Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: innerchild

Omroep Max waarschuwt mensen die zich hebben geregistreerd voor zijn website dat gegevens ontvreemd zijn door derden. Het gaat om onder andere e-mailadressen en login-gegevens, die bij diefstal van een systeem van een externe ontwikkelaar werden buitgemaakt.

Omroep Max adviseert gebruikers van zijn site om een nieuw wachtwoord in te stellen voor accounts. Het zou volgens de omroep niet om gevoelige gegevens gaan en de data zou versleuteld op de server hebben gestaan. "Daarom denken we dat de kans zeer klein is dat derden de informatie kunnen gebruiken", aldus Charlotte Mutsaers van de woordvoering. Niet bekend is of de hashes gesalt zijn.

De omroep werd maandagavond ingelicht over de diefstal, de woensdag erna werden alle accounthouders op de hoogte gebracht. "Wij besteden heel veel aandacht aan het beveiligen van onze gegevens en betreuren het dan ook zeer dat dit heeft kunnen gebeuren. We zullen er alles aan doen om dit in de toekomst te voorkomen en onze externe leveranciers wederom aanspreken op hun beveiligingsprotocol", staat in de e-mail.

Vorig jaar onthulde het Omroep Max-programma Meldpunt zelf een datalek, dat tot Kamervragen leidde. Dat item ging over Nederlandse ziekenhuizen, die hun patiëntgegevens via tussenbedrijven door gevangenen in België laten inscannen, schrijft het AD.

Moderatie-faq Wijzig weergave

Reacties (31)

Als Omroep Max daadwerkelijk "veel geeft om het beveiligen van de gegevens", zouden ze zorgen dat een ontwikkelaar nooit over productie-data beschikt, maar dat er alleen (geanonimiseerde) testdata beschikbaar is.
Zelf vind ik overigens een e-mailadres in combinatie met een gebruikersnaam (en ik vermoed ook informatie als naam/adres) zeker wel gevoelige informatie.
Ook zeggen ze "versleuteld op de server" hebben gestaan: maar "het systeem" van de ontwikkelaar is gestolen, ik durf er redelijk wat geld op te zetten dat de data op "dat systeem" niet versleuteld was (hooguit de wachtwoorden).
Ik ken redelijk wat webdevelopers die hun hele hardeschijf hebben versleuteld, heb ik zelf ook.
Dat is een eerste stap. Als we als voorbeeld bitlocker nemen wat op veel bedrijfspc's gebruikt wordt met standaard configuratie dan moet deze wel gepatched zijn. Er was namelijk afgelopen november nog een aanval mogelijk die vrij eenvoudig de login omzeilt van een pc die aan een domein hangt en bitlocker gebruikt. Zie https://technet.microsoft.com/library/security/MS15-122.
Welke webdeveloper zou zijn Windows 6 maanden niet updaten? Bovendien is die vulnerability alleen te gebruiken, als hij al ingelogd is, maar het systeem gelockt. Dan kan je met een nepserver de pc laten denken, dat de gebruiker een nieuw wachtwoord heeft (dat je als aanvaller zelf kan instellen) en op die manier aan de versleutelde data komen. Lijkt me al met al heel onwaarschijnlijk dat dat allebei het geval is. Als ie al bitlocker heeft gebruikt.
Ik ken er vele die dat niet hebben. Maar onze omgeving doet niet terzake. De pc van deze developer wel.
Volgens nu.nl en het gelinkte ad.nl was er een computer gestolen, Tweakers heeft het over een hack van een server. Wat is het nou? (In het eerste geval is het natuurlijk geen hack.)
http://www.nu.nl/internet...ep-max-site-gestolen.html
http://www.ad.nl/ad/nl/56...omroep-Max-gestolen.dhtml

[Reactie gewijzigd door Kalief op 2 mei 2016 07:49]

Waarschijnlijk is het inderdaad geen hack. Maar ja Tweakers vind het een goed hip woord (trekt aandacht) denk ik dan.
Ik hoop dat de doelgroep van Omroep Max(lees: voornamelijk senioren) enigszins ervan bewust is om tijdig hun login-gegevens e.d. te wijzigen, anders zijn de gevolgen mogelijk niet te overzien.

Er zijn er in ieder gevoel genoeg die dit niet zelfstandig kunnen...
Wat is er moeilijk aan om alle accounts te locken en iedereen te verplichten zijn wachtwoord te wijzigen?
Dat is de normale procedure in zo'n geval.
Wat Falzer zegt gaat niet over de accounts van omroep Max maar om accounts van bij voorbeeld @outlook.com, waar de Max gebruikers inloggen met dezelfde credentials. Max kan alleen een procedure over eigen credentials starten, zij kunnen niet weten bij welke andere bedrijven de gebruiker is ingelogd met diezelfde credentials.

Het probleem is al opgelost voor de gebruiker die voor elke dienst een uniek wachtwoord heeft. Dat lijkt me echter zeldzaam aangezien het om senioren gaat.
Datzelfde geldt voor personen buiten die doelgroep. Het merendeel van de mensen, van jong tot oud, is laks met wachtwoorden.
Hoe kan een 3e partij alle klant+inloggevens Łberhaupt hebben?

Als je echt iets geeft om veiligheid, is zo een beetje stap 1 ervoor zorgen dat die data nooit buiten je bedrijf terecht komt. Dat dit soort dingen nog gebeuren is echt schrikbarend...
De enige beveiliging die hiervoor meestal gebruikt wordt is een geheimhoudingsverklaring, verder niks.
Als ze werken aan een test omgeving. Normaal gesproken zou het nep gegevens moeten zijn maar vaak wordt het bouwen van een grote database van nep gegevens gezien als een verspilling van tijd en geld. Schuld ligt bij degene die over het budget gaat.

