Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Webwinkel ReplaceDirect en zustersite Twindis melden datalek - update

ReplaceDirect en Twindis hebben te maken met een datalek als gevolg van een 'menselijke fout'. Meerdere Tweakers melden dat ze phishingmails ontvangen op basis van de gelekte gegevens. Betaalgegevens zijn volgens moederbedrijf MyMicro Group niet uitgelekt en het lek is nu dicht.

Volgens communicatie van ReplaceDirect en Twindis naar hun klanten gaat het om namen, adressen, e-mailadressen, versleutelde wachtwoorden en de bestelhistorie van klanten. De twee webwinkels zijn onderdeel van dezelfde infrastructuur. Transacties worden door een ander bedrijf afgehandeld en de financiële gegevens zijn dus buiten schot gebleven. Moederbedrijf MyMicro Group zegt bij klanten een wachtwoord-reset door te hebben gevoerd omdat het niet kan garanderen dat de versleutelde wachtwoorden niet ontsleuteld worden door een kwaadwillende. Dit geldt mogelijk alleen voor gebruikers wier gegevens ook daadwerkelijk gelekt zijn. Wat voor encryptie de twee webwinkels precies hanteren, wil algemeen directeur Mark Lebouille niet kwijt aan Tweakers.

Naar aanleiding van het lek zegt het bedrijf een extra diepgaande veiligheidstest uit te laten voeren op zijn systemen. Op maandag 25 april maakte een klant melding van een phishingmail op basis van gegevens die bekend zijn bij de webwinkels. Op dinsdag 26 april werd het lek ontdekt en direct gedicht. Het gat, dat ontstaan is door een verkeerde firewall-instelling, is mogelijk nog langer dan dat aanwezig geweest.

Op het Tweakers-forum maken gebruikers melding van de phishingmails. Deze mails zijn aangekleed om sterk te lijken op communicatie van PayPal. Kwaadwillenden proberen op deze manier de inloggegevens van gebruikers te achterhalen. Gebruikers met een account bij ReplaceDirect of Twindis doen er goed aan om hun wachtwoorden te veranderen als deze op andere sites hetzelfde zijn als bij de webwinkels in kwestie. Bovendien is het zaak om kritisch te blijven wat betreft e-mails van bijvoorbeeld PayPal. De phishingmails zijn op het eerste gezicht namelijk zeer overtuigend.

Update, 13:46: het blijkt dat niet alleen ReplaceDirect maar ook zustersite Twindis te maken heeft met hetzelfde datalek. Het artikel is hierop aangepast.

Door Mark Hendrikman

Nieuwsposter

27-04-2016 • 12:52

112 Linkedin Google+

Submitter: TheFearThe1337

Reacties (112)

Wijzig sortering
Het gat, dat ontstaan is door een verkeerde firewall-instelling, is mogelijk nog langer dan dat aanwezig geweest.
Ik vind het eerlijk gezegd niet zo'n best verhaal. Als je veiligheid afhangt van een firewall ben je verkeerd bezig*. Een firewall is een secundaire maatregel om te compenseren voor gebreken in andere beveiliginsmaatregelen. Een goede vuistregel is om bij het beveiligen van je systeem te doen alsof er geen firewall is, dan moet het nog steeds veilig zijn.

Een gat in een firewall is zo iets als een defecte airbag. Een defecte airbag is niet de oorzaak van ongeluk. Een airbag kan de gevolgen van een ongeluk verkleinen, maar de oorzaak van het ongeluk ligt elders. Geen enkele chauffeur zegt na een ongeluk "als mijn airbag het had gedaan dan was er niks aan de hand geweest".

* Ik weet ook wel dat de praktijk vaak moeilijk is. Onder druk van tijd en geld heb ik ook wel eens keuzes gemaakt waar ik niet gelukkig mee ben. Dat is een reden, geen excuus.
Het nadeel van het grote aantal concurrerende webshops van tegenwoordig is dat de marges laag zijn waardoor er een enorme druk bestaat om alles zo goedkoop mogelijk te doen.
[...]
Ik vind het eerlijk gezegd niet zo'n best verhaal. Als je veiligheid afhangt van een firewall ben je verkeerd bezig*. Een firewall is een secundaire maatregel om te compenseren voor gebreken in andere beveiliginsmaatregelen. Een goede vuistregel is om bij het beveiligen van je systeem te doen alsof er geen firewall is, dan moet het nog steeds veilig zijn.
Dit is niet helemaal waar. Een DDoS beveiliging of eender welke andere firewall beveiliging heeft als functie om aanvallen af te leiden, VOOR het je server-side script bereikt. Je kan je code nog zo goed mogelijk beveiligen tegen aanvallers, maar vanaf dat je verkeer vanaf meerdere IP adressen tegelijk krijgt ga je die niet kunnen "onderscheiden". Je zal dus ofwel te aggresief reageren en bijvoorbeeld een boodschap tonen dat de dienst tijdelijk onder aanval ligt, waardoor ook gewone mensen deze krijgen ofwel te passief reageren op die pakketten en bij een overvloed kan je server niet meer reageren op de aanvragen bij gebrek aan resources / threads waardoor mensen 503 of 404 krijgen.

Leg mij eens uit hoe jij in jouw code zulke (in principe firewall-gerelateerde) zaken gaat voorzien zonder een terugkoppeling naar, jawel, je firewall via een applicatie zoals Fail2ban bijvoorbeeld?
[...]
Het nadeel van het grote aantal concurrerende webshops van tegenwoordig is dat de marges laag zijn waardoor er een enorme druk bestaat om alles zo goedkoop mogelijk te doen.
Dat is dan weer helemaal wťl waar, spijtig genoeg.
Dit is niet helemaal waar. Een DDoS beveiliging of eender welke andere firewall beveiliging heeft als functie om aanvallen af te leiden,
Ok, dat klopt, maar dat is een ander soort beveiling dan waar ik het over had. Misschien is het woord "beveiliging" onhandig gekozen omdat het verschillende gebieden bestrijkt.
Jij hebt het over de beschikbaarheid van de dienstverlening, ik heb het over ongeautoriseerde toegang tot data. Een DDOS kan er voor zorgen dat niemand meer toegang heeft tot de data maar er zal geen data in de verkeerde handen komen.

Ik wil niet zeggen dat firewalls geen toegevoegd waarde hebben, mijn punt is dat je er niet afhankelijk van wil zijn. In het algemeen wil je beveiliging altijd in lagen opbouwen zodat gaten in de ene laag worden afgedekt door de andere lagen. Een firewall is een goede laag maar zou nooit de enige laag mogen zijn.
Hoe groter de behoefte aan beveiliging, hoe meer lagen je nodig hebt. Persoonsgegevens alleen beveiligen met een firewall vind ik nalatig.
Dit is niet de eerste keer dat replacedirect zulke problemen heeft, wat ik wel erg bijzonder vind dat het net als in mijn geval om precies dezelfde soort erg persoonlijke paypal spam gaat..... toeval ik denk het niet.

Zie ook mijn topic van 10 januari 2015 Wel erg persoonlijke spam in de spam box
Ik heb ineens een vermoeden om welke spam het gaat. in mijn geval gaat het om mails afkomstig van ICS/Visa omdat ik daar ook mee betaald heb. Heb jij toevallig met paypal bij replacedirect betaald?

Ik heb de afgelopen dagen 3x mail gehad zogenaamd vanuit ICS (Visa) met daarin mijn achternaam keurig voluit gespeld zoals ik deze achter zou laten bij officiŽle sites (normaal gebruik ik een verkorte versie), ik heb deze mail gehad 2x op mijn prive adres en 1x zakelijk.

Het viel me op dat deze mails linken naar sites gehost bij transip, na het op de hoogte stellen van transip zijn de sites ook netjes offline gehaald.

Ik heb zowel prive als zakelijk dingen besteld bij replacedirect, dus zodoende zijn beide mail adresseren daar bekend (heb in beide gevallen ook mijn visa gebruikt om producten af te rekenen)

edit: ik zie dat beide domeinnamen waar spam op gehost werd vrij zijn gegeven, mocht je willen zoeken in je mail body: imagserv.nl en uselesss.nl waren 2 van de namen waar naar toe werd gelinkt.

[Reactie gewijzigd door Madmama op 27 april 2016 20:45]

ik heb een account op de .be en op de .nl en ik heb enkel op .nl mijn wachtwoord moeten veranderen. Heeft er iemand het op .be moeten aanpassen?

Edit: er blijkt wel wat meer aan de hand te zijn momenteel, na inloggen zit ik plots in iemand anders zijn account, met adresgegevens en al de rest toegankelijk.

[Reactie gewijzigd door Whatts op 27 april 2016 13:20]

Wat voor encryptie ReplaceDirect en Twindis precies hanteren, wil algemeen directeur Mark Lebouille niet kwijt aan Tweakers.
Dat zegt me genoeg, denk ik. Daar bestel ik dus nooit wat.

EDIT: Ter verduidelijking: het feit dat ze deze informatie niet vrijgeven toont aan dat ze ofwel weten dat het niet afdoende is en dit proberen te verzwijgen, ofwel niet begrijpen dat dit geen gevoelige informatie is of moet zijn, en dus 'security through obscurity' hanteren. In beiden gevallen zijn ze dus niet te vertrouwen op het gebied van beveiliging.

[Reactie gewijzigd door svenslootweg op 27 april 2016 15:31]

Daar hoef je niet noodzakelijk een eigen domein voor te hebben, dit principe gaat gmail ook.

Stel je hebt volgend adres voornaamachternaam@gmail.com, dan kan je op 2 manieren adressen maken die toch in dezelfde box terecht komen.

1. puntjes toevoegen
voornaam.achternaam@gmail.com
voor.naam.achter.naam@gmail.com
voornaam.ach.ter.naa.m@gmail.com
2. '+' teken en achtervoegsel toevoegen:
voornaamachternaam+replacedirect@gmail.com
voornaamachternaam+tweakers@gmail.com

Afgezien dat je bv kan weten waar dit adres is buitgemaakt, geeft dit ook wat extra filtermogelijkheden.

Net zoals Borromini heb ik ook al bij ReplaceDirect.be besteld, maar ook nog geen mail ontvangen.
ze zijn nu wettelijk verplicht om de autoriteit persoonsgegevens binnen 72 uur op de hoogte te stellen, dus dat moet sowieso. En als sommige gegevens onversleuteld zijn, en een inbreuk op de persoonlijk levenssfeer kunnen verrichten, dan moeten ze ook gebruikers inlichten.

https://autoriteitpersoon...den/meldplicht-datalekken

In zo'n bericht moeten ze aangeven wat er is gebeurd, en welke gegevens er vrijgekomen zijn. Nergens staat iets van excuses, en imho is dat ook niet belangrijk. Als ze maar wat aan de oorzaak van het lek gaan doen (en als ze dat zouden toelichten, dan ben ik een heel stuk blijer dan met een set excuses).

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True