Systeem met gegevens van accounts Omroep Max-leden gestolen

Omroep Max waarschuwt mensen die zich hebben geregistreerd voor zijn website dat gegevens ontvreemd zijn door derden. Het gaat om onder andere e-mailadressen en login-gegevens, die bij diefstal van een systeem van een externe ontwikkelaar werden buitgemaakt.

Omroep Max adviseert gebruikers van zijn site om een nieuw wachtwoord in te stellen voor accounts. Het zou volgens de omroep niet om gevoelige gegevens gaan en de data zou versleuteld op de server hebben gestaan. "Daarom denken we dat de kans zeer klein is dat derden de informatie kunnen gebruiken", aldus Charlotte Mutsaers van de woordvoering. Niet bekend is of de hashes gesalt zijn.

De omroep werd maandagavond ingelicht over de diefstal, de woensdag erna werden alle accounthouders op de hoogte gebracht. "Wij besteden heel veel aandacht aan het beveiligen van onze gegevens en betreuren het dan ook zeer dat dit heeft kunnen gebeuren. We zullen er alles aan doen om dit in de toekomst te voorkomen en onze externe leveranciers wederom aanspreken op hun beveiligingsprotocol", staat in de e-mail.

Vorig jaar onthulde het Omroep Max-programma Meldpunt zelf een datalek, dat tot Kamervragen leidde. Dat item ging over Nederlandse ziekenhuizen, die hun patiëntgegevens via tussenbedrijven door gevangenen in België laten inscannen, schrijft het AD.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 02-05-2016 07:40
31 • submitter: innerchild

02-05-2016 • 07:40

31 Linkedin

Submitter: innerchild

Lees meer

Datalek in Scrum.org-website legt gebruikersgegevens bloot - update Nieuws van 1 juni 2016
Autoriteit Persoonsgegevens vermoedt dat organisaties datalekken niet melden Nieuws van 13 mei 2016
Miljoenen accountgegevens van Minecraft-community Lifeboat zijn buitgemaakt Nieuws van 26 april 2016
Hackers zetten gebruikersinfo 'vreemdgaan'-site online Nieuws van 20 juli 2015
Hackers stalen gegevens 21,5 miljoen personen bij Amerikaanse overheid Nieuws van 9 juli 2015
Criminelen maakten mogelijk gegevens elf miljoen Amerikanen buit bij hack Nieuws van 17 maart 2015
Hackers zetten gestolen data duizenden Nederlanders en Belgen op eigen site Nieuws van 2 januari 2015
Hackers stelen wachtwoorden van supportfora Tapatalk Nieuws van 14 december 2014
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (31)

-Moderatie-faq
31
30
26
2
0
0
Wijzig sortering
geenstijl
2 mei 2016 08:48
Als Omroep Max daadwerkelijk "veel geeft om het beveiligen van de gegevens", zouden ze zorgen dat een ontwikkelaar nooit over productie-data beschikt, maar dat er alleen (geanonimiseerde) testdata beschikbaar is.
Zelf vind ik overigens een e-mailadres in combinatie met een gebruikersnaam (en ik vermoed ook informatie als naam/adres) zeker wel gevoelige informatie.
Ook zeggen ze "versleuteld op de server" hebben gestaan: maar "het systeem" van de ontwikkelaar is gestolen, ik durf er redelijk wat geld op te zetten dat de data op "dat systeem" niet versleuteld was (hooguit de wachtwoorden).
Pizzalucht
@geenstijl2 mei 2016 09:06
Ik ken redelijk wat webdevelopers die hun hele hardeschijf hebben versleuteld, heb ik zelf ook.
Katsumii
@Pizzalucht2 mei 2016 09:27
Dat is een eerste stap. Als we als voorbeeld bitlocker nemen wat op veel bedrijfspc's gebruikt wordt met standaard configuratie dan moet deze wel gepatched zijn. Er was namelijk afgelopen november nog een aanval mogelijk die vrij eenvoudig de login omzeilt van een pc die aan een domein hangt en bitlocker gebruikt. Zie https://technet.microsoft.com/library/security/MS15-122.
Darkstriker
@Katsumii2 mei 2016 09:45
Welke webdeveloper zou zijn Windows 6 maanden niet updaten? Bovendien is die vulnerability alleen te gebruiken, als hij al ingelogd is, maar het systeem gelockt. Dan kan je met een nepserver de pc laten denken, dat de gebruiker een nieuw wachtwoord heeft (dat je als aanvaller zelf kan instellen) en op die manier aan de versleutelde data komen. Lijkt me al met al heel onwaarschijnlijk dat dat allebei het geval is. Als ie al bitlocker heeft gebruikt.
Anoniem: 463321
@Pizzalucht2 mei 2016 09:22
Ik ken er vele die dat niet hebben. Maar onze omgeving doet niet terzake. De pc van deze developer wel.
Kalief
2 mei 2016 07:48
Volgens nu.nl en het gelinkte ad.nl was er een computer gestolen, Tweakers heeft het over een hack van een server. Wat is het nou? (In het eerste geval is het natuurlijk geen hack.)
http://www.nu.nl/internet...ep-max-site-gestolen.html
http://www.ad.nl/ad/nl/56...omroep-Max-gestolen.dhtml

[Reactie gewijzigd door Kalief op 2 mei 2016 07:49]

Webgnome
@Kalief2 mei 2016 08:15
Waarschijnlijk is het inderdaad geen hack. Maar ja Tweakers vind het een goed hip woord (trekt aandacht) denk ik dan.
Falzer
2 mei 2016 08:42
Ik hoop dat de doelgroep van Omroep Max(lees: voornamelijk senioren) enigszins ervan bewust is om tijdig hun login-gegevens e.d. te wijzigen, anders zijn de gevolgen mogelijk niet te overzien.

Er zijn er in ieder gevoel genoeg die dit niet zelfstandig kunnen...
Soldaatje
@Falzer2 mei 2016 08:53
Wat is er moeilijk aan om alle accounts te locken en iedereen te verplichten zijn wachtwoord te wijzigen?
Dat is de normale procedure in zo'n geval.
Reinoud95
@Soldaatje2 mei 2016 09:18
Wat Falzer zegt gaat niet over de accounts van omroep Max maar om accounts van bij voorbeeld @outlook.com, waar de Max gebruikers inloggen met dezelfde credentials. Max kan alleen een procedure over eigen credentials starten, zij kunnen niet weten bij welke andere bedrijven de gebruiker is ingelogd met diezelfde credentials.

Het probleem is al opgelost voor de gebruiker die voor elke dienst een uniek wachtwoord heeft. Dat lijkt me echter zeldzaam aangezien het om senioren gaat.
Anoniem: 463321
@Falzer2 mei 2016 09:20
Datzelfde geldt voor personen buiten die doelgroep. Het merendeel van de mensen, van jong tot oud, is laks met wachtwoorden.
Xanaroth
2 mei 2016 09:01
Hoe kan een 3e partij alle klant+inloggevens überhaupt hebben?

Als je echt iets geeft om veiligheid, is zo een beetje stap 1 ervoor zorgen dat die data nooit buiten je bedrijf terecht komt. Dat dit soort dingen nog gebeuren is echt schrikbarend...
Soldaatje
@Xanaroth2 mei 2016 09:03
De enige beveiliging die hiervoor meestal gebruikt wordt is een geheimhoudingsverklaring, verder niks.
Caelestis
@Xanaroth2 mei 2016 09:52
Als ze werken aan een test omgeving. Normaal gesproken zou het nep gegevens moeten zijn maar vaak wordt het bouwen van een grote database van nep gegevens gezien als een verspilling van tijd en geld. Schuld ligt bij degene die over het budget gaat.

Echter als we het hebben over veiligheid van data bescherming is de regel meerdere backups buiten het bedrijf in het geval van calamiteiten. Als je als bedrijf je gegevens niet buiten het bedrijf opslaat dan pas snap je werkelijk helemaal niks over veiligheid van data.
Dat de gegevens in dit geval lokaal op een willekeurige PC stonden dat gewoon meegenomen kon worden door een dief is eigenlijk best grappig te noemen als het waar is dat alle gegevens encrypted erop stonden.
Fysieke beveiliging is net zo belangrijk als digitaal maar het sluipt er steeds meer in dat het nieuwe generatie ITers niet verder kijken dan het digitale aspect omdat er fysieke diefstal nagenoeg niet meer aan de orde van de dag is mbt data diefstal.
Anoniem: 705078
2 mei 2016 08:05
Wat zijn, volgens omroep Max "Geen gevoelige gegevens"? Dit is voor ieder persoon anders.
Het zou fijn zijn om te weten welke gegevens er buit zijn gemaakt.
jeroen_loeffen
@Anoniem: 7050782 mei 2016 09:08
Om te registreren voor een mijnMax account worden een profielnaam, voornaam, achternaam, emailadres en wachtwoord gevraagd dus geen bank/betaalgegevens, geen adresgegevens en geen verder persoonlijke informatie. Als je hier hetzelfde wachtwoord gebruikt als voor je mail account dan loop je een risico maar verder lijkt het mee te vallen.
sjettepetJR.
@jeroen_loeffen2 mei 2016 16:13
Nu kunnen er dus gepersonificeerde mails gestuurd worden naar de senioren, welke vaak niet zullen zien dat een mail nep is.
Kan behoorlijke problemen veroorzaken dus.

