Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Accountnamen en wachtwoorden dienst voor dna-analyse liggen op straat

Een dienst voor genealogie- en dna-onderzoek, MyHeritage, heeft een datalek. De e-mailadressen en wachtwoorden van 92 miljoen accounts zijn vorig jaar buitgemaakt. Dna-gegevens zijn niet ontvreemd.

MyHeritage kreeg maandag een melding dat er een bestand met gegevens van zijn gebruikers online stond op een private server. Na onderzoek vond de dienst inderdaad een bestand met daarin de e-mailadressen en wachtwoord-hashes van in totaal 92.283.889 gebruikers.

Het ging om alle gebruikers van de dienst die zich tot aan 16 oktober hadden ingeschreven. Op die dag wisten kwaadwillenden de systemen van MyHeritage binnen te dringen en de gegevens weg te sluizen. De dienst meldt dat er geen aanwijzingen zijn dat de gegevens zijn misbruikt.

Ook zegt de dienst dat de gegevens over stamboomonderzoek en dna-analyse op andere systemen dan die met de e-mailadressen staan en dat die extra beveiligd zijn. MyHeritage gelooft niet dat andere systemen binnengedrongen zijn.

De dienst adviseert gebruikers hun wachtwoorden te wijzigen en claimt tweetrapsauthenticatie versneld in te voeren. MyHeritage biedt stamboomonderzoek aan en levert tegen betaling een dna-kit voor het verzamelen van wangslijm.

Door Olaf van Miltenburg

NieuwscoŲrdinator

05-06-2018 • 19:32

127 Linkedin Google+

Submitter: deathgrunt

Reacties (127)

Wijzig sortering
De natte droom van Facebook... een DNA-profiel aanleggen van al hun gebruikers....

Tip - je kan bij de bekende DNA-services inloggen met je Facebook account...

Doe
...
Het
...
Niet.
Hier ben ik het mee eens. Probeer, waar mogelijk, een link met je FB profiel te vermijden als het kan bij dit soort DNA diensten. Als die geest eenmaal uit de fles is krijg je hem nooit meer terug. En 10 jaar geleden dacht men ook dat Facebook wel prima was, maar nu zie je ook dat dit soort partijen die alleen data van je hebben die je 'toch niet te verbergen hebt' op de een of andere manier toch liever niet jouw gegevens heeft. Ik kan er geen concreet gevaar aan verbinden, meer een soort advies van raadzaamheid.
Ik log nergens in via mijn Facebook tenzij het is voor een koppeling voor 1 of ander spelletje ofzo :-)

Zelfs voor mijn inschrijving op fora en andere sites gebruik ik gewoon een alias...en daarna een autoforward naar mijn eigen mail en komt er teveel meuk van dan gaat die gewoon op delete en je kan redelijk schoon beginnen.

En 1 wachtwoord gebruiken is zo common... daarom is 2FA ook zo prettig :-) jammer dat geen standaard eis is
Ik snap je redenering best wel, sommige services wil je niet aan je facebook gelinkt zien. Maar paswoorden zijn nog steeds een heel onveilige vorm van authenticatie (2FA verbetert de situatie, maar ik zie het niet zitten om dit voor elke webservice aan te zetten). Facebook login zorgt er juist voor dat het paswoord uit de loop genomen wordt. Je kan dan je facebook beveiligen met een heel sterk wachtwoord en 2FA en voor al de ondersteunde services van een uitstekende beveiliging genieten zonder gedoe met paswoordmanagers.

Buiten veiligheidsoverwegingen blijft privacy dan natuurlijk ook een belangrijk vraagstuk, want facebook weet zo nog steeds wanneer je op welk apparaat (,...) inlogt op een zekere service. En daar zullen vast ook wel lucratieve analyses van gemaakt kunnen worden.
Je bedoeld dus eigenlijk gewoon een password manager ipv Facebook...
Tot heden is 2FA praktisch gezien de enige manier die 99,99% werkt. Stel je Facebook wordt gehackt, dan kan je dus technisch gezien het wachtwoord ding gewoon skippen en los overal inloggen. Ik kan je momenteel best vertellen wat mijn Steam wachtwoord is... zonder mijn steamguard kom je niet ver :)
Dat geldt voor Authy en Google Authenticator ook waarvan die van Google zelfs met push berichten werkt tegenwoordig al is dat ook weer niet geheel userfriendly.
Facebook gebruikt browser fingerprinting volgens o.a. Apple. Dus...
Niet enkel volgens Apple, zij hebben het gisteren aangehaald dat ze het tegengaan. Het is algemeen bekend dat Facebook dit doet, overal waar je een Facebook knopje ziet, die van Facebook afkomstig is, is Facebook weer wat wijzer.
Eerlijk gezegd zie ik het nut niet in van het hebben van een DNA-profiel tegenover een persoonlijkheidsprofiel. We snappen amper wat van DNA, laat staan dat we er conclusies uit kunnen trekken die nuttig zijn voor targeted diensten.
Wat als ze deze DNA gegevens gaan correleren met FB profielen?
"Uit uw DNA blijkt dat u graag risico's neemt. We verhogen uw verzekering."....
..... Facebook.....

.... Facebook account
Facebook .. durf jij je nog daarmee te associŽren dan? Ik niet iig.

[Reactie gewijzigd door G_M_C op 5 juni 2018 22:59]

Heb je enig idee hoe zo’n authenticatie handshake werkt? Niet hea?
Ik had als gebruiker (van de stamboom functionaliteit, niet de DNA analyse) verwacht dat ik pro-actief een mail zou krijgen van ze om dit incident uit te leggen. Of in ieder geval een melding hierover wanneer ik weer inlog op de site. Geen van beiden. Erg slecht.
Met GDPR zou dit wel een verplichting zijn dacht ik?

Art. 34.1
When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.
https://gdpr-info.eu/art-34-gdpr/
Maar de inbraak heeft plaatsgevonden voor ingang van de gdpr.... dus valt hier nog buiten?
Meldplicht bestaat al sinds 2016:

https://autoriteitpersoon...ing/meldplicht-datalekken

"De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Europese privacywet die sinds 25 mei 2018 geldt, de Algemene verordening gegevensbescherming (AVG), blijft de meldplicht datalekken bestaan."
In Nederland zou dit sowieso al verplicht zijn door de meldplicht datalekken.
Als ik elders hetzelfde wachtwoord gebruik, heb ik dan een probleem als alleen de hashes zijn geroofd?
Dat ligt er maar net aan wat voor een hashing-methode er is gebruikt. De meeste MD5 hashes zijn nu al wel publiekelijk, met uitzondering van (zeer) complexe wachtwoorden. Met SHA-1 is dit iets minder, met SHA-2 en 3 is dit nog minder. Daarbij is het ook van belang of er gebruik is gemaakt van het salten van hashes.

Of ze te kraken zijn met behulp van computerkracht is alleen vrij 'eenvoudig' met MD5.

Daarom is het altijd aan te raden om voor elk account een ander wachtwoord te gebruiken (het liefst random gegenereerd zodat je na een foutje van jijzelf of het bedrijf, gemakkelijk een nieuw wachtwoord kan genereren).

[Reactie gewijzigd door AnonymousWP op 5 juni 2018 19:43]

SHA-algoritmen zijn niet echt veel langzamer te kraken dan MD5, omdat ook deze algoritmen zijn geoptimaliseerd voor snelheid. Om wachtwoorden echt goed te beveiligen moet je ze juist opslaan met een algoritme dat veel rekentijd (en liefst ook werkgeheugen) vereist, zoals PBKDF2, bcrypt, scrypt of Argon2.

Zie ook deze oude reactie van mij (enige dat er nieuw is is Argon2, een nieuwe wachtwoordhashingstandaard die nog beter is dan oudere algoritmen.)

En zie ook: How to securely hash passwords

[Reactie gewijzigd door xrf op 5 juni 2018 20:40]

Klopt, maar dat is ook logisch, aangezien bcrypt de hash standaard voorziet van een salt dus dan is het zo moeilijk/onmogelijk - zoals ik dus al eerder zei.
-

[Reactie gewijzigd door JustFogMaxi op 5 juni 2018 20:33]

Maar we weten ook dat bij een website van dit formaat er wel iets encrypt zal zijn, maar er waarschijnlijk geen diepgaand onderzoek naar is gedaan. Die kans lijkt mij minimaal.
Ik raad je aan om het stukje "Collissions and MD5" in de gelinkte security.stackexchange post eens te lezen. En zie ook dit: https://security.stackexchange.com/a/31871
Misschien een stomme vraag maar als ik een wachtwoord laat generen ergens, vervolgens vergeet ik het en dien ik mijn wachtwoord te veranderen door mijn oude in te voeren.

Hoe gaat dit dan? (Of hoe gaat dit binnen password managers zoals Lastpass?)
Is geen stomme vraag hoor, no worries ;).

Ligt er maar net aan wat jij ziet als 'ergens'. Als jij dit online doet bij een of andere website die in z'n privacy policy heeft staan dat zij hier hashes van opslaan (en misschien wel delen), dan maakt dat wel uit ja. Het beste is om je wachtwoord te genereren met bijvoorbeeld KeePass.

Of heb ik je vraag nu verkeerd begrepen?
Dat veranderen door je oude in te vullen gebeurt meestal op een plek in de settings waarvoor je al ingelogd moet zijn. Als je niet kan inloggen, zul je vaak een wachtwoord-reset-mogelijkheid hebben. LastPass heeft dat ook.

Als je nieuw bent bij LastPass, schrijf je je wachtwoord desnoods ergens op en bewaar je die een weekje op een veilige plek. I.c.m. 2-staps authenticatie kan iemand die dan toch per ongeluk je briefje vindt nog steeds niets beginnen zonder je telefoon.
Ik denk dat je er sowieso standaard vanuit moet gaan dat als je hash op straat ligt, je wachtwoord te achterhalen is. Zeker als het een hack betreft waarbij de precieze functie van hashen eventueel ook inzichtelijk is. Waardoor kwaadwillenden een rainbow table kunnen maken met de functie van de originele website of in principe makkelijker: de hash functie bruteforcen en de uitkomst telkens vergelijken met de hashes die je al hebt.
Afhankelijk van hoe goed de hash functie van de site is zal dit niet te doen zijn (of juist redelijk makkelijk zijn als het alleen maar MD5 is)...
Een degelijke hash methode met salt maakt het al knap vervelend omdat je dan per gebruiker een rainbow tabel moet maken, bruteforcen per account gaat vrijwel niemand doen tenzij het DigID oid is dus als je een degelijk algoritme met salt gebruikt wat aardig wat CPU kracht verbruikt dan zal een bruteforce eeuwen duren zelfs wanneer je hacker AWS of Azure capaciteit huurt en een rainbow tabel voor 1 account is ook nauwelijks winstgevend voor een hacker...
Je gaat voor salted passwords geen rainbow tables maken, juist omdat die maar 1 malig te gebruiken zijn. Bij salted passwords ga je juist bruteforcen. Rainbow table kost veel te veel opslagruimte voor 0 nut.

Daarnaast is bruteforcen afhankelijk van het gebruikte hashing algoritme erg goed te doen tot nauwelijk nuttig. Simpele salted md5 lach je je kapot om, dat kraakt mijn laptop nog. bcrypt, mwa, geef het maar op tenzij je een leuke reeks 1080ti's hebt staan en zelfs dan is het een vrij traag algoritme.
Dan ligt het wachtwoord misschien niet vandaag op straat, maar over 3 jaar als elke cracker tijd huurt op een quantumcomputer, is het een kwestie van minuten. De moraal van het verhaal is dus dat je geen 3 jaar moet wachten met je wachtwoord veranderen. In werkelijkheid is het wachtwoord simpelweg onmiddelijk gecompromitteerd omdat je niet weet hoe goed de hash en de kraakcapaciteit van de dief zijn.
Vergeet bovendien niet dat de algo's die vandaag nog niet gebroken zijn, dat met technologie over 2-3 jaar het misschien wel zijn.

De Linkedin Dump uit 2011 heeft in 2017 nog steeds zijn slachtoffers gemaakt.
Dat sowieso. Waren ze met quantum computers niet al een aardig eind op weg om sha256 in een paar minuten te kraken? Lukt ze nu nog niet maar scheelde maar 1 of 2 generaties quantum computers.
Dit zal groten deels afhankelijk zijn van het soort hash. Iets als md5 of base64 is zonder al te veel moeite te ontcijferen maar een sha1 of sha256 zijn al weer moeilijker.

Daarnaast zijn er ook een aantal andere methoden zoals voor PHP bijvoorbeeld:
bcrypt en argoni2. Bij gebruik van bcrypt weet ik uit ervaring dat een zelfde wachtwoord niet dezelfde uiteindelijke hash krijgt vanwege de salt. Dit in tegenstelling tot de eerder genoemde waar je inprincipe altijd dezelfde hash krijgt.
base64 is geen hash, dit is gewoon een andere manier van opslaan (encoding)
Ontcijferen van een hash is niet mogelijk aangezien het one-way functies zijn. De reden dat md5 minder veilig is, is omdat er een tal van rainbow tables online beschikbaar zijn. Hierdoor kan je veelvoorkomende wachtwoorden makkelijk vinden in md5 formaat.

[Reactie gewijzigd door Sammekl op 5 juni 2018 20:24]

Deels waar, maar de voornaamste reden dat md5 onveilig is, is omdat het algoritme inmiddels vrij zwak is en het direct vinden van collisions haalbaar is. Zie bijvoorbeeld deze post op de crypto Stack Exchange.
Klopt, maar wanneer het gaat over wachtwoorden zijn collisions niet de voornaamste zwakheid. Het gaat hierbij echt om de rainbow tables die beschikbaar zijn. De zwakheid met betrekking tot collisions speelt vooral een roll bij het vergelijken van checksums.
Base64 is dan ook geen (cryptografische) hash: het is geen fixed-size functie
Kort antwoord: Ja
Lang antwoord: Ja, maar nog niet. Hashes zijn bedoeld om niet terug te kunnen leiden naar het oorspronkelijke wachtwoord.
Ik vind meer dat hoe sterker de hash, hoe langer je de tijd hebt om je wachtwoord te veranderen waar deze identiek is op andere sites. Want als je wachtwoord, hash of niet, gehackt is, moet je er van uit gaan dat deze op straat ligt. Dit kan een week, een maand of een jaar duren maar het is niet een kwestie van of, maar een kwestie van wanneer!

Veel sites zeggen dat je elke zoveel maanden je wachtwoord moet veranderen. Gedachte hierachter is: als iemand die hash gehackt heeft, duurt het minstends zoveel maanden voor die hash terug is te leiden naar je echte wachtwoord. Als hun site onbewust gehackt is maar jij wisselt alsnog voor de hacker jouw wachtwoord kan kragen je eigen wachtwoord, dan ben je veilig.

[Reactie gewijzigd door Harry Horlepiep op 5 juni 2018 20:38]

Elke zoveel maanden is wel erg optimistisch.
Vaak is het dat ofwel een wachtwoord gehasht is met een algoritme dat vrij snel te bruteforcen is en dat een hacker dat dan gaat doen, ofwel het is zo goed gehasht dat het extreem lang duurt en dat de hacker er niet aan begint.

Moet wel erg waardevolle login data zijn als een hacker meerdere maanden zijn systeem laat draaien om een wachtwoord te vinden. De kosten-baten daarvan zijn niet snel positief.
Als ik elders hetzelfde wachtwoord gebruik, heb ik dan een probleem
Ja, dit is niet de enige website die gehackt is, of gaat worden en je hebt geen manier om te controleren of de opslag van wachtwoorden veilig is
Lijkt me wel ja. Een werkende userid/wachtwoord-combi zal vrijwel zeker ook op andere sites geprobeerd worden. Als de hacker dat niet zelf doet, kan hij de info ook nog (meermaals) doorverkopen.
KeePass 2 werkt zeer goed als PWDB.
Ben het enkele jaren geleden gaan gebruiken toen ik op een avond een wachtwoord maar niet meer kon herinneren (en recovery was geen optie).
Na het vullen van de PWDB had ik 103 verschillende wachtwoorden.
Ondertussen zijn het er meer dan 200 allemaal uniek.
Direct naar lastpass of een andere dienst gaan, en nooit meer dezelfde wachtwoorden gebruiken...
Wil je het risico lopen?
Waarom zou je een risico nemen? LastPass etc maakt het heel makkelijk om je passwords bij de belangrijkste sites te wijzigen.
Voor zover ik weet is er nog altijd geen massale inbraak geweest in LastPass en zijn er enkele kleinere problemen bugs gevonden die, mochten ze in het wild gebruikt worden, wel een probleem kunnen vormen.

Het voordeel van LastPass is dat je je wachtwoorden altijd en overal bij de hand hebt zonder dat je zelf moet zorgen voor een replicatie van je database tussen al je apparaten. Het maakt niet uit of ik op mijn laptop bezig ben, mijn computer, homecinema, telefoon, publieke computer, ... ik kan altijd aan mijn wachtwoorden aan en mijn database is altijd bijgewerkt.

[Reactie gewijzigd door Blokker_1999 op 5 juni 2018 22:30]

Als dat zo belangrijk is kun je de KeyPass database ergens op een toegankelijke plaats neerzetten. In mijn geval is dat vrij zinloos, er verandert zo weinig aan dat ik die paar keer dat er iets verandert de boel zelf wel overal heen copieer.
Geef mij eens even de voorbeelden van de succesvolle inbraken bij Lastpass dan.
Zeker waar dan ook wachtwoorden zijn buitgemaakt?

Voor zover ik weet zijn voor de dienst zelf de wachtwoorden al niet te achterhalen laat staan voor een inbreker.
Dat laatste lijkt te kloppen als ik de discussie op https://security.stackexc...-cant-access-my-passwords eens nalees. Er zijn wel verschillende foutenn in hun browser plugins gevonden maar browser plugins voor andere diensten aou ik ook niet aomaar vertrouwen.
Tip - zelf heb ik via https://www.23andme.com/ en https://www.ancestry.com/ een DNA-test aangevraagd (altijd leuk om te zien of je stiekem toch uit Afrika afkomstig bent...).

Maar ik heb daar 100% fake gegevens achtergelaten (name, location, gender, etc...).

Dat een site gehacked wordt, is ťťn - maar dat ze daarmee ook je DNA krijgen, is twee...

Echter, DNA op zich zelf zegt weinig - mits het niet herleidbaar is tot een persoon; vandaar dat ik John Doe heet, woon in Florida, vrouw ben en 102 jaar oud...

Je kan bij die diensten ook de raw-data van je DNA downloaden (testfile, 30mb schoon aan de haak) en dan zie je exact de opbouw van je eigen DNA (zonde meta-data niet traceerbaar tot een persoon).
30MB? Dat is toch niet alles?

Volgens het Human Genome Project is de complete dataset van een persoon 6,5GB. Of 550MB gecomprimeerd.

[Reactie gewijzigd door GekkePrutser op 5 juni 2018 19:51]

Mijn DNA was 16MB groot, maar ik heb dan ook een eenvoudig denkraam.

File Information

- The text file consists of lines of your genotype call data (your A's, T's, C's and G's).
- The downloaded file is 5 MB to 30 MB in size.

(info van 23andme).
23AndMe (en overigens alle andere bedrijven van hetzelfde kaliber) testen slechts een heel klein deel van je DNA. Net genoeg om er wat statistische modellen op los te laten en te vertellen aan welke enge ziektes je dood kan gaan.

Ze kunnen geen clone van je maken in een ondergronds laboratorium.

En sowieso kun je bij dit soort bedrijven aangeven dat je niet wilt dat jouw gegevens in hun systeem verwerkt worden, en kun je bij je aanvraag aangeven dat je het afgestane materiaal wilt laten vernietigen nadat de tests zijn uitgevoerd.
Klopt, alle gegevens zijn nadien verwijderd.

Overigens kan je bij 23AndMe geen ziektes opsporen als Europeaan (kan alleen als Amerikaan).

Niet dat je dat wil weten :p maar het kan dus sowieso niet - behalve als je Amerikaans bent.
Want... Ze kunnen alleen Amerikaanse ziektes opsporen? o_O Of is dit weer juridische flauwekul...

[Reactie gewijzigd door GekkePrutser op 5 juni 2018 21:15]

Of je gegevens verwijderd worden, is nog maar de vraag. NSA, AIVD en dergelijke, hebben veel interesse in dat soort informatie. In misschien zijn ze in de tussentijd doorverkocht aan derden.
Ze kunnen geen clone van je maken in een ondergronds laboratorium.
Shit.. Daar gaan mijn veroveringsplannen :D

Maar dat wist ik dus niet, dat het maar om een klein deel ging. Dat is wel jammer. Was wel cool geweest om alles te hebben.

[Reactie gewijzigd door GekkePrutser op 5 juni 2018 21:15]

Nee, dat is ook niet alles. Ze testen alleen de zaken die commercieel interessant/verkoopbaar zijn.
Alle tests doen die in het HGP project gedaan zijn voor een persoon is gewoon veel te duur.
En controleren of je benodigde genen hebt om botweefsel aan te maken zijn 'niet interessant' (je zou niet eens geboren worden). Gen informatie voor bepaalde afwijkingen zijn weer wel interessant.

[Reactie gewijzigd door biomass op 5 juni 2018 20:25]

Serieus? Doen mensen dat echt? vrijwillig DNA afstaan aan commerciŽle bedrijven?

En laat me raden je hebt er nog voor betaald ook? :+

Bril-jant. _/-\o_

En ze hebben de rest van je data ws ook allang hoor, er zijn bedrijven die enkel en alleen verschillende databases opkopen en deze linken aan elkaar en daarmee weten ze ineens wel alles van persoon x terwijl de data in de verschillende databases niet te linken zijn aan 1 persoon.

En alleen zodat je kan vertellen in de kroeg dat je uit Afrika komt uiteindelijk.

Er is echt geen ondergrens...
En dan kunnen ze een analyse doen op wat je mogelijk mankeert. Stel nu dat je een erfelijke aandoening hebt en over ?10 jaar vraagt de verzekeraar bij het aangaan van de verzekering een vragenlijst in te vullen met de vraag of je erfelijke aandoeningen hebt? Je kunt dan niet met droge ogen Neen invullen. Ontdekt men achteraf dat je dat wel wist, dan is dat o.a. reden voor ontbinding van de polis.

Iets dergelijks kwam afgelopen week ter sprake bij een collega die een kindje verwacht. Ga je het wel doen of niet. Wat is een goede afweging.
Dit soort heritage bedrijven gaat echt geen uitgebreide analyse doen op dna defecten. Die kijken alleen maar naar je roots in het dna. Die andere tests zijn veel te duur.
Deze is inderdaad twijfelachtig, maar het wordt wel gedaan
En alleen zodat je kan vertellen in de kroeg dat je uit Afrika komt uiteindelijk.

Er is echt geen ondergrens...
Sommige mensen kennen door omstandigheden hun ouders niet.

Na een simpele test - volledig anoniem - weet ik nu uit welk land ik afkomstig ben.

En ja, dat kostte 100 euro - een avond in de kroeg kost meer.
Holy shit jij zuipt veel :o
Niet veel, wel duur :p

Beetje Gold- of Blue Label kost je zo 1.750 euro.. afhankelijk van de club.
1750 voor een beetje Gold of Blue label? Dan doe je echt iets fout 8)7
[...]
Na een simpele test - volledig anoniem - weet ik nu uit welk land ik afkomstig ben.
Uit interesse: wat ben je daar nu beter van geworden? Je bent wie je bent, daar gaat het toch om?

Ik zou er in ieder geval geen moment over piekeren om mijn belangrijkste persoonsgegeven aan een commercieel bedrijf te overhandigen voor wat feitjes (of inschattingen) over je afkomst.
[...]


Uit interesse: wat ben je daar nu beter van geworden?
Moeder weet niet wie haar vader is - maar heeft wel vermoeden.

Moeder is dood.

Zoon doet DNA test, vermoeden wordt bevestigd via uitkomst moederr-bloedlijn DNA-test.

Zoon weet wie vader (opa) van moeder is.
Fait enough. Maar zijn “traditionele” DNA-tests daar niet doeltreffender voor dan via zo’n commerciele partij?
(altijd leuk om te zien of je stiekem toch uit Afrika afkomstig bent...)
Dat antwoord is sowieso ja, daar hoef je geen DNA test voor te doen. :D
Lol, I know :p

Maar je ziet ook je haplogroups (bv. K1a4 en R-M401) en dus weet je welke weg je voorouders hebben afgelegd.

Sowieso via Afrika, maar ook of ze de afslag naar Rusland of juist PerziŽ hebben genomen...
waar zie jij bij MyHeritageDNA je haplogroups?
Ik heb na veel bezwaren toch maar stiekem de test laten doen want ik wil juist mijn haplogroup weten.
Helaas is het enige wat ik zie dat ik 100% Noordwest-Europees ben. Was wel benieuwd of ik Noord Europese roots had, of west-europees... is dus noordwesteuropees. Viel te verwachten want zo'n vermoeden had ik al. Saksische/Deense roots.
En geen procentje joods DNA (er zit een jodin ergens in m'n familielijn) en ook geen Spaanse restjes.

Ik heb wel de excel-sheet met de nummertjes maar daar kan ik weinig mee.
Waar vind ik m'n haplogroup bij MyHeritageDNA? :P
Wat is joods DNA dan? Volgens mij is het jodendom een religie. En hopelijk is religie niet in DNA gecodeerd.
ooit van etnische joden gehoord? Die bestaan, al zal niet elke moslim of neo-nazi het met je eens zijn maar toch is het wel herkenbaar qua DNA.

https://nl.wikipedia.org/wiki/Asjkenazische_Joden

https://en.wikipedia.org/wiki/Genetic_studies_on_Jews
Maar ik heb daar 100% fake gegevens achtergelaten (name, location, gender, etc...).
Om je geslacht te bepalen uit je DNA is een microscoop al genoeg, daar heb je geen geavanceerd onderzoek voor nodig. En aan de lengte van je telomeren kan men je leeftijd wel ongeveer bepalen.

[Reactie gewijzigd door Morgan4321 op 5 juni 2018 20:42]

Zover ik kan lezen bij anderen liggen alleen de e-mail adressen op straat. Passwords zijn gehashed met salt dus niet terug te leiden.
Daar vergis je je in, of je moet de bron hebben. Als ze gesalt zijn is dit inderdaad een stuk lastiger, of bijna onmogelijk. Echter wordt er in de blog niet gemeld of de hashes ook salted zijn of niet.
https://twitter.com/brian.../1003991846656323584?s=21
Ik had het hier vandaan, lees de thread. Daarnaast hebben ze het in de blog ook over non-reversable hash. Ik dacht misschien 1+1=2. Wellicht te snel hoor.
Hash is (volgens mij) altijd non-reversable. Anders is het een ge-encrypte string.
Klinkt wel alsof ze gesalt waren:

MyHeritage does not store user passwords, but rather a one-way hash of each password, in which the hash key differs for each customer.
De eerst volgende ICTer die beweerd dat digitaal opslaan van gegevens op een systeem dat aan het internet hangt veilig is... die mag van mij part een knal voor z'n kop krijgen zodat er misschien wat verstand in geramd wordt.

Er liggen namelijk inmiddels al meer gegevens van mensen op straat door dit soort akkefietjes dan dat er ooit op straat is gekomen is gekomen door fysieke inbraken in de tijd van de papieren dossiers.

Als ik een bedrijf zou hebben dan zou ik ook zeer zeker niet meer digitaal wensen te werken. Het is gewoon te slecht te beveiligen zoals blijkt voor de zoveelste keer.
Hoeveel procent van alle data is gelekt en hoeveel is gewoon veilig opgeslagen? In de media, en dus ook op deze site, horen we alleen maar van datalekken. Alles wat goed gaat komt niet in het nieuws. Als op de voorpagina dagelijks alle verkeersongelukken zouden worden gepubliceerd zou niemand zn huis meer uit durven.
Hoeveel van wat nog veilig opgeslagen is heeft nog geen echte aanval mogen ontvangen, dat kan je je dan ook af gaan vragen natuurlijk.

Het gaat dan ook niet om alle data, maar data die onder andere persoonsgebonden is of wat ook nog kan de bedrijfsgevoelige data.

Dat wat jij veilig wil houden, dat ga je niet te grabbel gooien.
Als we het dan over het verkeer hebben. Als jij je kind (welke de verkeersregels niet (goed) kent) veilig wil houden, dan laat jij deze niet langs een drukke doorgangsweg loslopen ook al heb jij er je ogen op. Op een onbewaakt moment als jij er toevallig net even niet op verdacht bent kan er bijvoorbeeld wat gebeuren.
Dat doe je dus niet, dat is te gevaarlijk. Veilig in de eigen achtertuin met het hek op slot is geen punt, want niets kan eruit of erin. Zo zou het dus ook met data moeten zijn.

Maar door te zeggen van "het er is nog zoveel 'veilig opgeslagen'" of lees gewoon "nog niet buit gemaakt" wil je jezelf en je eigen genomen risico's alleen maar goed praten.
Zo kan je ook lullen over dat kind. Ach, hoeveel kinderen lopen los langs een drukke doorgangsweg en zijn nog niet doodgereden? Je hoort alleen maar van de ongelukken waarbij een kind is doodgereden.
Sorry, maar normaal zou je dan ook zeggen van "waarom gaat er bij ouders die hun kinderen langs zo'n drukke weg los laten geen lichtje gaat branden? Zulke risico's zijn toch niet verantwoord?". Zo vraag ik mij dus af waarom er bij ICT-ers nog geen lichtje gaat branden.
Het zijn ook meestal geen it-ers die dat beweren.
Maar politici en marketeers die graag iets willen doordrukken
Klopt inderdaad, maar als it-er moet je jouw eigen waar toch ook verkopen? Dan moet je in je eigen product geloven. Bla bla bla.
Okť, ze weten het ook best wel maar publiekelijk en tegen bazen onzin verkopen om eigen gewin zit er ook bij. Maar als je dat gaat doen, dan krijg je ook dat er onzin verkocht word dat iets veilig is terwijl dat niet zo is. De baas of contact van een bedrijf die dan niets van IT snapt stinkt er dan in, en uiteindelijk krijg je met de zoveelste hack stront aan de knikker.
Met andere woorden de verkoop word boven het verstand gesteld naar mijn mening.
Die verkopers zijn dus geen it-ers maar marketeers of sales mensen.
De it afdeling waarschuwt wel, maar de snelle jongens hebben een vlottere babbel en overtuigen het management dat het best wel mee valt en dat ze NU moeten toeslaan voor maximale winst. Anders is de concurrentie ze voor
Nou, dat verschilt per bedrijf. Sommige bedrijven wensen namelijk ook van de it-er dat hij de marketing taken op zich neemt. Denk dan onder andere aan de grote detacheerders die it-ers in dienst hebben met marketing capaciteit of hen opleiden om de boel te verkopen. Grote detacheerders die vaak zaken doen met overheden, bankwezen, waterschap, en meer van dat soort kritische plekken waar beveiliging toch op nummer 1 moet staan.

Maar inderdaad, het is niet allemaal gelijk. Uiteindelijk is het wel het ICT bedrijf die producten en services aanlevert die eigenlijk een belangenverstrengeling heeft. Aan de ene kant wenst men zoveel mogelijk te verkopen, maar aan de andere kant mag het ook dus niet teveel kosten. Juist beveiliging, backup en redundancy zijn vaak erg dure zaken. Dus daar word dan gouw op ingeleverd.

Kort maar krachtig komt het dus op de vraag neer of het dan ook wel zo goed is om jouw bedrijf z'n IT infrastructuur over te laten aan derden? Immers heeft een derde partij andere belangen dan dat jij hebt, en die derde partij werkt in principe alleen maar voor eigen gewin en in mindere mate voor het belang van de klant. Terwijl een eigen IT afdeling binnen je bedrijf puur voor jouw belangen werkt.
Alles met pen en papier vervaardigd is ook te jatten hoor. ;)
Functionaliteit vs veiligheid is nu eenmaal compromissen sluiten, helaas zijn die zelden optimaal.
Dat betekent niet dat het niet verbeterd kan worden overigens, absoluut niet. Maar zo radicaal om dan maar te zeggen "dan moet internet maar stoppen" is een tikje overdreven vind ik zelf.
Uiteraard! Ik beweer ook niet dat je papier niet kan jatten, en data verlies door brand of waterschade is ook geen vreemde uiteraard. ;)

Echter is het ook zo dat als jouw data aan het internet hangt je jezelf open stelt aan meer dieven (hackers) dan wanneer jij je data in een gebouw hebt, en jij je dan dus alleen te doen hebt met lokale dieven in plaats van dus wereldwijd.
Hacken is dan ook makkelijker wereldwijd te doen vanuit de luie stoel, dan wanneer een dief zichzelf naar een gebouw moet bewegen om daar vervolgens te werk te gaan.

Ook heb ik niet gezegd van het internet moet stoppen. Je verdraaid mijn woorden, vriend. ;)
Ik heb alleen gezegd van dat ik niet meer digitaal zou wensen te werken, omdat dus het veiligheidsniveau eigenlijk dusdanig laag is dat de veiligheid van data op papier gewoon beter te beheersen is.

Mijn onderliggende insteek is dus ook aan de ICT-er en in principe ook aan bedrijven van... moet je alles wel aan het internet willen hangen? Zeker iets zo persoonlijks als bijvoorbeeld DNA gegevens, maar ook inlog gegevens omdat mensen haast nooit per site andere login gegevens gebruiken.

Wat dat betreft een lof aan het CJIB welke nog altijd via de post werkt, ondanks dat er vaak scam mailtjes rondgaan van dat je een boete zou hebben. Dus daar loop je tot op heden tenminste nog geen risico's mee. ;)

Functionaliteit ten opzichte van veiligheid? Er zou geen compromis op veiligheid genomen moeten worden als het gaat om erg persoonlijke data. Maar het gemakzucht van de mensen kent geen grenzen, en privacy en gegevens bescherming is daaraan erg ondergeschikt.
Uiteraard, maar dat is inherent aan het internet eigenlijk.
Kijk, die dienst bouwt als ik anderen mag geloven blijkbaar een profiel van je op om te kijken wie je voorvaderen zijn en wie mogelijk of zeker weten familie zijn. Als mensen dat willen inzien kan je twee dingen doen:
- Enkel op papier
- Een digitale dienst

Kennelijk is er naar dat tweede vraag, ook omdat de dienst blijkbaar door blijft zoeken over langere termijn. Mensen willen die diensten dan met de huidige technologie uiteraard real-time inzien. Dan moet er uiteindelijk toch ergens een koppeling gemaakt worden en moeten die gegevens inzichtelijk gemaakt worden, daar kom je niet omheen tenzij je toch weer kiest voor de papieren versie. In hoeverre mensen het dan nog interessant vinden of dat uberhaupt te sustainen valt met het oog op welke dienst ze willen leveren is dan natuurlijk een ander vraagstuk, maar ik denk niet dat het op papier met steeds maar updates gaat werken.

Niet dat ik er gebruik van ga maken overigens, no way. Maar als mensen ervoor kiezen dat wel te doen, sja... Dan is zo'n koppeling nodig. En dan moet je maar hopen dat ze het veilig houden. Tot zover LIJKT dat geslaagd m.b.t. de DNA-gegevens zelf maar ik zou het doodeng vinden als klant.
Wat dat betreft een lof aan het CJIB welke nog altijd via de post werkt, ondanks dat er vaak scam mailtjes rondgaan van dat je een boete zou hebben. Dus daar loop je tot op heden tenminste nog geen risico's mee. ;)
Ja maar dat zijn zelf de grootste oplichters met die §9 administratiekosten voor een vrijwel volledig geautomatiseerd traject, dus die kunnen het makkelijk lijden om te waarschuwen voor "alle mails vanuit CJIB". :Y)

Nee dat is makkelijk roepen natuurlijk en ook niet bepaald waar, maar ik kon het niet laten. :P
Functionaliteit ten opzichte van veiligheid? Er zou geen compromis op veiligheid genomen moeten worden als het gaat om erg persoonlijke data. Maar het gemakzucht van de mensen kent geen grenzen, en privacy en gegevens bescherming is daaraan erg ondergeschikt.
Je kan vaak niet anders dan compromissen sluiten wil je functionaliteit creŽren. :)
Net als de optie om in een webshop je verzendadres op te slaan of te wijzigen. Dat zijn functies die mensen willen hebben. Dat kan je zo goed mogelijk beveiligen, maar er moet toch echt een compromis gesloten worden om het mogelijk te maken. Zo niet dan gaat veel gebruiksgemak verloren.

Het belangrijkste is dan om een balans te vinden die zo veilig mogelijk ťn functioneel is. Dus er wordt wel een bepaalde functie geboden, maar die is op allerlei lagen beveiligd. Natuurlijk zou het nog veel veiliger kunnen, maar dan gaat de dienst heel moeilijk werken. Dat heeft niet enkel met gemakzucht te maken, maar ook gewoon met redelijkheid. :)

Het slaat vaak door hoor met de gemakzucht van mensen, begrijp me niet verkeerd: daar weet ik alles van en ik zie het ook hier vaak gebeuren en maak mezelf er soms ook schuldig aan.
Ik snap je punt dus wel, ik vind hem enkel iets te overdreven radicaal en iets dat mensen voor zichzelf moeten bepalen. :)

[Reactie gewijzigd door WhatsappHack op 6 juni 2018 04:57]

Wat een hoop gebruikers eigenlijk! Had niet gedacht dat zoveel mensen daar gebruik van zouden maken. Dat is bijna 6x de Nederlandse bevolking!
Om ze te verdedigen, het is echt een super leuke service (met een matige IT afdeling).
DNA-testen (ik heb er zelf 2 gedaan, en kan tot +/- 300.000 jaar terug in de tijd mijn DNA (vader- en moeder) bloedlijn volgen), zijn erg populair en betaalbaar (100 euro, +/-).

In Amerika is het bv. een perfect verjaardags-cadeau - omdat natuurlijk geen enkele Amerikaan echt Amerikaan is (bv. de natives).

De rest is Europees of Afrikaans, qua DNA - en dan is het erg interessant om te zien dat je voorouders rond 1820 uit Duitsland of Zimbabwe kwamen...
Hm grappig! Nooit van gehoord. Ik zal het eens proberen. Nadat ze hun beveiliging gefixt hebben natuurlijk ;)
De natives kwamen waarschijnlijk uit Azie, maar er schinnen verschillende migratiestromen geweest te zijn. Of je voorouders uit 1820 uit Afrika of Duitsland kwamen is gewoonlijk wel met het blote oog te zien.
En dan doe je 2 van die testen en zegt de ene test dat er een grote invloed uit Europa aanwezig is terwijl de andere je net een geschiedenis in AziŽ laat zien. Sta je dan met je second opinion. Durf je dan nog een derde te nemen met het risico dat er Afrika uitkomt?
dat ligt er dus maar net aan welke stukjes DNA je bekijkt.
Als man kan je zowel het X-deel (van de moeder) en het Y-deel (van de vader) proberen te herleiden en dan kan je twee verschillende uitkomsten krijgen.
De e-mailadressen en wachtwoorden van 92 miljoen accounts zijn vorig jaar buitgemaakt. Dna-gegevens zijn niet ontvreemd.

MyHeritage kreeg maandag een melding dat er een bestand met gegevens van zijn gebruikers online stond op een private server. Na onderzoek vond de dienst inderdaad een bestand met daarin de e-mailadressen en wachtwoord-hashes van in totaal 92.283.889 gebruikers.
Ze hebben een jaar lang toegang gehad zonder opgemerkt te worden, maar ze hebben zeker geen dna gegevens ontvreemd! Dit hebben wij binnen een dag uitgezocht.

Of dit is inderdaad erg goed gescheiden gebleven.. Of het wordt een Yahoo/Equifax 2.0
Wordt die DNA-data niet verwijderd dan na het onderzoek is gedaan en je de resultaten hebt? oO Leip.
Nee, het idee is juist dat hoe meer mensen hun dna achterlaten, hoe meer matches er uiteindelijk gemaakt kunnen worden.
A....ha. En dat wordt ook niet geanonimiseerd ofzo?
Dat is echt mega creepy. Ieder z'n ding hoor, daar niet van - ik zou het persoonlijk echt niet willen.
Gewoon eenmalig data opvragen zou nog kunnen; maar dan einde verhaal en vernietigen van dat spul.
Dat weet ik niet. Lijkt me niet, my heritage is letterlijk om een stamboom te genereren, en eventuele familie op te sporen, ook uit het verleden. Dus zullen vast bepaalde referentiepunten per familie ofzo zijn, en pas bij een mogelijke match dieper graven?

Wel een interessante vraag..
Anonimisatie is tegenwoordig ook een marketing kreet. Ze kunnen bijv. hashes opslaan van je voor- en achternaam, het vervolgens "anoniem" noemen, verkopen aan derden die dan vervolgens de hashes gaan matchen met hun eigen databases. Dit geintje wou Facebook uithalen met medische data.
Dat mag nu toch niet meer en dan moeten ze het pseudonymiseren noemen?
het fysieke DNA wordt vernietigd, heb je natuurlijk niets meer aan nadat het door de machine is geweest.
De gedigitaliseerde informatie wordt uiteraard wel bewaard.
Er zijn "hashes" en email adressen gejat vooralsnog. About it. Let's see.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True