×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Exact Online reset alle wachtwoorden en sluit hack uit

Door , 111 reacties, submitter: nescafe

Softwarebedrijf Exact, dat onder meer boekhoudsoftware ontwikkelt, heeft de wachtwoorden van alle klanten opnieuw ingesteld. Volgens de organisatie is er geen sprake van een hack, maar hebben onbevoegden wachtwoorden van gebruikers bemachtigd.

In een waarschuwing op zijn website schrijft het bedrijf dat de wachtwoorden van enkele klanten zijn gebruikt op toegang te krijgen tot de bijbehorende accounts. "We willen benadrukken dat het hier niet gaat om een z.g. ‘hack’ van Exact Online. Er is toegang verkregen tot individuele accounts, nadat onbevoegde derden het wachtwoord van Exact Online gebruikers hebben bemachtigd", aldus het bedrijf.

Op welke manier de wachtwoorden zijn verkregen, maakt het bedrijf niet duidelijk. Tweakers was niet in staat een woordvoerder te bereiken. De mogelijkheid bestaat dat accounts toegankelijk waren door het hergebruiken van wachtwoorden die op een andere site zijn buitgemaakt. Een onderzoek naar de oorzaak is volgens het bedrijf in gang gezet.

Exact zegt met de getroffen gebruikers contact opgenomen te hebben. Er zouden geen aanwijzingen zijn dat er onbevoegde toegang bij andere accounts heeft plaatsgevonden. Het bedrijf raadt klanten aan om gebruik te maken van tweetrapsauthenticatie.

Door Sander van Voorst

Nieuwsredacteur

02-06-2017 • 17:33

111 Linkedin Google+

Submitter: nescafe

Reacties (111)

Wijzig sortering
Allemaal mensen die "waar rook is is vuur" roepen. Als er daadwerkelijk vuur was, dan was Exact verplicht om dit aan de betrokkenen te melden ivm de meldplicht datalekken. Dit klinkt meer als een voorzorgsmaatregel.
Allemaal mensen die "waar rook is is vuur" roepen.
Dat vind ik niet zo vreemd. Er zin 3 voor de hand liggende mogelijkheden:
1. Er is gehacked, of er zijn binnen het bedrijf gegevens gejat. In beide gevallen is Exact fout. In zo een geval reset je uit voorzorg alle accounts.
2. Je weet niet wat er aan de hand is, maar er worden ineens heel veel accounts misbruikt. Dat moet wel optie 1 zijn, maar je weet nog niet waarom. Dan reset je dus ook uit voorzorg alle accounts. En als je de oorzaak later vind moet je het misschien nog een keer doen.
3. Enkele gebruikers zijn onvoorzichtig geweest met hun account, er zijn er altijd wel een paar.. Dan heeft het geen zin alle andere gebruikers met een gedwongen reset lastig te vallen en doe je dat ook niet.

En het feit dat Exact niet wil of kan vertellen wat er gebeurt is spreekt boekdelen.
Wij op het werk gebruiken ook Exact Online met +/- 15 personen 1 inlog + wachtwoord en mogen het wachtwoord niet veranderen ( wachtwoord is zo simpel als het maar zijn kan (iets +123 erachter).

Dit allemaal vanwege kostenbesparing....
geen wachtwoordbeheerd zoals lastpass? oef. Ben ik ff blij dat dat bij ons verplicht is..
En hoe weet je met zekerheid het verschil tussen 2 en 3? Ik ken meer mensen die overal hetzelfde wachtwoord gebruiken dan mensen die tenminste een paar verschillende wachtwoorden gebruiken.
Of

4. Het wachtwoord van enkele gebruikers zijn buit gemaakt bij andere hacks, Exact is tot de conclusie gekomen dat meeste van hun gebruikers wachtwoorden hergebruiken, dat hun beveiliging tegen dictionary en bruteforce aanvallen niet sterk genoeg was en dus doen ze uit voor zorg de wachtwoorden van alle gebruikers resetten. Hierdoor dwingen ze hun gebruikers om een ander wachtwoord in te stellen, een sterker wachtwoord welke hopelijk niet meer voorkomt in een dictionary.

Hoe sterk is een dictionary aanval? Kijk zelf maar

https://www.youtube.com/watch?v=7U-RbOKanYs

/Edit: Rainbow ik weet maar zelfde dictionary kan ook worden gebruikt bij een account to reformated password lookup. Dus als je password bij de hack "mijnwachtwoord1945" was maar je wachtwoord op Exact is "mijnwachtwoord1234" dan kan je die dictionary gebruiken om hem alsnog te hacken.

[Reactie gewijzigd door SizzLorr op 3 juni 2017 02:07]

Wel grappig dat er gezegd wordt dat er wachtwoorden zijn bemachtigd maar het niet om een hack gaat. Dat kunnen dus maar 2 dingen betekenen:
- of ze hebben de wachtwoorden op papier en iemand heeft ze gejat
- of iemand in het bedrijf heeft de gegevens zelf ontfutselt

In alle andere gevallen (van inbraak op afstand) spreekt men gewoon van een hack of extreem slechte beveiliging.
Met dat het geen hack is kan het zijn dat ze bedoelen dat het geen hack bij hen is. En aangezien mensen wachtwoorden hergebruiken bij elke site zou dit dus gewoon een voorzorgsmaatregel kunnen zijn nadat er bepaalde meldingen zijn binnengekomen.
Logisch, maarre waarom moeten dan de wachtwoorden van iedereen worden gereset ?

Ik denk dat dit een voorzichtige berichtgeving is, en dat ze het zelf nog niet goed weten. Mogelijk komt er nog een volgend bericht onder vermelding datalek.
Zou op elke site halfjaarlijks moeten gebeuren imho.
Zou erg veel problemen voorkomen maar voor sommigen idd ook wel wat klein ongemak. Maar dat weegt nog altijd niet op tegen het voordeel wat de complete wereld zou hebben als echt elke site dit zou doen.. Misschien jaarlijks maar zeker niet minder.
Zou hou je ook beter bij wat je hebt en wat niet zodat je ook niet onbedoeld oude vergeten logins en sporen laat slingeren.
Half jaarlijks wachtwoorden resetten levert alleen maar frustraties bij klanten op. Veel vergeten wachtwoorden verzoeken.

Een sterk wachtwoord en mogelijkheid tot twee staps authenticatie zijn veel betere opties.
Onzin en pure speculatie het kan ook zijn dan met met gerichte phishing mails wachtwoorden zijn achterhaald.
Het zou niet de eerste keer waarop er een creatieve interpretatie wordt genomen van 'vuur'. De imago-schade wordt afgewogen tegen de risico's van het niet melden (als ze al dermate calculerend denken), en dan is er op eens een boel ruimte bij het concept 'lek', 'ingebroken' en de hoeveelheid mensen die er door zijn geraakt.

Zo lang men het niet weet zal er ook geen straf zijn, dus men moet maar gewoon even de lipjes op elkaar houden en wat er naar buitenkomt moet maar op de klant worden afgegeschoven...
Het is ook alleen van toepassing op de Nederlandse online versie, de Belgische werkt gewoon en heeft geenr eset nodig.
Zelfs als het al een datalek is, wat niet duidelijk wordt uit deze tekst, dan hebben ze tot 72 uur om dit te melden bij de autoriteit persoonsgegevens. Het kan dus best dat ze dat later nog doen.

Zie ook http://wetten.overheid.nl...12-16#Circulaire.divisie6

Daarnaast is er een heel stroomdiagram beschikbaar hier http://wetten.overheid.nl...12-16#Circulaire.divisie7 waarin je kan zien of er überhaupt iets aan de individuele getroffenen moet worden gemeld. Het is in (heel) veel gevallen niet nodig om dat te doen namelijk.
Je kan in Exact Online idd Tweestapsverificatie aanzetten, maar deze werkt voor mijn doen absoluut niet gebruiksvriendelijk. Bij elke login, moet je een App openen voor een code. Als je bv even een restart doet of de browser even sluit.

Het zou een stuk prettiger zijn, als het systeem waarmee je inlogt onthouden wordt en niet bij iedere login een extra code hoeft in te voeren. Ik heb het dus voorlopig maar uitgelaten (want volgens mij is dit nog niet veranderd), want mijn accountant zou hier ook niet blij mee zijn denk ik.


Stukje tekst waar naar verwezen wordt op de inlog pagina:
'Veelgestelde vragen bij mededeling om uw wachtwoord te herstellen

Gebruikte termen in dit document

Wachtwoord: u mag zelf een wachtwoord instellen, maar dit moet tenminste 6 tekens lang zijn en u mag het wachtwoord nog niet eerder hebben gebruikt. Kies altijd voor een sterk wachtwoord, met hoofdletters, leestekens, cijfers, en kleine letters."

Dat klopt dus niet. Ik kon gewoon dezelfde wachtwoord nogmaals instellen..
de meest gebruikersvriendelijke 2FA is waarbij je na instellen op je 2FA-device een JA/NEE vraag krijgt om toegang te verlenen en het hele code intikke feitelijk achter de schermen gebeurd.

maar 2FA is ook maar een deel van de beveiliging. als die QR code na een password aanpassing nog steeds bruikbaar is heeft het natuurlijk ook weinig zin, en vaak zijn timebased 2FA te omzeilen via een 2de email. als een hacker daar ook succesvol toegang tot heeft is het ook over en uit. en steeds vaker social engineren cyberdieven hun slachtoffers, dus voordat ze toeslaan weten ze precies welke gegevens ze moeten hebben.
Is het niet eens tijd dat tweetrapsauthenticatie bij dit soort diensten word afgedwongen? Ja, het is minder klantvriendelijk. En ja, je hebt meer uit te leggen als bedrijf. Maar het kan je ook een boel kopzorgen schelen. En iedereen is toch al min of meer bekend met het fenomeen dankzij internetbankieren of (althans dat hoop ik) door Digid.
regiobank, geen 2FA, rabobank geen 2FA, abn, geen 2FA .... dus nee, bij internetbankieren is het niet gebruikelijk
Rabobank geen 2FA? Ik heb toch een pincode en random reader + kaart nodig vanaf een bepaald bedrag?

Zelfde geld volgens mij voor ABN?

[Reactie gewijzigd door Muncher op 5 juni 2017 09:52]

die random reader kan iedereen gebruiken, dus dat is geen 2e factor. Je pincode is nog steeds de enige factor, hetzelfde geld voor alle andere banken die ik noemde (waar regiobank een losse digipas heeft ipv je bankpas gebruikt) dat zijn slechts de banken waar ik zelf ervaring mee heb.

Iemand anders die klant is bij rabobank, of op een andere manier een randomreader bemachtigd kan gewoon met je pincode internetbankieren.

[Reactie gewijzigd door aadje93 op 5 juni 2017 09:55]

En wat stop je in die random reader? Inderdaad, je pinpas! Dus het is iets wat je weet (pincode, 1ste factor) en iets wat je hebt (pinpas, 2de factor). :)
Sterker nog; die reader apparaatjes zijn (mits je die met USB mogelijkheid niet dom 'voor het gemak' aan je PC gaat hangen), de enige mogelijkheid voor een daadwerkelijk veilige, d.w.z. niet compromiteerbare 2FA.

Via USB aangesloten op PC en PC aangesloten op internet? Compromiteerbaar via malware.

2FA applicatie op je smartphone met internet?
Compromiteerbaar via malware.
Vaak nog makkelijker dan op een PC zelfs. Als er een massale exploit gevonden wordt is het raak, want veel mensen zijn afhankelijk van vendor-firmware waarbij het vaak maanden duurt voordat je een patch hebt, als je toestel al niet gedropped is.

SMS verificatie op je smartphone?
Compromiteerbaar, want zie hierboven.

SMS verificatie op een dumbphone?
Omslachtiger om te doen en kan niet plaatsvinden vanaf het andere eind van de wereld, maar SMS is vanuit de omgeving ook af te luisteren. Dus ook compromiteerbaar.


Die readers waren - en zijn nog steeds - het serieus beste idee wat de banken ooit qua digitale beveiliging gehad hebben. Het vereist dat het crypto-algoritme daadwerkelijk gekraakt wordt en dat is heel, heel moeilijk, of dat een dief en je pin-pas buit heeft gemaakt en je pincode weet. (En in dat geval ben je ook niet-digitaal de sjaak.)

[Reactie gewijzigd door R4gnax op 5 juni 2017 20:36]

Bij DigiD is het een optie en ook bij Internetbankieren is het volgens mij niet verplicht. Nooit gezien overigens dat ING 2FA aanbiedt zelfs.
Hoe log je in bij ING? Ik neem aan met een gebruikersnaam / rekeningnummer & wachtwoord /pincode. Dat is 1 factor. Krijg je dan geen bevestiging/aanvullende vraag op je telefoon? En hoe zit het met de TAN codes?
Hoe log je in bij ING? Ik neem aan met een gebruikersnaam / rekeningnummer & wachtwoord /pincode. Dat is 1 factor. Krijg je dan geen bevestiging/aanvullende vraag op je telefoon?
Nee.

Dit geeft je overigens een soort "read only" toegang; voor zo'n beetje elke handeling (in elk geval betaalopdrachten en adreswijzigingen) moet je vervolgens een TAN code invoeren. Hoe problematisch je het vindt dat iemand die je gebruikersnaam (dat is niet je rekeningnummer!) en wachtwoord kraakt in staat is om je saldo en transactieoverzicht in te zien zal per persoon verschillen. Ik weet zo snel even niet of er ergens een optie is (die je zelf aan kunt zetten) om een TAN code te vereisen voor inloggen, maar dit is in elk geval niet verplicht.
En hoe zit het met de TAN codes?
Dat zou ik inderdaad wel als tweede factor tellen, maar het systeem in ontworpen voordat smartphones populair werden; als je internetbankiert via de browser op je smartphone en daar ook het smsje ontvangt, dan kan één stuk malware alsnog een frauduleuze overboeking doen. Tenminste, een geldige opdracht daartoe geven. Ik heb geen flauw idee of (en zo ja, hoe goed) de ING server side nog kan (en mag!?) filteren om alsnog te weigeren zo'n overboeking uit te voeren.

[Reactie gewijzigd door robvanwijk op 2 juni 2017 18:25]

Voor het inloggen krijg je geen afzonderlijke vraag. Wel is de gebruikersnaam al een random reeks die je ooit hebt gekregen en niet zelf bedacht.
Met overmaken en dergelijke moet je vervolgens een tan-code gebruiken.
Dus ING gebruikt wel 2-factor. Duidelijk. Thanks!
uhh, ik log gewoon in met mn eigen bedachte naam.. Misschien dat dat pas later is ingevoerd..
Ik zit al heel lang bij ING, dus het is geen 'later ingevoerd' ding. Misschien een Postbank-ding? Aangezien dat mn vorige bank was.
Geen idee, toen ik er mee begon was het ook nog postbank. Ben al zo'n 30 jaar bij die bank.
Je kan bij ING je gebruikersnaam om in te loggen zelf veranderen overigens.

[Reactie gewijzigd door Devalno op 3 juni 2017 19:55]

Ik gebruik bij sommige diensten als Facebook en uplay Google auth. Het is inderdaad omslachtiger maar wanneer mijn wachtwoord op straat ligt door een hack, dan ben ik in ieder geval zeker dat niemand erin kan.
Zeker ben je dat nooit, maar het maakt het wel een heel stuk veiliger.
2FA voor internetbankieren? Vroeger misschien ja. Met die readers had je tenminste nog een fysieke pinpas nodig, maar nu met smartphone-apps gaan we steeds verder terug in de tijd door authenticatie weer af te bouwen en te vertrouwen op de telefoon (5-cijferige vaste codes, vingerafdruk), tot zelfs het compleet afschaffen van pincodes, via draadloze communicatie nog wel (contacloos betalen, brrrrr).
2FA voor internetbankieren? Vroeger misschien ja. Met die readers had je tenminste nog een fysieke pinpas nodig, maar nu met smartphone-apps gaan we steeds verder terug in de tijd door authenticatie weer af te bouwen en te vertrouwen op de telefoon (5-cijferige vaste codes, vingerafdruk), tot zelfs het compleet afschaffen van pincodes, via draadloze communicatie nog wel (contacloos betalen, brrrrr).
Ik ben wat dat betreft blij met banken als de Rabobank die er voor hebben gekozen het gebruiksproces van die losse readers te stroomlijnen en vergemakkelijken, maar ze wel aanhoudt

... en het daarnaast ook mogelijk maakt om al die andere zooi zoals het bankieren via de smartphone app of het contactloos betalen, simpelweg uit te zetten.

[Reactie gewijzigd door R4gnax op 2 juni 2017 19:43]

Bij ABN kan ik gelukkig nog een bankpas zonder nfc krijgen. Is wel zo veilig. In ieder geval een stuk veiliger dan het uit te kunnen zetten maar wel een chip op je kaart hebben die weet-ik-veel-wat aan draadloze communicatie achter m'n rug om uit kan voeren.

Zo moeilijk lijkt het me niet om een normale pinterminal met nfc om te bouwen met custom software die rogue-transacties verwerkt en er een sterke zender in te zetten die de range opschroeft van centimeters naar meters. Het is allang al bewezen dat je nfc veel verder kunt doen dan gebruikelijk en je hoeft transacties onder de ¤25 niet te bevestigen. Daar kom je pas achter als je weer eens je saldo checkt... Lijkt me best lucratief, een middagje in het winkelcentrum zitten en van iedereen die langs loopt ¤25 vangen.
Je kan met een man in de middle attack nog steeds met 2 factor authentication in jou bankaccount komen hoor.

Waarom online banking zo veilig is, is omdat als je erin zit... je nog een keer een slimme man in the middle attack moet doen die jou bank gegevens weer spiegelt naar een neppe website. Nu wil de hacker dus geld overmaken, maar hoe doe je dat dan? Je hebt iemand gehackt om erin te komen.... en nu loop je tegen een dood muur aan.

Hoe krijg je iemand zover JOU banknummer in te voeren? Je krijgt dan ook een heel ander nummer die je moet invoeren in je cardreader als dat je een ander banknummer zou doen. Dus werkt het stelen van geld niet. :)

Dus VOLKOMEN veilig betreft het jatten van geld, niet veilig qua het jatten van "persoonlijke gegevens" zoals hoeveel geld je op je bank account hebt staan. Daar kun je met een man in the middle attack met een fake inlog website waar je je reader response moet invullen nog steeds inkomen.

[Reactie gewijzigd door Texamicz op 3 juni 2017 10:37]

Kwalijk dat er blijkbaar met alleen een gebruikersnaam en wachtwoord op zo'n belangrijk iets ingelogd kan worden.... waarom geen verplichte TFA of certificaten?

Wel drastisch als ze alle accounts resetten omdat er van een paar klanten gegevens bemachtigd zijn (op welke manier dan ook)..... Aan de ene kant wel fijn dat ze het gelijk goed aanpakken maar aan de andere zet het je aan het denken wat er dan precies gebeurt is omdat dit niet verder toegelicht wordt.
Als het een accountantskantoor is wat duizenden klanten heeft in exact, is het sowieso al meer dan een paar klanten... Of sterker nog, een account van een support medewerker, die in álle licenties kan, lijkt me dit toch de meest verstandige oplossing.

En de keuze voor 2fa werkt prima.
Dat bedoel ik... ze geven aan dat het bij een paar klanten is en laten het minder ernstig klinken.... maar de actie die genomen is is wel erg groot in vergelijking.....

De keuze zou verplicht moeten zijn of met certificaten die user based geinstalleerd is zou al heel wat schelen.
Heel erg slecht eigenlijk van een bedrijf dat het ontkent dat je gehacked bent terwijl "onbevoegden wachtwoorden van gebruikers hebben bemachtigd", en vervolgens geen reactie wil geven wat er is gebeurd.

Dit soort bedrijven moeten eens geel goed nadenken waar ze mee bezig zijn.

Dat je gehacked kunt worden is een reel risico. Dat je het vervolgens ontkent en niet thuis geeft is wel het domste wat je kunt doen.

Dat het ook anders kan laat bijvoorbeeld een bedrijf als LastPass zien. Bij een incident direct open communiceren en transparantie bieden. Daarna werken aan een oplossing..

Zou Exact überhaupt wel eens van responsabel disclosure hebben gehoord ? Ik kan het op de site niet vinden....

[Reactie gewijzigd door Blommie01 op 2 juni 2017 17:50]

Exact hoeft zelf niet gehacked te zijn. Talloze mensen gebruiken wachtwoorden voor 20 verschillende diensten. Als een van die andere diensten gehacked wordt en je daarmee ook op Exact kunt inloggen, is er geen hack van Exact zelf.
En dan zullen ze vast uit voorzorg alle wachtwoorden van alle gebruikers resetten.

Dat geloof je toch zeker zelf niet.

Die hebben gewoon een flink probleem wat ze eigenlijk onder de pet wilden houden.
En dan zullen ze vast uit voorzorg alle wachtwoorden van alle gebruikers resetten.
Ja.

Stel je voor dat het een hack was zoals jij denkt te weten (zonder daarvoor ook maar de geringste aanleiding te hebben). Wat zou dan een goede reactie zijn... wachtwoorden resetten, inderdaad... Tada...

Bij de minste twijfel moet je kiezen voor de veiligheid van je systemen. Een wachtwoord reset is daarbij een van de eerste stappen. Niets aan de hand dus, prima reactie.
Op zich helemaal met je eens maar het is wel een "semi" paniekreactie geweest.

Als ze dit voorbereid en doordacht hadden was het wachtwoord reset systeem namelijk eerst getest. De eerste 1,5 uur kwam er de melding dat het wachtwoord al eerder gebruikt was ongeacht of dit zo was(zelf uitvoerig getest met de meest idote wachtwoorden waarvan ik durf te twijfelen of er ooit een gebruiker is geweest met dat wachtwoord.)
Dat was inderdaad een aanfluiting, maar had waarschijnlijk te maken met timeouts. De functionaliteit is flink beproefd natuurlijk.
Ze hadden niet alle mails tegelijkertijd moeten verzenden, of even moeten upscalen... de wachtwoord reset functie werd na die mail gewoon gedost :o Functie werkt gewoon maar omdat het zo traag ging... ww was al wel gewijzigd alleen de front-end had dat nog niet door. En zoveel tijd later, toen de font-end eindelijk reageerde, was je nieuwe ww al in gebruik (want dat was al wel doorgevoerd).
Kun je een ander bedrijf noemen dat ooit deze gedachtegang gebruikt heeft. Als 10 Opel eigenaars hun sleutels kwijt zijn ga je dan alle Opel sloten vervangen?
En dan zullen ze vast uit voorzorg alle wachtwoorden van alle gebruikers resetten.

Dat geloof je toch zeker zelf niet.
Bedrijven die een probleem correct afhandelen komen inderdaad niet zo snel in het nieuws, maar daarom betekent het nog niet dat het nooit gebeurt. Wanneer heb je voor het laatst op het nieuws gehoord dat een vliegtuig veilig, zonder problemen geland is? En toch geldt dat voor nagenoeg alle vluchten. Dat je in de media alleen hoort dat bedrijven zitten te stuntelen, prutsen en klungelen betekent nog niet dat het altijd zo gaat!
Die hebben gewoon een flink probleem wat ze eigenlijk onder de pet wilden houden.
Dat is een aanname die op geen enkel bekend feit is gebaseerd; dit is puur en alleen cynisme. Wees gerust, als je achteraf gezien toch gelijk krijgt, dan krijgen ze van een hele serie waakhonden enorm op hun kop, dus laten we ze voorlopig even het voordeel van de twijfel geven.
Als ze een probleem hadden dan waren ze verplicht om dat te melden.
Wie zegt dat ze dat niet gedaan hebben of nog gaan doen.

Als onbevoegden hebben ingelogd op meerdere accounts heb je al een datalek te pakken en zou je die formeel moeten melden. Of een boete betalen ;)

[Reactie gewijzigd door Blommie01 op 2 juni 2017 18:02]

Nee hoor, als iemand mijn wachtwoord weet te achterhalen en gewoon inlogt op mijn account heb IK een probleem, maar dan is er nog geen sprake van een datalek. Dan is er sprake van een beveiligingslek, en die verantwoordelijkheid in dit geval ligt dan bij de gebruiker, niet bij het product.

M.a.w. Als ik nu jou een PM stuur met mijn Facebook wachtwoord, en jij logt er op in. Is dan Facebook verplicht een datalek te melden? Lijkt me niet ;)

Ben het er verder wel mee eens dat het vreemd is dat ze ALLE wachtwoorden resetten als dit een enkel geval is, maar wss zijn er dan wachtwoorden bij een andere hack buitgemaakt en merkte ze dat 20% van de gebruikers ongeautoriseerde inlogs boekte. Vanuit dat oogpunt is het gewoon een verstandige zet.

[Reactie gewijzigd door Asitis op 2 juni 2017 18:08]

Zeker verstandig... Alleen niet zo slim om er niet open en transparant over te zijn
Tweakers was niet in staat een woordvoerder te bereiken, dat wil niet zeggen dat Exact er niet open en/of transparant over is. Als het iets zegt is het dat Tweakers te woord staan geen prioriteit had op dat moment, wat begrijpelijk is.

Ik denk dat het een hele slimme actie van Exact is geweest om uit voorzorg alle wachtwoorden te resetten.

Want ja, dat denk ik dat ze wel gedaan hebben. Dat kost hun echt niet veel moeite en eventueel verdere mogelijke slachtoffers zijn er op dat moment mee beschermd.
Ze communiceren toch duidelijk via hun website wat er is gebeurt, lijkt me open en duidelijk genoeg.
Ben het er verder wel mee eens dat het vreemd is dat ze ALLE wachtwoorden resetten als dit een enkel geval is, maar wss zijn er dan wachtwoorden bij een andere hack buitgemaakt en merkte ze dat 20% van de gebruikers ongeautoriseerde inlogs boekte. Vanuit dat oogpunt is het gewoon een verstandige zet.
Dat laatste. Als ze merken dat er wordt ingelogd vanaf onlogische plaatsen en eventueel contact hebben gezocht met die klanten, vind ik het netjes om dan z.s.m. alle ww's te resetten voordat er nog meer ingelogd wordt. Ze weten wellicht niet om hoeveel ww's het gaan die buit zijn gemaakt, maar dit zal niet bij 2 klanten gebeurt zijn....
Waarom zouden ze dat niet doen, stel dat er bijv. een phishing campagne gelopen heeft is dat niet onverstandig wanneer je ziet dat enkele gebruikers erin getrapt zijn, want er kunnen best klanten in getrapt zijn van wie nog niet vastgesteld is dat ze er inderdaad ingetrapt zijn. Als ze daadwerkelijk gehackt zijn moeten ze dat volgens mij sowieso naar buiten brengen ivm de wet datalekken.
Dan kunnen ze dat toch gewoon melden. Nu geven ze helemaal geen reactie wat leid tot speculatie.. Volgens mij moet je dat altijd proberen te voorkomen.

En een datalek hoef je niet te publiceren die moet je melden.
Misschien weten ze het gewoon niet. Het kan zijn dat een specifiek botnet alle wachtwoorden nu wel scraped.

Zij kunnen gewoon zien in hun logs dat er iemand inlogt met goede username/ww combi maar bijvoorbeeld een IP uit China of TOR terwijl dat niet eerder is gebeurd. Alarm gaat af, klant wordt gebeld, acties worden ondernomen.

Zo kan het ook zijn gebeurd. Dit zouden ze niet vertellen omdat het uitlegt hoe hun beveiliging in elkaar steekt.
Het kan natuurlijk zijn dat ze niet kunnen vaststellen hoeveel accounts er exact (pun intended) zijn geraakt. Op basis van een steekproef, kan je dan concluderen dat dit middel de beste manier is om zekerheid te geven. Better safe than sorry.
En jij weet dit omdat ?

Uh je goed bent dingen uit je duim te zuigen en aannames te doen waar geen bewijs voor is.
Klopt...

Het is vrijdag hè :)
Tja weekend geen tijd om je druk te maken of misschien al te lang in de zon gezeten dat je dingen gaat zien die er niet zijn.
Doe even normaal zeg!
- Wachtwoorden hoeven niet via een hack van van de Exact systemen te zijn buitgemaakt, @Blommie01 doet alsof dit een vaststaand feit is. Er is geen sprake van ontkenning, er is sprake van verduidelijking.
- Dat tweakers geen woordvoerder kan bereiken is niet hetzelfde als 'geen reactie willen geven'. Het is vrijdagmiddag na 17.00.
- Ze denken, gezien de WW reset, na over waar ze mee bezig zijn.

[Reactie gewijzigd door Cio op 2 juni 2017 18:29]

Zou je een beetje rustig aan kunnen doen en niet zo op de persoon willen spelen. Daar schieten we niet zo veel mee op.

Ik stel helemaal niets vast. Ik speculeer omdat ik het een bijzondere actie vind. Zoniet is het meer een paniek reactie en hebben ze geen idee wat er aan de hand is.

Als ze er echt over na hebben gedacht en toen besloten hebben alle wachtwoorden te resetten is er echt wel wat meer aan de hand dan toegang tot een paar accounts.

Maar het blijft speculeren ;)

[Reactie gewijzigd door Blommie01 op 2 juni 2017 18:21]

Zou je een beetje rustig aan kunnen doen en niet zo op de persoon willen spelen. Daar schieten we niet zo veel mee op. Ik stel helemaal niets vast. Ik speculeer omdat ik het een bijzondere actie vind. Zoniet ihet meer een paniek reactie en hebben ze geen idee wat er aan de hand is.
Je eigen woorden: "Heel erg slecht eigenlijk van een bedrijf dat het ontkent dat je gehacked bent terwijl "onbevoegden wachtwoorden van gebruikers hebben bemachtigd", en vervolgens geen reactie wil geven wat er is gebeurd."

Nu betrek IK die opmerking op de aanleiding tot dat nieuws maar het kan zijn dat je die opmerking gewoon in het algemeen hebt gedaan en je het niet over EXACT had. Zou kunnen. Maakt het niet veel beter maar het kan.

Maar zoals je zelf ook zei: "Dat geloof je toch zeker zelf niet. " Nee ik geloof dat je eerste post duidelijk zegt dat EXACT gehacked is. Als je dat dan gaat ontkennen maak je jezelf natuurlijk nogal kwetsbaar voor commentaar. Ik ben niet de enige die vind dat dat soort kneejerk reacties een goede discussie moeilijk maken.

Feit is dat EXACT zegt niet gehacked te zijn. Feit is dat dat inderdaad helemaal niet noodzakelijk is. Precies zoals het nieuwsbericht keurig uitlegt.
Edit: nvm. Het is duidelijk dat jouw bericht anders begrepen wordt dan bedoeld, net als dat mijn toon makkelijk verkeerd begrepen kan worden. Duidelijk is ook, dat het allemaal niet zo dramatisch is als je dacht.

[Reactie gewijzigd door Cio op 2 juni 2017 18:30]

Heel erg slecht eigenlijk van een bedrijf dat het ontkent dat je gehacked bent terwijl "onbevoegden wachtwoorden van gebruikers hebben bemachtigd", en vervolgens geen reactie wil geven wat er is gebeurd.
Dit is jou reactie en dat noem je speculeren, je schrijft gewoon dat ze ontkennen gehackt te zijn, dat is niet speculeren maar op de man in dit geval exact spelen.
Dit soort bedrijven moeten eens geel goed nadenken waar ze mee bezig zijn.
Misschien moet jij ook eerst eens nadenken voor je allerlei dingen uit je duim zuigt en gaat roepen waar ze mee bezig zijn.
Ze zijn er mee bezig dat ze uit voorzorg alle wachtwoorden resetten omdat ze niet weten hoeveel er misbruikt worden. Het kan goed zijn dat ze via een ander bedrijf dat toegang heeft buitgemaakt zijn.
Heel erg slecht eigenlijk van een bedrijf dat het ontkent dat je gehacked bent terwijl "onbevoegden wachtwoorden van gebruikers hebben bemachtigd", en vervolgens geen reactie wil geven wat er is gebeurd.
Is het idee wel eens bij je opgekomen dat ze zelf ook niet precies weten wat er is gebeurd? Op basis van de kennis van je eigen systemen kan je wel concluderen wat er niet gebeurd is. Als je wachtwoord hashing goed op orde is kan je sowieso al vrij makkelijk de conclusie trekken dat de gegevens niet van een hack afkomstig zijn. Bovendien zal het aantal accounts waarvan oneigenlijk gebruik wordt gemaakt ook wel een indicatie geven op welke manier deze wachtwoorden gelekt zijn, en waarschijnlijk is dat dus bij de gebruiker en niet bij Exact.
Dit soort bedrijven moeten eens geel goed nadenken waar ze mee bezig zijn.

Dat je gehacked kunt worden is een reel risico. Dat je het vervolgens ontkent en niet thuis geeft is wel het domste wat je kunt doen.

Dat het ook anders kan laat bijvoorbeeld een bedrijf als LastPass zien. Bij een incident direct open communiceren en transparantie bieden. Daarna werken aan een oplossing..
Je hele betoog gaat uit van een hack en een poging tot een cover up zonder enige bewijs daarvoor. En dan een ander beschuldigen van gebrek aan transparantie en open communicatie.
Je zet daar een behoorlijk nonsenseverhaal neer.

Een hack is het als er een technische flaw in je systeem zit en hackers (al weiger ik doorgaans dat hackers te noemen, het zijn scriptkiddies) dat exploiteren om misbruik te maken van accounts.

Als ik bij een exact-gebruiker thuis binnendring en bv. met een wapen die persoon forceer z'n gegevens te geven, dan is dat niet verwijtbaar richting Exact. Nu is dat een heel overtrokken gesteld voorbeeld, maar iets dergelijks is wél waar Exact hier duidelijk aan refereert.

Derden hebben legitieme gebruikers van exact hun login ontfrutseld. Dat is geen hack, heeft ook niets met een hack te maken, en je verhaal over ontkennen dat er gehacked is, is gewoon baarlijke nonsense.

Als blijkt dat er een groep is die exact gebruikers gechanteerd of anderszijds gegevens ontfrutseld hebben, is het gewoon een goede safety precaution om alle accounts te resetten. Omdat je, zeker bij bv. chantage, niet weet of er ook mensen zijn bij wie dit WEL gebeurd, maar dit NIET melden (omdat ze het nog niet weten, of omdat ze bedreigd worden, bijvoorbeeld).

Je suggereert hier heel duideijk dat exact doelbewust liegt om een hack te verbergen:
Heel erg slecht eigenlijk van een bedrijf dat het ontkent dat je gehacked bent terwijl
En ook in een later bericht doe je dat:
ls ze er echt over na hebben gedacht en toen besloten hebben alle wachtwoorden te resetten is er echt wel wat meer aan de hand dan toegang tot een paar accounts.
Hou daarmee op. Het is loepzuivere laster en stemmingmakerij, die nergens op gebaseerd is.

[Reactie gewijzigd door Tronald Dump op 2 juni 2017 18:39]

Ho, wacht even. Onbevoegden hebben ingelogd met het wachtwoord van diverse gebruikers, maar van een hack is geen spraken. Al voeren ze nu wel een gehele wachtwoord reset uit voor hun hele klanten database. Waarom zou je zoiets doen als er geen hack is?

De hele situatie komt maar wat vaagjes op mij over en dat is niet iets dat je wilt met een partij die je boekhouding voor je verzorgd (lees faciliteert).....
Exact (online) is een grote partij, met alle grote partijen is het zo dat er vroeger of later ingelogd wordt door gegevens die men elders ook gebruikt.
Ja, maar je gaat toch niet voor 1 of 2 man bij wie toevallig iemand de login gegevens heeft je hele klantenbase resetten?

edit: met iedereen hieronder. Waar het mij omgaat is dat het vaag is. Hebben we het hier over 10 personen waar het bij gebeurt is of 100. Kijk er zijn genoeg mogelijkheden om niet gehacked te zijn en dat mensen toch over de wachtwoorden beschikt, dat lijkt me logisch. Het bericht vind ik nu, maar dat is wellicht persoonlijk, te vaag geformuleerd.

[Reactie gewijzigd door Perkouw op 2 juni 2017 18:58]

Waarom niet? Als je merkt dat er actief gebruik wordt gemaakt van een andere gelekte lijst met emailadressen en wachtwoorden op jouw platform, al zijn het maar een paar gevonden gevallen, ga je toch niet afwachten omdat het er maar een paar zijn?

[Reactie gewijzigd door We Are Borg op 2 juni 2017 18:26]

Dan zou ik dat in de mail vermelden als dat de situatie is hadden ze het wel vermeld.
Stel iemand maakt een website die erg lijkt op Exact Online. Stel deze kopie website heeft een login pagina. Stel, honderden mensen komen per ongeluk op deze nèt-andere website door een spelfoutje in de URL, en voeren hun inloggegevens in.

Is Exact Online dan gehacked? Nee, zeker niet.
En toch heeft een derde partij wachtwoorden van honderden gebruikers.

Op dezelfde manier bestaan er nog tientallen andere manieren om wachtwoorden te verkrijgen zonder de website te hacken.

Als je niet weet op hoe veel verschillende manieren wachtwoorden gestolen kunnen worden, ga dan aub ook niet dit soort berichten plaatsen.

[Reactie gewijzigd door unilythe op 2 juni 2017 18:48]

Er zijn genoeg mogelijkheden, dat moge duidelijk zijn. Maar waarom Exact juist nu zo reageert begrijp ik niet. Ongetwijfeld persoonlijk, maar ik zou hier als klant zijnde zelf geen fijn gevoel bij hebben zonder ietwat meer details.

W.b.t. je laatste alinea's. No need om zo direct te reageren, laat staan als zo'n oneliner is die gebaseerd op is op aannames. ;)
Ik juist wel. Liever dit, dan dat ze wachten tot bij 150.000 klanten het wachtwoord via phishing is achterhaald (en alle data op straat ligt!!!) voordat ze dit doen. Dit zal heus niet gebeurt zijn omdat bij 2 klanten vanuit Oegiboegistan is ingelogd, maar het geeft mij geeft gevoel (hoewel volledig speculatie) dat ze hun systemen in de gaten houden, er zijn onregelmatigheden opgevallen, en voordat het echt grote ellende is, lossen ze het op deze manier op.
Wat een kortzichtige reactie zeg.
Wat dacht je van een eerder bij een ander dienst gestolen database die door iemand gekocht is? En daarvan wachtwoorden gebruikt om bij gebruikers van Exact in te loggen. Dan heb je het waarschijnlijk over veel meer dan 2 accounts en een risico dat er meer getroffen kunnen worden zolang je de reset niet uitvoert voor alle accounts...

Een hele simpele aanvalsvector die geen hack voor Exact inhoudt maar wel een noodzaak voor de reset van alle wachtwoorden.
Zelf verscheidene koppeling met Exact gemaakt te hebben middels de API kan ik beamen dat ze beveiliging wel serieus nemen. Hun Oauth implementatie is goed (iets wat je niet bij concurrenten vind). De documentatie zou echt wel een stuk beter mogen maar dat is een ander verhaal.

Als ze de zaken aan de 'voorkant' net zo goed op orde hebben als de achterkant denk ik dat je ze wel kan geloven op hun woord als ze zeggen niet gehackt te zijn. Maar je weet het nooit met zulke zaken, dat ze zelf geen hack hebben kunnen constateren betekend niet dat deze er ook niet geweest is.
Vaak werken verschillende teams aan de backend en de frontend. Dat de API goed beveiligd is zegt niets over hun andere interfaces.
Het is koffiedik kijken nu wat we hier doen, maar wat dat betreft neig ik toch ook wel om ze het voordeel van de twijfel te geven. Exact is niet van gisteren, bestaat al zeer lang. Daarnaast gaan er miljoenen in om geloof ik. En ook ik heb met de API gewerkt en heb dus e.e.a. kunnen bekijken en dan heb ik alles bij elkaar geen reden om te denken dat men de boel niet op orde heeft.
Dat wist ik niet! Bedankt voor de info.
Op zich goed om dan het zekere voor het onzekere te nemen.

Het is alleen niet goed dat de wachtwoord reset niet werkt. Inmiddels al vele bedrijven die niet bij hun financiële administratie kunnen. Bij een aantal bedrijven is alles gekoppeld. Van webshop tot productie.

Blijkt maar weer hoe kwetsbaar we zijn, ook als bedrijf zijnde.
Waarom niet een mail waarin staat binnen 24 uur wachtwoord wijzigen anders wordt hij automatisch gewijzigd. Zou naar mijn idee veel logischer zijn.
Ik kan uit zeer betrouwbare bron vermelden dat de informatie die hier staat juist is. Helaas mag en kan ik verder hier ook geen commentaar op geven.
Ja en dan welke informatie is juist. Dat er niets aan de hand is, of dat er meer achter zit dan nu wordt vermeld?
welke informatie is juist
Zoal ik het lees, de informatie dat Exact niet gehacked is en dit enkel een voorzorgsmaatregel betreft. De meest voor de hand liggende situaties zijn dan password reuse of een (mogelijk gerichte) phishing campagne. Met andere woorden (hoewel Exact het nooit zo zal verwoorden natuurlijk), waarschijnlijk hebben hun klanten zelf een fout gemaakt en ruimt Exact de rommel op.

Ik kan me niet voorstellen dat een account uit 2009 met zo'n bericht probeert te vertellen dat er achter de schermen een heleboel mis is. Dat zou klokkenluiden zijn en daarvoor maak je een nieuw (wegwerp-)account aan, dat doe je niet met je bestaande account.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*