Echter als we het hebben over veiligheid van data bescherming is de regel meerdere backups buiten het bedrijf in het geval van calamiteiten. Als je als bedrijf je gegevens niet buiten het bedrijf opslaat dan pas snap je werkelijk helemaal niks over veiligheid van data.
Dat de gegevens in dit geval lokaal op een willekeurige PC stonden dat gewoon meegenomen kon worden door een dief is eigenlijk best grappig te noemen als het waar is dat alle gegevens encrypted erop stonden.
Fysieke beveiliging is net zo belangrijk als digitaal maar het sluipt er steeds meer in dat het nieuwe generatie ITers niet verder kijken dan het digitale aspect omdat er fysieke diefstal nagenoeg niet meer aan de orde van de dag is mbt data diefstal.
Wat zijn, volgens omroep Max "Geen gevoelige gegevens"? Dit is voor ieder persoon anders.
Het zou fijn zijn om te weten welke gegevens er buit zijn gemaakt.
Om te registreren voor een mijnMax account worden een profielnaam, voornaam, achternaam, emailadres en wachtwoord gevraagd dus geen bank/betaalgegevens, geen adresgegevens en geen verder persoonlijke informatie. Als je hier hetzelfde wachtwoord gebruikt als voor je mail account dan loop je een risico maar verder lijkt het mee te vallen.
Nu kunnen er dus gepersonificeerde mails gestuurd worden naar de senioren, welke vaak niet zullen zien dat een mail nep is.
Kan behoorlijke problemen veroorzaken dus.

Ik vraag mij trouwens af waarom we nooit iets horen over vergoeding voor het verliezen van gegevens. Kan er niet een vergoeding geŽist worden vanwege verliezen van persoonlijke gegevens.
Die kan natuurlijk geeist worden, of je die ook krijgt is natuurlijk een andere vraag.

Wil je dit als bedrijf goed regelen dan zul je een bewerkersovereenkomst moeten sluiten met de IT partij waar je zaken mee doet.

Hierin kan dan staan hoe de IT partij om moet gaan met de je data. Inclusief eventuele consequenties bij het niet voldoen daaraan.

De verantwoordelijkheid voor het afsluiten van een dergelijke overeenkomst ligt echter bij het bedrijf zelf. Niet bij de IT partij.

Heb je dit niet geregeld en is er geen opzet in het spel dan kun je het waarschijnlijk wel vergeten met hun vergoeding.

Weggaan door gebrek aan vertrouwen kan natuurlijk nog wel...
Ik doelde meer op de consument die omroep max aanklaagt. Maar hierover staat er waarschijnlijk iets in de algemene voorwaarden wat zorgt dat omroep max niet verantwoordelijk is.
Het zou volgens de omroep niet om gevoelige gegevens gaan en de data zou versleuteld op de server hebben gestaan. "Daarom denken we dat de kans zeer klein is dat derden de informatie kunnen gebruiken", aldus Charlotte Mutsaers van de woordvoering.
Zijn ze helemaal van de zotte? E-mail adressen zijn juist de gevoelige informatie.

Wat denkt MAX wel niet, die E-mail adressen kunnen de ''hackers'' (ik geloof dat er 2 verhalen zijn) verkopen aan spambedrijven zodat de doelgroep (ouderen) massaal bestookt kan worden met spam en andere ongure dingen. Ook kunnen de hackers E-mail sturen naar de senioren om de nieuwste MAX nieuwsbrief te downloaden, wel jammer dat er een cryptolocker verstopt zit.

Dus ik snap niet hoe MAX het durft te zeggen dat mailadressen niet gevoelig zijn. Die oudere mensen zijn juist de doelgroep waar mensen met kwade bedoelingen hun voordeel mee gaan doen.
Kan de omroep aangeklaagd worden vanwege het uitlekken van persoonlijke gegevens. Er kan namelijk wel degelijk financieel verlies worden gemaakt door deze fout.
Ik ben echter wel erg benieuwd welke versleutelingen ze gebruiken. Maar ook hoe ze binnen zijn gekomen. Systeem dat patches miste of...
Zetten alle bedrijven in op firewalls en andere beveiliging op de verbinding van de server...
Komt er iemand langs die gewoon het servertje meeneemt 8)7

Zijn sommige bedrijven soms vergeten dat fysieke diefstal ook nog een optie is?
Het gaat om onder andere e-mailadressen en login-gegevens
Het zou volgens de omroep niet om gevoelige gegevens gaan
Sinds wanneer zijn login-gegevens geen kwetsbare gegevens?

We weten dat veel mensen overal hetzelfde wachtwoord gebruiken. Het is een slechte gewoonte die je Max niet aan kan rekenen, maar het is nu eenmaal de realiteit en daar dien je rekening mee te houden.

Ik vrees dat onder de kijkers van Max de kennis van IT toch al wat achter loopt en het geheugen niet meer is wat het ooit was. De kans dat die overal hetzelfde wachtwoord gebruiken is daar dus nog hoger dan gemiddeld.

[Reactie gewijzigd door CAPSLOCK2000 op 2 mei 2016 19:21]

Als het systeem uit stond en de harddisk versleuteld is er waarschijnlijk niets aan het handje, mits het wachtwoord sterk is.

Als de server aan stond dan is die versleuteling natuurlijk niet effectief, tenzij ze CryptDB of zo gebruiken. Of bedoelen ze weer dat de gehashde wachtwoorden zijn gestolen?

[Reactie gewijzigd door ArtGod op 2 mei 2016 12:30]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True