Dell maakt melding van datalek

Dell maakt melding van een datalek. Indringers hebben wellicht namen, e-mailadressen en wachtwoorden-hashes bemachtigd. Volgens de computermaker is daar echter geen sluitend bewijs voor.

Dell LogoVolgens Dell is het lek op 9 november ontdekt en direct gedicht. Op een andere pagina over het incident stelt Dell dat er 'geen indicatie' is dat creditcardgegevens of andere 'gevoelige klantgegevens' in het vizier van de indringers waren.

De gebruikers die mogelijk getroffen zijn door het lek, krijgen te maken met een vanuit het bedrijf verplichte wachtwoord-reset. Dell doet verder geen uitspraken over de mate van versleuteling van de wachtwoorden.

Verder zegt het Amerikaanse bedrijf dat het direct een onderzoek heeft ingesteld. Daarvoor is een digital forensics-bureau van buitenaf ingeschakeld. Ook zijn de autoriteiten op de hoogte gesteld van het incident.

Door Mark Hendrikman

Redacteur

29-11-2018 • 11:09

35

Submitter: keranoz

Reacties (35)

Sorteer op:

Weergave:

Lekkere jongens bij Dell... Ik probeerde net in te loggen, en kreeg in de mail deze melding als oorzaak:

"Nu de feestdagen snel dichterbij komen, implementeren we verbeteringen in Dell.com om te garanderen dat onze klanten naadloos kunnen winkelen voor de feestdagen. Om die reden vernieuwen we onze wachtwoordvereisten en vragen we alle klanten om hun wachtwoord opnieuw in te stellen."

Niet erg transparant... 8)7
Tja, zoals ik hieronder al beschreef:
"U moet uw wachtwoord veranderen omdat die mogelijk gestolen is door een derde partij"

Klinkt natuurlijk niet lekker.
Dat men niet weet dat hun wachtwoord 'compromised' is en daarbij elke andere dienst met dat wachtwoord, geeft Dell helemaal niets om.
Er is natuurlijk een groot verschil tussen 'klinkt niet lekker' en een glasharde leugen zoals BobV quote. Ze horen gewoon te melden dat er mogelijk wachtwoorden gelekt zijn en ze uit voorzorg een wijziging afdwingen. Niet een of ander bullshit verhaal over feestdagen. Ik vraag me ook af of dit niet strijdig is met de AVG. Volgens mij staat daarin dat ze betrokkenen rechtstreeks dienen te informeren in het geval van een (mogelijk) datalek. Hoop dat de AP hier goed naar gaat kijken en ze een flinke tik op de vingers geeft.
Eens met anboni, maar over je tweede opmerking, dat het Dell niet zou interesseren dat je mogelijk die credentials voor andere diensten gebruikt: natuurlijk interesseert hun zich dat niet, maar het zou jou juist moeten boeien. Stel (niet aannemelijk, wel mogelijk) dat ze je wachtwoord plaintext of met een slechte hash en/of zonder salt zouden hebben opgeslagen, dan ben je goed nat.
Gebruik toch een password manager met 2fa toegang.
Niet hun verantwoordelijkheid, de jouwe.
Exact wat ik een paar dagen terug had, midden in een bestaande sessie. Vond het ook al zo vreemd.
Het is van de zotte dat we nu via de media (Tweakers) moet lezen dat er een lek heeft plaats gevonden i.p.v. dat er een mail vanuit Dell is gestuurd over het lek.
Het is van de zotte dat we nu via de media (Tweakers) moet lezen dat er een lek heeft plaats gevonden i.p.v. dat er een mail vanuit Dell is gestuurd over het lek.
Als jouw email niet betrokken is, waarom zou je er dan over bericht moeten worden?
"De gebruikers die mogelijk getroffen zijn door het lek, krijgen te maken met een vanuit het bedrijf verplichte wachtwoord-reset. Dell doet verder geen uitspraken over de mate van versleuteling van de wachtwoorden."

Die heb ik gewoon gehad (al dan niet verkapt als de feestdagen special logon scam :Y) ), dus een mail was wel op zijn plaats geweest.
De aanleiding van dit artikel is een press release van Dell zelf

https://www.dell.com/lear...018-11-28-customer-update
Precies dit. Daarnaast kon ik vervolgens hetzelfde wachtwoord weer instellen als dat ik hiervoor gebruikte. Die ga ik gelijk maar even wijzigen met deze nieuwe informatie

Slechte zaak.
Dat is maar goed ook, want anders zouden ze weten wat je oude wachtwoord was.
Wat er nu gebeurt is dat je hetzelfde wachtwoord onder een andere hash opslaat in hun database.
Als zij jouw password hashen dan hoeft dat niet. Als het resultaat van jouw hash qwerty123456789 is en jij voert hetzelfde wachtwoord opnieuw in krijg je opnieuw qwerty123456789 en nog weten zij jouw password niet. Dit hadden ze kunnen voorkomen m.i. Als ze salten zouden ze het ook moeten kunnen weten, ze hebben immers een dag of wat geleden nog een inlogquery met jouw vorige password goedgekeurd, als ze die query opnieuw uitvoeren en het werkt heb je hetzelfde wachtwoord.

Ik mag hopen dat ze wisten hoe ze jouw password hebben gehashed (en zeer zeker dat ze uberhaupt hashen) en dat ze de hashes nog hebben. Het kan een coverup zijn van unhashed passwords, dat ze alles gewoon hebben verwijderd maar dat is wat teveel conspiracy-denken. Of misschien hebben ze zoiets van 'als jij hetzelfde gebruikt heb je het niet gelezen, snap je niet hoe het werkt en verdien je om slachtoffer te worden'. Maar dat is nadelig voor hun business...

[Reactie gewijzigd door Nox op 23 juli 2024 07:36]

dat had ik ook :D, waren er gisteren al mee aan het lachen toen we wouden inloggen op techdirect.

[Reactie gewijzigd door Yoshi op 23 juli 2024 07:36]

"naadloos winkelen" en "wachtwoord opnieuw in te stellen" gaan al niet samen. Wat een marketingpraat van Dell. Hier kan ik bozer om worden dan van een datalek.
Ik weet zeker dat die tekst door een communicatieadviseur is bedacht, die iets negatiefs in iets positiefs wilt omzetten. En vervolgens met dit soort gelogen communicatie goede punten scoort hoog in de boom bij Dell. Kwakzalvers noem ik dat...

Wees er gewoon eerlijk en open over.
Ik ben blij dat de meldplicht er is (in Nederland?), zodat bedrijven niet meer zelf hoeven na te denken over het melden hiervan. In plaats daarvan kunnen ze energie stoppen in het tijdig melden van de oorzaak en achterhalen van de ernst.
zodat bedrijven niet meer zelf hoeven na te denken over het melden hiervan.
Dit is dus niet waar, als bedrijf zijnde hoef je niet elke lek te melden. Er zijn voorwaarden opgesteld, wanneer je iets moet melden.

Nu wordt letterlijk alles gemeld, waardoor die organisatie overspoelt worden met reports en ze te veel werk hebben.
Dit zegt de GDPR:
- Als het waarschijnlijk is (combinatie van mogelijk risico en impact) dat betrokkenen getroffen zijn dan dien je de lokale DPA te informeren.
- Als het waarschijnlijk is dat er een hoog risico voor betrokkenen is dan dien je deze betrokennen ook direct zelf te informeren.

Oftewel: als je zeker weet dat de 2 voorletters van je klanten gestolen zijn, dan gaat er sowieso een notificatie naar AP maar waarschijnlijk niet naar de consument. Tenzij AP na melding datalek alsnog anders beslist.

In het geval van Dell zijn zij blijkbaar tot de schriftelijke (accountability = GDPR) afweging gekomen dat de wachtwoorden niet ontsleuteld kunnen worden. Lijkt mij enige logische verklaring.

In Nederland geeft de AP daadwerkelijk opvolging aan gemelde datalekken via haar website met wat hoor en wederhoor via telefoon.

*ik adviseer organisaties oa rondom datalekken

[Reactie gewijzigd door Malarky op 23 juli 2024 07:36]

Ik reageer op een reactie, die zegt " zodat bedrijven niet meer zelf hoeven na te denken."
Wat dus totale onzin is.

Zoals jij en @xleeuwx aangeven zijn er voorwaarden wanneer je iets wel moet melden.
Het probleem nu is alleen, door dat bepaalde bedrijven geen enkel risico nemen, ze zo'n beetje alles melden. Wat dus totaal niet de bedoeling was.
Dit is dus niet waar, als bedrijf zijnde hoef je niet elke lek te melden. Er zijn voorwaarden opgesteld, wanneer je iets moet melden.
[...]
Nogmaals je hoeft het niet te melden (bij een minder ernstig lek), maar je hoeft er dus ook niet over na te denken om het zekere van het onzekere te nemen. Zoals je zelf al aangeeft betekend dat in de praktijk dat bedrijven inderdaad het zekere voor het onzekere nemen. Ik vind dat zelf ondanks de "overspoeling" een positieve ontwikkeling: Zeker omdat je als gebruiker voorheen misschien nooit te weten kwam dat je gegevens op straat liggen.

De "totale onzin"opmerking in je andere bericht vind ik dus een wat overdreven reactie.

[Reactie gewijzigd door Jur_ op 23 juli 2024 07:36]

Grappig, he.
Als een bedrijf geld kan ontvangen, zijn ze zeer creatief in het nadenken hoe ze het geld kunnen krijgen.
Als ze gratis hun risico kunnen af afschuiven, gaat het verstand op 0.

Terwijl een goede DPO, deze inschatting moet kunnen maken, zonder hulp van buiten af.
Niet elke lek, wel elke datalek ;)
Nee. U hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.

Het AP geeft aan dat wanneer er mogelijk persoonsgegevens zijn gelekt je het datalek moet melden, dit betekend dus dat in dit geval je hem moet melden en dat de organisatie overspoelt wordt is wel te verwachten aangezien ze al voor de AVG / GDPR hadden aangegeven te weinig personeel te hebben.

Bron: https://autoriteitpersoon...meldplicht_datalekken.pdf

Dus het is makkelijk roepen om te zeggen dat bedrijven te veel melden, maar vergeet niet dat er boetes op staan als je het niet meld en je niet publiekelijk naar buiten hoeft te brengen dat er een datalek was.
In heel Europa is de meldplicht
Klopt, ik had beter Europa kunnen zeggen. Ik vroeg me meer af hoe het in Amerika zit.
Wat gebeurt er eigenlijk als bij de gemeente of bij de centrale overheid een datalek plaatsvindt? En wordt niet op tijd gemeld. Moeten ze dan ook "10"% van het jaar omzet als boete betalen?
Regel 1, (mijn vrije vertaling) een boete (aan wie dan ook) wordt pas uitgedeeld als blijkt dat er (bewust) nalatig gehandeld is.
AP doet aan hoor, vragen, wederhoor voordat men ook maar overgaat tot enige actie. In sommige gevallen kan binnen uren actie volgen.
De actie is dan meestal u moet dit doen binnen X tijd anders.... "een last onder dwangsom".
Ja, niemand is uitgezonderd ook de overheid niet (zie het UWV verhaal), de AP is een onafhankelijk orgaan wat onder de vleugels van de EU werkt. Voor meer informatie zie https://nl.wikipedia.org/..._voor_gegevensbescherming en https://nl.wikipedia.org/..._voor_gegevensbescherming

[Reactie gewijzigd door ollie1965 op 23 juli 2024 07:36]

Ik vind het een positieve ontwikkeling dat steeds meer bedrijven melden als er datalekken zijn (geweest). Hier heeft wetgeving ongetwijfeld flink bij geholpen, maar langzamerhand lijkt er ook wel een cultuur te ontstaan dat het geen doodzonde meer is; bij vrijwel alle bedrijven komen datalekken, beveiligingsproblemen, etc. wel eens voor.
(..) over het incident stelt Dell dat er 'geen indicatie' is dat creditcardgegevens of andere 'gevoelige klantgegevens' in het vizier van de indringers waren.
Dit is dan weer jammer. Dit zegt natuurlijk niets. Ik heb ook geen enkele indicatie dat mijn fiets gestolen is, maar ik heb al twee dagen niet in de berging gekeken. Je zou kunnen stellen dat "er is geen indicatie" is hetzelfde als "ik heb geen idee", maar dat is het wat mij betreft niet.

Iets meer duidelijkheid zou hier niet misstaan. Niet alleen zodat we kunnen inschatten hoe Dell met onze gegevens omgaan (strafrechtelijke of civielrechtelijke aanpak als ze echt keihard verzaakten) maar ook om er collectief van te kunnen leren.
Vind het wel zorgwekkend. Ik heb vlak voor de periode een nieuwe laptop gekocht op cc en vanuit Dell niks gehoord. Kreeg dit bericht doorgestuurd van mijn broer.

Enkele weken geleden hierover geschreven over beschermen tegen hackers.

Dankzij gebruik van unieke wachtwoorden en een passwordmanager kun je een hoop schade beperken.
"over het incident stelt Dell dat er 'geen indicatie' is dat creditcardgegevens of andere 'gevoelige klantgegevens' in het vizier van de indringers waren."

Waarom zou je anders een systeem hacken?
Het is ook moeilijk om "een indicatie" te zien dat de indringers creditcardgegevens in hun vizier zouden hebben. Zeker als je het niet wil zien of daar niet op zoek naar gaat.
Je zou zelfs kunnen stellen: "Ja ze hebben alle gegevens gestolen, maar er is geen indicatie dat ze de creditcardgegevens in hun vizier hadden."

Het eerste gedeelte laat je dan weg, want dat is geen goede P.R.
Ook laten ze zich niet uit over hoe de wachtwoorden (en andere gegevens?) versleuteld zijn.
Een fout van een sysadmin kan al een datalek veroorzaken. Of iemand daar gebruik van gemaakt heeft of niet weten ze nog niet zeker. Als er wel red flags geraised waren dan was het geen vermoeden meer.
Waarom zou je anders een systeem hacken?
Een inbraak of overval is toch ook niet altijd succesvol? Wellicht was het hun doel, maar kwamen ze niet diep genoeg om bij deze gegevens te komen. Bij een inbraak of overval kom je soms ook bij de kluis, waarvoor je komt, maar niet altijd krijg je die snel genoeg open, als de beveiliging in orde is.

Daarnaast zijn er genoeg mensen die hacken voor de 'lol', die hebben dus niet specifiek het doel om CC gegevens in te zien.
Dell is een fan van de GOP. Meer hoef ik denk ik niet te zeggen/schrijven.

Op dit item kan niet meer gereageerd worden.