Ik vraag mij trouwens af waarom we nooit iets horen over vergoeding voor het verliezen van gegevens. Kan er niet een vergoeding geëist worden vanwege verliezen van persoonlijke gegevens.
MoonWatcher
@sjettepetJR.2 mei 2016 19:02
Die kan natuurlijk geeist worden, of je die ook krijgt is natuurlijk een andere vraag.

Wil je dit als bedrijf goed regelen dan zul je een bewerkersovereenkomst moeten sluiten met de IT partij waar je zaken mee doet.

Hierin kan dan staan hoe de IT partij om moet gaan met de je data. Inclusief eventuele consequenties bij het niet voldoen daaraan.

De verantwoordelijkheid voor het afsluiten van een dergelijke overeenkomst ligt echter bij het bedrijf zelf. Niet bij de IT partij.

Heb je dit niet geregeld en is er geen opzet in het spel dan kun je het waarschijnlijk wel vergeten met hun vergoeding.

Weggaan door gebrek aan vertrouwen kan natuurlijk nog wel...
sjettepetJR.
@MoonWatcher2 mei 2016 19:51
Ik doelde meer op de consument die omroep max aanklaagt. Maar hierover staat er waarschijnlijk iets in de algemene voorwaarden wat zorgt dat omroep max niet verantwoordelijk is.
rickboy333
2 mei 2016 10:52
Het zou volgens de omroep niet om gevoelige gegevens gaan en de data zou versleuteld op de server hebben gestaan. "Daarom denken we dat de kans zeer klein is dat derden de informatie kunnen gebruiken", aldus Charlotte Mutsaers van de woordvoering.
Zijn ze helemaal van de zotte? E-mail adressen zijn juist de gevoelige informatie.

Wat denkt MAX wel niet, die E-mail adressen kunnen de ''hackers'' (ik geloof dat er 2 verhalen zijn) verkopen aan spambedrijven zodat de doelgroep (ouderen) massaal bestookt kan worden met spam en andere ongure dingen. Ook kunnen de hackers E-mail sturen naar de senioren om de nieuwste MAX nieuwsbrief te downloaden, wel jammer dat er een cryptolocker verstopt zit.

Dus ik snap niet hoe MAX het durft te zeggen dat mailadressen niet gevoelig zijn. Die oudere mensen zijn juist de doelgroep waar mensen met kwade bedoelingen hun voordeel mee gaan doen.
sjettepetJR.
@rickboy3332 mei 2016 16:15
Kan de omroep aangeklaagd worden vanwege het uitlekken van persoonlijke gegevens. Er kan namelijk wel degelijk financieel verlies worden gemaakt door deze fout.
tom.cx
2 mei 2016 07:48
Ik ben echter wel erg benieuwd welke versleutelingen ze gebruiken. Maar ook hoe ze binnen zijn gekomen. Systeem dat patches miste of...
asdfCYBER
2 mei 2016 09:38
Zetten alle bedrijven in op firewalls en andere beveiliging op de verbinding van de server...
Komt er iemand langs die gewoon het servertje meeneemt 8)7

Zijn sommige bedrijven soms vergeten dat fysieke diefstal ook nog een optie is?
CAPSLOCK2000
2 mei 2016 11:28
Het gaat om onder andere e-mailadressen en login-gegevens
Het zou volgens de omroep niet om gevoelige gegevens gaan
Sinds wanneer zijn login-gegevens geen kwetsbare gegevens?

We weten dat veel mensen overal hetzelfde wachtwoord gebruiken. Het is een slechte gewoonte die je Max niet aan kan rekenen, maar het is nu eenmaal de realiteit en daar dien je rekening mee te houden.

Ik vrees dat onder de kijkers van Max de kennis van IT toch al wat achter loopt en het geheugen niet meer is wat het ooit was. De kans dat die overal hetzelfde wachtwoord gebruiken is daar dus nog hoger dan gemiddeld.

[Reactie gewijzigd door CAPSLOCK2000 op 2 mei 2016 19:21]

ArtGod
2 mei 2016 12:29
Als het systeem uit stond en de harddisk versleuteld is er waarschijnlijk niets aan het handje, mits het wachtwoord sterk is.

Als de server aan stond dan is die versleuteling natuurlijk niet effectief, tenzij ze CryptDB of zo gebruiken. Of bedoelen ze weer dat de gehashde wachtwoorden zijn gestolen?

[Reactie gewijzigd door ArtGod op 2 mei 2016 12:30]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee