Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politie stuurt mails aan slachtoffers van webwinkelbouwer die inloggegevens stal

Door , 76 reacties

De Nederlandse politie stuurt de slachtoffers van een eerder aangehouden man uit Leeuwarden e-mails met de oproep hun inloggegevens te veranderen. Het gaat om 20.000 personen van wie de gegevens op apparatuur van de man werden aangetroffen.

De politie laat weten dat niet duidelijk is of de gegevens daadwerkelijk zijn gebruikt, maar zegt de e-mails desondanks te versturen. De e-mailadressen zijn aangetroffen op de in beslag genomen apparatuur van de 35-jarige man. Uit het onderzoek van de Noord-Nederlandse politie-eenheid blijkt dat de man de gegevens gebruikte om online aankopen te doen, personen op te lichten en accounts op goksites aan te maken.

In oktober kwam de politie al met nieuws over deze zaak naar buiten. Toen bleek dat de man uit Leeuwarden was aangehouden. Hij bouwde webwinkels voor verschillende klanten en wist aan de hand van een script de inloggegevens van klanten van deze winkels te achterhalen. Daarmee deed hij zich bijvoorbeeld voor als zijn slachtoffer en vroeg hij via sociale media om geld aan vrienden en familieleden. Destijds maakte de politie bekend dat het dossier tegen de man ongeveer 140 zaken bevat, waarvan 80 in Noord-Nederland.

Reacties (76)

Wijzig sortering
Ik kreeg zojuist ook de mail van de politie. Het was gericht aan een e-mailadres wat ik enkel en alleen gebruikt heb voor 1 specifieke website, namelijk Idiva. De database van Idiva is dus 1 van de 'gehackte' databases.

Wat ik vreemd vind aan de tekst is dat de politie suggereert dat je e-mailadres en bijbehorend wachtwoord uitgelekt zijn. Terwijl eigenlijk niet het wachtwoord wat bij je e-mailadres hoort is uitgelekt, maar het wachtwoord dat hoort bij de account van de specifieke website waar de gegevens vandaan komen. In mijn geval het Idivia-wachtwoord dus.

In sommige gevallen zal het hetzelfde zijn, maar het als een algemeen feit te stellen, maakt het onjuist.

haveibeenpwned.com vindt op hetzelfde idiva-e-mailadres overigens niets. Vreemd. Of niet zo vreemd, de gegevens die de politie in beslag heeft genomen zijn immers nog niet openbaar op internet gezet (neem ik aan).

[Reactie gewijzigd door woekele op 17 januari 2017 15:13]

Ik kreeg gisteren wel een linkje met een lijstje van mijn email&ww van pwned die 16jan is geplaatst.
kan dat toevallig dezelfde email/pw-combinatie zijn, maar dan afkomstig uit een andere bron dan die van de politie? (pwned zet er toch bij wat de bron is?)
Was te verwachten....

Pas op: Hacker kaapt waarschuwingsmail politie
http://kassa.vara.nl/nieu...waarschuwingsmail-politie
Ik heb de email net binnengekregen, dit staat erin:

Beste e-mailgebruiker,

De politie in Noord-Nederland heeft een onderzoek gedaan op het gebied van cybercrime. In dat onderzoek is afgelopen zomer een verdachte aangehouden. Bij hem is computerapparatuur in beslag genomen. In die computer is uw mailadres met bijbehorend wachtwoord aangetroffen.

De politie weet dat er inloggegevens zijn gebruikt om online aankopen te doen op andermans naam, anderen op te lichten of accounts te krijgen op goksites. Of uw inloggegevens daarvoor ook zijn misbruikt is niet te achterhalen.

Hoe dan ook is het raadzaam om het wachtwoord van uw e-mailaccount aan te passen. Als u deze combinatie van gebruikersnaam en wachtwoord ook gebruikt om op andere plekken in te loggen, adviseren wij u om ook daar uw inloggegevens te veranderen.

Meer informatie over deze zaak kunt u vinden op de website politie.nl. Op 13 oktober is daar een nieuwsbericht gepubliceerd met de titel ‘Honderden slachtoffers in cybercrime-onderzoek’. Op 16 januari 2017 is een nieuwsbericht gepubliceerd over deze mail. Het cybercrime-onderzoek is inmiddels nagenoeg afgerond.

Met vriendelijke groet,

Politie Eenheid Noord Nederland
Divisie Regionale Recherche.


Klopt ook wel, ik kreeg eergisteren ook een email via de website https://haveibeenpwned.com/ een paste met mijn email en wachtwoord, het was wel een relatief oude wachtwoord (1-3jaar)
Dit is niet handig van de politie.

In verband met ransomware zou ik nooit een email die schijnbaar van de politie afkomt vertrouwen noch openen.

Een crimineel kan met een paar klikken een vergelijkbaar mailtje maken met daarin een link naar een cryptolocker installer.
De eigenaars van de getroffen webshops zouden hun klanten al lang verwittigd moeten hebben om maatregelen te nemen.
  • Volgens mij zijn ze dat verplicht.
  • Mogelijk is die gevonden lijst niet compleet en zijn er meer slachtoffers.
  • De feiten zijn al 3 maanden geleden vastgesteld.
Het lijkt me niet de taak van de politie. Natuurlijk hoe meer waarschuwingen, hoe beter.

[Reactie gewijzigd door biglia op 16 januari 2017 16:12]

De eigenaar van de site is juist de oplichter |:(
Er is in dit geval inderdaad sprake van een meldplicht naar betrokkenen vanuit de wet meldplicht datalekken. Ik kan me echter voorstellen wanneer de politie constateert dat de gegevens online zijn verhandeld men onnodig risico wil mijden door namens de webwinkel de betrokkenen te informeren.
Dus omdat er criminelen zijn die e-mails namaken vind jij dat de politie nooit meer e-mail mag versturen? 8)7
Ja!!! Dit is bijvoorbeeld staand beleid bij alle banken!

Ooit gehoord van de slogan: "Uw bank zal u nooit vragen om uw inloggegevens!!!"

Daar zijn hele campagnes voor gestart: klik.

Deze e-mail van de politie is hetzelfde als ťťn filiaal van een bank ergens in Nederland die vanaf nu wťl telefonisch om inloggegevens vraagt. Niet erg handig dus.

[Reactie gewijzigd door ApexAlpha op 16 januari 2017 16:04]

Maar er staat toch alleen maar dat de politie een mail heeft verstuurd, niet dat ze vragen naar wat voor gegevens dan ook.

Ik zie niet wat er mis zou zijn met een mail van de politie waarin zoiets staat als het volgende (maar dan in nette bewoordingen :))

"We hebben op webwinkel xyz malware gevonden, jij hebt daar een account. Als je de gegevens van dit account ergens anders ook gebruikt, dan kun je dit maar beter wijzigen."

Heeft niks te maken met vragen naar inloggegevens, maar waarschuwt de mensen wel.
En een phisher zou precies dat mailtje pakken, even een regeltje wijzigen met een link ('reset uw passwoord hier11'), en die opnieuw versturen.
Ik denk niet dat phishers een mailtje van de politie nodig hebben om hun werk makkelijk(er) te kunnen doen... helaas
Het gaat mij meer om het precedent dat de poltiie je een e-mail stuurt op je 'normale' e-mail adres.

Vandaag staat er nog niks nee. Morgen staat er een link naar de 'webshop' met de vraag je oude inloggegevens in te vullen.

Ik had deze e-mail in ieder geval per direct verwijderd, omdat ik ervan uitga dat officiŽle berichten van de politie niet via een mailtje binnen komen.
Ik had deze e-mail in ieder geval per direct verwijderd, omdat ik ervan uitga dat officiŽle berichten van de politie niet via een mailtje binnen komen.
Hoe dan? Per post, ze zien je aankomen met 20.000 enveloppen en brieven.
In persoon bij iedereen langs ?
Morgen staat er een link naar de 'webshop' met de vraag je oude inloggegevens in te vullen.
Dat risico blijft bij phishing altijd aanwezig.
Ooit gehoord van de slogan: "Uw bank zal u nooit vragen om uw inloggegevens!!!"
Dat doen ze toch ook niet. Men mailt aan de gebruiker dat deze zijn inloggegevens zou moeten veranderen, meer niet. Dat is geen vragen om gegevens.
Je wil niet het precedent scheppen dat de politie je mailt. Daar gaat het om.
Kun je dat ook onderbouwen? Je neemt als voorbeeld dat de bank nooit om je gegevens per mail vraagt, maar dat is compleet irrelevant in deze context. De politie stuurt namelijk een informatieve e-mail, waarbij er geen interactie vanuit de gebruiker vereist wordt (in de betreffende e-mail).

De politie zou niet mogen mailen omdat? Omdat er nep mails verstuurd kunnen worden? Dan zou de politie ook geen brieven mogen sturen, die zijn immers nog eenvoudiger te vervalsen dan een email. Binnen een email heb je verschillende velden die je kunt controleren om meer zekerheid te krijgen omtrent de afzender. Bijvoorbeeld: zijn de links in de mail links die daadwerkelijk naar de website van de politie linken (bijvoorbeeld in de koptekst, het logo of de voettekst)? Bij een brief kan dat juist niet.

Natuurlijk is het lastiger om mensen via een brief naar een phising website te sturen, maar onmogelijk is het zeker niet. Daarbij vraag ik me af waarom je zou willen dat de politie in de tijd stil blijft staan. Het tijdperk dat we alle post per brief ontvangen is allang voorbij. Sterker nog 90% van alles wat er in mijn brievenbus ligt is:
- Brievenbuspakketjes
- Gemist notificaties (PostNL met de melding: We hebben je gemist! We proberen het morgen opnieuw)
- Af en toe wat reclame

Zelden krijg ik nog brieven en gelukkig maar, vele male liever krijg ik post per mail, zo is het veel eenvoudiger een archief op te bouwen waar je de post snel terug vind.

Maar ik ben wel erg benieuwd wat de reden is dat de politie geen mails zou mogen sturen.
Liever dat ze bij je aanbellen ?
[...]
Dat doen ze toch ook niet. Men mailt aan de gebruiker dat deze zijn inloggegevens zou moeten veranderen, meer niet. Dat is geen vragen om gegevens.
De intentie is dat er namens de Politie een mail wordt gestuurd met daarin de boodschap om je login gegevens van een webwinkel te veranderen "omdat je gehackt zou zijn".

Het enige wat je dan moet doen is een linkje toevoegen waar men op moet klikken om hun wachtwoord te wijzigen. Lijkt me niet echt het juiste middel omdat deze manier van communiceren ook misbruikt kan worden. In dit geval is het echt, maar de volgende keer...
In dit geval is het echt, maar de volgende keer...
Als het een gewoonte wordt gaan ze automatisch in de spamshredder.
Politieberichten met meer dan alleen een mededeling zijn niet echt.
Spam, kill, weg.
Het probleem is dat we hier op tweakers dat allemaal wel snappen, maar mijn oma van 89 heeft daar wat meer moeite mee vrees ik...
... oma van 89 heeft daar wat meer moeite mee vrees ik...
Oma heeft recht op mail van de politie en als er geen links in staan is er niks aan de hand.

Maar wat voor oplossing heb je dan voor oma ?
Geen mail, geen bericht, onwetend over eventuele oplichting ?
Nu kon ik gewoon zeggen tegen mijn oma dat officiŽle instanties en/of banken haar niet via de mail benaderen, maar enkel via de post of dat ze er langs gaat.
Dit soort berichten gaan dus verwarring zaaien! Hoe weet ze nu dat het volgende bericht van de Politie wel nep is, maar deze niet?
Ja ik vertel haar natuurlijk nergens op klikken, geen bijlages openen, etc. Maar dat is soms toch echt aan dovemansoren gericht voor een generatie die na hun pensioen pas voor het eerst een computer aangeraakt hebben...
Ja!!! Dit is bijvoorbeeld staand beleid bij alle banken!
Uhhh, dan ben ik wel een heel belangrijke klant want zowel bij ING en Triodos zijn de meeste contacten die ik heb via email.
Ja maar ze vragen niet om je inlog of credit card gegevens etc...

Als dep ooitje het goed doet en er even over nadenkt komen ze met een mail waar ze het specifieke geval uitleggen en meteen een standaard stukje over internet oplichiting er bij. Als ook een disclaimer dat ze nooit om wachtwoorden of persoonsgegevens etc zullen vragen per e-mail en als er een mail komt die dat wel doet aanwijzingen wat ze dan moeten doen.
En die vragen je continue om je inloggen gegevens ?
Behalve dat hier niet om inloggegevens wordt gevraagd, maar bedoeld is ter informatie. Die vergelijking met "Uw bank zal u nooit vragen om uw inloggegevens!!!" gaat hier dus niet echt op. Vergelijk het eerder met een bericht van DUO oid.

Het is alleen te hopen dat de politie de informatie daadwerkelijk in het mailtje zet en niet in een PDF als bijlage, want dat zou WEL alarmbellen moeten laten rinkelen bij mensen.
En hoe zie je dan de burgernet SMS-jes? Ook maar niet meer doen? SMS kan je ook voor phishing gebruiken.
Je vat het verkeerd op. bank stuurt gewoon mail, ik krijg ook gewoon mail van mijn banken. Al weet ik niet hoe het bij de ING gaan maar neem aan dat hun ook gewoon mailtjes versturen. Alleen zullen ze nooit vragen om gegevens, dat is wat ze in jou linkje ook zeggen. Politie vraag nu ook niet om gegevens maar waarschuwt je dat je zelf naar de website moet gaan en zelf je eigen paswoord moet aanpassen. En bij twijfel ben je altijd vrij om politie te bellen of mailtje te sturen met de vraag om het allemaal wel klopt.

En als beheerder van een webshop mag ik hopen dat je kennis iets hoger ligt dan een reclame spotje van de ING. :)
Ik durf niet op je link te klikken, want op internet weet je maar nooit wat voor malware je daarmee binnenhaalt...
|:(
Als het een tekst mail is met wat data er in dan wordt het al beter.
Nog beter zou het zijn om het via mijnoverheid te doen.
Hoe zie je dat voor je, om het via mijnoverheid te doen? Ik gebruik voor webshopaankopen een ander emailadres dan voor mijnoverheid. En ik ben vast niet de enige die dat doet. Of wat te denken van bedrijven die bij een webshop bestellen?
Ze hebben toegang tot de database, dus weten wie het zijn, niet alleen de email addressen maar ook de namen, bankrekeningnummers etc. Daar kunnen ze tamelijk eenvoudig mee achterhalen wie de slachtoffers zijn.
Dat zou pas beangstigend zijn.

Ik stel mij voor dat veel gebruikte emailadressen niet de naam en toenaam van de eigenaar bevatten. Veel mensen maken aliassen aan, ook voor zakelijke doeleinden.

De politie kan dus (als het goed is en ze onze privacy respecteren) niet met 100% zekerheid ieder gebruikt emailadres aan het juiste mijnoverheid-account koppelen.

[Reactie gewijzigd door Spheroid op 16 januari 2017 16:06]

*knip*

Beter lezen

[Reactie gewijzigd door technomania op 16 januari 2017 16:26]

Zolang je geen bijlages opent die in de mail meegegeven zijn kan er vrij weinig gebeuren lijkt me?
Soms moet je wel een bijlage mee versturen he?
Denk eens aan facturen, contracten die je via een website afsluit etc.
Maar betreft de politie die je informeert over dat je gegevens buitgemaakt zijn neem ik aan dat er geen bijlages meegestuurd worden?
Leg dat maar eens uit aan 95% van de gebruikers :P
Daar ben ik het mee eens. Ik vertel mensen altijd dat wanneer ze het niet vertrouwen dat ze het gewoon meteen weg moeten gooien en verder niet na moeten denken.

Sommige mensen begrijpen het namelijk gewoon niet. Hoe vaak ik nog steeds van collega's mail doorgestuurd krijg van de "ING" e.d. waarvan zij vermoeden dat het spam is, maar ze het toch niet zeker weten terwijl ze helemaal niets met de ING van doen hebben. 8)7

Nu zijn die mailtjes soms ook wel heel geniepig en voor de simpele ziel moeilijk te beoordelen. Vandaar dus bovenstaand advies.
-

[Reactie gewijzigd door 324173 op 18 januari 2017 02:24]

Tja, klopt maar het is beter dat de Politie iets doet dan niets lijkt me. Zolang ze niet vragen "Klik <hier> om uw wachtwoord te wijzigen", maar bijv. "Neem contact op met uw webwinkel een vraag een nieuw wachtwoord aan" doen ze niets verkeerd.
Klopt.
Zoals we pas weer een mail kregen van MijnOverheid.
Wie 'We'. Ik heb nog nooit mail van MijnOverheid gekregen. Zou trouwens ook niet weten waarom.
MijnOverheid geeft alleen aan dat er een bericht voor je is, geen link naar websites of vragen om inloggegevens.
MijnOverheid geeft alleen aan dat er een bericht voor je is, geen link naar websites of vragen om inloggegevens.
Dat zei ik ook niet. Ik krijg geen mail van MO.
Geen nieuws, goed nieuws.
Voorlopige aanslag
Reminder dat de auto gekeurd moet worden...

Dat soort dingen.
Ja je hebt een punt, maar zolang ze niet linken naar de websites lijkt mij dat er weinig aan de hand is. (echter zou zoon mail bij mij ook weg gaan :P)
Wat een onzin, wat moeten ze dan doen. Bovendien ze roepen alleen op om de inlog gegevens te veranderen. Zolang ze er geen linkjes in zetten waar je op hoeft te klikken is er niks aan de hand.
Dat verhaal gaat voor alle email op. Hier is sprake van een waarschuwing om je wachtwoord te veranderen met reden waarom.
Dat doe je niet via de politie maar via de site van de webwinkel. De tekst van de mail is daarin de bepalende factor.
Prima actie van de politie!
Ik denk niet dat de Politie een mail kan sturen met daarin links naar 'wachtwoord aanpassen' pagina's voor alle sites waar jij hetzelfde wachtwoord gebruikt, hoop het niet dat ze van elke site de wachtwoorden weten :p
Dus zoals altijd: niet op linkjes klikken maar gewoon naar de gelinkte site browsen en dan verder kijken.
Dat kunnen criminelen ook van mails van Mediamarkt/Apple etc.
Onzin: Met een beetje gezond verstand kan je je wel bedenken dat je iets niet zomaar moet downloaden in ELKE mail dat je krijgt. Als je dus een mail krijgt met een linkje lijkt me dat wel raar bij een informatiebericht.
Bijna zou ik het ongevraagd mail sturen spam noemen. Telecomwet er bijgehaald, want de ongevraagde mail van de politie is niet commercieel. Wettelijk mag ieder die met niet-commerciele doeleinden ongevraagd mail wil verzenden, dus ook de politie, dit doen? Mits het adres niet eerder is opgenomen in het bel-me-niet/val-me-niet-lastig register. Of lees ik het verkeerd?
En weer terugkerend op aarde stuiterend vanuit de eigen wereldje zou je het misschien heel prettig vinden als iemand je er op wijst dat jou persoonsgegevens en wachtwoord bekend zijn bij een oplichter / frauduleus persoon.

Wat denk je dat de OPTA zal vinden en de WBP voorschrijft in dergelijke gevallen?
Daarom gaf ik geen mening of het goed of fout zou zijn, maar stelde ik enkele vragen over mijn interpretatie van de wet. Bij aandacht voor spam ging de aandacht vaak over wat niet meer mag, maar zelden over wat er dan wettelijk mogelijkheden geeft.

Begrip dat de wet uitzonderingen maakt heb ik vanuit het punt dat vooral de commerciŽle ongewenste mail overlast geeft. Dit vraagt ook om zelfregulering om je als organisatie en belanghebbenden als slachtoffers te beschermen. Het is wat mij betreft bijzonder onverstandig als organisaties die dat mogen toch ongevraagd mail te verzenden. Het vertrouwen in mail als betrouwbaar medium voor ongevraagd belangrijke informatie te communiceren is zeer laag. In de afgelopen 20 jaar is wel bewezen dat 99,99999% van alle ongevraagde mail niet betrouwbaar is en belangrijke informatie niet ongevraagd per mail gaat. Als de politie dan toch ongevraagd mail gaat verzenden is dat deels een vernieuwende aanpak, maar heeft het heel veel nadelen. Het geeft 100% gelegenheid op misbruik en afbraak van vertrouwen. Direct grepen criminelen hun kans om zogenaamd als de politie ongevraagd belangrijke informatie te verspreiden. Daarbij is het ook de vraag of de politie hier wel de beste weg hebben gekozen omdat ze ook de gelegenheid hadden om met hulp van de webwinkels de klanten daarvan te informeren. Het is dan niet ongevraagd, vertrouwder (want klant kent webwinkels) en proportioneel. Daarbij zou ik het ook terecht vinden als webwinkels zelf hun klanten inlichten als diezelfde webwinkels en eigenaren het probleem feitelijk zelf veroorzaakt hebben door te inhuur en te weinig controle op geleverd werk. Wel de lusten, niet de lasten richting klanten is onredelijk.
Goed punt, maar hoe zorg je er voor dat iedereen een site als https://haveibeenpwned.com als gemeen goed gaat beschouwen?
Ik zie een verschil tussen data die tijdens politieonderzoek naar boven komt en wat onderzoekers vinden/krijgen. Die informeren gaat over situatie 1. En aangezien de politie niet zomaar persoonsgegevens met derden mag delen zal het wat dat betreft geen gemeen goed worden. De website eigenaren mogen dergelijke data over hun klanten/slachtoffers overigens ook niet zomaar delen met derden.
en wist aan de hand van een script de inloggegevens van klanten van deze winkels te achterhalen
Als hij zelf deze webwinkels heeft gebouwd dan was het ook niet zo moeilijk om die wachtwoorden te achterhalen lijkt me.
Dat is niet helemaal altijd zo. Punt is dat als alles maar goed beveiligd in de database staat kan hij er ook niets mee. Enige wat dan kan ik het afvangen op het moment van inloggen, maar een beetje Q&A bij een bedrijf ziet wel wat daar gaande is. login.php is zo'n beetje het meest bekeken script bij controles.

Nu zal het waarschijnlijk een kleine webwinkel zonder Q&A zijn geweest waar hij z'n klantenkring mee vulde die geen idee hadden wat er geÔnstalleerd werd op hun server en er maar vanuit gingen dat deze man verstand van zaken had, en hej alles werkte toch?

Ondanks dat deze man gewoon een crimineel is en als zodanig berecht mag worden vind ik dat de webwinkels ook wel een klein steekje hebben laten vallen in de controle hierop. Zelfs als kleine webwinkel vind ik dat je een derde partij voor een paar honderd euro even moet laten controleren of alles wel in orde is, die man had ook "eerlijke" fouten kunnen maken. Als webwinkel is je website letterlijk 100% de bron van verkopen. Dan mag er wel iets budget worden vrijgemaakt voor dit soort controles.
Waarschijnlijk zijn z'n klanten voor 90% kleine ondernemers geweest die de ballen verstand hebben van ICT, en zolang alles werkt hebben die geen enkele reden om die man te wantrouwen. Ik ben het met je eens dat er die controle mag zijn, maar dat komt waarschijnlijk gewoon niet eens in die mensen op, of ze beseffen gewoon niet dat het Łberhaupt mogelijk is om wachtwoorden te stelen.
Vanuit gaande deze mensen zich hebben aangemeld bij de KvK vind ik het een taak van de KvK om duidelijk te kennen te geven dat er dit soort gevaren op de weg zijn. Aangezien de KvK voor veel mensen als adviespunt gezien zal worden.

Zoveel geld hoeft zo'n grapje nog niet eens te kosten. Een beetje Cyber-security opleiding willen met liefde en plezier een audit doen op een webshop.

Op dit soort simpele manier van data stelen is makkelijk te controleren. Ik ben ronduit slecht in PHP heb er jaren niet naar gekeken. Maar als ik PHP code doorlees zal mij zoiets vrij snel opvallen.

Ik denk dat zeker voor dit soort kleine webshops de KvK in samenwerking met enkele hogescholen en universiteiten. Een best wel groot gat kan dichten zeker voor de mensen die geen kaas hebben gegeten van software. En echt grote bedrijven naar een webshop laten kijken met misschien een omzet van 3k per jaar heeft ook geen zin, dan is het grapje veel te duur.
En de ťcht kleine ondernemers? In elk gehucht heb je wel iemand die taartdecoraties verkoopt, of dingetjes om kaarten te versieren. Ik ga er niet van uit dat ze een KvK hebben hoor. Mag niet, maar dat per zijde.

Ben wel wel met je eens dat het een taak van de KvK is om ondernemers te beschermen.
In al mijn jaren als ondernemer heb ik nog 0.0 positieve ervaring gehad met ondersteuning vanuit de KvK. Het is een -verplichte- administratieve rompslomp, en de laatste partij waar ik zo'n audit aan zou toevertrouwen. Nou vooruit, ook niet aan studenten-audits, dat lijkt me in potentie ook zo lek als een mandje.
En BTW, kleine ondernemers voor dom verslijten is nogal dom. Het zijn niet voor niks ondernemers. Waarschijnlijker is dat kleine ondernemers moeten kiezen waar hun kostbare tijd en geld aan wordt besteed. Alle ballen in de lucht houden gaat dan eenvoudigweg niet.

[Reactie gewijzigd door Slijpschuiver op 16 januari 2017 19:01]

Je gaat altijd uit van het goede van de mens.
Als je een beveiligingsbedrijf camera's laat installeren, ga je ervan uit dat zij die feed niet aftappen.
Als je een pak melk koopt bij de supermarkt, ga je ervan uit dat er geen kwaadwillende medewerker er vergif in heeft gespoten.
En zo zijn er voorbeelden te over. Voor mensen die kwaad willen, is het echt heel makkelijk. Gelukkig willen de meeste mensen geen kwaad. Anders hield onze wereld vrij snel op te bestaan.
Op zich maakt het niet veel uit. Als je toegang hebt tot een server kan je doen wat je wil. Ik neem aan dat je als developer ook je eigen beveiliging wel kent, dus daar kom je wel uit als je wat van plan bent ;)

In theorie kan je de developer buitensluiten en dan een audit doen. Maar dan zit je met de eerste update gelijk weer in hetzelfde schuitje.
Als jij als developer je wachtwoorden goed hashed, met een salt, dan is het antwoord nee. Als je toegang hebt tot de server heb je toegang tot de hash van het wachtwoord, maar ook de developer die de hash genegeerd kan deze niet meer terughalen. Het is hoogstens makkelijker op een rainbowtable te genereren als je de toegang hebt, maar mensen met goede wachtwoorden zullen hier niet direct hinder van ondervinden.

Security is altijd een beetje "speculatief" en gebaseerd op tijd (ook een SHA512 hash is te bruteforcen, met de huidige technologie duurt het alleen een "beetje" lang, waarbij het beetje de understatement van de dag is).

Ik heb geen kennis van wie meneer precies is en wat zijn kennisniveau is, maar als hij instaat is om goed gehashde wachtwoorden vanuit zijn database terug kan halen dan denk ik dat meneer ondertussen bij de NSA had gewerkt (of een vergelijkende partij), want die zouden hier enorm geÔnteresseerd in zijn.

Over de audit, je sluit niemand buiten. Ik heb zoveel webontwikkeling gedaan, waarbij elke GIT commit door iemand anders werd gecontroleerd. In sommige takken is het zelfs zo dat het niet eens iemand binnen je eigen bedrijf mag zijn, maar de klant er zelf een derde partij voor zoeken. Ik voel me niet buitengesloten, ik voel dat iemand anders z'n werk doet. Ik hoop zelfs dat als er fouten zijn deze 3e partij ze vind, want dan kan ik ze eruit halen voor er iets mis gaat en ik mijn verzekering moet bellen.
Hopelijk gaan er zich burgerlijke partij stellen - daar is helaas veel moed voor nodig - en behoorlijk wat geld en veel volharding - vooral dat laatste.
ik kreeg het binnen op een hotmail account en de header van de email is nogal uniek
Received: from AM3PR04CA0109.eurprd04.prod.outlook.com (10.163.180.163) by
VI1PR0401MB2672.eurprd04.prod.outlook.com (10.168.66.20) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.845.12 via Mailbox Transport; Tue, 17 Jan 2017 10:50:51 +0000
Received: from inbound.mail.protection.outlook.com (213.199.154.120) by
AM3PR04CA0109.outlook.office365.com (10.163.180.163) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.845.12 via Frontend Transport; Tue, 17 Jan 2017 10:50:50 +0000
Received: from AM5EUR03FT005.eop-EUR03.prod.protection.outlook.com
(10.152.16.57) by AM5EUR03HT232.eop-EUR03.prod.protection.outlook.com
(10.152.17.55) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.803.8; Tue, 17 Jan
2017 10:50:50 +0000
Authentication-Results: spf=pass (sender IP is X45.119.X66.X0)
smtp.mailfrom=politie.nl; msn.com; dkim=none (message not signed)
header.d=none;msn.com; dmarc=bestguesspass action=none
header.from=politie.nl;
Received-SPF: Pass (protection.outlook.com: domain of politie.nl designates
145.119.166.20 as permitted sender) receiver=protection.outlook.com;
client-ip=145.119.166.20; helo= mail2.politie.nl;
Received: from SNT004-MC6F1.hotmail.com (10.152.16.53) by
AM5EUR03FT005.mail.protection.outlook.com (10.152.16.146) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.803.8 via Frontend Transport; Tue, 17 Jan 2017 10:50:49 +0000
X-IncomingTopHeaderMarker: OriginalChecksum:XXX;UpperCasedChecksum:XXX;SizeAsReceived:939;Count:18
Received: from mail2.politie.nl ([145.119.166.20]) by SNT004-MC6F1.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23143);
Tue, 17 Jan 2017 02:50:44 -0800
X-IronPort-AV: E=Sophos;i="5.33,244,1477954800";
d="scan'208,217";a="91517993"
From: No-Reply <no-reply@politie.nl>
Subject: Advies: wijzig uw wachtwoord
Thread-Topic: Advies: wijzig uw wachtwoord
Thread-Index: XX/GU3g==
Date: Tue, 17 Jan 2017 10:50:09 +0000
Message-ID: <XXXXXXXXXXXXXXXXXXXXXXXXXXXX@pdcssw6005.politie.local>
Accept-Language: nl-NL, en-US
Content-Language: nl-NL
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [10.0.72.3]
het trok mn aandacht omdat er geen sendto email adres vermeld staat, zou de politie een directe ingang hebben tot hotmail/outlook accounts ?

[Reactie gewijzigd door beperkdataniet op 18 januari 2017 14:06]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*