man
@assembler22 mei 2015 16:47
Zie Artikel 36, lid 1., Wet bescherming persoonsgegevens
"Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen."

Dit is natuurlijk alleen van toepassing in NL.
"Voor het doel van mijn webwinkel/dienst (jou als klant lastig vallen tot ver na de deactivatie van jouw account) zijn de gegevens die ik heb volledig en ter zake, en verzameld en bewaard volgens wettelijke voorschriften."

Ga daar maar tegen procederen als enkeling. En dan is het inderdaad alleen van toepassing in Nederland. Met andere woorden: leuke wetgeving, maar nutteloos in de praktijk.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 12:02]

Laurens-R @assembler22 mei 2015 16:56
Lees ook het volgende stukje in jouw quote van het wetsartikel:
voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt
In dat stukje lees ik: "Bedrijven moeten jouw informatie op verzoek verwijderen als het niet relevant is voor de bedrijfsvoering of in strijd is met de wet." In het kader van bewaarplicht voor de belastingdienst en het hebben van een correcte administratie, etc. is het wel degelijk toegestaan om jouw gegevens te bewaren. In Nederland zijn bedrijven dit gewoon wettelijk verplicht en dus is klanteninformatie noodzakelijk voor de bedrijfsvoering.

Bedrijven kunnen er uiteraard voor kiezen om deze informatie dan naar een seperaat archief te verplaatsen, maar de vraag is hoeveel bedrijven dat dan doen aangezien dit - voor zover ik weet - niet verplicht is.

[Reactie gewijzigd door Laurens-R op 27 juli 2024 12:02]

q2no @assembler23 mei 2015 09:29
Weet dat verwijderen een andere betekenis heeft dan vernietigen.
Ikke_Niels @The Zep Man22 mei 2015 15:50
Of nieuwsbrieven versturen met "we hebben nieuwe functies, wil je niet terugkomen"?
The Zep Man
@Ikke_Niels22 mei 2015 15:53
Of nieuwsbrieven versturen met "we hebben nieuwe functies, wil je niet terugkomen"?
Dat is inderdaad een sterke indicatie dat een account niet verwijderd is. ;) Als je informatie op Internet plaatst, dan moet je ervan uitgaan dat je de controle erover kwijt bent. Voor sommige informatie is dit niet erg (zoals deze post op Tweakers.net :), maar bij gevoelige persoonsgegevens (zoals seksuele geaardheid, de hint dat je ooit vreemd wilde gaan van je echtgeno(ot/te)) moet je jezelf tweemaal achter de oren krabben.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 12:02]

StefanTs @The Zep Man22 mei 2015 16:08
Totdat de Persgroep Tweakers verpatst aan een partij waar je minder blij van wordt.
The Zep Man
@StefanTs22 mei 2015 16:51
Totdat de Persgroep Tweakers verpatst aan een partij waar je minder blij van wordt.
Zolang T.net maar niet ongemerkt posts van mij gaat wijzigen zie ik daar geen problemen mee. En ook hebben zij geen gevoelige persoonsgegevens van mij, Stefan uit Utrecht die op Tweakers.net zit met accountnaam DanTheBanjoman. ;)

[edit]
Met een lichte zoek en match op het Internet gebaseerd op de genoemde gegevens weet ik nu al heel veel over je. Dit bewijst alleen maar des te meer hoe voorzichtig je met je eigen gegevens moet omgaan.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 12:02]

gladius1983 @The Zep Man22 mei 2015 21:35
[...]
Zolang T.net maar niet ongemerkt posts van mij gaat wijzigen zie ik daar geen problemen mee.
Misschien doen ze dat wel.. Dat is de definitie van ongemerkt. :+
innerchild @The Zep Man22 mei 2015 16:16
Yup Facebook doet dat ook. Net nog geprobeerd met een account die ik 3 jaar geleden heb verwijderd op Facebook en ik kon zo weer inloggen alsof ik nooit was weg geweest..

Ik ben voorstander van een wet waarbij websites die uit commercieel oogpunt ( Lees geld verdiend ) data opslaan van klanten dat zij aan de minimale eisen moeten voldoen.

Bv :

- Geen platte opslag van wachtwoorden
- Accounts die worden verwijderd ook echt weg zijn
- Klanten moeten de optie hebben om te kunnen opzeggen via hun beheer paneel.
- Aantoonbare veiligheids upgrades

etc etc.

Zodra je hier aan voldoet krijg je toestemming om data van klanten te mogen opslaan.

Niet voor de huis tuin en keuken gebruiker.
n8n @innerchild23 mei 2015 09:09
Wachtwoorden als platte tekst opslaan is in geen enkele situatie de bedoeling. Huis en tuin gebruiker of niet.
StefanTs @The Zep Man22 mei 2015 16:05
Of records verplaatsen naar een andere tabel, als je alle data wilt gebruiken kun je altijd nog een union doen. Kan namelijk best zijn dat je net zoveel of zelfs meer inactieve gebruikers hebt en dan scheelt dat best.
biglia @The Zep Man22 mei 2015 16:31
Ook handig bij misdrijven. Dan hebben ze het ip adres van de persoon nog, ook al heeft die persoon zijn account al lang verwijderd.
Ranko_Bakker @diefightdie22 mei 2015 15:49
Er zijn veel sites die dit doen, ook in jou eigen voordeel. Mocht je binnen een bepaalde tijd besluiten terug te willen naar een website waarvan je het account verwijderd hebt, dan kan het account wat je had opnieuw geactiveerd worden en ben je geen dingen kwijt.. Natuurlijk worden verwijderde accounts niet tot in den treure bewaard, waarschijnlijk zal er een limiet op zitten van een half jaar tot een jaar, maar dat durt ik niet met zekerheid te zeggen.
tinoz @diefightdie24 mei 2015 08:47
Misschien beter om eerst je account te wijzigen met incorrecte data, daarna pas 'verwijderen'. Desinformatie toedienen dus ;-)
pauldaytona 22 mei 2015 15:58
die 6% zijn mannen die zich als vrouw uitgeven.
Als je een vaste relatie hebt en je toch op dat soort sites begeeft, zou je kunnen weten dat er een risico inzit dat het problemen oplevert.
henrid @pauldaytona22 mei 2015 17:10
Dat geeft maar aan dat zulk soort sites voor vrouwen bijna alleen maar fake profielen hebben om mannen te lokken.
LOTG 22 mei 2015 16:02
Opvallend is het percentage vrouwen dat in de database voorkomt. Hoewel Adult Friend Finder op zijn voorpagina gebruikers met foto's van aantrekkelijke vrouwen probeert te verleiden om lid te worden, komen er maar weinig vrouwen voor in de database.
Dit is toch bij al die sites zo? Vooral sites die locaties (bij jou in de buurt) onder foto's plaatsen. Dan was het vroeger altijd lachen om te zien hoeveel locaties je kon vinden bij 1 foto.

Dit is natuurlijk een leuke site om persoonsgegevens van te stelen om ze vervolgens te gaan gebruiken bij chantage praktijken. U bent getrouwd en op Adult Friend Finder, voor X bedrag vertellen we het niet aan uw vrouw.
Otherside @LOTG22 mei 2015 20:18
Dat gaat vast gebeuren, het zal me in elk geval niks verbazen als bijvoorbeeld ransomware die kant op ontwikkelt...
bento smit 22 mei 2015 15:50
6% vrouw, tijd voor de reclame code commisie 8)7
Umbrah @bento smit22 mei 2015 15:55
Gezien de manier waarop men online praat over online daten, geloof ik dat dat misschien nog wel het geval is op ELKE site!
Metro2002 @Umbrah22 mei 2015 18:24
In elk geval op betaalde sites. Op gratis sites is het verassend genoeg vaak anders.
jpsch @Umbrah22 mei 2015 22:21
6% Vrouwen op homo contactsites?
Xtuv 22 mei 2015 15:58
Opvallend is het percentage vrouwen dat in de database voorkomt.
Ik was even verrast na deze zin. Ik dacht dat hierop zou volgen dat er daadwerkelijk een aanzienlijk aantal vrouwen op die site zitten...
WokeBroke 22 mei 2015 16:13
Hoeveel % van die 6% zal daadwerkelijk degene zijn die het profiel suggereert? 6%?
Verwijderd 22 mei 2015 16:26
Opvallend is het percentage vrouwen dat in de database voorkomt. Hoewel Adult Friend Finder op zijn voorpagina gebruikers met foto's van aantrekkelijke vrouwen probeert te verleiden om lid te worden, komen er maar weinig vrouwen voor in de database. Van de 27.000 uitgelekte Britse accounts is slechts 6 procent vrouw.
Joh, en dat bewijst maar weer dat grotendeels de profielen op zulke websites gewoon fake, selectief en ter entertainment zijn. :P
theduke1989 22 mei 2015 17:14
We hebben een webshop en zijn verplicht de wetten te volgen en de privacy policy is dan ook een onderdeel waar staat dat we niks mogen delen met 3de en wanneer een request gevraagd wordt om hun account te verwijderen wij dat moeten navolgen.

In opencart systemen lukt dat ook, alleen het vage van alles is, In de back-end gebeurd dat ook alleen zoals vele zeggen wordt het niet in de sql verwijderd. Maar en doorsnee eigenaar weet dat niet en zal dus niet zo gemakkelijk/ snel een sql specialist inhuren om dat voor hem te doen.

Gelukkig heb ik er wel verstand van en kan dat allemaal zelf, maar voor andere eigenaren begrijp ik best wel dat dit frustatie oploopt, en weet dan niet het dan geregeld is met de wetgeving.
worldfastest 22 mei 2015 17:32
Ik wacht nog steeds op wetgeving die de consument beter gaat beschermen tegen websites die hun zaken niet goed voor elkaar hebben. Er wordt elke keer naar mijn mening te makkelijk gesproken over dat de consument maar moet zorgen dat ze aparte email adressen en ww per site moeten hebben.

Het is de verantwoordelijkheid van een website dat gegevens op een veilige wijze worden beheerd. En dat door een eventuele hack de data onleesbaar is. Een schadevergoeding per gehackt account of zeer hoge boetes.

Nu kan iedereen op een goedkope manier de data opslaan zonder dat er consequenties zijn wanneer deze data wordt gestolen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq