Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties
Submitter: mvdam

Backupdienst Carbonite heeft al zijn klanten een e-mail gestuurd om het wachtwoord opnieuw in te stellen. Dat doet het bedrijf nadat kwaadwillenden hebben geprobeerd om in te loggen op accounts met gebruikersnamen en wachtwoorden uit andere hacks.

Gebruikers klagen onder het blog over het incident dat de e-mail er verdacht uitziet. Zo staat er een grote knop in beeld met 'verander uw wachtwoord', waarna gebruikers naar de site worden geleid om het wachtwoord opnieuw in te stellen zonder het oude wachtwoord in te hoeven vullen. Gebruikers zeggen dat het lijkt op een nepmail. Het screenshot van de mail komt van tweaker mvdam.

Carbonite reset alle wachtwoorden, omdat het heeft geconstateerd dat kwaadwillenden toegang probeerden te krijgen tot accounts met vermoedelijk gebruikersnamen en wachtwoorden uit andere hacks, vermoedelijk zoals die van LinkedIn. Het bedrijf heeft geen aanwijzingen dat de gebruikersnamen en wachtwoorden zijn buitgemaakt bij een hack van Carbonite zelf. Wel lijken kwaadwillenden zich toegang te hebben verschaft tot enkele accounts.

Carbonite is een backup-service voor privé-bestanden, zoals foto's en video's. Het claimt meer dan anderhalf miljoen klanten te hebben.

Moderatie-faq Wijzig weergave

Reacties (17)

Dat doet het bedrijf nadat kwaadwillenden hebben geprobeerd om in te loggen op accounts met gebruikersnamen en wachtwoorden uit andere hacks.
Het kritieke elemen is dus dat de gebruikte identifier (vaak het emailadres als gebruikersnaam) gelijk is bij de gehackte dienst en bij Carbonite. Bij het buitmaken van een bestand met e-mailadressen en wachtwoorden (e.v.t. verkregen via omkeerbare hashes door het gebruik van rainbow tables) is het een koud kunstje om ze in bulk te testen m.b.v. botnets bij populaire diensten.

Oplossing voor aan de gebruikerskant: gebruik een password manager met willekeurige wachtwoorden voor elke site. Laat de password manager na een X tijd van niet gebruikt te zijn het wachtwoord vergeten zodat deze opnieuw ingevoerd moet worden, en draai geen onbetrouwbare achtergrondservices (zoals TeamViewer).

[Reactie gewijzigd door The Zep Man op 22 juni 2016 22:23]

Aanvullend gebruik ik ook voor elke dienst een uniek e-mailadres. Voor een aantal redenen:

1. Krijg je spam? Je weet precies van wie het komt.

2. Bij een eventueel dubbel wachtwoord zal dit minder snel een probleem vormen bij geautomatiseerde loginpogingen bij andere websites.

3. Het is cool B)
Gebruik je een programma of browserextension om dit te doen? Lijkt me behoorlijk tijdrovend om iedere keer door het setup proces van bijv. Gmail te lopen als je een account aanmaakt die je toch hooguit 1 a 2 keer gebruikt.
Nee, ik heb op mijn eigen domein een catch-all e-mail adres. Zodoende zie ik wel waar het heengestuurd wordt, maar komt het toch allemaal in 1 box terecht. :)

Ik hoef dus enkel een nieuw adres op te geven ergens zonder dit van tevoren aan te maken.

Gevaar dat hierin schuilt is natuurlijk dat je ook spam krijgt die gewoonlijk naar een niet-bestaand adres gezonden wordt...

Ik ben nog aan het spelen met het idee om ter veiligheid bij de e-mailadressen ook nog een "random" getal tussen de 10-99 toe te voegen.

Momenteel is een adres bij het aanmaken van een account:

<domein>.<extensie>@<mijndomein>.<extensie>

Maar dan zou het

<domein>.<extensie>.<0-99>@<mijndomein>.<extensie>

worden :)

[Reactie gewijzigd door mvdam op 23 juni 2016 08:51]

Je kan bij google email+dienst@gmail.com gebruiken. Of willekeurige punten (e.ma.i.l@gmal.com) in je emailadres gebruiken. Veel services staan dit toe en zo kan je direct zien wie je email adres gelekt heeft.
Een klein minpuntje is als je een subscription newsletter o.i.d. krijgt, dat wanneer je op unsubscribe klikt hij je gewone e-mailaddress unsubscribed. Dus het vergt een extra handeling om te unsubscriben.
Vrij nutteloos om het op die manier te doen. Spammers kunnen in geval van een gmail-adres gewoon de tekst vanaf het plusje tot '@' weghalen om je daadwerkelijke e-mailadres te achterhalen.
4. Je ziet bij fishing direct of het van de partij komt van wie je het verwacht. Als je bijv voor Paypal paypal@domein.nl gebruikt dan weet je dat elke mail van 'paypal' die naar info@ gestuurd wordt niet kan kloppen.
Ook ja :) Dan weer niet 100% waterdicht als er mailadressen uitlekken via de één of de andere route en dat adres daarbij terecht komt.
Begrijp de opmerking van Teamviewer even niet. Als je die goed secured, lijkt me dat geen issue.
Erg goed een bedrijf dat actie onderneemt!
Carbonite? Wie? Ik had er nog nooit van gehoord, maar ik kon zo 1,2,3 geen 2FA zien. Dat zou al reden genoeg moeten zijn om er heel erg ver vandaan te blijven .
Ja maar veel bedrijven met 2fa stoppen dit soort dingen vaak in de doofpot en komen pas naar buiten als er echt een hack is gepleegd
De backup dienst van Carbonite heeft Evault. Dit was voorheen onderdeel van Seagate.
Carbonite is al enkele jaren een van de grootste SaaS backup providers in Noord Amerika. Omdat ze in Europa zeer weinig aan marketing doen is de naam hier nog niet zo bekent. De backup van Carbonite is bedoelt voor de consument en klein bedrijf tot een mannetje of 10-15 max. EVault (voorheen van Seagate) is bedoelt voor midden- groot en enterprise server backup.

Zelf vind ik dat Carbonite het zeer netjes heeft opgepakt. Ik heb een pop up gekregen vanuit de gui met een uitleg en dat ik mn password moest aanpassen. in een paar seconden klaar.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True