Chinese Apple-medewerkers verkochten klantgegevens uit intern systeem

Twintig Apple-medewerkers in China zijn opgepakt omdat ze persoonsgegevens van Apple-klanten op de zwarte markt doorverkochten. De medewerkers zouden de gegevens uit een intern systeem gehaald hebben

Het zou gaan om onder andere namen, telefoonnummers, Apple ID's. De medewerkers zouden bestanden voor prijzen tussen 10 en 180 yuan, ongeveer tussen 1,30 en 24 euro, per stuk verkocht hebben. In totaal zou met de handel een bedrag van 6,56 miljoen euro gemoeid zijn, bericht AFP, op basis van een mededeling van de politie van de provincie Zhejiang.

Een netwerk van tweeëntwintig personen zou betrokken zijn geweest bij de handel in persoonsgegevens, waaronder twintig medewerkers van Apple, werkzaam voor marketing en outsourcing. Niet bekend is of het om gegevens van alleen lokale burgers gaat of ook om die van klanten buiten China. In China vindt een levendige handel in persoonsgegevens plaats. Strengere waarborgen in een wet voor internetbeveiliging die op 1 juni in werking is getreden, moet de handel indammen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 08-06-2017 20:5273

08-06-2017 • 20:52

73 Linkedin

Lees meer

China verbiedt het gebruik van ongeautoriseerde vpn-diensten Nieuws van 23 januari 2017
China gaat miljarden euro's investeren in internettechnologie Nieuws van 22 januari 2017
Gerucht: Facebook ontwikkelt censuurtool om Chinese markt te mogen betreden Nieuws van 23 november 2016
Privacy Apple

Reacties (73)

-Moderatie-faq
73
68
35
4
1
21
Wijzig sortering
aval0ne
9 juni 2017 10:35
Misschien interessant om te melden dat het geen Apple medewerkers waren maar mensen die voor een distributiefirma in opdracht van Apple werkten. De titel is dus verkeerd van dit artikel.

Bron: https://www.engadget.com/...r-data/?sr_source=Twitter

[Reactie gewijzigd door aval0ne op 9 juni 2017 10:36]

Master_Egg
9 juni 2017 08:06
Emmzz... dat verklaart wellicht waarom ik 3-4 maanden geleden opeens een poging voor inloggen op mijn appleid had vanuit China. Dankzij 2 staps authenticatie gelukkig niet gelukt. Direct password aangepast. Alleen helaas geen logging kunnen vinden. Dacht dat het een glitch was.
Ascension
@Master_Egg9 juni 2017 12:01
Dat lijkt me stug, je wachtwoord zal heus niet plaintext of met een slechte hash zijn opgeslagen in de database en dus ook niet inzichtelijk zijn voor medewerkers. Dus ook zonder two factor authenticatie zal dit niet gelukt zijn ;-)
Master_Egg
@Ascension9 juni 2017 20:05
Sja, hoe valt anders te verklaren dat iemand vanuit China probeert in te loggen op mijn appleid?
Jerie
@Master_Egg17 juni 2017 01:15
Leaked pastebin ofzo. Sta je in HaveIBeenPowned?
donbaco
@Master_Egg9 juni 2017 12:16
Ik had precies hetzelfde. Je moet vervolgens via een popup op je telefoon toestaan dat het een legitieme inlogpoging was. Meteen password aangepast en melding bij Apple gemaakt.

@Ascension Het is een kleine moeite om email adressen tegen een database te houden. Er zijn er genoeg volgens mij: haveibeenpwned.com

edit: kleine toevoeging

[Reactie gewijzigd door donbaco op 9 juni 2017 12:19]

ikdedinges
8 juni 2017 21:28
Gek dat er zomaar iemand bij al die gegevens kan.
bbob
@ikdedinges8 juni 2017 21:41
Waarom gek, genoeg systeembeheerder, helpdesk medewerkers die zo bij dit soort gegevens kunnen komen. Bel naar een helpdesk en ze hebben je gegevens zo op hun scherm.

De vraag is eerder hoe kun je verhinderen dat ze deze gegevens massaal kunnen downloaden en mee kunnen nemen. Ik neem aan de ze niet per hand overschreven zijn.
CAPSLOCK2000
@bbob8 juni 2017 23:15
Waarom gek, genoeg systeembeheerder, helpdesk medewerkers die zo bij dit soort gegevens kunnen komen. Bel naar een helpdesk en ze hebben je gegevens zo op hun scherm.

De vraag is eerder hoe kun je verhinderen dat ze deze gegevens massaal kunnen downloaden en mee kunnen nemen. Ik neem aan de ze niet per hand overschreven zijn.
Volgens mij zijn de belangrijkste vragen:
1. Welke informatie is noodzakelijk om bij te houden?
Hoe minder je hebt, hoe minder er kan lekken.

2. Wie heeft welke informatie nodig?
Voor veel vragen en problemen is een klantnummer genoeg, of juist alleen het adres, de naam of het telefoonnummer van de klant. Los is dit soort informatie minder waard dan in combinatie. Niet iedereen hoeft altijd overal bij, zelfs als de informatie in principe wel beschikbaar is.
2a. Misschien mogelijk om met encrypted data te werken. Als (bv) gevens versleuteld in de database staan dan kan de systeembeheerder daar niks mee.
2b. Misschien is het mogelijk om de computer de klantgegevens op te laten nemen zodat de helpdeskmedewerker deze nooit te zien krijgt.

3. Hoe controleer je wat er is gebeurd?
In sommige functies heb je nu eenmaal brede toegang nodig en kun je niet per geval toestemming vragen. In dat soort gevallen moet je bijhouden wie wat doet zodat je achteraf kan controleren of mensen zich wel aan de regels houden.
Aetje
@CAPSLOCK20009 juni 2017 06:32
1: Een beheerder of persoon waarnaar de beheerdersfunctie gedelegeerd is moet bij ALLE gegevens kunnen, dit omdat bij fouten in het systeem alle gegevens gecorrigeerd moeten kunnen worden. Beheer vereist volledige toegang - of het is geen beheer.

2: Zie 1. Bij problemen met versleutelde gegevens kunnen waarden alleen gereset worden, niet gecorrigeerd. Dat werkt dus wel voor wachtwoorden, maar voor gebruikersgegevens of andere gegevensbronnen is het niet verstandig deze van de beheerder af te schermen. Doe je dat, dan zijn die gegevens niet meer te beheren, en bij elke fout direct verloren zonder recovery of correctiemogelijkheid.

3: Audit op leesfuncties in databases? Dan heb je een 2e database server nodig puur voor de audit tabel. In de meeste gevallen worden alleen toegangsfouten en soms schrijfacties in de audit opgenomen. Successvolle leesacties komen bij database applicaties zo veel voor dat deze auditten de tabel zo extreem groot maakt dat deze onbruikbaar wordt.
CAPSLOCK2000
@Aetje9 juni 2017 10:21
Ik zal het wel niet duidelijk hebben uitgelegd maar je begrijpt een paar dingen verkeerd.


1. Mijn eerste punt gaat over welke informatie er in eerste plaats verzameld wordt, dat is vaak meer dan noodzakelijk.
Voorbeeld: Als je een televisie koopt wordt er vaak om je geslacht gevraagd, dat is standaard onderdeel van veel formulieren. Maar mijn geslacht is niet van belang bij die aankoop. Het zou beter zijn om er niet om te vragen, dan kan het ook niet lekken als er een keer iets mis gaat.

2. Ten tweede ben ik het niet helemaal met je eens dat je niet kan beheren als je geen volledige toegang hebt. Je kan beheer namelijk ook verdelen. Niet iedereen hoeft alles tegelijk te beheren.
Ik beheer tientallen systemen waarbij een deel van het beheer, bijvoorbeeld een bepaalde applicatie, door iemand anders wordt gedaan. Zo beheer ik databaseservers maar heb ik geen toegang tot de database die er op draait. Zonder wachtwoord kom ik er niet in, en die database schrijft z'n gegevens encrypted weg. Ik kan wel bij de rauwe data maar daar heb ik niks aan.

Dat een wachtwoord alleen gereset kan worden is natuurlijk prima, maar dat terzijde, dat is de uitzondering.
Hoewel het nog een beetje toekomstmuziek is zijn er wel degelijk technieken om versleutelde data te bewerken zonder deze te hoeven decrypten, of door slechts een deel te decrypten. Zie bijvoorbeeld "polymorphe encryptie" of "pseudonieme data".
Maar dat was niet de kern van mijn punt twee. De kern is dat niet iedereen een high-end beheerder is die overal bij moet kunnen. De helpdeskmedewerker die jij noemde heeft bijvoorbeeld typisch aan een beperkte subset genoeg. Een helpdeskmedewerker hoeft bv alleen maar te weten of de klant betaald heeft, niet hoeveel, wanneer of van welke bankrekening.

3. Ik zie niet dat iedere individuele read-operatie gelogd hoeft te worden. Pas als data de database verlaat hoef je het te registeren. Verder hoef je die data niet voor eeuwige te bewaren, maar alleen lang genoeg om je audit-software te draaien die ongebruikelijke patronen in de data zoekt.
Ten slotte heb ik het niet over iedere database in de wereld, maar over databases met gevoelige data waar verschillende mensen toegang tot hebben.
cracking cloud
@CAPSLOCK20009 juni 2017 11:10
hmm. je hebt altijd dit soort mensen.Hoe ga je je daar tegen wapenen?
CAPSLOCK2000
@cracking cloud9 juni 2017 11:20
100% foolproof bestaat niet, onze afsluitdijk zal ook eens in de 10.000 jaar falen.
Maar laat "goed" niet de vijand van "perfect" zijn. Alle vormen van misbruik voorkomen is onmogelijk, maar je kan het wel moeilijk maken om grote hoeveelheden data ongemerkt te kopiëren. Je kan het kopiëren niet tegen gaan, maar als je medewerkers weten dat ze gepakt worden als ze 100 klanten op 1 dag bekijken ipv de gebruikelijke 3 dan zullen ze wel oppassen. Als het dan toch gebeurt dan kun je zo iemand snel op het matje roepen en maatregelen nemen om de schade te beperken.
Jeanpaul145
@Aetje9 juni 2017 09:38
Om even specifiek op punt 3 te reageren, dat klinkt anno 2017 niet als een goede reden meer. De hoofdreden daarvoor is dat het met deep learning in principe mogelijk moet zijn om die hoeveelheid sterk in te dammen door te classificeren op bv "verdachtheid", waarbij dat misschien zelf een feature is, of een proxy voor een collectie van basalere features.

Met zulk gereedschap in de hand kan je aan de huidige audit reports bijvoorbeeld een sectie met verdachte leespogingen toevoegen.

[Reactie gewijzigd door Jeanpaul145 op 9 juni 2017 09:39]

Het.Draakje
@Aetje9 juni 2017 12:05
1) Een beheerder moet niet bij alle gegevens kunnen komen. Juist om handmatige manipulatie te voorkomen. Zou toch mooi zijn als ik mijn eigen hypotheekgegevens even kan aanpassen. update bedrag with '1000' where debiteur = draakje'.

2) Correctiemogelijkheden moeten in de applicatie aangeboden worden. Niet daarbuiten. De applicatie kan prima voor versleuteling zorgen.

3) Inderdaad, alle actie's buiten de applicatie om dienen geaudit te zijn. Binnen de applicatie wordt dit uiteraard via de gangbare authorisatielevels afgevangen. Ik ga er even vanuit dat de applicatie je alleen de gegevens van één klant tegelijk laat zien en dat je geen select voor ruim 300.000 klanten kan doen. (6 1/2 miljoen / 24 eur)
littlewolvie
@Het.Draakje9 juni 2017 12:36
Het probleem ligt ook niet zozeer bij het feit dat het technisch niet mogelijk is, maar eerder bij nonchalance, gebrek aan kennis, gebrekkige analyse, te snelle ontwikkeling etc... Met een tool zoals Oracle Database Vault houd je zelfs je DBA buiten zonder hem in zijn werking te belemmeren. Ik geef nu het voorbeeld voor Oracle, maar er zullen wel alternatieve oplossingen zijn voor andere systemen.
Aetje
@bbob9 juni 2017 06:26
Niet. Zelfs al voorkom je een directe export, een autohotkey scriptje is zo geschreven door een enigzins techsavvy helpdeskertje. Beste manier om dit gedrag te voorkomen is het personeel aan de onderkant niet als slaafjes te behandelen - als hun baan hun meer waard is dan de inkomsten van dit soort praktijken, heb je dit probleem niet.
bbob
@Aetje9 juni 2017 09:33
Tja china slaafjes, onderbetaald denk even na en verkoop van info is voor die mensen leuke handel en bijverdienste.
gjmi
@bbob8 juni 2017 22:19
Je neemt aan, maar het zou heel goed met de hand overgeschreven kunnen zijn.
of screendumps maken van lijsten
moozzuzz
@bbob9 juni 2017 09:47
Chinese lonen zijn dirt-cheap, een screenshot of overschrijven, lijkt me zeker wél een mogelijkheid.
nils83
@ikdedinges8 juni 2017 21:48
Ik denk dat je niet goed beseft hoe bvb een helpdesk of telesales werkt.

Hoe wil je het bvb regelen wanneer je telefonisch een Mac wil kopen? Telkens opnieuw elke keer al je gegevens doorgeven? En hoe kan je voorkomen dat de medewerker dan al niet gewoon je gegevens opschrijft?
Quas
8 juni 2017 21:09
Dat zou om 5 miljoen persoonsgegevens gaan!
Ik denk dat Apple nog even het rechten systeem moet herzien. Ik denk niet dat het de bedoeling is dat medewerkers zo veel data in mogen kunnen zien.
Shark.Bait
@Quas9 juni 2017 00:49
6 Miljoen euro, daar kan zelfs de meest eerbare persoon corrupt van worden.
BStorm
@Shark.Bait9 juni 2017 03:14
Tenzij die persoon werkt of leeft in een bedrijf of cultuur waar hij/zij juist geëerd wordt om diens integriteit. Of als die persoon al schat hemeltje rijk was en zes luizige miljoentjes niet echt interessant vindt. Of..

Er is natuurlijk wel altijd een uitzondering: De persoon die zelfs zijn moeder verkoopt is meestal een rechtspersoon. Al gaat het dan in de regel meer om de eigen zonden en schulden met het badwater, dus 'dochter'-lief ;) :*)
Anoniem: 120539
@Shark.Bait9 juni 2017 11:14
Gelukkig niet; dan zou de wereld er nog wat meer verrot uit zien dan nu het geval is. Vergis je niet in bij hoeveel data de gemiddelde IT'er kan komen. En wat denk je van de persoon die met de backup's op pad moet?
Als iedereen te verleiden was tot crimineel handelen dan hadden we echt wel een probleem.
Vergeet niet dat je ook met 6 miljoen opbrengst vervolgens altijd op je tellen moet passen, en je al dat geld met je vrijheid moet bekopen; je zult vervolgens dus altijd achterom moeten blijven kijken.
M.a.w.: Ik ben ongetwijfeld niet eens de meest eerbare persoon, maar mij krijg je er in ieder geval niet mee omgekocht.
MiesvanderLippe
@Quas8 juni 2017 22:25
Als elke toerist je winkel in kan stappen en je een miljard mensen in je land heb wonen? Met steden van 30 miljoen man waar 5% een Apple product heeft laat staan gehad? Met rechten verspreid over 20 medewerkers met een rete zwaar contract?
sokolum01
8 juni 2017 20:59
Lekker goedkoop chinezen, komt je duur te staan...

Edit: nu de vraag of het ook gegevens betreft van gebruikers rest over de wereld.

Spot ontopic, -1, langleve het fanta(tische) mod systeem.

[Reactie gewijzigd door sokolum01 op 8 juni 2017 21:17]

dj__jg
@sokolum018 juni 2017 21:01
Komt het Apple duur te staan dat ze goedkope Chinezen inhuren wiens loon het niet waard is van dit soort bedragen af te blijven, of de Chinezen duur te staan dat ze de gegevens verkopen?
Soldaatje
@dj__jg8 juni 2017 22:15
Allebei lijkt me.
gjmi
@sokolum018 juni 2017 21:10
Tja,in China verkopen ze ook producten, moeten ze Amerikanen invliegen om in de winkels te gaan staan?
goliathje
@gjmi8 juni 2017 21:24
To make Amerika great again... :)
FuaZe
@goliathje8 juni 2017 22:49
Let maar op, anders bouwen die Chinezen gewoon een grote muur om hun land heen!
Jaer
@FuaZe8 juni 2017 23:24
Briljant ;)
Donstil
@FuaZe8 juni 2017 23:26
En laten ze Mexico ervoor betalen!
Rastapopoulos
@FuaZe9 juni 2017 00:13
_/-\o_
Origin64
@FuaZe9 juni 2017 15:36
ik denk dat trump zichzelf ook wel een beetje als een chinese keizer ziet, gezien hoe hij met die fbi directeur is omgegaan
stuiterveer
@sokolum018 juni 2017 21:05
In China zijn Apple-producten ook gewoon in de handel en zitten er ook gewoon vestigingen van de Apple Retail Store, support en noem maar op. Beetje snelle aanname wat je hebt gemaakt, het gaat hier niet om "goedkope krachten in het buitenland".
Wildfire
@stuiterveer9 juni 2017 08:09
In China zitten ook meerdere nep Apple winkels :P
stuiterveer
@Wildfire9 juni 2017 08:35
Apple-medewerkers in China
choi99
@sokolum018 juni 2017 22:06
Ik weet zeker dat wie in China direct voor Apple mag werken veel meer verdient dan de gemiddelde inwoner. De lonen van de betreffende medewerkers zijn zeker niet de reden geweest om te doen wat ze deden, maar simpelweg hebberigheid en gelegenheidscriminaliteit wat we in Nederland en wereldwijd kennen.
Origin64
@choi999 juni 2017 15:37
ook al krijgen professionele starcraft spelers in korea veel meer geld betaald dan hun leeftijdsgenoten in andere carrieres, als een matchfixer ze een jaarloon aanbiedt om 1 match te verliezen, komen er toch een aantal in de verleiding. dat is niet per se hebberigheid. kan ook gewoon jeugdige roekeloosheid zijn.
klonic
@sokolum018 juni 2017 22:31
Hoe ga je miljoenen producten verkopen in China zonder Chinezen voor je te laten werken? Sterker nog, de Chinese markt is erg beschermd, als je als bedrijf alleen geld komt halen ben je daar sowieso niet welkom! Je opmerking slaat dus gewoon helemaal nergens op en het lijkt erop dat je aan het trollen bent. Met een reactie van welgeteld 1 zin, zonder uitleg kan het ook makkelijk verkeerd geïnterpreteerd worden. Ik vermoed dat de -1 daar vandaan komt. Hoewel 0 ook redelijk is. Ik zal het niet beoordelen

[Reactie gewijzigd door klonic op 8 juni 2017 22:34]

Vlizzjeffrey
@sokolum018 juni 2017 21:30
hahahah waar moeten chinezen dan hun iphone kopen? in nederland?
klonic
@Vlizzjeffrey8 juni 2017 22:35
Nee! Amerikaanse werknemers moeten in China gaan werken, die zouden nooit onethisch met gegevens omgaan. 8)7
FreshMaker
@klonic9 juni 2017 12:10
Nee! Amerikaanse werknemers moeten in China gaan werken, die zouden nooit onethisch met gegevens omgaan. 8)7
Ook in Nederland wandelen onethische mensen rond hoor ... dat is niet perse land gebonden
klonic
@FreshMaker9 juni 2017 20:37
Eeeehm.... waarom zeg je dat? Ik heb nooit gezegd dat dat wel landgebonden is, noch heb ik gezegd dat in Nederland (of waar dan ook) geen onethische mensen zijn.
AaiFoon
@Vlizzjeffrey9 juni 2017 08:47
Je kan het toch gewoon via internet bestellen?
Bensimpel
8 juni 2017 22:08
Dit kan zo wel bij ieder bedrijf gebeuren. Naam, telefoonnummer en ID, heb ik hier ook toegang tot, vrij essentieel voor werkzaamheden. Enige wat apple zou kunnen doen is om strenger te screenen.

Maar wie weet hadden ze dat al gedaan en waren deze medewerkers schoon.
Fero
@Bensimpel8 juni 2017 23:32
Vooral als je bij een telefoonwinkel werkt, of een verzekeringsmaatschappij, of elk ander verkooppunt waar voor een klant een klant een bepaalde leeftijd voor nodig heeft en je deze om legitimatie kan vragen.

Toch wel gek dat "marketing" medewerkers bij deze gegevens kunnen, maar ja, Targeted Marketing voor bestaande klanten zal dan in dit geval weer een ding zijn.
MacD
@Bensimpel9 juni 2017 04:34
Internet dichtgooien op de thinclients, USB poorts dichtlijmen.
AaiFoon
@MacD9 juni 2017 08:45
Apple apparatuur heeft al steeds vaker geen USB-poorten meer, of slechts één die dan al in gebruik is.
mutley69
8 juni 2017 21:31
En hoe thermonucleair reageert Apple nu?
lololig
@mutley698 juni 2017 22:31
Waarschijnlijk niet, ze willen hier natuurlijk geen media aandacht over. Intern zullen er wel wat koppen rollen.
PdeBie
9 juni 2017 10:02
Zo zie je maar. Ook al geeft een bedrijf aan (in dit geval Apple, maar het kan iedereen zijn) niets met de gegevens te doen, via de zwarte markt kunnen je gegevens alsnog op straat komen te liggen.

Altijd dus ervoor zorgen dat je goede wachtwoorden en twee staps authenticatie gebruikt!
Origin64
9 juni 2017 15:06
waar zijn nu alle fanboys die zeggen dat apple geen gebruikersdata verzamelt? :)
aval0ne
@Origin649 juni 2017 15:31
Wie zegt dat? Het gaat erom wat je er mee doet. En daar zijn nogal wat verschillen met andere bedrijven.
Origin64
@aval0ne9 juni 2017 15:35
er zijn er genoeg, pas hier ook nog iemand gesproken die letterlijk beweerde dat Microsoft geen data over je verzamelt. gelukkig staat het in de TOS, dus dat gesprek was snel voorbij.

en het gaat helemaal niet alleen maar om wat je ermee doet, een bedrijf of overheid die allerlei data verzamelt en bewaart maar er niets mee doet, is nog steeds een risico, bijv. voor dit soort interne zaken, andere lekken, of hacks.
lololig
@Vlizzjeffrey8 juni 2017 22:32
Heeft dit artikel ook maar iets met iPhones te maken anders dan dat Apple de fabrikant van die apparaten is?
MiesvanderLippe
@Vlizzjeffrey8 juni 2017 22:27
Je mag m'n 6S zomaar een weekendje lenen hoor, kratje pils als je er wat uit krijgt 😉

Als je het gek vind dat mensen toegang hebben tot NAW gegevens en transactie logo heb je duidelijk nog nooit een website van dichtbij bekeken.
MacD
@MiesvanderLippe9 juni 2017 04:48
De politie in Tcson, VS wil dat wel ff proberen:

https://motherboard.vice....ell-extraction-usage-logs
Vlizzjeffrey
@MacD9 juni 2017 15:22
zie je, ze hebben er honderden gekraakt, zo veilig zijn die iPhones.
MiesvanderLippe
@MacD9 juni 2017 07:26
Ik ken de producten van Cellebrite maar die kunnen slechts omgaan met een 6. Met de introductie van de S kwam een hele hoop extra beveiliging kijken.
MacD
@MiesvanderLippe9 juni 2017 07:46
Staat toch een 6s plus bij ...
MiesvanderLippe
@FuaZe8 juni 2017 23:27
Ik weet wel redelijk wat ik publiek heb staan ja 😉

Daar heb ik in zekere zin controle over. Echter - ik heb ook het vertrouwen dat ik mijn telefoon rustig kan vergeten zonder dat iemand meer te weten komt behalve wie mij een bericht stuurt in de tijd dat het kost m'n Telegram te deactiveren - zelfs de preview staat uit.
Donstil
@FuaZe8 juni 2017 23:28
Whow dit is wel erg laag zeg.
Ultrapc
@FuaZe9 juni 2017 01:57
Feit blijft dat je totaal niet inging op waar het nou over ging: de veiligheid van de iPhones. De informatie die jij net van wat sociale media en google afgeplukt hebt heeft daar simpelweg niets mee te maken, dat is er immers niet 'gelekt' uit de iPhone en het had net zo goed met een Android of desnoods Windows 2000 pc op fb gegooid kunnen zijn.

Nu is het lief dat je dat kratje bier (Bavaria? Really?) afwijst hoor, maar je had het sowieso nog net even niet verdiend. De volgende keer je tijd steken in het kraken van tot nu toe onkraakbare encryptiemethodes, of als je het sociaal wilt aanpakken; het op afstand aflezen van toegangscodes of nog leuker, het ongemerkt stelen van een vingerafdruk en die namaken om de telefoon te ontgrendelen. Persoonlijk zou ik gaan voor de encryptiemethodes kraken, als het je lukt krijg je vast een hoop banen aangeboden ;) .
AaiFoon
@Ultrapc9 juni 2017 08:54
Met deze info zou je de herstel-vragen kunnen beantwoorden, dus al is die encryptie nog zo goed en sterk, via social media kun je de wachtwoorden of 'wachtwoord vergeten' vragen beantwoorden en alsnog binnen komen.
jimzz
@AaiFoon11 juni 2017 15:13
Beter vullen mensen antwoorden in op die vragen die niet waar zijn. Bijvoorbeeld: Wat is je meisjesnaam?
Antwoord: Henk.

Hier komt niemand achter via social media. Enige is dat je het wel zelf moet kunnen onthouden (met password managers is dit eenvoudiger zoals lastpass). Ik heb vroeger heel veel email adressen kunnen “kraken” (als je dat zo mag noemen) door enkel en alleen de beveiligingsvragen goed in te vullen. Dit was dan ook relatief eenvoudig, want de beveiligingsvragen worden door veel mensen serieus ingevuld.

Voorbeeld: ik probeer in te loggen op het hotmail account van Janine (fictieve naam). Ik klik op ww vergeten en krijg de beveiligingsvragen te zien. De eerste vraag is wat haar geboorteplaats is en de tweede is de naam van haar favoriete huisdier. Vervolgens neem ik gewoon contact op met deze persoon en ga een beetje een gesprek aan waarmee ik het gesprek langzaam naar die onderwerpen werk. Uiteindelijk stel ik de vragen waar ze geboren is en of ze huisdieren heeft. Zo ja? Wat voor huisdieren dan? En hebben ze ook een naam? Oh en hoe heten ze dan? En voila je bent binnen. Kind kan de was doen en hier is geen enkele technische kennis voor vereist.

Shocking, maar dit gebeurt echt heel vaak. En lang niet alle sites bieden 2FA aan en als ze dat wel hebben dan nog is het overgrote deel te “lui” geweest om dit in te schakelen, of ze weten niet hoe dat moet. Het is relatief eenvoudig om aan basic gegevens van mensen te komen, zoals email adressen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee