De Persgroep lekt 350.000 e-mailadressen door hack op klantenservicedatabase

De Persgroep, het bedrijf waar naast kranten als de Volkskrant en het AD ook Tweakers onder valt, heeft bekendgemaakt dat er een hack van zijn klantenservicesysteem heeft plaatsgevonden. Daarbij zijn 350.000 e-mailadressen buitgemaakt.

Het bedrijf zegt in een mededeling dat het de getroffen personen in een persoonlijk bericht zal informeren. In de betreffende database worden volgens De Persgroep berichten opgeslagen die lezers 'via het web' doorgeven. Zo zou het onder meer gaan om klachten en reacties op prijsvragen.

Er zijn inmiddels maatregelen genomen, waardoor het lek niet langer bestaat. De Persgroep heeft melding gedaan bij de Autoriteit Persoonsgegevens en heeft aangifte gedaan bij de politie.

Onder de titels van De Persgroep vallen kranten als de Volkskrant, Het Parool, AD, Trouw en verschillende regionale kranten. De hack heeft geen gevolgen voor de onlinetak van De Persgroep, waar onder meer Tweakers onder valt.

Update, 17:55: Verduidelijkt dat er geen gevolgen zijn voor Tweakers.

Update, 18:34: Willem-Albert Bol van De Persgroep laat aan Tweakers weten dat het om gegevens gaat die zijn ingestuurd via een webformulier. Er wordt nu uitgezocht welke gegevens per persoon zijn gelekt, omdat ook de inhoud van ingestuurde berichten gegevens kan bevatten. Het gaat om een systeem dat voornamelijk in gebruik was bij de regionale titels van De Persgroep.

Reacties (125)

125

119

Wijzig sortering

Muncher 29 juni 2018 18:08

Wat me vaak opvalt bij dit soort lekken, is dat er bijna nooit word gecommuniceerd hoe de hack tot stand heeft kunnen komen. Ik snap dat zoiets niet je eerste prioriteit is, maar na verloop van tijd iets dergelijks hierover delen is voor alle andere organisaties interessant. Ik heb nu het idee dat er relatief weinig word geleerd van dit soort incidenten en dat elke organisatie opnieuw het wiel moet uitvinden (aka wachten totdat jij ook aan de beurt bent

)

Je ziet een dergelijke communicatie vaak wel bij echt grootschalige incidenten (denk aan Equifax) maar juist de ‘tussencatagorie’ is interessant.

Master FX

@Muncher • 29 juni 2018 18:17

Je moet mensen natuurlijk niet op ideeën brengen en wijzer maken dan nodig. Kan me best voorstellen dat dit soort info niet naar buiten wordt gebracht.

D4NG3R @Master FX • 29 juni 2018 18:32

Als iedereen er van af weet kan niemand er dus misbruik van maken.

Ik wil niet beweren dat dat ook daadwerkelijk een betere oplossing is, maar het klinkt in ieder geval beter dan 99.99% in het duister te laten tasten terwijl die laatste paar mensen er misbruik van maken.

[Reactie gewijzigd door D4NG3R op 24 juli 2024 17:18]

Master FX

@D4NG3R • 29 juni 2018 18:35

Behalve als het lek dus niet op tijd door iedereen gedicht wordt.

Muncher @Master FX • 29 juni 2018 19:09

Ik heb liever dat ik het weet en maatregelen kan nemen dan dat ik moet gaan zitten afwachten en via trial-and-error uiteindelijk tot dezelfde oplossing kom als het vorige slachtoffer. Beetje een ouderwetse manier van beveiligen. We moeten eens van dat geheimzinnige gedoe af rondom security. Sharing is (s)caring.

Het is een utopie om te geloven dat iedereen (wie zijn dat eigenlijk, iedereen?) alles op tijd dicht kan zetten. Zeker als je geen idee hebt wat je eigenlijk moet doen

Master FX

@Muncher • 29 juni 2018 20:26

Tja ik begrijp je punt. Totdat bedrijf Y waar jij (of ik) klant bent op dezelfde manier wordt getroffen, doordat bedrijf X precies uit de doeken deed wat er mis ging en waardoor zij werden gehackt. Bedrijf Y was alleen nog niet in staat geweest om hun eigen systemen door te lichten en te updaten.

friend @Master FX • 29 juni 2018 23:28

Ga er maar vanuit dat hackers wel onderling gegevens uitwisselen. Diegene die het dan niet weten zijn diegene die het moeten dicht timmeren, lijkt mij geen handig uitgangspunt. Sowieso zijn de meeste van deze hacks gebaseerd op bekende kwetsbaarheden die allang gefixed hadden moeten worden (of bv. in het geval van Ticketmaster, had die fout nooit gemaakt mogen worden (slordige implementatie van een stukje javascript)).

CivLord

@friend • 30 juni 2018 09:20

Ik weet niet in welke jaren '70 hippiefilm jij leeft, maar tegenwoordig zijn hackmethodes en exploits geld waard. Er wordt maar weinig onderling vrij uitgewisseld.

BlaDeKke @CivLord • 30 juni 2018 11:08

Hij sprak dan ook van uitwisselen. Niet van vrij uitwisselen. En die film noemt realiteit.

CivLord

@BlaDeKke • 30 juni 2018 13:01

Maar bij uitwisselen door verkopen of ruilen blijft de verspreiding vrij beperkt.

alexiooo @Master FX • 29 juni 2018 18:30

Je moet mensen juist wel op ideeën brengen, ideeën om te voorkomen dat soortgelijke hacks nog een keer plaatsvinden.

En ik mag hopen dat als een hack wordt geconstateerd het lek zsm gedicht wordt. Daarna mag je best publiceren wat er aan de hand was.

stijn014 @alexiooo • 29 juni 2018 18:57

Ik vermoed dat ze dit wel aan de gegevensauthoriteit moeten melden.

chrisboers @Master FX • 30 juni 2018 10:54

Security by obscurity is geen security. En dit argument werkt in de hand dat bedrijven lekker de gebreken niet meldt. Openheid van zaken is juist heel belangrijk.

tweaker2010 @chrisboers • 30 juni 2018 23:25

Voor de techneuten onder de tweakers hier misschien. De doorsnee consument boeit het niet wat voor techniek er gebruikt is om gevoelige data of mailadressen buit te maken, wel wat er is buitgemaakt. En wat bedrijven gaan doen om dit te voorkomen.

oef! @Muncher • 29 juni 2018 19:15

Goede bedrijven publiceren na dit soort zaken altijd een zogenaamde post mortem (zonder met modder te smijten zoals fakking Ticketmaster) waarin uitgelegd wordt hoe de hack tot stand is gekomen en publiceren dit ook. Er zijn er al best wel veel voorbij gekomen de laatste tijd.

Blijkbaar vindt de persgroep dat niet nodig of kunnen ze dit zelf niet verwoorden. Dit is, naast het draaien van onveilige meuk, een tweede kras op het imago. Tijd voor ze om de IT af te stoffen, te investeren en te laten zien dat ze klaar zijn voor de toekomst.

Blokker_1999

Datalek
Beveiliging en antivirus

@oef! • 29 juni 2018 19:36

Ticketmaster heeft helemaal niet met modder gegooid. Zij hebben de partij die de code beheerd genoemd om andere klanten van die partij ook te waarschuwen zodat ook zij een audit kunnen doen van die code. Het is namelijk niet omdat de externe partij meld dat het probleem enkel bij TM voorkomt dat iedereen het zomaar moet geloven.

En voor zover ik kan zien aan de updates is De Persgroep nog volop bezig met de analyse. Dus nu onmiddelijk zeggen dat ze het niet doen is foutief. Zoals je nota bene zelf aangeeft volgt die post mortem pas nadat heel de zaak is bekeken en afgehandeld.

kodak

Datalek
Beveiliging en antivirus

@Blokker_1999 • 30 juni 2018 00:07

Klinkt heel nobel als je het zo verwoord. Het bedrijf dat een datalek had neemt het op zich om anderen te waarschuwen over mogelijke risico's om met een ander bedrijf zaken te doen. Maar waarom laat men dat niet over aan dat andere bedrijf? Want dat andere bedrijf zal ook een eigen kant van het verhaal hebben. Bijvoorbeeld dat die software nooit gebruikt had moeten worden voor een betaalomgeving en dat de klant zich daar niets van aan heeft getrokken. Dus is het dan een risico om zaken te doen met het bedrijf van de software of kan je het dan toch meer moddergooien noemen? Door je als bedrijf in de zaken van een ander bedrijf te mengen meng je je ook in de marktpositie van het bedrijf. Wie is een ondernemer om dat een andere ondernemer aan te doen, zeker als er al een relatiegeschil lijkt te zijn.

Bij een datalek kunnen oorzaak en schuld complex liggen. De wetgever is gelukkig duidelijk over de verantwoordelijkheid. Of het juridisch handig is om meer te doen dan de wetgever eist, daar lopen de meningen over uit een.

Verwijderd @Muncher • 29 juni 2018 19:03

Ze kunnen het ook in algemene termen aangeven. Zo van 'we hadden een database poort openstaan' of 'de webapplicatie bevatten een XSS kwetsbaarheid.'

Engineer @Verwijderd • 30 juni 2018 08:58

Al zijn zulke argumenten in mijn ogen niet de oorzaak van het probleem. Er hoort een systeem in de ontwikkeltechniek te zitten die voorkomt dat zulke fouten gemaakt worden. Dát systeem is wat gefaald heeft, of misschien zelfs wel volledig ontbreekt. Een openstaande poort of xss kwetsbaarheid is een gevolg van het falen.

Wim-Bart @Muncher • 29 juni 2018 20:57

Wanneer de methode wordt bekend gemaakt, dan kan je in theorie alle bedrijven die daarna via de zelfde Methode "nalatigheid" aanrekenen omdat ze het hadden kunnen weten. Met als gevolg dat na de eerste boete gebaseerd op nalatigheid de bedrijven beveiliging wel op de agenda gaan zetten.

kodak

Datalek
Beveiliging en antivirus

@Wim-Bart • 30 juni 2018 11:21

In theorie kan elk bedrijf al weten welke methodes er bestaan waarop data kan lekken. Behalve als je in detail gaat treden. De wetgever is geen voorstander geweest van details. Die heeft met de huidige wetgeving duidelijk gemaakt dat bedrijven zich niet kunnen verschuilen achter het niet kunnen weten. Je hoort persoonsgegevens zo te beschermen dat ze niet lekken, gebeurt dat wel dan ben je al nalatig.

Het is te betwijfelen of details ook meer waarde hebben. Want wat moeten die details dan zijn? In software met een naam en een versie 1.2 bestaat bij gebruik van parameter x een fout waardoor sql injection mogelijk is? Waarop dan onenigheid ontstaat of het bedrijf het had kunnen weten terwijl ze versie 1.3 gebruikte of versie 1.2 maar parameter y. Waarna de discussie over kan gaan naar argumenten dat heel die 1.x versiereeks of heel het softwarepakket door dat lek onveilig kon worden beschouwd.

DJMaze @Muncher • 29 juni 2018 22:40

Wees blij dat er überhaupt wordt gecommuniceerd.
Zo weet ik dat bootzeil.nl is gehackt omdat ik opeens vreemde e-mails ontving op een uniek adres.
Gemeld bij ze en hun partners.
Maand later na twee e-mails nog geen reactie gehad en gebeld.
Antwoord: ligt niet aan ons, het is een ander
Op mijn melding dat het niet kan omdat het e-mailadres uniek is voor hun website, werd er alleen wazig gebrabbeld aan de telefoon

Oftewel, nu ik dit zo open en bloot vertel zit elke Magento shop in het ongewis wat de hack is.
Dat is dus eigenlijk nog erger dan dat er iets wordt verteld.
Want dat iets kunnen ze ook intern melden aan de makers van een product en oplossen, en daarna een melding doen dat iedereen moet updaten.

[Reactie gewijzigd door DJMaze op 24 juli 2024 17:18]

Superstoned @DJMaze • 30 juni 2018 07:57

Als dit sinds eind mei is gebeurt kun je ze via de GDPR aanklagen - dan worden ze wel wakker want de boete is niet mis.

GlowMouse @Muncher • 29 juni 2018 19:48

Dat zal te maken hebben met angst om aansprakelijk gesteld te worden of om reputatieschade te voorkomen. Het privacy statement spreekt van "uitgebreide veiligheidsprocedures" en "beveiligde servers". Als men inderdaad zorgvuldig is geweest maar er desondanks een hack heeft plaatsgevonden, kun je als betrokkene simpelweg geen verwijt maken tegen De Persgroep. Dat wordt anders wanneer men nalatig is geweest. Ik zie bijvoorbeeld dat het contactformulier op de websites van De Persgroep draait op Drupal, waarvoor eerder dit jaar een ernstig lek is gedicht. Mocht blijken (ik speculeer hier) dat de systemen na enkele maanden nog niet waren geüpdatet, is De Persgroep in beginsel aansprakelijk.

batjes @Muncher • 29 juni 2018 19:14

Dezelfde reden waarom een Blizzard bv niet verteld waarom mensen gebanned worden als ze exploiten/hacken.

Muncher @batjes • 29 juni 2018 19:17

Het tegengaan van cheaten en het lekken van persoonsgegevens is volgens mij niet hetzelfde.

batjes @Muncher • 29 juni 2018 19:22

Als je potentiele hackers niet verteld hoe je ze pakt, kun je ze juist pakken doordat ze dezelfde exploits (eventueel elders) weer misbruiken. Helemaal als je op meerdere niveau's aangevallen bent.

Kan ook zijn dat het een onbekende exploit is die elders op het internet veel te vinden is en dat deze nog niet gepatched/uitgerold zijn. Je wilt natuurlijk niet het internet vertellen hoe je eventueel een boel netwerken/websites binnen kan vallen.

Over security exploits in detail gaan doen je niet direct, dat doe je achteraf.

Muncher @batjes • 29 juni 2018 19:49

Volgens mij geef ik dat ook aan?
Niet prioriteit 1, maar wel ergens in de weken na het incident. Als je goed je IR/Forensics inricht, heb je niet meteen behoefte aan meerdere aanvallen om de daders te pakken.

En over die disclosure: natuurlijk moet je wel blijven nadenken en leveranciers van (software)producten aan je bedrijf op de hoogte stellen voordat je naar buiten treedt. We blijven wel netjes.

HenkEisDS @Muncher • 30 juni 2018 11:39

Eens. En welke systemen zijn dit dan geweest? Van Oracle, Pega, SAP? Dit bericht is nu een beetje van het niveau nu.nl. Niets mis mee, maar verwacht hier wat meer technische details.

GlowMouse 29 juni 2018 18:22

Ojojoj, wat heeft men gefaald. De grote vraag is waarom er zoveel e-mailadressen in die database staan, en dat nog wel vlak nadat de AVG van kracht is geworden. Het lijkt erop dat de database nooit is geleegd, en dat is een probleem onder de AVG. Artikel 13 vereist dat bij het het verzamelen van gegevens wordt aangegeven hoelang die worden bewaard, en dat is niet gebeurd:

(..) de verwerkingsverantwoordelijke [verstrekt] de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: (..) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen

In de preambule van de AVG staat:

Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan.

In het verwerkingsregister (niet openbaar) moet deze termijn worden genoemd (art. 13 AVG):

Dat register bevat alle volgende gegevens: (..) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

De grote vraag is dus wat het verwerkingsregister hierover heeft vermeld.

@Kees Het AVG-proof maken moest vóór 25 mei, en de hack werd volgens nu.nl pas deze week ontdekt:

De Persgroep kwam deze week achter de hack, die volgens het bedrijf enkele weken geleden heeft plaatsgevonden.

@Grannd De AVG verbiedt je inderdaad niet om gegevens lang te bewaren, maar dan moeten de doelen op het moment van verzamelen zijn geformuleerd, en moeten de betrokkenen daarover zijn geïnformeerd. Informeren is niet gebeurd, en ik kan - zelfs met enquête achteraf - geen legitieme reden verzinnen om e-mailadressen van een contactformulier langer dan een paar maanden op te slaan.

[Reactie gewijzigd door GlowMouse op 24 juli 2024 17:18]

Kees BOFH @GlowMouse • 29 juni 2018 18:37

Even voorop stellen dat ik 0,0 bij dit lek betrokken ben en nu reageer als speculerende bezoeker en niet als medewerker.

Het zou mij niet verbazen als ze tijdens het AVG proof maken van deze database hier juist achter zijn gekomen en rustig de tijd hebben genomen om de boel goed uit te zoeken. En dat er nooit echt prioriteit is gegeven aan dit systeem voordat dat door de AVG moest. Zo'n aangifte en melding bij het AP doe je niet in een dag, dus het zal zeker al wel enige tijd spelen.

ErwinPeters @Kees • 29 juni 2018 19:19

Wellicht is het verstandig om als medewerker helemaal niet openbaar te reageren op zaken waar je organisatie bij betrokken is. Je zegt namelijk dat de organisatie waar je voor werkt eerst heeft gewacht met de aangifte etc., lijkt me niet heel wenselijk voor de baas.

ACM Software Architect @ErwinPeters • 29 juni 2018 19:54

Volgens mij zegt mijn collega eerder dat ze gewacht hebben met dit naar buiten brengen.
Is overigens een aangifte (bij de politie) uberhaupt verplicht bij een datalek-melding (bij de AP)?

Sterker nog, in de aankondiging van de Persgroep staat gewoon dit:

Zoals wettelijk voorgeschreven, heeft de Persgroep direct na constatering een melding gedaan bij de Autoriteit Persoonsgegevens.

[Reactie gewijzigd door ACM op 24 juli 2024 17:18]

Verwijderd @ACM • 29 juni 2018 22:30

Wat de speculatie van de medewerker hierboven dus volledig onzinnig maakt?

ErwinPeters @ACM • 29 juni 2018 23:51

Ik ben hier niet om het je moeilijk te maken. Ik zou me alleen voor kunnen stellen dat het verkeerd uit kan pakken. Doe wat je goed dunkt.

Zoijar @ACM • 30 juni 2018 00:04

Dat jullie hier als medewerkers publiek op reageren is echt heel dom, ongeacht de goede bedoelingen...gewoon niet doen. Beste geval komt het slecht op je indirecte baas over, slechtste geval mag je het binnenkort herhalen in de rechtszaal.

MiceMan @Kees • 29 juni 2018 19:22

Het melden van een datalek moet binnen 72 uur

CH4OS

Datalek

@MiceMan • 30 juni 2018 01:15

Melden van het lek aan de AP, ja. Point being?

Dat maakt voor de ontwikkel-prioriteit toch niet uit?

flowerp @Kees • 29 juni 2018 20:23

Het zou mij niet verbazen als ze tijdens het GDPR-proof maken van deze database hier juist achter zijn gekomen en rustig de tijd hebben genomen om de boel goed uit te zoeken.

Het GDPR-proof maken moest vóór 25 mei, en de hack werd volgens nu.nl pas deze week ontdekt.

CH4OS

Datalek

@flowerp • 30 juni 2018 01:17

Dat maakt niet eens uit. De wet is al twee jaar actief, maar sinds 25 mei wordt er (actief) gehandhaafd.

Grannd @GlowMouse • 29 juni 2018 19:40

Je mag de gegevens gewoon bewaren en blijven verwerken zolang dit in lijn is met de doelen waarvoor ze zijn verzameld.
Ik kan me best voorstellen dat je als de persgroep zegt dat je om je dienstverlening te kunnen verbeteren (enquêtering van respondenten over hun ervaringen, verzameling van statistieken) deze gegevens bewaart. Zolang dit bij de personen die gebruik maken van de klantenservice duidelijk is, is er geen probleem.
Dat de boel op straat is komen te liggen is reden voor de autoriteit persoonsgegevens om onderzoek te doen naar de gegevens en de genomen maatregelen die te beschermen. Wellicht had de impact hiervan verkleind geweest als er kritischer naar de database of maatregelen was gekeken, misschien waren de processen prima ingericht maar een kleine kwetsbaarheid overhoop gezien..

Waah @Grannd • 29 juni 2018 20:04

Bij enquetes hoef je de mailadressen niet te bewaren. Dat is namelijk voor het doel helemaal niet nodig. Het doel zijn de antwoorden die gegeven worden. Zolang er geen winactie bij zit (waar je dus wel de contactgegevens voor nodig hebt) lijkt me het niet nodig om 350.000 emailadressen te bewaren.

Grannd @Waah • 29 juni 2018 20:17

Ik bedoel, zoals tegenwoordig gebruikelijk is, dat mensen die via het portal contact hebben opgenomen op een later moment ge-enquêteerd worden naar hun ervaring om de dienstverlening te verbeteren.
Om zo'n onderzoek achteraf uit te voeren zal je toch echt de contactgegevens van de deelnemers bewaard moeten hebben.
Is het avg-technisch geoorloofd om die contactgegevens nog jarenlang te bewaren? Volstrekt onduidelijk zonder jurisprudentie op de AVG.
Had de persgroep avg-technisch aan iedereen in de database moeten vragen of ze er nog in willen staan? Volstrekt onduidelijk zonder jurisprudentie op dit onderwerp. Dat veel grote bedrijven rond 25 mei rond zijn gaan mailen betekent helemaal niet dat dit verplicht was, het is aan de AP om duidelijkheid te verschaffen. Het enige wat die duidelijk hebben gesteld is dat ze voorlopig geen boetes uit zullen delen en vooral het bewustzijn willen verhogen, gelukkig zorgen dit soort datalekken vanzelf al voor het nodige bewustzijn

CivLord

@Waah • 30 juni 2018 09:37

Wanneer dergelijke enquêtes belangrijk voor je bedrijfsvoering zijn, kan het handig zijn om een database te hebben van emailadressen van personen die aan dergelijke enquêtes mee willen doen.
Vaak zie je ook bij verschillende vormen van contact, waaronder enquêtes, dat je een vinkje aan of uit moet zetten of je emailadres op kunt geven om in de toekomst meuk/ 'waardevolle aanbiedingen van ons en/ of onze partners' te ontvangen.

flowerp @Grannd • 29 juni 2018 20:22

Je mag de gegevens gewoon bewaren en blijven verwerken zolang dit in lijn is met de doelen waarvoor ze zijn verzameld.

De GDPR verbiedt je inderdaad niet om gegevens lang te bewaren, maar dan moeten de doelen op het moment van verzamelen zijn geformuleerd, en moeten de betrokkenen daarover zijn geïnformeerd. Informeren is niet gebeurd, en ik kan - zelfs met enquête achteraf - geen legitieme reden verzinnen om e-mailadressen van een contactformulier langer dan een paar maanden op te slaan.

Edit: (reply verplaatst naar logische plek)

Verwijderd @flowerp • 29 juni 2018 22:32

Bovendien lijkt me een doel als "dienstverlening" nogal vaag en nietszeggend. Als dat mag, zal iedereen die nietszeggende doelen gebruiken.

CivLord

@flowerp • 30 juni 2018 09:42

Wat dacht je van het vinkje bij vrijwel elk contact moment, waarmee je toestemming geeft om in de toekomst benaderd te worden door de organisatie en haar partners?

Zelfs wanneer je geen toestemming geeft, zouden ze kunnen beweren dat ze je emailadres moeten bewaren om deze te kunnen filteren uit lijsten die ze van hun partners krijgen (waar je wel toestemming hebt gegeven).

CH4OS

Datalek

@GlowMouse • 30 juni 2018 01:22

De AVG is echter al twee jaar van kracht. Sinds 25 mei wordt er echter (actief) gehandhaafd erop. Maar kan me niet voorstellen dat je dat niet wist.

flowerp @CH4OS • 2 juli 2018 23:12

De GDPR is echter al twee jaar van kracht. Sinds 25 mei wordt er echter (actief) gehandhaafd erop

Haha, dat is waar, maar iets wat niet gehandhaaft wordt bestaat niet

Niemand die van GDPR had gehoord in die twee jaar, totdat het verplicht zijn wel heel dicht bij kwam.

CH4OS

Datalek

@flowerp • 2 juli 2018 23:15

Haha dat is waar, maar iets wat niet gehandhaaft wordt bestaat niet

Dat is natuurlijk wel heel erg kort door de bocht. Dat er niet op gehandhaafd werd, betekent niet dat het minder strafbaar was.

Niemand die van GDPR had gehoord in die twee jaar, totdat het verplicht zijn wel heel dicht bij kwam.

In die twee jaar had iedereen er wel van gehoord, want het is gewoon door de EU naar buiten gebracht en gepubliceerd e.d, maar niemand deed er wat mee, omdat er 'toch nog' genoeg tijd was.

HollowGamer 29 juni 2018 18:22

Was er niet een tijdje terug een prijsvraag hier op T.net waar je via e-mail het goede antwoord naartoe moest sturen? Als ik het goed heb ging dit over de Alternate PC win-actie.
Neem aan dat deze + andere ook zijn gelekt.

Wel opvallend dat er gemeld wordt dat enkel e-mailadressen zouden zijn gelekt, kan mij haast niet voorstellen dat bij een hack enkel deze interessant zijn.

Edit: Zie dat nieuwsbericht is aangepast en T.net hier buiten past.
Thanks @Kees voor de duidelijkheid.

[Reactie gewijzigd door HollowGamer op 24 juli 2024 17:18]

Kees BOFH @HollowGamer • 29 juni 2018 18:28

Nee, de Alternate actie (en andere acties) lopen via onze mailservers en niet via een webportaal van de persgroep. Die mailadressen zijn dan ook niet gelekt via dit lek.

En spammers zoeken altijd naar verse, werkende, mailadressen.

sypie @Kees • 30 juni 2018 07:56

Waarmee je niet aangeeft of die adressen inmiddels weer verwijderd zijn omdat die actie afgelopen is.

Zodra de prijswinnaar(s) bekend zijn kan er nog een mail uit naar alle deelnemers als bedankje, voorzien van de nodige aanbiedingen en promotie. Daarna zijn de ingestuurde mailadressen niet meer nodig, dus weg er mee.

Verwijderd1 29 juni 2018 18:22

De hack heeft geen gevolgen voor de onlinetak van De Persgroep, waar onder meer Tweakers onder valt.

Hoe kan dat dan? Waren de email-adressen puur voor offline gebruik?

Kees BOFH @Verwijderd1 • 29 juni 2018 18:32

Nee, wij gebruiken dat systeem niet, maar gebruiken onze eigen systemen. De persgroep is een 'samenraapsel' van bedrijven waarbij vrijwel alle bedrijven al hun eigen systemen hadden voordat ze bij de persgroep kwamen. Als die systemen afdoende zijn en goed werken dan is er voor die bedrijven geen noodzaak om (meteen) over te stappen naar zo'n systeem binnen de persgroep.

Ook bij tweakers hebben we nooit de behoefte gehad om dit niet zelf af te handelen en dus hebben wij nooit deze oplossing bekeken of gebruikt.

Misha @Verwijderd1 • 29 juni 2018 18:43

De Persgroep is verdeeld in meerdere onderdelen. Het is wat ongelukkig verwoord in het artikel. We noemen het deel waar Tweakers bij zit de online tak, omdat al die merken praktisch enkel online bestaan. Een Volkskrant en AD bestaan zowel online als op papier, en hebben op beide platformen de focus

mutsje 29 juni 2018 17:54

Een groot datalek dus, en dat vereist onderzoek om te kijken wat er precies gelekt is. Als ze het simpel zouden vinden zou het geen hack zijn. Dus geef ze de tijd dat het security team onderzoek kan doen.... Zou van t.net trouwens wel verwachten dat ze hun beveiliging op orde hebben. Over die andere sites hou ik maar wijselijk mijn mond

ACM Software Architect @mutsje • 29 juni 2018 20:07

Wij (Tweakers) laten de site zo nu en dan doorlichten en er zijn altijd wel wat mensen bezig met kijken of ze een beloning kunnen verdienen door iets te vinden dat (door ons en de doorlichters) gemist is... Maar strict wetenschakkelijk kunnen we domweg niet bewijzen dat er nergens security bugs zitten (je kan alleen maar bewijzen wat je eventueel wel hebt gevonden en/of dat bij specifieke tests een bepaald lek niet mogelijk was)

Overigens weet ik domweg niet hoe het bij andere Persgroep-titels zit, ik kan alleen voor Tweakers spreken

[Reactie gewijzigd door ACM op 24 juli 2024 17:18]

mutsje @ACM • 29 juni 2018 20:40

Neem aan dat jullie penetratie testen etc laten doen

en dat er genoeg witte hakkertjes zijn die jullie best willen helpen. Dan kom je domweg een heul end

ACM Software Architect @mutsje • 29 juni 2018 20:41

Yep, dat is inderdaad wat ik bedoelde

totaalgeenhard @mutsje • 29 juni 2018 18:00

Worst case scenario schetsen is 1 query wat met intypen (aan klikken?) van de query niet meer dan een paar minuten mag kosten.

Wat er feitelijk is gelekt kan je mogelijk via log (if any) bovenwater halen.

Als je van worst case uit gaat kan het alleen maar mee vallen.

Maar gezien AVG kun je wel stellen dat ze nalatig zijn geweest en er gewoon totaal niet naar gekeken hebben.

Van der Berg 29 juni 2018 19:25

Daar valt toch ook Hardware.info onder? De persgroep en ik ben lid op Hardware.info hebben ze dan mijn gegevens?

ACM Software Architect @Van der Berg • 29 juni 2018 20:20

Wat blijkbaar niet duidelijk is; is dat de Persgroep een heel groot bedrijf is. Dat bovendien uit allerlei losse of los opererende bedrijfsonderdelen bestaat. Mede door allerlei overnames is er in veel gevallen 'eigen' software in gebruik bij al die diverse onderdelen; er wordt uiteraard wel gestreefd naar samenwerking of gezamenlijke contracten.
Maar de praktijk betekent in ieder geval specifiek voor Tweakers en Hardware.info dat als er iets bij 'de Persgroep' gebeurt, dat het vaker juist is om aan te nemen dat het niet relevant is voor Tweakers en HWI dan dat het dat wel is

En in dit concrete geval staat er dat het sowieso niet relevant was voor de 'online tak' van de Persgroep. Wat er niet specifiek staat (maar wellicht bekend was), valt niet alleen Tweakers daar onder, maar ook HWI (en nationale vacaturebank, intermediair en autotrack)

Bovendien gaat het uberhaupt niet om inloggegevens van willekeurig welke Persgroep-titel.

[Reactie gewijzigd door ACM op 24 juli 2024 17:18]

Verwijderd @Van der Berg • 29 juni 2018 20:20

"De hack heeft geen gevolgen voor de onlinetak van De Persgroep, waar onder meer Tweakers onder valt"

Hardware.info valt onder de onlinetak waar geen gevolgen voor zijn. Je gegevens zijn veilig.

TFZ61 29 juni 2018 18:05

Inderdaad weer een datalek. Mocht ik erbij zitten, inmiddels mijn wachtwoord voor Tweakers en mijn regionale krant aangepast. Toch ook maar eens denken aan zgn. weggooi email adressen. Zo hou ik er geen meer over.

ACM Software Architect @TFZ61 • 29 juni 2018 20:09

Je was uiteraard welkom je wachtwoord op Tweakers aan te passen (maar kan zijn dat dat niet duidelijk was rond 18:05u), maar dat was irrelevant voor dit datalek

Verwijderd @TFZ61 • 29 juni 2018 22:25

Je email is gelekt en je veranderd als gevolg daarvan je wachtwoord. Logica?

Franckey @Verwijderd • 30 juni 2018 10:07

Je email is gelekt en je veranderd als gevolg daarvan je wachtwoord. Logica?

Zijn wachtwoord was zijn email adres?

ajolla @TFZ61 • 29 juni 2018 21:04

Ik gebruik per bedrijf een uniek email adres. Bij tweakers zou 't dus worden:
ajolla_tweakers.net@<mijndomein>.nl

Deffab 29 juni 2018 18:58

Ik zou mensen met één e-mailadres toch willen aanraden om er meer aan te maken.
Bijvoorbeeld zakelijke en privé contacten gescheiden.
Als je namelijk alles via hetzelfde adres afhandelt, ben je bij voorbaat al kwetsbaar.

Sergelwd @Deffab • 29 juni 2018 19:09

Of gewoon sites als guerrillamail.com of bugmenot.com gebruiken voor dit soort minder nuttige zaken.

Verwijderd @Deffab • 29 juni 2018 22:33

Ik zie het probleem niet zo. Ik heb een stokoud email adres, wat in de praktijk betekend dat het waarschijnlijk bij heel erg veel partijen bekend is, en ook bij diverse hacks is buitgemaakt.

Nooit een centje pijn van, dus welke kwestbaarheid hebben we het over?

CivLord

@Verwijderd • 30 juni 2018 09:51

Er is geen kwetsbaarheid. Je emailadres komt alleen op verschillende lijsten van spammers. Wanneer dat probleem voor jou beheersbaar blijft, is er geen probleem. En met één emailadres is dat probleem niet groter of kleiner dan met tien emailadressen.

Je kunt het natuurlijk zo micromanagen dat je bij elke site/ organisatie een uniek emailadres opgeeft en alle mail op een dergelijk adres dat niet van de bijbehorende site afkomstig is automatisch naar de prullenbak leidt. Probleem is dat bij lang niet alle sites en organisaties alle mail van het eigen domein afkomstig is.

Verwijderd @CivLord • 30 juni 2018 12:25

Wat ik probeer te zeggen is dat spam geen probleem is, het is een inmiddels opgelost probleem. Zowel bij gmail als outlook krijg ik nooit spam.

CivLord

@Verwijderd • 30 juni 2018 13:07

Ik ben het met je eens.
Bij gMail of Outlook zal het hoogstwaarschijnlijk aan de spamfilters liggen.
Maar mijn primaire emailadres is ongefilterd en wat daar aan spam op binnenkomt is minimaal. Gemiddeld twee á drie mailtjes per week (iets meer wanneer ik een mailtje naar één bepaald adres heb gestuurd).
De tijd dat lijsten met emailadressen 'eeuwenlang' op internet rond bleven dwalen en gebruikt bleven worden lijkt voorbij. Een 'geoogst' emailadres wordt een paar keer gebruikt en daarna meestal vergeten.

wildhagen

Beveiliging en antivirus
Datalek

29 juni 2018 17:53

Een van de getroffen bladen, BN/DeStem, rept inmiddels over zelfs 400.000 adressen die gelekt zijn.

ACM Software Architect @wildhagen • 29 juni 2018 20:02

't Kan natuurlijk ook zijn dat ze domweg op een andere manier het precieze cijfer hebben afgerond tot een makkelijk te verwoorden en lezen cijfer

Als het bijvoorbeeld eigenlijk 356.123 was, zijn beide afrondingen correct te noemen (en is het vooral een kwestie van smaak)

lighting_ 29 juni 2018 18:52

Emailadres is zo erg nog niet. Wel je wachtwoord erbij.

Ludwig005 @lighting_ • 30 juni 2018 08:07

En wat als ze je phising mails zitten te versturen naar jou?

lighting_ @Ludwig005 • 30 juni 2018 11:03

ik krijg elke week wel phising mails.
die gasten verzinnen ook wel lukraak email namen.

[Reactie gewijzigd door lighting_ op 24 juli 2024 17:18]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (125)

Sorteer op:

Weergave: