Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

De Persgroep lekt 350.000 e-mailadressen door hack op klantenservicedatabase

De Persgroep, het bedrijf waar naast kranten als de Volkskrant en het AD ook Tweakers onder valt, heeft bekendgemaakt dat er een hack van zijn klantenservicesysteem heeft plaatsgevonden. Daarbij zijn 350.000 e-mailadressen buitgemaakt.

Het bedrijf zegt in een mededeling dat het de getroffen personen in een persoonlijk bericht zal informeren. In de betreffende database worden volgens De Persgroep berichten opgeslagen die lezers 'via het web' doorgeven. Zo zou het onder meer gaan om klachten en reacties op prijsvragen.

Er zijn inmiddels maatregelen genomen, waardoor het lek niet langer bestaat. De Persgroep heeft melding gedaan bij de Autoriteit Persoonsgegevens en heeft aangifte gedaan bij de politie.

Onder de titels van De Persgroep vallen kranten als de Volkskrant, Het Parool, AD, Trouw en verschillende regionale kranten. De hack heeft geen gevolgen voor de onlinetak van De Persgroep, waar onder meer Tweakers onder valt.

Update, 17:55: Verduidelijkt dat er geen gevolgen zijn voor Tweakers.

Update, 18:34: Willem-Albert Bol van De Persgroep laat aan Tweakers weten dat het om gegevens gaat die zijn ingestuurd via een webformulier. Er wordt nu uitgezocht welke gegevens per persoon zijn gelekt, omdat ook de inhoud van ingestuurde berichten gegevens kan bevatten. Het gaat om een systeem dat voornamelijk in gebruik was bij de regionale titels van De Persgroep.

Door Sander van Voorst

Nieuwsredacteur

29-06-2018 • 17:50

125 Linkedin Google+

Submitter: wildhagen

Reacties (125)

Wijzig sortering
Wat me vaak opvalt bij dit soort lekken, is dat er bijna nooit word gecommuniceerd hoe de hack tot stand heeft kunnen komen. Ik snap dat zoiets niet je eerste prioriteit is, maar na verloop van tijd iets dergelijks hierover delen is voor alle andere organisaties interessant. Ik heb nu het idee dat er relatief weinig word geleerd van dit soort incidenten en dat elke organisatie opnieuw het wiel moet uitvinden (aka wachten totdat jij ook aan de beurt bent :))

Je ziet een dergelijke communicatie vaak wel bij echt grootschalige incidenten (denk aan Equifax) maar juist de ‘tussencatagorie’ is interessant.
Je moet mensen natuurlijk niet op ideeën brengen en wijzer maken dan nodig. Kan me best voorstellen dat dit soort info niet naar buiten wordt gebracht.
Als iedereen er van af weet kan niemand er dus misbruik van maken. ;)

Ik wil niet beweren dat dat ook daadwerkelijk een betere oplossing is, maar het klinkt in ieder geval beter dan 99.99% in het duister te laten tasten terwijl die laatste paar mensen er misbruik van maken.

[Reactie gewijzigd door D4NG3R op 29 juni 2018 18:34]

Behalve als het lek dus niet op tijd door iedereen gedicht wordt.
Ik heb liever dat ik het weet en maatregelen kan nemen dan dat ik moet gaan zitten afwachten en via trial-and-error uiteindelijk tot dezelfde oplossing kom als het vorige slachtoffer. Beetje een ouderwetse manier van beveiligen. We moeten eens van dat geheimzinnige gedoe af rondom security. Sharing is (s)caring.

Het is een utopie om te geloven dat iedereen (wie zijn dat eigenlijk, iedereen?) alles op tijd dicht kan zetten. Zeker als je geen idee hebt wat je eigenlijk moet doen :)
Tja ik begrijp je punt. Totdat bedrijf Y waar jij (of ik) klant bent op dezelfde manier wordt getroffen, doordat bedrijf X precies uit de doeken deed wat er mis ging en waardoor zij werden gehackt. Bedrijf Y was alleen nog niet in staat geweest om hun eigen systemen door te lichten en te updaten.
Ga er maar vanuit dat hackers wel onderling gegevens uitwisselen. Diegene die het dan niet weten zijn diegene die het moeten dicht timmeren, lijkt mij geen handig uitgangspunt. Sowieso zijn de meeste van deze hacks gebaseerd op bekende kwetsbaarheden die allang gefixed hadden moeten worden (of bv. in het geval van Ticketmaster, had die fout nooit gemaakt mogen worden (slordige implementatie van een stukje javascript)).
Ik weet niet in welke jaren '70 hippiefilm jij leeft, maar tegenwoordig zijn hackmethodes en exploits geld waard. Er wordt maar weinig onderling vrij uitgewisseld.
Hij sprak dan ook van uitwisselen. Niet van vrij uitwisselen. En die film noemt realiteit.
Maar bij uitwisselen door verkopen of ruilen blijft de verspreiding vrij beperkt.
Je moet mensen juist wel op ideeën brengen, ideeën om te voorkomen dat soortgelijke hacks nog een keer plaatsvinden.

En ik mag hopen dat als een hack wordt geconstateerd het lek zsm gedicht wordt. Daarna mag je best publiceren wat er aan de hand was.
Ik vermoed dat ze dit wel aan de gegevensauthoriteit moeten melden.
Security by obscurity is geen security. En dit argument werkt in de hand dat bedrijven lekker de gebreken niet meldt. Openheid van zaken is juist heel belangrijk.
Voor de techneuten onder de tweakers hier misschien. De doorsnee consument boeit het niet wat voor techniek er gebruikt is om gevoelige data of mailadressen buit te maken, wel wat er is buitgemaakt. En wat bedrijven gaan doen om dit te voorkomen.
Goede bedrijven publiceren na dit soort zaken altijd een zogenaamde post mortem (zonder met modder te smijten zoals fakking Ticketmaster) waarin uitgelegd wordt hoe de hack tot stand is gekomen en publiceren dit ook. Er zijn er al best wel veel voorbij gekomen de laatste tijd.

Blijkbaar vindt de persgroep dat niet nodig of kunnen ze dit zelf niet verwoorden. Dit is, naast het draaien van onveilige meuk, een tweede kras op het imago. Tijd voor ze om de IT af te stoffen, te investeren en te laten zien dat ze klaar zijn voor de toekomst.
Ticketmaster heeft helemaal niet met modder gegooid. Zij hebben de partij die de code beheerd genoemd om andere klanten van die partij ook te waarschuwen zodat ook zij een audit kunnen doen van die code. Het is namelijk niet omdat de externe partij meld dat het probleem enkel bij TM voorkomt dat iedereen het zomaar moet geloven.

En voor zover ik kan zien aan de updates is De Persgroep nog volop bezig met de analyse. Dus nu onmiddelijk zeggen dat ze het niet doen is foutief. Zoals je nota bene zelf aangeeft volgt die post mortem pas nadat heel de zaak is bekeken en afgehandeld.
Klinkt heel nobel als je het zo verwoord. Het bedrijf dat een datalek had neemt het op zich om anderen te waarschuwen over mogelijke risico's om met een ander bedrijf zaken te doen. Maar waarom laat men dat niet over aan dat andere bedrijf? Want dat andere bedrijf zal ook een eigen kant van het verhaal hebben. Bijvoorbeeld dat die software nooit gebruikt had moeten worden voor een betaalomgeving en dat de klant zich daar niets van aan heeft getrokken. Dus is het dan een risico om zaken te doen met het bedrijf van de software of kan je het dan toch meer moddergooien noemen? Door je als bedrijf in de zaken van een ander bedrijf te mengen meng je je ook in de marktpositie van het bedrijf. Wie is een ondernemer om dat een andere ondernemer aan te doen, zeker als er al een relatiegeschil lijkt te zijn.

Bij een datalek kunnen oorzaak en schuld complex liggen. De wetgever is gelukkig duidelijk over de verantwoordelijkheid. Of het juridisch handig is om meer te doen dan de wetgever eist, daar lopen de meningen over uit een.
Ze kunnen het ook in algemene termen aangeven. Zo van 'we hadden een database poort openstaan' of 'de webapplicatie bevatten een XSS kwetsbaarheid.'
Al zijn zulke argumenten in mijn ogen niet de oorzaak van het probleem. Er hoort een systeem in de ontwikkeltechniek te zitten die voorkomt dat zulke fouten gemaakt worden. Dát systeem is wat gefaald heeft, of misschien zelfs wel volledig ontbreekt. Een openstaande poort of xss kwetsbaarheid is een gevolg van het falen.
Wanneer de methode wordt bekend gemaakt, dan kan je in theorie alle bedrijven die daarna via de zelfde Methode "nalatigheid" aanrekenen omdat ze het hadden kunnen weten. Met als gevolg dat na de eerste boete gebaseerd op nalatigheid de bedrijven beveiliging wel op de agenda gaan zetten.
In theorie kan elk bedrijf al weten welke methodes er bestaan waarop data kan lekken. Behalve als je in detail gaat treden. De wetgever is geen voorstander geweest van details. Die heeft met de huidige wetgeving duidelijk gemaakt dat bedrijven zich niet kunnen verschuilen achter het niet kunnen weten. Je hoort persoonsgegevens zo te beschermen dat ze niet lekken, gebeurt dat wel dan ben je al nalatig.

Het is te betwijfelen of details ook meer waarde hebben. Want wat moeten die details dan zijn? In software met een naam en een versie 1.2 bestaat bij gebruik van parameter x een fout waardoor sql injection mogelijk is? Waarop dan onenigheid ontstaat of het bedrijf het had kunnen weten terwijl ze versie 1.3 gebruikte of versie 1.2 maar parameter y. Waarna de discussie over kan gaan naar argumenten dat heel die 1.x versiereeks of heel het softwarepakket door dat lek onveilig kon worden beschouwd.
Wees blij dat er überhaupt wordt gecommuniceerd.
Zo weet ik dat bootzeil.nl is gehackt omdat ik opeens vreemde e-mails ontving op een uniek adres.
Gemeld bij ze en hun partners.
Maand later na twee e-mails nog geen reactie gehad en gebeld.
Antwoord: ligt niet aan ons, het is een ander
Op mijn melding dat het niet kan omdat het e-mailadres uniek is voor hun website, werd er alleen wazig gebrabbeld aan de telefoon :p

Oftewel, nu ik dit zo open en bloot vertel zit elke Magento shop in het ongewis wat de hack is.
Dat is dus eigenlijk nog erger dan dat er iets wordt verteld.
Want dat iets kunnen ze ook intern melden aan de makers van een product en oplossen, en daarna een melding doen dat iedereen moet updaten.

[Reactie gewijzigd door DJMaze op 29 juni 2018 22:42]

Als dit sinds eind mei is gebeurt kun je ze via de GDPR aanklagen - dan worden ze wel wakker want de boete is niet mis.
Dat zal te maken hebben met angst om aansprakelijk gesteld te worden of om reputatieschade te voorkomen. Het privacy statement spreekt van "uitgebreide veiligheidsprocedures" en "beveiligde servers". Als men inderdaad zorgvuldig is geweest maar er desondanks een hack heeft plaatsgevonden, kun je als betrokkene simpelweg geen verwijt maken tegen De Persgroep. Dat wordt anders wanneer men nalatig is geweest. Ik zie bijvoorbeeld dat het contactformulier op de websites van De Persgroep draait op Drupal, waarvoor eerder dit jaar een ernstig lek is gedicht. Mocht blijken (ik speculeer hier) dat de systemen na enkele maanden nog niet waren geüpdatet, is De Persgroep in beginsel aansprakelijk.
Dezelfde reden waarom een Blizzard bv niet verteld waarom mensen gebanned worden als ze exploiten/hacken.
Het tegengaan van cheaten en het lekken van persoonsgegevens is volgens mij niet hetzelfde.
Als je potentiele hackers niet verteld hoe je ze pakt, kun je ze juist pakken doordat ze dezelfde exploits (eventueel elders) weer misbruiken. Helemaal als je op meerdere niveau's aangevallen bent.

Kan ook zijn dat het een onbekende exploit is die elders op het internet veel te vinden is en dat deze nog niet gepatched/uitgerold zijn. Je wilt natuurlijk niet het internet vertellen hoe je eventueel een boel netwerken/websites binnen kan vallen.

Over security exploits in detail gaan doen je niet direct, dat doe je achteraf.
Volgens mij geef ik dat ook aan?
Niet prioriteit 1, maar wel ergens in de weken na het incident. Als je goed je IR/Forensics inricht, heb je niet meteen behoefte aan meerdere aanvallen om de daders te pakken.

En over die disclosure: natuurlijk moet je wel blijven nadenken en leveranciers van (software)producten aan je bedrijf op de hoogte stellen voordat je naar buiten treedt. We blijven wel netjes.
Eens. En welke systemen zijn dit dan geweest? Van Oracle, Pega, SAP? Dit bericht is nu een beetje van het niveau nu.nl. Niets mis mee, maar verwacht hier wat meer technische details.
Ojojoj, wat heeft men gefaald. De grote vraag is waarom er zoveel e-mailadressen in die database staan, en dat nog wel vlak nadat de AVG van kracht is geworden. Het lijkt erop dat de database nooit is geleegd, en dat is een probleem onder de AVG. Artikel 13 vereist dat bij het het verzamelen van gegevens wordt aangegeven hoelang die worden bewaard, en dat is niet gebeurd:
(..) de verwerkingsverantwoordelijke [verstrekt] de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: (..) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen
In de preambule van de AVG staat:
Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan.
In het verwerkingsregister (niet openbaar) moet deze termijn worden genoemd (art. 13 AVG):
Dat register bevat alle volgende gegevens: (..) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
De grote vraag is dus wat het verwerkingsregister hierover heeft vermeld.

@Kees Het AVG-proof maken moest vóór 25 mei, en de hack werd volgens nu.nl pas deze week ontdekt:
De Persgroep kwam deze week achter de hack, die volgens het bedrijf enkele weken geleden heeft plaatsgevonden.
@Grannd De AVG verbiedt je inderdaad niet om gegevens lang te bewaren, maar dan moeten de doelen op het moment van verzamelen zijn geformuleerd, en moeten de betrokkenen daarover zijn geïnformeerd. Informeren is niet gebeurd, en ik kan - zelfs met enquête achteraf - geen legitieme reden verzinnen om e-mailadressen van een contactformulier langer dan een paar maanden op te slaan.

[Reactie gewijzigd door GlowMouse op 29 juni 2018 19:57]

Even voorop stellen dat ik 0,0 bij dit lek betrokken ben en nu reageer als speculerende bezoeker en niet als medewerker.

Het zou mij niet verbazen als ze tijdens het AVG proof maken van deze database hier juist achter zijn gekomen en rustig de tijd hebben genomen om de boel goed uit te zoeken. En dat er nooit echt prioriteit is gegeven aan dit systeem voordat dat door de AVG moest. Zo'n aangifte en melding bij het AP doe je niet in een dag, dus het zal zeker al wel enige tijd spelen.
Wellicht is het verstandig om als medewerker helemaal niet openbaar te reageren op zaken waar je organisatie bij betrokken is. Je zegt namelijk dat de organisatie waar je voor werkt eerst heeft gewacht met de aangifte etc., lijkt me niet heel wenselijk voor de baas.
Volgens mij zegt mijn collega eerder dat ze gewacht hebben met dit naar buiten brengen.
Is overigens een aangifte (bij de politie) uberhaupt verplicht bij een datalek-melding (bij de AP)?

Sterker nog, in de aankondiging van de Persgroep staat gewoon dit:
Zoals wettelijk voorgeschreven, heeft de Persgroep direct na constatering een melding gedaan bij de Autoriteit Persoonsgegevens.

[Reactie gewijzigd door ACM op 29 juni 2018 19:58]

Wat de speculatie van de medewerker hierboven dus volledig onzinnig maakt?
Ik ben hier niet om het je moeilijk te maken. Ik zou me alleen voor kunnen stellen dat het verkeerd uit kan pakken. Doe wat je goed dunkt.
Dat jullie hier als medewerkers publiek op reageren is echt heel dom, ongeacht de goede bedoelingen...gewoon niet doen. Beste geval komt het slecht op je indirecte baas over, slechtste geval mag je het binnenkort herhalen in de rechtszaal.
Het melden van een datalek moet binnen 72 uur
Melden van het lek aan de AP, ja. Point being?

Dat maakt voor de ontwikkel-prioriteit toch niet uit? :?
Het zou mij niet verbazen als ze tijdens het GDPR-proof maken van deze database hier juist achter zijn gekomen en rustig de tijd hebben genomen om de boel goed uit te zoeken.
Het GDPR-proof maken moest vóór 25 mei, en de hack werd volgens nu.nl pas deze week ontdekt.
Dat maakt niet eens uit. De wet is al twee jaar actief, maar sinds 25 mei wordt er (actief) gehandhaafd.
Je mag de gegevens gewoon bewaren en blijven verwerken zolang dit in lijn is met de doelen waarvoor ze zijn verzameld.
Ik kan me best voorstellen dat je als de persgroep zegt dat je om je dienstverlening te kunnen verbeteren (enquêtering van respondenten over hun ervaringen, verzameling van statistieken) deze gegevens bewaart. Zolang dit bij de personen die gebruik maken van de klantenservice duidelijk is, is er geen probleem.
Dat de boel op straat is komen te liggen is reden voor de autoriteit persoonsgegevens om onderzoek te doen naar de gegevens en de genomen maatregelen die te beschermen. Wellicht had de impact hiervan verkleind geweest als er kritischer naar de database of maatregelen was gekeken, misschien waren de processen prima ingericht maar een kleine kwetsbaarheid overhoop gezien..
Bij enquetes hoef je de mailadressen niet te bewaren. Dat is namelijk voor het doel helemaal niet nodig. Het doel zijn de antwoorden die gegeven worden. Zolang er geen winactie bij zit (waar je dus wel de contactgegevens voor nodig hebt) lijkt me het niet nodig om 350.000 emailadressen te bewaren.
Ik bedoel, zoals tegenwoordig gebruikelijk is, dat mensen die via het portal contact hebben opgenomen op een later moment ge-enquêteerd worden naar hun ervaring om de dienstverlening te verbeteren.
Om zo'n onderzoek achteraf uit te voeren zal je toch echt de contactgegevens van de deelnemers bewaard moeten hebben.
Is het avg-technisch geoorloofd om die contactgegevens nog jarenlang te bewaren? Volstrekt onduidelijk zonder jurisprudentie op de AVG.
Had de persgroep avg-technisch aan iedereen in de database moeten vragen of ze er nog in willen staan? Volstrekt onduidelijk zonder jurisprudentie op dit onderwerp. Dat veel grote bedrijven rond 25 mei rond zijn gaan mailen betekent helemaal niet dat dit verplicht was, het is aan de AP om duidelijkheid te verschaffen. Het enige wat die duidelijk hebben gesteld is dat ze voorlopig geen boetes uit zullen delen en vooral het bewustzijn willen verhogen, gelukkig zorgen dit soort datalekken vanzelf al voor het nodige bewustzijn :)
Wanneer dergelijke enquêtes belangrijk voor je bedrijfsvoering zijn, kan het handig zijn om een database te hebben van emailadressen van personen die aan dergelijke enquêtes mee willen doen.
Vaak zie je ook bij verschillende vormen van contact, waaronder enquêtes, dat je een vinkje aan of uit moet zetten of je emailadres op kunt geven om in de toekomst meuk/ 'waardevolle aanbiedingen van ons en/ of onze partners' te ontvangen.
Je mag de gegevens gewoon bewaren en blijven verwerken zolang dit in lijn is met de doelen waarvoor ze zijn verzameld.
De GDPR verbiedt je inderdaad niet om gegevens lang te bewaren, maar dan moeten de doelen op het moment van verzamelen zijn geformuleerd, en moeten de betrokkenen daarover zijn geïnformeerd. Informeren is niet gebeurd, en ik kan - zelfs met enquête achteraf - geen legitieme reden verzinnen om e-mailadressen van een contactformulier langer dan een paar maanden op te slaan.

Edit: (reply verplaatst naar logische plek)
Bovendien lijkt me een doel als "dienstverlening" nogal vaag en nietszeggend. Als dat mag, zal iedereen die nietszeggende doelen gebruiken.
Wat dacht je van het vinkje bij vrijwel elk contact moment, waarmee je toestemming geeft om in de toekomst benaderd te worden door de organisatie en haar partners?

Zelfs wanneer je geen toestemming geeft, zouden ze kunnen beweren dat ze je emailadres moeten bewaren om deze te kunnen filteren uit lijsten die ze van hun partners krijgen (waar je wel toestemming hebt gegeven).
De AVG is echter al twee jaar van kracht. Sinds 25 mei wordt er echter (actief) gehandhaafd erop. Maar kan me niet voorstellen dat je dat niet wist. ;)
De GDPR is echter al twee jaar van kracht. Sinds 25 mei wordt er echter (actief) gehandhaafd erop
Haha, dat is waar, maar iets wat niet gehandhaaft wordt bestaat niet ;) Niemand die van GDPR had gehoord in die twee jaar, totdat het verplicht zijn wel heel dicht bij kwam.
Haha dat is waar, maar iets wat niet gehandhaaft wordt bestaat niet ;)
Dat is natuurlijk wel heel erg kort door de bocht. Dat er niet op gehandhaafd werd, betekent niet dat het minder strafbaar was. ;)
Niemand die van GDPR had gehoord in die twee jaar, totdat het verplicht zijn wel heel dicht bij kwam.
In die twee jaar had iedereen er wel van gehoord, want het is gewoon door de EU naar buiten gebracht en gepubliceerd e.d, maar niemand deed er wat mee, omdat er 'toch nog' genoeg tijd was. ;)
Was er niet een tijdje terug een prijsvraag hier op T.net waar je via e-mail het goede antwoord naartoe moest sturen? Als ik het goed heb ging dit over de Alternate PC win-actie.
Neem aan dat deze + andere ook zijn gelekt.

Wel opvallend dat er gemeld wordt dat enkel e-mailadressen zouden zijn gelekt, kan mij haast niet voorstellen dat bij een hack enkel deze interessant zijn.

Edit: Zie dat nieuwsbericht is aangepast en T.net hier buiten past.
Thanks @Kees voor de duidelijkheid. :)

[Reactie gewijzigd door foxgamer2019 op 29 juni 2018 18:31]

Nee, de Alternate actie (en andere acties) lopen via onze mailservers en niet via een webportaal van de persgroep. Die mailadressen zijn dan ook niet gelekt via dit lek.

En spammers zoeken altijd naar verse, werkende, mailadressen.
Waarmee je niet aangeeft of die adressen inmiddels weer verwijderd zijn omdat die actie afgelopen is.

Zodra de prijswinnaar(s) bekend zijn kan er nog een mail uit naar alle deelnemers als bedankje, voorzien van de nodige aanbiedingen en promotie. Daarna zijn de ingestuurde mailadressen niet meer nodig, dus weg er mee.
De hack heeft geen gevolgen voor de onlinetak van De Persgroep, waar onder meer Tweakers onder valt.
Hoe kan dat dan? Waren de email-adressen puur voor offline gebruik?
Nee, wij gebruiken dat systeem niet, maar gebruiken onze eigen systemen. De persgroep is een 'samenraapsel' van bedrijven waarbij vrijwel alle bedrijven al hun eigen systemen hadden voordat ze bij de persgroep kwamen. Als die systemen afdoende zijn en goed werken dan is er voor die bedrijven geen noodzaak om (meteen) over te stappen naar zo'n systeem binnen de persgroep.

Ook bij tweakers hebben we nooit de behoefte gehad om dit niet zelf af te handelen en dus hebben wij nooit deze oplossing bekeken of gebruikt.
De Persgroep is verdeeld in meerdere onderdelen. Het is wat ongelukkig verwoord in het artikel. We noemen het deel waar Tweakers bij zit de online tak, omdat al die merken praktisch enkel online bestaan. Een Volkskrant en AD bestaan zowel online als op papier, en hebben op beide platformen de focus
Een groot datalek dus, en dat vereist onderzoek om te kijken wat er precies gelekt is. Als ze het simpel zouden vinden zou het geen hack zijn. Dus geef ze de tijd dat het security team onderzoek kan doen.... Zou van t.net trouwens wel verwachten dat ze hun beveiliging op orde hebben. Over die andere sites hou ik maar wijselijk mijn mond :)
Wij (Tweakers) laten de site zo nu en dan doorlichten en er zijn altijd wel wat mensen bezig met kijken of ze een beloning kunnen verdienen door iets te vinden dat (door ons en de doorlichters) gemist is... Maar strict wetenschakkelijk kunnen we domweg niet bewijzen dat er nergens security bugs zitten (je kan alleen maar bewijzen wat je eventueel wel hebt gevonden en/of dat bij specifieke tests een bepaald lek niet mogelijk was) ;)

Overigens weet ik domweg niet hoe het bij andere Persgroep-titels zit, ik kan alleen voor Tweakers spreken :)

[Reactie gewijzigd door ACM op 29 juni 2018 20:08]

Neem aan dat jullie penetratie testen etc laten doen :) en dat er genoeg witte hakkertjes zijn die jullie best willen helpen. Dan kom je domweg een heul end :+
Yep, dat is inderdaad wat ik bedoelde :)
Worst case scenario schetsen is 1 query wat met intypen (aan klikken?) van de query niet meer dan een paar minuten mag kosten.

Wat er feitelijk is gelekt kan je mogelijk via log (if any) bovenwater halen.

Als je van worst case uit gaat kan het alleen maar mee vallen.

Maar gezien AVG kun je wel stellen dat ze nalatig zijn geweest en er gewoon totaal niet naar gekeken hebben.
Daar valt toch ook Hardware.info onder? De persgroep en ik ben lid op Hardware.info hebben ze dan mijn gegevens?
Wat blijkbaar niet duidelijk is; is dat de Persgroep een heel groot bedrijf is. Dat bovendien uit allerlei losse of los opererende bedrijfsonderdelen bestaat. Mede door allerlei overnames is er in veel gevallen 'eigen' software in gebruik bij al die diverse onderdelen; er wordt uiteraard wel gestreefd naar samenwerking of gezamenlijke contracten.
Maar de praktijk betekent in ieder geval specifiek voor Tweakers en Hardware.info dat als er iets bij 'de Persgroep' gebeurt, dat het vaker juist is om aan te nemen dat het niet relevant is voor Tweakers en HWI dan dat het dat wel is :)

En in dit concrete geval staat er dat het sowieso niet relevant was voor de 'online tak' van de Persgroep. Wat er niet specifiek staat (maar wellicht bekend was), valt niet alleen Tweakers daar onder, maar ook HWI (en nationale vacaturebank, intermediair en autotrack) :)

Bovendien gaat het uberhaupt niet om inloggegevens van willekeurig welke Persgroep-titel.

[Reactie gewijzigd door ACM op 29 juni 2018 20:21]

"De hack heeft geen gevolgen voor de onlinetak van De Persgroep, waar onder meer Tweakers onder valt"

Hardware.info valt onder de onlinetak waar geen gevolgen voor zijn. Je gegevens zijn veilig.
Inderdaad weer een datalek. Mocht ik erbij zitten, inmiddels mijn wachtwoord voor Tweakers en mijn regionale krant aangepast. Toch ook maar eens denken aan zgn. weggooi email adressen. Zo hou ik er geen meer over.
Je was uiteraard welkom je wachtwoord op Tweakers aan te passen (maar kan zijn dat dat niet duidelijk was rond 18:05u), maar dat was irrelevant voor dit datalek ;)
Je email is gelekt en je veranderd als gevolg daarvan je wachtwoord. Logica?
Je email is gelekt en je veranderd als gevolg daarvan je wachtwoord. Logica?
Zijn wachtwoord was zijn email adres? :P
Ik gebruik per bedrijf een uniek email adres. Bij tweakers zou 't dus worden:
ajolla_tweakers.net@<mijndomein>.nl
Ik zou mensen met één e-mailadres toch willen aanraden om er meer aan te maken.
Bijvoorbeeld zakelijke en privé contacten gescheiden.
Als je namelijk alles via hetzelfde adres afhandelt, ben je bij voorbaat al kwetsbaar.
Of gewoon sites als guerrillamail.com of bugmenot.com gebruiken voor dit soort minder nuttige zaken.
Ik zie het probleem niet zo. Ik heb een stokoud email adres, wat in de praktijk betekend dat het waarschijnlijk bij heel erg veel partijen bekend is, en ook bij diverse hacks is buitgemaakt.

Nooit een centje pijn van, dus welke kwestbaarheid hebben we het over?
Er is geen kwetsbaarheid. Je emailadres komt alleen op verschillende lijsten van spammers. Wanneer dat probleem voor jou beheersbaar blijft, is er geen probleem. En met één emailadres is dat probleem niet groter of kleiner dan met tien emailadressen.

Je kunt het natuurlijk zo micromanagen dat je bij elke site/ organisatie een uniek emailadres opgeeft en alle mail op een dergelijk adres dat niet van de bijbehorende site afkomstig is automatisch naar de prullenbak leidt. Probleem is dat bij lang niet alle sites en organisaties alle mail van het eigen domein afkomstig is.
Wat ik probeer te zeggen is dat spam geen probleem is, het is een inmiddels opgelost probleem. Zowel bij gmail als outlook krijg ik nooit spam.
Ik ben het met je eens.
Bij gMail of Outlook zal het hoogstwaarschijnlijk aan de spamfilters liggen.
Maar mijn primaire emailadres is ongefilterd en wat daar aan spam op binnenkomt is minimaal. Gemiddeld twee á drie mailtjes per week (iets meer wanneer ik een mailtje naar één bepaald adres heb gestuurd).
De tijd dat lijsten met emailadressen 'eeuwenlang' op internet rond bleven dwalen en gebruikt bleven worden lijkt voorbij. Een 'geoogst' emailadres wordt een paar keer gebruikt en daarna meestal vergeten.
Een van de getroffen bladen, BN/DeStem, rept inmiddels over zelfs 400.000 adressen die gelekt zijn.
't Kan natuurlijk ook zijn dat ze domweg op een andere manier het precieze cijfer hebben afgerond tot een makkelijk te verwoorden en lezen cijfer :P

Als het bijvoorbeeld eigenlijk 356.123 was, zijn beide afrondingen correct te noemen (en is het vooral een kwestie van smaak) ;)
Emailadres is zo erg nog niet. Wel je wachtwoord erbij.
En wat als ze je phising mails zitten te versturen naar jou?
ik krijg elke week wel phising mails.
die gasten verzinnen ook wel lukraak email namen.

[Reactie gewijzigd door lighting_ op 30 juni 2018 11:04]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True