Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update

ReplaceDirect en Twindis hebben te maken met een datalek als gevolg van een 'menselijke fout'. Meerdere Tweakers melden dat ze phishingmails ontvangen op basis van de gelekte gegevens. Betaalgegevens zijn volgens moederbedrijf MyMicro Group niet uitgelekt en het lek is nu dicht.

Volgens communicatie van ReplaceDirect en Twindis naar hun klanten gaat het om namen, adressen, e-mailadressen, versleutelde wachtwoorden en de bestelhistorie van klanten. De twee webwinkels zijn onderdeel van dezelfde infrastructuur. Transacties worden door een ander bedrijf afgehandeld en de financiële gegevens zijn dus buiten schot gebleven. Moederbedrijf MyMicro Group zegt bij klanten een wachtwoord-reset door te hebben gevoerd omdat het niet kan garanderen dat de versleutelde wachtwoorden niet ontsleuteld worden door een kwaadwillende. Dit geldt mogelijk alleen voor gebruikers wier gegevens ook daadwerkelijk gelekt zijn. Wat voor encryptie de twee webwinkels precies hanteren, wil algemeen directeur Mark Lebouille niet kwijt aan Tweakers.

Naar aanleiding van het lek zegt het bedrijf een extra diepgaande veiligheidstest uit te laten voeren op zijn systemen. Op maandag 25 april maakte een klant melding van een phishingmail op basis van gegevens die bekend zijn bij de webwinkels. Op dinsdag 26 april werd het lek ontdekt en direct gedicht. Het gat, dat ontstaan is door een verkeerde firewall-instelling, is mogelijk nog langer dan dat aanwezig geweest.

Op het Tweakers-forum maken gebruikers melding van de phishingmails. Deze mails zijn aangekleed om sterk te lijken op communicatie van PayPal. Kwaadwillenden proberen op deze manier de inloggegevens van gebruikers te achterhalen. Gebruikers met een account bij ReplaceDirect of Twindis doen er goed aan om hun wachtwoorden te veranderen als deze op andere sites hetzelfde zijn als bij de webwinkels in kwestie. Bovendien is het zaak om kritisch te blijven wat betreft e-mails van bijvoorbeeld PayPal. De phishingmails zijn op het eerste gezicht namelijk zeer overtuigend.

Update, 13:46: het blijkt dat niet alleen ReplaceDirect maar ook zustersite Twindis te maken heeft met hetzelfde datalek. Het artikel is hierop aangepast.

Door Mark Hendrikman

Nieuwsposter

27-04-2016 • 12:52

112 Linkedin Google+

Submitter: TheFearThe1337

Reacties (112)

Wijzig sortering
Na de vorige hack in 2012 ReplaceDirect een tweede kans gegeven, maar had dat beter niet kunnen doen. ReplaceDirect maakt op eigen initiatief een account voor je aan, ook al vraag je daar niet om.

Eerste phishing emails zijn zondagavond (23.00u) al ontvangen, dus de publieke reactie is maar net binnen de verplichte 72 uur. Als je door het datalek schade hebt opgelopen, kun je een schadeclaim indienen. Helaas wordt dat in de email niet vermeld. http://www.justitia.nl/privacy/datalekken.html
Is het bij iedereen gelukt om na de reset effectief te kunnen inloggen? Ze hebben in de e-mail alvast mijn e-mailadres foutief neergezet. Er stond een cijfer 1 achter en als ik met dat "foutieve" probeer in te loggen krijg ik steeds "Sorry... Er is een fout opgetreden... ". Als ik met het "juiste" adres inlog, geeft hij steeds dat mijn inloggegevens fout zijn, terwijl ik 100% zeker weten het juiste paswoord gebruik waardoor ik vermoed dat het een probleem is met de gebruikersnaam.

M.a.w.: Is it (still) down or is it just me? :X

EDIT: ik heb hiervoor een e-mail gestuurd naar hun info-adres, maar nog geen antwoord gekregen. Blijkbaar hebben ze het druk daar! :+

[Reactie gewijzigd door helonaut op 27 april 2016 15:01]

Ik heb maandag iets besteld op de Belgische site rond 21u. Dus nog ruim een uur om de levering de volgende dag te laten plaatsvinden.
Maar ik kreeg geen bevestingsmail en ook bij mijn bestellingen stond er niets. Pas rond 4u 's nachts is de mail toegekomen met als gevolg dat de levering pas woensdag zou zijn. Gisteren (dinsdag) kreeg ik een mail met een postnl trackingcode en de melding dat de levering woensdag zou toekomen.

Tracking code blijkt niet te werken en van levering nog niets gezien.

Toeval of heeft het er iets mee te maken?
niet zorgvuldig omgaan met klantgegevens heet tegenwoordig gewoon een datalek.
Ik weet niet of het er mee te maken heeft maar ik wordt nu al 3x gebeld de laatste 2dagen door nummers uit het buitenland en 2x prive nummer, heb er 2 maal telefoon opgenomen en toen ik gebroken Engels hoorde gelijk opgehangen, en 1x opgenomen waar wel een kort nummer op te zien was..ook opgenomen
Maar of het hiermee te maken heeft geen idee, heb nu prive nummer geblokkeerd in de modem, alleen nadeel ik ken ook mensen met prive nummers...dus lastig dilemma
Nee, dat zijn weer andere oplichters ;) Vooral niet terugbellen of ergens bevestigend op antwoorden.

Terugbellen is duur nummer, ergens bevestigend op antwoorden wordt opgepakt als :"Ja, ik wil lid worden van wat u dan ook aanbied voor welk belachelijk bedrag dan ook" en wordt een welles/nietus verhaal.

*Zo zijn ik en vele andere met mij al op verschillende lijnen gebeld geweest of ik/we "van lekker eten hou, en dan specifiek italiaan". Zeg je ja, voor je het weet zit je aan een of ander voedselpakket vast.
Er lijkt nog wel meer mis te zijn daar.... ik reset net mijn password, en krijg na inloggen de gegevens van een andere klant te zien als zijnde mijn gegevens.

Zo dat ook maar even melden...
Ze gebruiken vermoedelijk BCrypt voor wachtwoorden. Helaas wel de 2a variant welke onveilig is. Klik maar eens op wachtwoord vergeten en je krijgt de BCrypt hash van je oude wachtwoord per mail binnen.
Of 2a onveilig is, hangt van de gebruikte implementatie af. De oude BCrypt software had een bug waardoor het algorithme minder sterk was dan gedacht. Maar nog steeds niet 'onveilig', enkel 'zwakker'.

Echter hetzelfde algorithme gebruikt in andere implementaties (inclusief de populaire Java variant) zijn niet getroffen. Dus hashes met 2a prefix daar zijn correct. Ook heeft veel software geen gehoor gegegven aan de oproep de nieuwe prefix 2x/2y te gebruiken voor de foute en gefixte BCrypt C-code. Dus diverse C-code 2a encodings zijn toch met de gefixte code, en dus wel 'veilig'.

Uiteindelijk echter gaat het om tijd. Het lek is ontdekt (en de accounts gereset/gelocked) voordat de wachtwoorden gebroken en misbruikt zijn, dus heeft het algorithme gedaan wat het moest doen.
Enige wat rest te gebeuren is dat mensen die eventueel dit wachtwoord ook ergens anders gebruikt hebben, nu als de wiedewind dat elders ook moeten wijzigen (en in de toekomst nooit meer wachtwoorden recyclen O-))

Maar als hackers volgende week, volgende maand, etc je oorspronkelijke wachtwoord achterhalen, is dat geen probleem. Immers dat wachtwoord is dan waardeloos geworden.
Je hebt gelijk, maar ik verwacht dat ze PHP gebruiken en aangezien de y prefix de standaard is geworden nadat de fout ontdekt is zullen ze niet bewust de brakke 2a variant gebruiken. Maar goed dat is speculeren, het roept alleen wel vraagtekens op nadat ze schijnbaar al tweemaal gehackt zijn.

Daarnaast is het gewoon niet bijster slim om in de e-mail te verklappen welke encryptie je gebruikt. ‹berhaupt is het een beetje een vreemde criteria om door de database te zoeken, de link zal zo oneindig lang geldig zijn totdat het wachtwoord gewijzigd wordt of er een rehash plaatsvind.
Weet ieman welke webwinkels nog meer hieronder vallen? Ik heb nooit iets besteld bij replacedirect en toch krijg ik deze e-mail. Dat klinkt op zichzelf al als phishing of spam. Eigenlijk vertrouw ik deze e-mail niet.
De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.

Is de overtreding niet opzettelijk gepleegd? En is er geen sprake van ernstig verwijtbare nalatigheid? Dan legt de Autoriteit Persoonsgegevens eerst een bindende aanwijzing op. Daarna legt de Autoriteit Persoonsgegevens eventueel een bestuurlijke boete op.

Eens kijken dan, firewall settings niet in orde klinkt als nalatigheid.
replaced already replacedirect vanwege niet aanwezige interne controle en 'jatten' van spullen die toegezonden waren

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True