Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Persgroep: van minder dan één procent ook bankgegevens uitgelekt bij hack

De Persgroep heeft bevestigd dat er bij een datalek waarvoor het bedrijf onlangs waarschuwde, meer gegevens zijn buitgemaakt dan alleen e-mailadressen. Zo zouden in 'individuele gevallen' ook naw- en bankgegevens zijn buitgemaakt. Dat laatste bij 'minder dan één procent'.

Een woordvoerder bevestigt dit aan RTL Nieuws. "Bij minder dan één procent hebben wij het vermoeden dat er ook bankgegevens zijn gestolen." Daarmee doelt de woordvoerder op een deel van het totale aantal getroffen personen. Uit de berichtgeving komt niet naar voren bij hoeveel klanten meer dan alleen een e-mailadres is buitgemaakt. RTL citeert uit een e-mail waarin een lezer wordt meegedeeld dat naam, adres, woonplaats, telefoonnummer en bankrekeningnummer zijn uitgelekt.

De Persgroep waarschuwde voor het weekend dat er een datalek had plaatsgevonden. In zijn eigen bericht noemde het bedrijf alleen 350.000 e-mailadressen. Een woordvoerder zei tegen Tweakers dat het om gegevens ging die waren ingestuurd via een webformulier en dat per persoon uitgezocht zou worden welke gegevens zijn vrijgekomen.

Het systeem was voornamelijk in gebruik bij regionale kranten, waardoor de onlineafdeling van De Persgroep, waar ook Tweakers deel van uitmaakt, niet was getroffen.

Door Sander van Voorst

Nieuwsredacteur

04-07-2018 • 15:18

46 Linkedin Google+

Submitter: Knopsje

Reacties (46)

Wijzig sortering
En dan te bedenken dat als je je tweakers account wilt op zeggen je gebruik moet maken van zo'n portaal van de persgroep: https://consumentenrecht.persgroep.net/nl. Kijk wat ze aan gegevens vragen en het is nog geheel zinloos ook aangezien je deze gegevens niet opgegeven hebt bij het openen van je account. Vragen om een kopie ID is zinloos als je niet kan verifiëren of de persoon van het account dezelfde is. Hiermee is het medicijn erger dan de kwaal.

[Reactie gewijzigd door Alexander_v_H op 4 juli 2018 16:48]

De persgroep is een groot bedrijf met vrij veel titels. Om het overzichtelijk (en werkbaar) te houden is besloten om voor de hele Persgroep 1 centraal punt te gebruiken. Om achteraf een goed register te hebben over de aanvragen die verwerkt zijn, wordt om een kopie van een ID gevraagd. Dat je niet een ID nodig hebt gehad bij het aanmaken van een account bij een van de persgroep titels staat hier los van.

De verificatie vindt plaats obv je email waarmee je de aanvraag doet. Obv dat email-adres zal je inzage krijgen (of wat je verzoek ook is) Als jij niet kunt aantonen dat jij toegang hebt tot dat emailadres zal er ook geen actie ondernomen worden.
Is dit vermoeden op basis van welke gegevens in die specifieke database stonden? Dus was er toegang tot een database van deze "<1%" en vermoeden ze dus dat iedereen in die database de sjaak is.

Of is er een grote database met alle users en is het vermoeden gebaseerd op query logs of iets dergelijks?
Het ging om een database van een webformulier waarmee mensen konden communiceren met De Persgroep. Het lijkt er dan ook op dat men erin geslaagd is gewoon heel de database inclusief berichten te dumpen en dat sommige mensen in die berichten dus gegevens hebben geplaatst zoals rekeningnummers of hun eigen adres.
Een interessante lijkt mij nu wel of dat unencrypted opgeslagen mocht worden.
Dat is niet relevant, natuurlijk mag dat. Of het slim is geweest is iets anders, achteraf gezien. Het is niet echt standaard procedure om contactformulier info (bijv. een open tekst veld) te encrypten.

Maar na dit voorval zet het je wel aan het denken of dat toch nodig is in deze tijd van hacks e.d. :9
Natuurlijk mag dat? PCI weleens gezien?
Er is een verschil tussen 'encrypted at rest' en 'encrypted in use.' Het kan best dat de database versleuteld was opgeslagen op disk, maar als je de database kan benaderen is de data niet versleuteld.
Nee, dus. Ik heb nooit gecommuniceerd met de persgroep maar wel een mail ontvangen dat mijn adresgegevens gelekt zijn. Dat moet dus meer zijn geweest dan een database met webformulieren.
Tweakers heeft de zaken redelijk goed op orde, Vaak genoeg publiceert tweakers achtergrond artikelen waaruit je dat kan opmaken.
Natuurlijk is ook Tweakers niet opgewassen tegen de geheime diensten (om even te verduidelijken dat iedereen met voldoende kennis en resources binnen kan komen als ze dit echt willen).

Maar het is jammer dat je dit bericht zo richt aan tweakers.
En al zou men wel binnenkomen bij Tweakers (hoe vervelend ook, dus hoop niet dat het ooit gebeurd), dan denk ik niet dat men gegevens als betalingsgegevens kan achterhalen. In elk geval voor de abonnementen gebruikt Tweakers een externe Payment Service Provider, dus naast transactie ID's zal een hacker om die informatie te krijgen wel wat meer moeten doen.

Maakt het niet minder erg of zo, maar het zal allicht schelen.

[Reactie gewijzigd door CH4OS op 4 juli 2018 16:47]

Wat voor misbruik kan met een IBAN, eventueel gecombineerd met NAW, worden gedaan? Ik zie met name op websites van ZZP'ers bankgegevens staan gecombineerd met adresgegevens.

[Reactie gewijzigd door robertpNL op 4 juli 2018 15:34]

Gerichte phishing. Hoe meer gegevens je van het slachtoffer hebt, hoe echter je de phishing mails kunt laten lijken.
Ja dat vraag ik mij ook af. Bij creditcard gegevens inclusief CVC codes kan ik dat nog begrijpen.

P.s. Dat maakt deze hack overigens niet minder kwalijk.

[Reactie gewijzigd door Pendaco op 4 juli 2018 16:05]

Op basis van IBAN en NAW kun je een SEPA incasso batch aanmaken. Malafide organisaties (bendes) kunnen dan eenmalige een grote batch indienen en daarna het bedrijf opdoeken. Hetzelfde wat deze organisaties nu ook al doen met creditcards..

Overigens zal ik dat geval misbruik gemakkelijk vast zijn te stellen en wordt je schadeloos gesteld door je bank, maar als jouw bank vaak mensen schadeloos moet stellen, gaan wel de kosten van die bank omhoog. Het moet natuurlijk ergens van betaald worden..
Die 1% is slechts branding en damage control. We hebben het hier over een flink aantal kranten over 2 landen. Bij een miljoen abbo’s zijn er gelijk al 10.000 hoog gevoelige informatie gelekt.

Nu klinkt het alsof er bijna niks is gebeurt..
1% van 350.000= 3500 .....

Wel grappig omdat te melden "als of het daardoor minder erg is".


Er zijn bepaalde gegevens die je niet simpel kunt veranderen zoals je adres en je bankrekening nummer.

Als met dergelijke minachting in eerste instantie met je gegevens werd om gegaan en achteraf geduid zal worden, verdienen ze een ze een hoge boete en moeten ze IMHO garant staan voor de kosten die direct (wijzigen) of indirect (schade bij misbruik) die mogelijk kunnen ontstaan.
Sja, dat krijg je als je geen maximale bewaartermijnen hanteert en periodiek de boel opschoont, terwijl je dat wel zou moeten. Het gaat dus om contactverzoeken van klanten aan de klantenservice. Gezien het aantal records (350.000) gaat het ongetwijfeld om alle verzoeken sinds het begin van dat systeem gaan (vermoedelijk meerdere jaren). Er is geen enkele reden om deze gegevens langer dan enkele maandan na het afhandelen van zo'n verzoek te bewaren, dus daar gaat het al mis.

Bottom line: de meeste bedrijven durven geen data weg te gooien, omdat ze denken dat ze daar later nog wat mee willen doen. Dat is een groot risico (want je datalekken worden er groter door), en volgens mij volgens de AVG ook helemaal niet toegestaan.
Hiervan kreeg ik ook een waarschuwing. Wat ik storend vind is dat het voor mij niet duidelijk is uit welke bron de gegevens (naam, adres, email, telefoonnummer...) gelekt zijn.

Op deze mailbox kan ik namelijk geen herkenbare mail van de persgroep vinden en als mijn telefoonnummer lekt wil ik wel graag weten hoe dat ontstaan is.
Bij mij zijn NAW gegevens buitgemaakt... ;/

Ik houd de boel vanaf nu extra in de gaten. Laten het nou net gegevens zijn die niet zomaar te veranderen zijn... :(

[Reactie gewijzigd door UrbanWoodz op 5 juli 2018 10:38]

Ik houd de boel vanaf nu extra in de gaten. Laten het nou net gegevens zijn die niet te veranderen zijn... :(
Tuurlijk wel. Je kan je naam veranderen en je kan verhuizen. Alleen doe je dat niet 123.
Dat bedoelde ik ook. Had dat iets beter kunnen verwoorden. Zal het even aanpassen :)
Wij hebben 2 kranten van de persgroep (gehad), met twee accounts, en daarachter twee aparte mailadressen. Op elk van die mailadressen kregen we een mail hierover, van de ene account waren email. naam, adres en woonplaats buit gemaakt, en van de ander email, naam, adres, woonplaats en telefoonnummer buit gemaakt. Terwijl dat laatste onder beide accounts ingevuld was, dus ik snap het niet helemaal meer. Enige wat ik kan bedenken, is dat de ene account een jaartje eerder is aangemaakt als de ander.
De Persgroep heeft erg weinig details over het lek gegeven. Ze hebben het over een lek in een webformulier. Deze week heb ik van meer bedrijven gehoord dat ze een datalek hebben dat via een webformulier was veroorzaakt. De beschrijving van een webformulier is veel te algemeen om te zeggen dat het verband met elkaar heeft. Toch is het dan opvallend dat er bijna gelijktijdig nieuws is dat het bedrijf Typeform heeft gewaarschuwd dat een backup van gegevens voor formulieren van al hun klanten is gelekt. Met de (persoons)gegevens die de respondenten van die klanten hebben ingevuld. Typeform is geen kleine speler voor diensten met (gratis) webformulieren en het is ook populair bij bedrijven en zelfs een kiescommissie.
27 juni ontdekte Typeform het lek. 29 juni maakte de Persgroep bekend dat ze een datalek via een webformulier hebben. Op 29 juni maakte Typeform algemeen bekend een datalek bij hun formulierendiensten te hebben en dat ze alle klanten hebben ingelicht. Stom toeval? Of was de Persgroep klant van de formulieren van Typeform?

[Reactie gewijzigd door kodak op 4 juli 2018 17:09]


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True