Database lijkt gebruikersgegevens datingsite Badoo bloot te leggen

Gebruikersaccounts van datingsite Badoo.com zouden op straat liggen. Het gaat om 127.343.437 inschrijvingen met onder meer e-mailadres, gebruikersnaam en gekraakte wachtwoorden van gebruikers.

Daarnaast zit er in de database informatie over geslacht, voor- en achternaam, geboortedatum en enkele andere, voor de website LeakedSource onduidelijke getallen. Volgens de 'zoekmachine voor gelekte records' waren de wachtwoorden slechts beveiligd met een md5-hash en waren de hashes niet gesalt. LeakedSource claimt dat de gegevens bij Badoo vandaan komen, hoewel er geen manier is om dat te verifiëren. Het is ook mogelijk dat de gegevens bij elkaar zijn gezocht uit databases van andere datalekken.

Vice's Motherboard kreeg van Leaked Source drie datasets met elk tienduizend records. Voor zover Motherboard kon achterhalen, waren 54 van de honderd geteste accounts actief op Badoo. Van de geteste accounts waren 23 wel aangemaakt, maar de betreffende gebruikers klikten nooit op de link in de activatiemail. Wat er met de overige 23 van de honderd is, is onbekend, maar vermoedelijk zijn die niet vindbaar in de database van Badoo.

Badoo zegt dat het niet gehackt is geweest en dat er geen gegevens zijn gestolen. Het datingbedrijf zou zijn gewezen op een datalek, maar dit datalek zou niet hebben bestaan, zegt een woordvoerder van Badoo tegen Motherboard.

Een datadump kan makkelijk hergebruikt worden doordat veel mensen op verschillende plekken dezelfde logingegevens gebruiken. Zo blijken bijna 29.000 e-mailadressen uit de dump ook terug te vinden te zijn in een datadump van een andere datingsite, Zoosk.

Beveiligingsexpert Troy Hunt, ook de man die de site 'Have I been pwned' heeft, schrijft daarover op zijn Windows It Pro-blog dat enige terughoudendheid op zijn plaats is. Het aantal grote hacks dat de afgelopen tijd bekend werd, zoals de LinkedIn-hack die al in 2012 plaatsvond en een MySpace- en Tumblr-hack uit 2013, zorgt ervoor dat een site serieus in de problemen kan raken, iets wat ook een doel kan zijn.

Hij verwijst naar een gerucht dat ook Dropbox gehackt zou zijn en daar 73 miljoen gegevens zouden zijn buitgemaakt, maar dat dit onderdeel lijkt van een lastercampagne. De gegevens bleken te komen uit het Tumblr-datalek. Hunt zegt dat het niet zo moeilijk is om gebruikersnamen en andere gegevens uit oudere hacks te halen, omdat mensen hun wachtwoorden en gebruikersnamen vaak hergebruiken, waardoor het kan lijken alsof er sprake is van een nieuwe hack.

Uit de gegevens die LeakedSource heeft, blijkt in ieder geval dat het wachtwoord 123456 het populairst is met meer dan 700.000 gebruikers, maar zelfs 000000 en 111111 zijn populair met respectievelijk bijna tachtigduizend en ruim zestigduizend gebruikers. De belangrijkste leeftijdsgroep lijkt te liggen tussen de 28 en 33 jaar. De database is incompleet: Badoo heeft veel meer gebruikers dan de 127 miljoen adressen uit de database.

De site maakt melding van ruim 400.000 @live.nl-adressen. Hoewel die een Nederlands domein hebben, is niet na te gaan of het daarbij echt gaat om Nederlanders of dat het bijvoorbeeld bot- of spamaccounts zijn. Bovendien kunnen Nederlanders zich hebben ingeschreven met een .com-adres, bijvoorbeeld Hotmail.com of Gmail.com, waardoor het onduidelijk is hoeveel Nederlanders in de database zitten.

Lees meer

Nieuwste IT Banen

Deel je skills voor jouw droombaan Meld je aan!

IT trainingen bij Computrain

Reacties (114)

himlims_

3 juni 2016 11:04

goddamit freaking 6e pagina dit jaar waar een account heb zitten; je krijgt er toch iets van?!

volgens mij ga ik maar het volgende toepassen; email aliassen hanteren bijv:

accounttweakers@domain.com
accountbadoo@domain.com
accountfunda@domain.com

misschien is dat een werkbaar systeem om jezelf een beetje te beschermen?

kijk ook;
https://haveibeenpwned.com/
https://pwnedlist.com/query
https://shouldichangemypassword.com/

//edit; wil je wachtwoorden wijzigne bij badoo moet je eoa onleesbare chaptiva invullen; na 4 !!! verschillende is het niet gelukt mijn ww te wijzigen; dus wijzigen maken ze onnodig complex - veilig opslaan dan weer niet

[Reactie gewijzigd door himlims_ op 3 juni 2016 11:10]

Ryan_
@himlims_ • 3 juni 2016 11:13

Dan moet je wel een domein kunnen hosten of geregistreerd hebben. En hopen dat het domein altijd toegankelijk blijft. Als je Gmail gebruikt kan je het volgende toepassen:

accountnaam@gmail.com
accountnaam+tweakers@gmail.com
accountnaam+badoo@gmail.com
accountnaam+funda@gmail.com

etc etc. Alle emails komen dan gewoon binnen op accountnaam@gmail.com.

[Reactie gewijzigd door Ryan_ op 3 juni 2016 11:15]

+2robertpNL
@Ryan_ • 3 juni 2016 11:34

Heb je sites waar de plus niet wordt geaccepteerd, zou je ook de dot kunnen gebruiken. Gmail ziet de dot (.) niet als karakter voor de username.

account.naam@gmail.com
a.ccountnaam@gmail.com
accountn.a.am@gmail.com

..komen allemaal aan bij accountnaam@gmail.com

Nadeel is natuurlijk wel dat je de email alias niet kan uitbreiden met willekeurige tekst.

En misschien accepteert een website het escapen van de plus-sign wel om de validatie voorbij te gaan.
accountnaam\+iets@gmail.com

[Reactie gewijzigd door robertpNL op 3 juni 2016 11:38]

+2DonChaot
@Ryan_ • 3 juni 2016 13:21

Ik denk dat het nut van de +site beperkt is. Als ze bijvoorbeeld de lijst willen gaan gebruiken om te spammen heb je enkel Excel nodig om de +site weg te halen en daarmee in je hoofdaccount terecht te komen. Daarmee weet je niet welke site lekt en ze omzeilen alle eventueel site specifieke filters die je hebt ingesteld.

himlims_

@Ryan_ • 3 juni 2016 11:19

volgens mij is die feature afhankelijk van gmail account; ken de 'truuk' maar fuctioneel nooit in gebruik kunnen nemen; maar weinig sites die een + in mail adres accepteren

+2Quacka
@himlims_ • 3 juni 2016 14:15

Ik gebruik 33mail.com.
Ik heb hele lijst emailadressen op die manier. En ben ik het zat, dan klik op een link in de spam-mail en het emailadres wordt geblokkeerd. Gratis en voor niets.

Sebazzz
@Ryan_ • 3 juni 2016 11:20

Bij Outlook/Hotmail tegenwoordig ook

tom.cx
@Sebazzz • 3 juni 2016 11:46

Werkt inderdaad prima.
Alleen wel jammer dat je dan bij outlook.com een regel moet maken om het in een bepaalde map te krijgen.

[Reactie gewijzigd door tom.cx op 3 juni 2016 11:47]

+1The Zep Man

Netwerk en systeembeheer

@Ryan_ • 3 juni 2016 11:56

Let op: niet alle registratieprocessen kunnen omgaan met het + symbool in email-adressen, ondanks dat het een geldig symbool is voor het lokale deel (voor @).

[Reactie gewijzigd door The Zep Man op 3 juni 2016 11:56]

Zoop
@The Zep Man • 3 juni 2016 13:17

Een aantal systemen gaan niet consistent overweg met bepaalde leestekens, een groot aandeel zijn gewoon geldig maar de meeste validators pikken het toch echt niet. Had ooit eens heel veel ellende met een apostrophe ( ' ) in een email, schijnt ook te mogen (dit emailadres zorgde voor onbedoelde SQL injections in bagger oude scripts, lol)

Zenomyscus

@Ryan_ • 3 juni 2016 12:48

Dan moet je wel een domein kunnen hosten of geregistreerd hebben. En hopen dat het domein altijd toegankelijk blijft.

Datzelfde geldt natuurlijk ook voor Gmail, wanneer zij stoppen om wat voor reden dan ook moet je opzoek naar wat anders. Een domein registreren is niet zo moeilijk, zeker niet voor bijvoorbeeld Tweakers die zorgvuldig met hun mailadressen om willen gaan.

DonLexos
@Ryan_ • 3 juni 2016 14:03

Niet alle websites ondersteunen het + teken in een email adres. En als het een eigen domein is ben je natuurlijk zelf verantwoordelijk voor het hosten en de toegankelijkheid ervan.

[Remmes]
@Ryan_ • 3 juni 2016 13:48

Dit doe ik inderdaad ook. Alleen blijkt dat niet elke site dit toelaat.

0mae-t.net
@Ryan_ • 4 juni 2016 03:36

Dat + teken werkt met veel mailsoftware inderdaad prima (niet alleen Google) omdat het in een of andere RFC gespecificeerd is. Maar er is wel een klein probleempje... Niet alle adresvalidators van websites weten dat, dus je kunt soms doodleuk geen + gebruiken in een ingevuld mailadres

iMars
@himlims_ • 3 juni 2016 11:12

Dit hanteer ik al heel lang bij bijna 90% van alle websites waar ik een account/login heb.
Zodra ik spam krijg, komt dat op een specifiek account binnen en sluit ik dat adres af.
Weet ik gelijk waar de lek zit.

Edit: ik heb dan ook een eigen domeinnaam.
tweakers@mijndomein
funda@mijndomein
etc.

[Reactie gewijzigd door iMars op 3 juni 2016 11:23]

+1Ronnerd
@iMars • 3 juni 2016 11:56

En wat nog beter werkt bij online aankopen is de datum van aankoop er ook bij zetten, bijvoorbeeld:

winkel-2016-06-03@mijndomijn

Dan heb je een stukje harder bewijs dat de betreffende toko een datalek heeft. Of dat nou een bewust datalek is of niet (verkoop van gegevens vs. gehacked zijn) is even terzijde, maar je weet wel zeker dat dat adres alleen maar op 3 juni 2016 afgegeven is aan de betreffende winkel.

0XephireUK
@Ronnerd • 3 juni 2016 18:50

Ik heb een variatie en gebruik email adressen zoals
tweakers-001@domain.com
badoo-124@domain.com
funda-234@domain.com

Anders is het makkelijk gokken dat je misschien accountrabo@domain.com of accounting@domain.com gebruikt voor je online banking. Is lastiger om uit te vogelen of het
ing-789@domain.com of
ing-659@domain.com is.

Ik heb een catch all account dat automatisch alle email ontvangt dat niet naar mijn main email account gaat. Ik gebruik Gmail voor mijn hosting, dus ook hun spam filter. Ik hoef dus niet apart een rule aan te maken als ik een nieuw adres aanmaak.
Alex

+1remyseroos
@himlims_ • 3 juni 2016 17:28

https://mailhero.io doet precies dit, alleen niet met je eigen domein. Je maakt aliassen aan bij hun, die je vervolgens door stuurt naar een email van jezelf.
Op deze manier kan je ook je eigen domein "verborgen" houden.

Orthodroom
@remyseroos • 3 juni 2016 22:00

Handig als die dienst verdwijnt. Dan ben je in één keer van alle span EN alle normale mail af.

+1Antarloka
@himlims_ • 3 juni 2016 11:09

Dat doe ik al jaren!
Ik krijg nu bijvoorbeeld zogenaamd mail van AH of de Jumbo omdat ik wat gewonnen hebben!
Deze krijg ik op het mail adres macromedia@domein.com, dus heb ik al snel gezien of het om SPAM gaat! Waarschijnlijk hebben ze mijn mail adres al een keer buit gemaakt bij marcromedia!

Zenomyscus

@Antarloka • 3 juni 2016 12:55

Dat doe ik al jaren!
Ik krijg nu bijvoorbeeld zogenaamd mail van AH of de Jumbo omdat ik wat gewonnen hebben!
Deze krijg ik op het mail adres macromedia@domein.com, dus heb ik al snel gezien of het om SPAM gaat! Waarschijnlijk hebben ze mijn mail adres al een keer buit gemaakt bij marcromedia!

Zo heb ik ooit bij de AH een kortingspasje aangevraagd en zei de medewerker dat ik per se een geldig mailadres moest opgeven. Toen heb ik het mailadres albertheijnspam@gohwatmatig.nl aangemaakt

De reactie van de medewerker was natuurlijk erg leuk. Het kortingspasje heb ik overigens geruild met iemand anders

Het gebeurd helaas regelmatig dat een van mijn gebruikte mailadressen uitlekt en daarna spam of phishing mails ontvangt. Het bedrijf waar dat account geregistreerd staat weet dan uiteraard van niets. Het is in elk geval interessant om te zien welke bedrijven niet goed omgaan met de gegevens van hun gebruikers.

[Reactie gewijzigd door Zenomyscus op 3 juni 2016 12:56]

+1fommes
@himlims_ • 3 juni 2016 13:28

precies wat ik ook doe, eigen domein met email, en forwarder naar m'n hoofdaccount, als ik het dan beu ben kan ik de forwarder weer weghalen en ben ik er vanaf

zeker voor sites als dit aan te raden

0BRAINLESS01
@himlims_ • 3 juni 2016 11:10

Ik heb dit een tijdje gedaan en had mijn mailserver toen op catch all gezet. Dat werkte ideaal: je maakt een nieuw mailadres aan voor iedere site en krijgt de mail gewoon binnen in je eigen mailbox. Helaas werd al vrij snel duidelijk dat er ook enorm veel spam verstuurd wordt naar adressen die niet bestaan, waar je normaal gesproken geen last van hebt. Als je ineens alle mail in je eigen mailbox krijgt komt al die spam natuurlijk ook vrolijk door.

In een ideale wereld zou dit een prima oplossing zijn, maar ik heb de catch all uitgeschakeld en doe het nu maar met 1 emailadres.

dutchgio
@BRAINLESS01 • 3 juni 2016 11:15

Je zou ook 1 mailadres kunnen gebruiken en met aliassen kunnen werken op je mailserver.
Dan krijg je niet alles binnen zoals bij 'catch all', maar wel de mail voor je eigen bedachte namen.

comecme
@dutchgio • 3 juni 2016 16:11

Dan moet je dus wel bij elk nieuw gebruikt emailadres het adres direct ook als alias aanmaken.

0marcelvb

@comecme • 4 juni 2016 03:06

Hoe ik het gedaan heb is alleen e-mailadressen accepteren die met een bepaalde vaste prefix begint. Op deze manier krijg je niet alle info@, admin@, john@, etc. spam. Op het moment dat ik spam krijg op een adres dat wel een prefix heeft, dan zet ik dat adres in de alias lijst als geblokkeerd. Werkt perfect. Krijg nooit spam meer.

Op deze manier gaat bv. de laatste weken dagelijks kilo's mail het putje in wat naar mijn badoo adres gestuurd wordt. Dus dat badoo gehackt was, was me al duidelijk door m'n mailserver log...

0mikesmit
@himlims_ • 3 juni 2016 11:11

Daar zit ik ook al een tijdje over na te denken, ondertussen is mijn email adres bekent door de adobe hack en gek genoeg mpgh (kan me niet herinneren dat ik ooit een account daar heb aangemaakt) gelukkig gebruik ik tegenwoordig andere wachtwoorden als toen. Maar die hacks komen me strot uit, je zou verwachten dat een bedrijf als adobe wat zorgvuldiger met je gegevens om zou gaan

0NightFox89
@himlims_ • 3 juni 2016 11:11

En als je een gmail account hebt kun je ook met labels werken in je mailadres.

https://gmail.googleblog....o-get-more-from-your.html

stverschoof
@himlims_ • 3 juni 2016 11:17

goddamit freaking 6e pagina dit jaar waar een account heb zitten; je krijgt er toch iets van?!

volgens mij ga ik maar het volgende toepassen; email aliassen hanteren bijv:

accounttweakers@domain.com
accountbadoo@domain.com
accountfunda@domain.com

misschien is dat een werkbaar systeem om jezelf een beetje te beschermen?

kijk ook;
https://haveibeenpwned.com/
https://pwnedlist.com/query
https://shouldichangemypassword.com/

//edit; wil je wachtwoorden wijzigne bij badoo moet je eoa onleesbare chaptiva invullen; na 4 !!! verschillende is het niet gelukt mijn ww te wijzigen; dus wijzigen maken ze onnodig complex - veilig opslaan dan weer niet F

Bij gmail kan je vrij vaak het volgende doen: Stel je e-mail adres is pietjanpuk@gmail.com, dan kan je inkomende e-mail gelijk labelen door externe accounts aan te maken met een e-mail adres als pietjanpuk+tweakers@gmail.com.

? ?
@stverschoof • 3 juni 2016 15:57

Wauw, je staat er versteld van in hoeveel hacks je vermeld staat. MPGH forum: check.
Gelukkig gebruik ik voor onnozele sites even onnozele wachtwoorden. Wel lullig dat je emailadres gelekt wordt ivm spam.

0Olaf van der Spek
@himlims_ • 3 juni 2016 11:18

misschien is dat een werkbaar systeem om jezelf een beetje te beschermen?

Wat wil je precies beschermen?

0jaapzb

@Olaf van der Spek • 3 juni 2016 11:22

Als een adres als "jaap+tweakers@example.com" in de lijst staat, kan je gewoon alles wat daar op binnenkomt direct naar de spambox laten verwijzen wanneer deze in zo'n openbare lijst met emailadressen terecht komt door een lek als deze.

Met "jaap@example.com" is dat onmogelijk, dan moet je maar hopen dat je een goede spamfilter hebt.

0Olaf van der Spek
@jaapzb • 3 juni 2016 11:24

Ah, tegen spam.. dan ga ik toch maar voor een goed spam filter.

0Ronnerd
@Olaf van der Spek • 3 juni 2016 11:58

username/password re-use bijvoorbeeld. Dat doen namelijk ontzettend veel mensen. Door in ieder geval je username overal anders te hebben breng je "enigzins" wat extra bescherming aan.

0Olaf van der Spek
@Ronnerd • 3 juni 2016 12:05

Alsof mensen dat wel zouden doen.

Het is eigenlijk absurd dat hier nog steeds geen fatsoenlijke oplossing voor is.
Password managers zijn een eerste stap maar zeker niet de laatste.

[Reactie gewijzigd door Olaf van der Spek op 3 juni 2016 12:06]

0Ronnerd
@Olaf van der Spek • 3 juni 2016 12:12

Bewustwording is de enige oplossing, maar dat gaat nooit gebeuren want een groot deel van mensheid is van de categorie LVB.

0Olaf van der Spek
@Ronnerd • 3 juni 2016 13:24

Bewustwording is de enige oplossing,

Daar ben ik het niet mee eens, er is op technisch vlak nog een hele hoop te winnen.
Mijn idee:
Sign-up doe je niet via een HTML form maar via browser-UI. Je vult geen email/wachtwoord in maar kiest gewoon met welk account je sign-up wilt doen (een beetje zoals login via Google/FB). In het ideale geval hoef je ook niet meer op een link in een emailtje te klikken om het email adres te verifieren.

Sign-in doe je ook niet via een HTML form maar ook weer via browser-UI. Of er achter de schermen public key crypto of wachtwoorden worden gebruikt maakt dan niet eens zoveel uit, het gedoe met (zwakke) wachtwoorden *en* met phishing ben je volgens mij kwijt en het is ook nog allemaal makkelijker.
'Enige' issue is nog inloggen via een computer die niet van jou is zeg maar,.

0Ronnerd
@Olaf van der Spek • 3 juni 2016 13:32

Naast bewustwording is er op technisch vlak ook veel te winnen. Echter heb ik nog nooit gehoord van Browser-UI, en als ik google op Browser-UI en authentication, dan komt er niets fatsoenlijks naar voren. Wat is dat precies en heb je wat linkjes naar sites met info.

0Olaf van der Spek
@Ronnerd • 3 juni 2016 13:34

Het bestaat nog niet..

Met browser-UI bedoel ik dat je browser het regelt, zoals ook SSL/TLS geregeld wordt. Een soort password manager on steroids, maar het vereist wel standaardisatie van sign-in en sign-up.

0Ronnerd
@Olaf van der Spek • 3 juni 2016 13:47

aah op die fiets. Mja, voor de toekomst zou dat mooi zijn.

Voor nu zou ik zeggen dat bewustwording wel degelijk belangrijk is, maar naast die bewustwording bij mensen zelf dat "123456" geen veilig wachtwoord is, kun je nog zo'n superduper veilig wachtwoord hebben, als de site in kwestie het opslaat op een manier die zeer makkelijk terug te herleiden is, dan heeft het geen zin. Dus technisch gezien is daar nu al wel een stuk te winnen. Ik vind namelijk dat sites die gebruiker-gegevens opslaan verplicht een security-policy pagina moeten hebben waarop vermeld staat welke encryptie gebruikt wordt voor het opslaan van wachtwoorden. Als daar sha-1 of md5 staat snappen velen daar nog steeds niks van uiteraard, maar dan zal hiet niet zo gek lang meer duren voordat mond-op-mond reclame ervoor zorgt dat dat snel genoeg afgelopen is, en dat sitebouwers min of meer gedwongen worden om hun zaakjes op orde te zetten omdat ze zichzelf anders aan de publieke schandpaal nagelen.

0Olaf van der Spek
@Ronnerd • 3 juni 2016 14:04

als de site in kwestie het opslaat op een manier die zeer makkelijk terug te herleiden is, dan heeft het geen zin.

Als je wachtwoorden niet hergebruikt maakt dat niet uit.

RobIII
@Olaf van der Spek • 3 juni 2016 16:05

Het is eigenlijk absurd dat hier nog steeds geen fatsoenlijke oplossing voor is.

Password manager idd + Two Factor Auth (TOTP of HOTP) / U2F

D-Three
@Ronnerd • 3 juni 2016 13:01

Een vals gevoel van bescherming! Een scriptje om automatisch alle email adressen waar bijvoorbeeld Badoo in komt te vervangen door Facebook, Dropbox, Amazon, ... is snel geschreven.

Een goede manier heb ik ook nog niet gevonden, password managers vind ik ook maar eng omdat dat dan alles herleidt naar "one single point of failure".

0Ronnerd
@D-Three • 3 juni 2016 13:29

Het is ook geen volledige bescherming. Het is een extra laagje toevoegen om het in het totaal beter te beschermen. De gehele naam van de site toevoegen kan inderdaad prima door een script renamed worden, maar wie zegt dat je de hele naam moet doen? De eerste twee letters? Of drie? Of de eerste en de derde letter? Of de eerste en de laatste? Diverse varianten voor te verzinnen.

Buiten dat het een extra laag(je) van bescherming van het totaalplaatje is, biedt het ook de extra informatie aan je als je op een dergelijk adres spam binnen gaat krijgen. Dan weet je meteen waar je e-mailadres gelekt is.

Maar zoals ik al eerder aangaf, de enige juiste oplossing is bewustwording bij mensen. Begrijpen waarom je wachtwoord niet 123456 moet zijn en dat je niet hetzelfde wachtwoord overal moet gebruiken. Dat het argument "maar dan moet ik zoveel onthouden" onveilig en onzinnig is.

Maar belangrijker nog is dat ik vind dat er grote boetes moeten staan op het onveilig opslaan van dergelijke informatie. sha-1 of md5 zonder salts. Hell, ik ben ze in m'n vak tegengekomen waarbij ze het base64 opsloegen. Totale waanzin. DAT moet aangepakt worden. Sites mogen wat mij betreft verplicht worden om, als ze user-accounts gebruiken, een security-policy pagina te hebben waarop staat op welke manier authenticatie gegevens opgeslagen worden. Heeeeel veel mensen snappen er dan nog steeds de ballen van, maar het gaat dan heel kort duren voordat de massa weet dat als daar md5 of sha-1 staat, dat je dan vooral niet moet registreren. En geef je daarmee potentiele hackers te veel informatie? Ach, wellicht, maar ik geef het ze te doen om ook maar 1 bcrypt hash met een degelijke workload te achterhalen wat nou het daadwerkelijke wachtwoord is.

SED
@Ronnerd • 3 juni 2016 13:31

Gebruik dan een password techniek zoals hetzelfde wachtwoord voor alle (minder belangrijke) sites aangevuld met een deel van de sitenaam.

Voorbeeld.
www.teakers.net met als wachtwoord: TWstandaardwwNET
Daarmee heb je een behoorlijke beveiliging en voor buitenstaanders is dat niet herleidbaar tot het gebruikte standaardww

0Ronnerd
@SED • 3 juni 2016 13:34

Tuurlijk! Ik bedoel alleen aan te geven dat je dat niet alleen bij je wachtwoord hoeft te doen maar ook bij je emailadres. Naast een extra laagje beveiliging bezorg je jezelf ook nog eens met extra informatie wie je e-mailadres gelekt heeft als je op een dergelijk adres spam binnen gaat krijgen.

SED
@Ronnerd • 3 juni 2016 14:49

Die aanpassing van het mailadres is sterk afhankelijk van de features van de gebruikte dienst. dat wachtwoord kan altijd.

0Ronnerd
@SED • 3 juni 2016 20:07

Waarom zou dat volgens jou daar afhankelijk van zijn?

SED
@Ronnerd • 4 juni 2016 09:33

Niet alle maildiensten bieden de optie om aliassen aan te maken of varianten daarop.

0inc
@himlims_ • 3 juni 2016 11:18

Stel je mail adres is mail@gmail.com gmail ondersteunt dus dit:
mail+ah@gmail.com
mail+dropbox@gmail.com
mail+jipenjannnek@gmail.com

Dit wordt automatisch binnen gmail geregeld, helaas accepteren niet alle sites een + in je email adres.

0falconhunter
@inc • 3 juni 2016 11:37

Dit wordt automatisch binnen gmail geregeld, helaas accepteren niet alle sites een + in je email adres.

En een zeer simpele search and replace verwijderd alles na de naam van de database. Bij een aantal gehackte databases was dat al gedaan. Zeker bij een hack waar mijn email werd gevonden was de "+site" gewoon niet meer in de email.

Hedva
@himlims_ • 3 juni 2016 11:23

Echt he. Ik log me in met 'sign in with Google' waar mogelijk. Mochten ze wat hacken en wat van m'n account af halen via andere sites, dan hebben ze in ieder geval m'n wachtwoord niet. Met een beetje googlen komen mensen toch wel achter mn naam, geboortedatum, woonplaats en telefoonnummer. Maar m'n wachtwoord in ieder geval niet.

Maar is t slim om Google daarin helemaal te vertrouwen? Waarschijnlijk niet. Maar voor mijn gevoel is dat de laatste partij waarin hackers slagen om binnen te dringen. Inloggen met Facebook zou ook kunnen maar daar heb ik op een of andere manier het gevoel van dat daar in de toekomst iets helemaal mis gaat. (Ik weet t, gebaseerd op niks

)

Inb4 gebruik password managers. Nee. Die vind ik ronduit k*t en omslachtig.

Wat misschien ook zou helpen is dat bedrijven die persoongegevens opslaan worden verplicht om het goed te beveiligen, en niet met md5

Kan alsnog die database gestolen worden, maar beperkt de schade nog een klein beetje en hebben mensen wat langer de tijd om hun wachtwoorden overal te veranderen. Mensen zeggen altijd; gebruik altijd een ander wachtwoord voor alles. Maar ik kan echt geen 60-70 verschillende wachtwoorden onthouden. Nu gebruik ik zelf wat kleime variaties erop, bv de eerste en laatste letter van de website achter 't wachtwoord plakken, is het nog een beetje te onthouden. Maar ook dat soort trucjes zullen geen volledige bescherming bieden.

RobIII
@Hedva • 3 juni 2016 16:09

Die vind ik ronduit k*t en omslachtig.

Welke heb je dan geprobeerd? Ik ben erg tevreden over LastPass* en hoor ook goede geluiden over alternatieve PW managers. If anything zijn ze een stuk minder omslachtig dan je eigen 'wachtwoord schema' verzinnen of voor elke site een ander wachtwoord onthouden. En (mits goed geconfigureerd) ze helpen je ook nog eens immens bij inloggen omdat ze of een inlog-formulier al voor je invullen (of, zoals ik het gebruik, na een extra klikje - vind ik fijn(er)). En dan gebruik ik dus voor elke site prima dezelfde username (RobIII doorgaans of die moet al bezet zijn) en gewoon een uniek (sterk, 20+ tekens random) wachtwoord per site. Lekt er een site m'n account? No problem, pas ik het wachtwoord voor die site aan (of doek die account op) en done.

Maar ik kan echt geen 60-70 verschillende wachtwoorden onthouden. Nu gebruik ik zelf wat kleime variaties erop, bv de eerste en laatste letter van de website achter 't wachtwoord plakken, is het nog een beetje te onthouden. Maar ook dat soort trucjes zullen geen volledige bescherming bieden.

En dat is dan ook precies waarom je een PW manager moet zoeken die je bevalt; er zijn er genoeg. En als 't effe kan zet je ook 2FA aan als betreffende site 't biedt (de meeste groten (FB, LinkedIn, Google/Gmail, Hotmail, Paypal en ga zo maar door) bieden dat al tijden).

--

* Werkt in alle bekende browsers, heeft een 'standalone desktop app', apps voor alle grote mobiele OS'en en synced je data naar alle devices etc. etc. etc.

[Reactie gewijzigd door RobIII op 3 juni 2016 16:14]

Bondye
@RobIII • 3 juni 2016 17:13

Alle wachtwoorden in 1 kluis?

Dus als ze dan 1 wachtwoord hacken, ben je ook alles kwijt....
En dat niet alleen, ze zien ook direct waar je overal een account hebt...

Ja, ook deze managers worden aangevallen https://blog.lastpass.com...ass-security-notice.html/

[Reactie gewijzigd door Bondye op 3 juni 2016 17:14]

RobIII
@Bondye • 3 juni 2016 19:32

Je hebt duidelijk geen enkel benul hoe LastPass (en anderen) werken. Lees je eens in zou ik zeggen

(Meer).

Ik hoef maar 1 (master)password te onthouden en in mijn geval is dat om-en-nabij de 20 tekens (hoofletters, kleine letters, leestekens en cijfers). De kluis is AES encrypted met dat masterpassword (en, zelf in te stellen, default iets van 5000, in mijn geval 150.000+, rounds van pbkdf2-sha2). De kluis gaat als 'blob' over de lijn en krijg je pas überhaupt na authenticatie (in mijn geval ook nog eens met 2FA enabled); LastPass noch iemand anders kan daar iets mee behalve jezelf. De kluis wordt alleen client-side decrypted en, bij wijzigingen, weer encrypted als blob over de lijn gestuurd. Waarom "in de cloud"? Het hoeft niet eens (ik gaf al aan dat er alternatieven zat zijn), maar ik vind het handig om op al mijn devices erbij te kunnen.

Ja, ze zijn eerder aangevallen (zelfs 2 keer eerder, T.net schreef daar ook beide keren over) en ze zijn daar in beide gevallen érg open over geweest (maar dat kan ook want er is (haast) niets te verliezen). Daarbij zijn de vaults nooit in gevaar geweest. En zélfs al krijgt men m'n "kluis" te pakken dan wens ik ze veel plezier ermee; voordat dat gekraakt is ben ik al lang en breed dood. Er worden nog wel meer (potentiële) aanvallen op wachtwoordmanagers/LastPass ontdekt/aangekaart maar tot op heden is daar nog niets bruikbaars uit gekomen en/of netjes gedicht door LP; of je moet in een phishing-aanval stinken. Alsof ik ooit m'n master-password zou invullen op een site waar ik geen EV cert. van LastPass (onderdeel van LogMeIn) zie

[Reactie gewijzigd door RobIII op 3 juni 2016 19:41]

0Rivanni
@himlims_ • 3 juni 2016 11:33

Ik ken in elk geval de emailadressen van alle andere sites die je gebruikt nu ook.
Hopelijk ben je met je wachtwoorden wat zorgvuldiger bezig.

0batjes

Netwerk en systeembeheer

@himlims_ • 3 juni 2016 11:41

Ik gebruik 2 email adressen, wegwerp en persoonljik.

Oh no — pwned!

Pwned on 4 breached sites and found no pastes (subscribe to search sensitive breaches)

Voor mijn wegwerp, alles daar zal aan mijn achterste oxideren =)

Good news — no pwnage found!

No breached accounts and no pastes (subscribe to search sensitive breaches)

Dat lijkt redelijk goed te gaan.

arie_papa
@himlims_ • 3 juni 2016 12:03

WW wijzigen werkt wel, alleen dan sturen ze doodleuk een plaintekst mailtje met je "nieuwe wachtwoord" erin.

0LopendeVogel
@himlims_ • 3 juni 2016 12:10

Nou buiten dat ik (gelukkig) geen gebruik hoef te maken van dit soort sites/apps is er helemaal geen bewijs dat badoo gehackt zou zijn..

Er zijn e-mail adressen bekend die ook bij badoo gebruikt worden, maar ook bij tig andere sites.
Kan dus heel goed zijn dat een andere site gehackt is (bijna 100%). De kans is natuurlijk heel klein dat dit een database is van badoo, daar waar de helft van de adressen helemaal niet voorkomen bij badoo..

Dus even de titel en intro skippen en het artikel lezen.

Badoo is trouwens toch die website voor mannen waar je heen moet voor een snelle gratis beurt en fake accounts? Is toch geen serieuze dating site voor de serieuze mensen?
Althans dat is wat ik ooit eens gehoord heb over Badoo.. Maar goed dat is ook even niet relevant, iedereen moet zelf weten wat ze doen natuurlijk op dit gebied.

0AS_Spaargaren
@himlims_ • 3 juni 2016 12:20

Mijn account met email badoo-com@domain.com staat ook in de database.
Badoo kan dan wel aangeven dat ze niet gehackt zijn, maar het e-mailadres wat ze hebben is uniek. Wat mij betreft 100% bevestiging dat ze gehackt zijn.
Kreeg overigens al langer spam binnen op dat a-mailadres, dus de hack is vermoedelijk al veel eerder geweest.

Bij deze de alias doorgezet naar /dev/null

0Olaf van der Spek
@AS_Spaargaren • 3 juni 2016 13:28

Raakt je /dev/null dan niet vol?

0AS_Spaargaren
@Olaf van der Spek • 3 juni 2016 14:51

Nee hoor, ik heb goede afspraken met diegene die de inhoud daarvan onherstelbaar vernietigd.

En anders is nog altijd een mogelijk als DAAS (https://devnull-as-a-service.com) welke gratis tot 25 GB pron per maand voor je opruimt.

? ?
@himlims_ • 3 juni 2016 15:49

Of gewoon een ander wachtwoord per website. Is prima doenbaar.
Wil je het veilig doen op de "offline manier":

Nog een pro tip: Maak in Excel een 26 kolommen met 26 rijen. Vul met random tekens*.
Print het uit op creditcard formaat en steek het in je portefeuille.
Onthoudt één prefix van 3 letters, bv: "k9d"
Vervolgens kies je je wachtwoorden zo uit: voor "tweakers" ga je naar de T verticaal en de W horizontaal. Vanaf daar neem je de 5 letters naar rechts toe, ga eventueel naar de volgende lijn.
Worst case scenario 1: je verliest je portefeuille en men vind een raar kaartje, waar men niks mee is omwille van de prefix die er niet bij zit.

* pro tip: maak een script dat niet alleen random tekens genereert, maar ook nog eens om de 5 tekens minimaal 1 numeriek teken, 1 speciaal taken en een goeie uppercase verdeling maakt.

0XephireUK
@himlims_ • 3 juni 2016 18:38

Ik ga 1 stap verder dat en gebruik email adressen zoals
tweakers-001@domain.com
badoo-124@domain.com
funda-234@domain.com

Anders is het makkelijk gokken dat je misschien accountrabo@domain.com of accounting@domain.com gebruikt voor je online banking. Is lastiger om uit te vogelen of het
ing-789@domain.com of
ing-659@domain.com is.

Edit:
Ik heb een catch all account dat automatisch alle email ontvangt dat niet naar mijn main email account gaat. Ik gebruik Gmail voor mijn hosting, dus ook hun spam filter. Ik hoef dus niet apart een rule aan te maken als ik een nieuw adres aanmaak.
Alex

[Reactie gewijzigd door XephireUK op 3 juni 2016 18:47]

0Vendar
@himlims_ • 4 juni 2016 10:04

En toch, als ik dat soort dingen zeg, al jaren en zeg dat ik veiliger ben dan veel anderen, dan word ik gedwonmod of genegeerd. Ik zeg al jaren bij allerlei hacks dat ik blij ben niet zo maar overal accounts aan te maken. Dat verhoogt het percentage dat ik ontsnap.

Geen sociale media, geen accounts bij dating sites. Ik ben één keer gehackt schijnbaar, dat was Adobe. Ik zou niet durven nog ooit op een dating site te gaan want beveiliging is bij dat soort sites toch nonsens.

Hoe vaak lezen we hier niet dat men nog md5 gebruikt en wachtwoorden niet salt en zo verder? 80% van de ICT'ers die verantwoordelijk zijn voor security zijn zo te zien noobs.

Accounts ergens aanmaken moet je zelden doen en met grote zorgvuldigheid kiezen en bedenken of het echt nodig is. En het criterium moet zijn, als je het niet doet, kost het je je linker arm. Als dat zo is, go ahead. Zo niet, laat maar.

+1gabba25
3 juni 2016 10:59

Jeminee, dat zijn weer aardig wat accounts. Ligt het aan mij, of worden de laatste tijd wel erg veel hacks openbaar gemaakt? Ik heb er in elk geval een hoop van geleerd:
1. 2 factor gebruiken waar mogelijk
2. Altijd verschillende wachtwoorden gebruiken

RoestVrijStaal
@gabba25 • 3 juni 2016 11:06

Eerder:
1. Heb je per se een account nodig om de website te gebruiken? Staat er geen op bugmenot.com?
2. Bedenken welke gegevens je prijst geeft aan een website. Moeten ze per se je echte emailadres, naam of je geboortedatum weten? Kan het niet af met Jan Jansen of een random temp mail service?

[Reactie gewijzigd door RoestVrijStaal op 3 juni 2016 11:07]

+1mikesmit
@RoestVrijStaal • 3 juni 2016 11:16

Als een account echt niet nodig is maakt niemand er een.

Ik hoop dat meer websites gebruik gaan maken van oAuth (of iets dergelijks) zodat ik overal gewoon via mijn microsoft account in kan loggen. Dan hoef ik me om minder bedrijven druk te maken of ze hun beveiliging wel in orde hebben

0mae-t.net
@mikesmit • 3 juni 2016 12:53

Maar als er dan iets misgaat met de beveiliging van dat ene account, weet je zeker dat alles wat je online doet overhoop ligt. Dat lijkt me in het kader van "hoeven drukmaken" net iets zwaarder. Het beste gebruik je gewoon overal een ander wachtwoord en bij webshops gewoon geen account als dat niet nodig is.

[Reactie gewijzigd door mae-t.net op 3 juni 2016 12:54]

Canule
@mae-t.net • 3 juni 2016 13:57

Volgens mij is het met oAuth niet meer dan het ID vernieuwen en alle keys intrekken/vernieuwen.
Alleen dan wel bij alle eerste bezoeken even die nieuwe token invoeren.

Ik vraag me af of er een mooie guide is om één van deze o.d gegarandeerd en relatief eenvoudig op een Raspberry kan knallen, alvorens ik er één aanschaf.
https://github.com/bshaffer/oauth2-server-php
https://github.com/thephpleague/oauth2-server

[Reactie gewijzigd door Canule op 3 juni 2016 14:06]

0mikesmit
@mae-t.net • 3 juni 2016 14:17

Is er wel eens wat fout gegaan bij microsoft, apple of google qua inloggegevens hacken. Ik vertrouw mijn account beveiliging meer toe aan deze bedrijven dan aan bijv. Nu.nl ofzo

0mae-t.net
@mikesmit • 4 juni 2016 03:32

Ja, maar dat moet wel in verhouding staan. Als je 1000 wachtwoorden vervangt door 1 centraal authenticatiesysteem, moet dat centrale systeem wel "1000 keer" zo veilig zijn. Het kan in de praktijk best 75 keer zo veilig zijn, en dan ga je er dus wel degelijk flink op achteruit.

0StefanSvD
@gabba25 • 3 juni 2016 11:10

Mee eens! Het lijkt wel alsof je er elke dag een nieuw artikel over leest op tweakers de laatste tijd. Ik ben van mening dat mensen die zich bezig houden met schade aan te brengen dmv hacken wat harder aangepakt moeten worden. Gelijk een boete van €100.000.

0mikesmit
@StefanSvD • 3 juni 2016 14:19

Een boete van €100.000,- per account dat gestolen is. Bankroet voor de rest van je leven, een serieuze celstraf erbij mag ook nog wel.

Het bedrijf waar het gestolen is moet ook dezelfde boete krijgen als blijkt dat het door hun beveiliging komt

Hobbykok
@mikesmit • 3 juni 2016 22:37

Dat kan niet. Althans niet in Nederland. Ten eerste is het wettelijk niet mogelijk, als dit mogelijk wordt komt de dader in de schuldsanering en is hij/zij na 3 jaar van zijn schulden af. Kan je voorkomen door conservatoor beslag te leggen, maar aangezien je vermoedelijk geen zekerheid krijgt over het aantal gestolen emailadressen en de dader waarschijnlijk zo slim is voor de rechterlijke uitspraak de schuldsanering in te gaan is het onmogelijk.

0mae-t.net
@mikesmit • 4 juni 2016 03:33

Onzinboetes uitdelen heeft op geen enkele manier zin. Niet preventief en niet achteraf.

+1Martijntj
3 juni 2016 11:03

Ben wel erg nieuwsgierig naar de "Meldplicht Datalekken". Komt dat ook nog ter sprake bij een geval als dit?

+1Dasprive

3 juni 2016 11:07

Heel interessante ontwikkeling eigenlijk, het lijkt er eerder op dat datalekken nu ook ingezet worden in lastercampagnes, een hele nieuwe techniek: je verzamelt een berg user accounts uit andere datalekken, gooit er een sausje overheen van een grote bekende naam en leunt achterover.

Zeker bij b.v. zo'n lek als die van Linkedin en Myspace, de kans is zeer reeel als je die data pakt en verpakt als een Badoo datalek dat er genoeg accounts zijn die ook werken op Badoo (mensen gebruiken immers vaak hetzelfde emailadres en wachtwoord). De schade is ook al geschied: zelfs als over een week na grondige analyse blijkt dat het niet of maar gedeeltelijk van Badoo is, die berichtgeving krijgt maar een fractie van de aandacht die er nu is voor de datalek.
Zo'n bedrijf als LeakedSource heeft daar ook belang bij: hoe meer datalekken hoe meer klanten zij krijgen.

Een heel nieuw business model, na de ransomware krijg je nu mogelijk al dreigementen van datalekken, het effectief lekken van gegevens met de naam van bedrijf X zonder dat dit klopt, en tot slot het betalen voor diensten zoals LeakedSource om datalekken in de gaten te houden. Never a dull moment in InfoSec world.

Of dat hier ook zo is weet je niet, maar als je jezelf daar als bedrijf tegen wilt wapenen kun je maar beter acuut op de bal spelen als een datalek gemeld wordt en zeer snel en transparant vaststellen of het wel of niet een datalek van de gebruikers van je site is of niet.

[Reactie gewijzigd door Dasprive op 3 juni 2016 11:10]

Ryan_
3 juni 2016 11:10

Van het weekend maar eens al mijn wachtwoorden nalopen en aanpassen/veranderen. Dit begint me nou toch wel een beetje te gek te worden.

+1haas1234
3 juni 2016 11:21

Als je een badoo account hebt met facebook aangemaakt hoe kan er dan een wachtwoord zijn?

dutchgio
@haas1234 • 3 juni 2016 11:28

Niet, want die krijgt Badoo niet in te zien. Je logt in VIA Facebook, niet met je Facebook credentials.

0haas1234
@dutchgio • 3 juni 2016 11:30

Vice's Motherboard kreeg van Leaked Source drie datasets met elk tienduizend records. Voor zover Motherboard kon achterhalen, waren 54 van de honderd geteste accounts actief op Badoo. Van de geteste accounts waren 23 wel aangemaakt, maar de betreffende gebruikers klikten nooit op de link in de activatiemail. Wat er met de overige 23 van de honderd is, is onbekend, maar vermoedelijk zijn die niet vindbaar in de database van Badoo.

Dan denk ik dat dat aan de hand is met de overige 23% van de accounts ofzo? Maar eerlijk gezegd lijkt het me dat wel een hoger percentage van de mensen zo registreert.

[Reactie gewijzigd door haas1234 op 3 juni 2016 11:31]

ManIkWeet
3 juni 2016 12:52

Maar even mijn moeder informeren dat het wachtwoord van haar Badoo op straat ligt...

+1ArtGod
3 juni 2016 12:54

' Volgens de 'zoekmachine voor gelekte records' waren de wachtwoorden slechts beveiligd met een md5-hash en waren de hashes niet gesalt. '

Waneer gaat de overheid nou eens bedrijven beboeten met 10% van de jaaromzet voor dit soort KNULLIGHEDEN?!

0SBTweaker
@ArtGod • 3 juni 2016 16:11

Waar basseer je de 10% jaaromzet op? Dus een non profit hoeft zich er niet mee bezig te houden?

0ArtGod
@SBTweaker • 4 juni 2016 09:32

De Europese Commissie houdt een boete aan van maximaal 10% van de jaaromzet aan voor kartelvorming. Ik heb dit over genomen en vind dit wel een goede maatstaf voor dit soort knullige fouten, die veel te vaak voorkomen bij IT systemen en websites. Gezien het feit dat IT systemen vaak veel en gevoelige informatie bevatten mag ik wel wat meer professionaliteit en verantwoordelijkheid verwachten van de makers ervan.

[Reactie gewijzigd door ArtGod op 4 juni 2016 09:35]

0SBTweaker
@ArtGod • 4 juni 2016 09:58

Dus een non profit hoeft zich er niet mee bezig te houden?

0ArtGod
@SBTweaker • 4 juni 2016 10:01

Als ze geen omzet hebben niet.

0SBTweaker
@ArtGod • 4 juni 2016 10:03

Zou het niet slimmer zijn om het voor iedereen te verplichten en een minimum boete in te stellen ongeacht de omzet? Of is het ineens niet meer erg als je gegevens lekken door een non-profit?

[Reactie gewijzigd door SBTweaker op 4 juni 2016 10:04]

0ArtGod
@SBTweaker • 4 juni 2016 10:32

Ik denk dat je met een vaste boete sommige kleine bedrijven en non-profits erg straft terwijl grotere bedrijven lachen, betalen en gewoon weer door gaan alsof er niets gebeurd is. Daarom denk ik dat 10% van de omzet wel gepast kan zijn omdat het dan echt pijn gaat doen en men zich zal willen beteren.

0T.C

@ArtGod • 5 juni 2016 01:47

Dus een boete op basis van omzet (bv een percentage) met een fixed minimum bedrag.

0Youri219
3 juni 2016 11:10

Wordt het niet eens tijd voor wetgeving die bij groffe nalatigheid van sites (waaronder sql injectie, slechte wachtwoord beveiliging, gebrek aan encyptie) niet gewoon direct die sites permanent offline kan worden gehaald?

Dan blijven er vanzelf alleen sites over die beveiliging wel serieus nemen.

0jan jaffa
3 juni 2016 11:10

MM vraag me af of het veel uitmaakt als je via een Facebook koppeling inlogd? Heb voor de zekerheid maar mijn Facebook wachtwoord gewijzigd. Maar gelukkig gebruik ik voor dit soort sites altijd keepass+pasword generator dus meestal ben ik binnen een paar klikken klaar

dutchgio
@jan jaffa • 3 juni 2016 11:16

Dat loopt via een API, zo'n via inlog- kan nooit je wachtwoord inzien laat staan opslaan.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers