Criminelen kregen toegang tot 32.000 RTL-accounts

Internetcriminelen hebben met succes weten in te loggen bij 32.000 accounts van RTL-gebruikers, door op grote schaal inloggegevens uit te proberen die al op internet rondzwierven. Zo kregen ze toegang tot persoonsgegevens.

De criminelen konden door het datalek de volledige naam, het e-mailadres, het woonadres en de woonplaats van accountgebruikers inzien, voor zover deze gegevens ingevuld waren. Er waren geen betalingsgegevens in het geding. De accounts worden onder andere gebruikt voor RTL-diensten als Videoland, Buienradar en RTL Nieuws.

De systemen van RTL zelf zijn niet binnengedrongen maar wel was de beveiliging niet volledig op orde, aangezien de criminelen grote hoeveelheden inloggegevens konden uitproberen bij hun poging in te breken op de tienduizenden accounts. Ze maakten daarbij gebruik van wachtwoorden die eerder via andere datalekken op straat kwamen te liggen. Veel gebruikers hanteren hetzelfde wachtwoord voor meerdere diensten.

RTL meldt dat het de accounts van gedupeerden heeft geblokkeerd en hen heeft ingelicht met de waarschuwing dat ze hun wachtwoord moeten wijzigen. Het bedrijf heeft het datalek gemeld aan de Autoriteit Persoonsgegevens en werkt de beveiliging van zijn systemen bij.

Lees meer

Reacties (78)

jeroenathome
29 november 2018 18:19

Wel lullig voor RTL. Er wordt niet ingebroken op hun systeem, maar ze krijgen wel de schuld doordat de gebruikers makkelijk te achterhalen wachtwoorden gebruiken.

Wat RTL wel valt te verwijten is dat er geen beperking is op het aantal foutieve inlogpogingen.

Kees
@jeroenathome • 29 november 2018 18:48

Zelfs met een beperking op login pogingen kun je er nog meer dan genoeg proberen. Er zijn helaas teveel tor/proxy netwerken waardoor je met gemak duizenden verschillende ip's kan gaan gebruiken.

Ook bij Tweakers hebben ze dit geprobeert (bijna een jaar geleden). Er werden gewoon 1000+ verschillende ip's gebruikt om onder onze 'X pogingen per uur per ip' uit te komen. Ik weet niet of rtl dat ook heeft, maar het is geen waterdichte bescherming.

Overigens had degene die het bij ons deed eerst lopen testen met zijn eigen account met daarin genoeg aanknooppunten voor een aangifte. Dus die gast heeft de politie over de vloer gehad met de vriendelijke groeten van Tweakers.

Deze aanvallen is het uiteindelijk gelukt om op een kleine 100 accounts in te breken. Ik heb daarna dezelfde aanval ook gedaan met wat wachtwoordlekken (en zonder restricities

) en heb 42000 wachtwoorden gereset.

[Reactie gewijzigd door Kees op 29 november 2018 19:01]

Mmore

@Kees • 29 november 2018 19:32

Wat vinden jullie zelf van integratie met bijv. de haveibeenpwned password lijst om dit zoveel mogelijk te voorkomen en om gebruikers dus te forceren een veilig wachtwoord te gebruiken?

RoestVrijStaal
@Mmore • 29 november 2018 20:26

Die lijsten worden enkel als SHA-1 en NTLM aangeboden. Gedateerde hash algoritmes.

Ik hoop van harte dat Tweakers inmiddels al over is op een andere hash algoritme.

hiekikowan

@RoestVrijStaal • 29 november 2018 20:36

Voor zo'n lijst is het hashingalgoritme natuurlijk een stuk minder van belang: je kunt bij het wijzigen van een wachtwoord eerst prima naar SHA1 hashen om hem tegen de lijst aan te matchen (ervanuitgaand dat je dan de lijst wel lokaal ingelezen hebt en het wachtwoord niet remote over het net stuurt om tegen een service aan te checken), bij geen match is het wachtwoord veilig en kan je het met bijv. Argon2 of PBKDF2 gehashed opslaan.

PlowKing
@hiekikowan • 30 november 2018 09:46

Doe je dan wel een check tegen username / email? Anders kan ik password correcthorsebatterystaple gebruiken maar verder niemand meer. Dan raken de passwords, net als de screennames, na een tijde op.

Aspje
@PlowKing • 30 november 2018 10:15

Het gaat om wachtwoord hergebruik. Wachtwoorden die ooit in een data lek naar boven zijn gekomen mogen eigenlijk nooit meer gebruikt worden. Als iedereen 1 wachtwoord heeft die nooit gelekt wordt, mogen al die mensen dat wachtwoord gebruiken. (Totdat die gelekt is, dan mogen al die mensen hem niet meer gebruiken).

Zolang er nooit een maximale wachtwoord lengte restrictie opzit raken de wachtwoord echt niet zomaar op.

PlowKing
@Aspje • 30 november 2018 10:54

Sure, je hebt helemaal gelijk, maar in de praktijk is dit natuurlijk voor de meeste mensen lastig. Ik zie het om mij heen al.

Maar password fields hebben maar al te vaak restricties(onder het nom van mensen sturen anders megs aan passwords) en is het dus een kwalijk iets, aangezien je dan nieuwe accounts blootstelt aan het feit dat ze minder keuze hebben en dus makkelijker te kraken / hacken zijn.

Dus de vraag is meer hoe maak je een goede salt + algho, want in de ideale wereld zouden wij hetzelfde wachtwoord kunnen gebruiken zonder dat het zichtbaar is aan de hash(en dat gebeurt nu al). Maar zolang jij als persoon zelf niet overal hetzelfde wachtwoord gebruikt maakt het niet zo heel veel uit als je in 1 db 2 keer hetzelfde password heb zitten, aangezien dat toch niet linkt naar andere accounts.

Aspje
@hiekikowan • 30 november 2018 10:18

Je hoeft niet de hele lijst lokaal in te lezen om toch via een remote service een opvraging te doen. Neem bijv. eerste 5 characters (zoals bij de haveibeenpwned service) en doe lokaal een check tegen de teruggekregen prefix lijst (200-400 stuks)

Mittchel
@Kees • 29 november 2018 19:05

Maar je kan toch gewoon een lock leggen op gebruikersnaam/userid niveau?. 3x foutieve gegevens voor een gebruiker? Uit voorzorg blokkeren en/of melding sturen naar de gebruiker is gewoon mogelijk. Hoeft geen IP aan te pas te komen lijkt mij.

Kees
@Mittchel • 29 november 2018 19:06

De wachtwoordlekken zijn email + pass, dus ze proberen per useraccount 1 keer in te loggen. Vaker heeft geen zin.

Mittchel
@Kees • 29 november 2018 19:30

Het uitgangspunt was dat er dus wel meerdere keren werd ingelogd. Daar reageer ik dus ook op. Feit dat het niet gebeurd omdat zij een email + pass combinatie lijkt mij logisch, maar daar ging de reactie niet over.

Edit: ik had het niet zo zeer over hoe Tweakers het deed/doet, maar meer een reactie op het bericht van @jeroenathome

[Reactie gewijzigd door Mittchel op 29 november 2018 19:31]

redzebrax
@Kees • 29 november 2018 19:11

Mooi zo, het vergt natuurlijk wel enige logging en logmining om die gast te vinden en daarin blinkt dan tweakers weer een beetje uit. Waarschijnlijk was/wordt RTL niet de enige (lijkt zonder #/ip bescherming aangezien ze aanpassingen willen doen, het is altijd zoeken tussen gebruikersgemak en veiligheid bv 2 factor authentication, maar hoeveel gebruikers ga je dan missen ?). Wel is het een verdienste dat RTL er direct ruchtbaarheid aan gegeven heeft, maar aangezien dit soort mensen/groepen nooit stopt bij eentje mag je aannemen dat dit vorige en komende maanden ook op andere is en zal geprobeerd worden.

batjes

Datalek

@Kees • 29 november 2018 19:07

Een beetje fatsoenlijk opgezet login systeem blokkeert een account ook als X attempts per account wordt overschreden. Niet alleen X attempts per IP.

Dat Tweakers dat vorig jaar nog toe liet…. wauw. Ik hoop dat het nu verbeterd is. Zelfs de overheid heeft dit al jaren. Het zou al jaren de norm moeten wezen, vooral in security bewuste omgevingen.

To_Tall

@batjes • 29 november 2018 19:22

Fijn zit je op je werk tweakers kijken gaat dan niet meer om dat 10 gebruikers zijn ingelogd 😇😇

IP ban is lastig, account ban bij x pogingen is beter. Daarnaast is het wel verstandig om gedrag van een IP adres te monitoren. En daarop acteren. Dat kan ook geautomatiseerd.

Anoniem: 120539
@To_Tall • 29 november 2018 21:27

, account ban bij x pogingen is beter.

En dat is het probleem als een lijst van x accounts met x wachtwoorden wordt geprobeerd vanaf multiple ip-adressen.

Anoniem: 120539
@batjes • 29 november 2018 21:25

Je kunt de RTL diensten ook vanaf je mobiele device gebruiken. Helaas heb je dan vaak geen eigen ip-adres, maar wordt je gewoon ge-NAT. Blokkeren op basis van meerdere logins vanaf 1 ip of 1 range zou ook al deze mensen hinderen.
Ook mag je als abo inloggen vanuit het buitenland, ook daar ligt blokkeren dus lastig.

Daar komt nog bij dat RTL niet maar een paar honderd users per uur heeft, maar soms wellicht wel tienduizenden. Die illegale pogingen zijn ongetwijfeld merkbaar, maar zullen ook niet direct alle alarmbellen doen afgaan omdat er een paar duizend extra pogingen worden gedaan.

M.a.w.: op een afstand lijkt het vaak makkelijker dan het in de praktijk is.

SCIxX
@batjes • 30 november 2018 08:42

Niet overal leveren ze gebruiksgemak in voor veiligheid. Het leek vroeger wel de standaard dat je account na enkele pogingen op een website geblokkeerd werd, ik ben maar wat blij dat dit voorbij is.

Kees
@batjes • 29 november 2018 19:08

De wachtwoordlekken zijn email + pass, dus ze proberen per useraccount 1 keer in te loggen. Uiteraard hebben we limieten op ip en user account basis. Maar als je de mailadressen en wachtwoorden weet dan gebruik je per account maar 1 poging en als dat niet werkt ga je naar het volgende account.

batjes

Datalek

@Kees • 29 november 2018 19:12

Ah oke,

Er werden gewoon 1000+ verschillende ip's gebruikt om onder onze 'X pogingen per uur per ip' uit te komen

Gaf namelijk de indruk dat je dus met botnets rustig kon gaan bruteforcen.

Eusebius
@Kees • 29 november 2018 18:58

Je mag ook niks meer tegenwoordig

tinustate
@Kees • 29 november 2018 21:37

Tja, dat is wel heel makkelijk zo, de schuld leggen bij dat er veel ip adressen zijn die men kan gebruiken.
Als je dat weet dan gebruik je toch geen ip adressen voor de detectie.
Zat manieren beschikbaar als je het echt goed wil beveiligen, het is alleen niet zo makkelijk.
Maar moet dat een reden zijn om het dan maar niet te doen.
De reputatie schade kost bij grote partij al meer dan het goed te laten implementeren.

Turdie
@Kees • 29 november 2018 23:26

Of gewoon geen logins toestaan vanaf proxy netwerken / tor netwerken, dat moet toch wel te filteren zijn?

Kees
@Turdie • 30 november 2018 07:26

Nee, dat is verdraait lastig. Helemaal omdat dat soort netwerken vaak opgezet zijn als 'gratis vpn' en dus allemaal 'huis-ips' zijn van legitieme gebruikers. De willekeurige thuisgebruiker installeert dan een vpn maar leest niet de kleine lettertjes dat hij in ruil voor de gratis vpn ook als proxy gaat dienen. Die kun je vast wel blokkeren, maar dan pak je alle legitieme gebruikers ook mee. Ik noem maar een netnut.io

Het tor netwerk kun je idd vrij makkelijk blokkeren... maar het tor netwerk heeft (zeker bij ons) ook een heleboel legitieme gebruikers.

Jerie

@Kees • 2 december 2018 15:47

Je zou ook een account dat X login pogingen heeft gehad kunnen locken, zoals Microsoft met Windows toestaat. Het nadeel is dat dat een DoS toestaat.

SilentLucidity
@jeroenathome • 30 november 2018 08:58

En dat ze blijkbaar zwakke wachtwoorden accepteren..

edit:
Het gaat niet over makkelijk te achterhalen wachtwoorden, maar gewoon dubbel gebruikte.

[Reactie gewijzigd door SilentLucidity op 30 november 2018 08:59]

Anoniem: 120539
@jeroenathome • 29 november 2018 18:30

Wel lullig voor RTL. Er wordt niet ingebroken op hun systeem, maar ze krijgen wel de schuld doordat de gebruikers makkelijk te achterhalen wachtwoorden gebruiken.

Ook mensen met een 'goed'* wachtwoord worden hierdoor geraakt als ze datzelfde wachtwoord ooit op een site hebben gebruikt die een keer gehackt is.

*Het wachtwoord stopte natuurlijk met goed zijn toen het op meerdere plekken gebruikt werd. Dat is natuurlijk voor veel mensen een redelijk nieuw inzicht; een paar jaar geleden dacht de gewone consument hier nog helemaal niet over en was maar wat trots op zijn wachtwoord bestaande uit 12 karakters met letters, leestekens en cijfers. Pas in de laatste 2 jaar komt steeds meer het besef dat hergebruik wel handig maar niet verstandig is.

divvid
@Anoniem: 120539 • 29 november 2018 19:23

En dan nog kom ik systemen tegen met restricties op de ww lengte. Het klinkt flauw, maar een goed onthoudbare zin is veiliger en minder frustrerend dan een niette onthouden wachtwoord met tekens en cijfers van maar 10 karakters, uiteraard op de obligate Post-it onder het bureau

P_Tingen
@To_Tall • 29 november 2018 19:58

Video niet meer beschikbaar. Ik denk dat té veel mensen die video wilden zien 🤣

To_Tall

@SamTex • 29 november 2018 22:35

Ja klopt doordat men toegang wilt tot mijn camera, kunnen bozen radio golven mijn gedachten besturen.

Ja ik ben ook biologisch ingestraald maar ik kan mij verdedigen met een biostabiel van tieneke (te koop bij telsell).

Nee veel apps willen toegang tot resources van mijn telefoon, pc en iPad. Ja dat vind ik vreemd dat candycrush ook toegang wil hebben tot mijn microfoon. Ik ben het er mee eens dat er zowel door Android als Apple als andere platformen armen in een moeten slaan en uniforme richtlijnen moeten trekken.

Maar om nu weer een filmpje over telefoon virussen die aan mind control doen hier te plaatsen. Valt voor mij in de categorie 2012 de wereld vergaat. Uhhh volgens mij bestaat de wereld nog. Waarna een week later er wordt beweerd we hebben een reken fout gemaakt. Sorry, maar er zullen altijd mensen onzin verkopen die een hoop andere geloven.

Als mensen hier op Tweaker gaan verkondigen dat virussen op je telefoon je gedachten kunnen gaan besturen en weet ik het wat voor onzin nog meer. Dan val je wat mij betreft bij de groep mensen die misschien wel die dagelijks een aluminium hoedje vouwen om boze aardse en buiten aardse singnalen te reflecteren.

To_Tall

@SamTex • 30 november 2018 12:01

Sorry SamTex,

Als ik zo naar jouw verhaal kijk zullen wij het nooit eens worden, iets in mij zegt dat jij een redelijk zwaar gelovige bent in iets.. Dat mag en kan, ik geloof alleen in mij zelf en Sinterklaas.

Maar dit is niet de plek om dit soort onzin te verkopen, spreek ook niet in de jullie vorm. Wat hebben andere personen hiermee te maken je reageert op een reactie van mij. Ik denk dat er andere fora's en websites bestaan die specifiek voor deze "waanideeën" bestaan. Dat is een betere plek om dit te bespreken dan hier op tweakers.

SamTex
@To_Tall • 11 december 2018 16:23

iets zegt mij dat jij zwaar voorgelogen bent en dus een diep gelovige bent, je geloofd immers in een fictief mannetje die niet bestaat, beweerd dat ik geld heb ontvangen voor een link te delen, iets wat ik nooit zelf heb gezegd, dus met al deze misvattingen in je claims en grammatica ben ik ook idd van mening dat wij het nooit eens zouden worden, waar werk jij en welke onzin heb jij voor je werkgever te verkopen?

tweaker2010
29 november 2018 18:34

Redelijk belangrijke informatie die in het artikel op Tweakers niet helemaal uit de verf komt:

De mailadressen en wachtwoorden die zij gebruikten zijn buitgemaakt bij hacks in het verleden, onder andere bij LinkedIn, Dropbox en eBay.

Omdat veel mensen nog steeds gebruikmaken van die eerder gelekte inloggegevens, kregen de criminelen toegang tot deze accounts.

Bron: https://www.rtlnieuws.nl/...k-rtl-nederland-videoland

Kiswum
@tweaker2010 • 29 november 2018 18:41

Ze maakten daarbij gebruik van wachtwoorden die eerder via andere datalekken op straat kwamen te liggen. Veel gebruikers hanteren hetzelfde wachtwoord voor meerdere diensten.

Dit stond er al rond het moment dat ik het bericht opende (rond 18:35). Het kunnen dus wachtwoorden van allerlei diensten zijn, zoals Adobe, LinkedIn en Dropbox.

CAPSLOCK2000

Beveiliging en antivirus
Datalek

29 november 2018 18:16

Ik ben oprecht verbaasd dat RTL het zo netjes heeft gedaan. Toen ik de headline las ging ik er van uit dat RTL een grote fout in z'n beveiliging heeft gemaakt. Nu begrijp ik dat ze alleen netjes melding hebben gedaan van een incident waar ze zelf weinig aan kunnen doen.
Netjes, ok het is makkelijk om aangifte te doen als je zelf niks verkeerd hebt gedaan, maar toch, ze hebben de moeite genomen.

tinustate
@CAPSLOCK2000 • 29 november 2018 18:21

Ze kunnen er vrij veel aan doen.
Er zijn technische mogelijkheden om login pogingen te beperken al dan niet te detecteren.
Natuurlijk kun je discussiëren of dit nodig is en te verwachten mag, voor een partij zo groot als rtl lijkt me dat wel het geval.

DB LucF

@tinustate • 29 november 2018 18:46

Nee, ze kunnen er niet veel aan doen. Zelfs met het blokkeren van een IP adres na gefaalde inlogpogingen zullen de criminelen gewoon verder gegaan zijn vanaf een ander IP. Of dat nu via een botnet, open proxies, TOR, of iets anders gaat, eventueel icm rate-limiting.
Als de criminelen hun lijst met gebruikersnaam en wachtwoord ook nog een beetje gefilterd hebben (weinig kans dat iemand met een bladiebla@provider.ru een account bij RTL heeft) dan kan het uitproberen van al deze accounts zich in de logs van RTL zelfs nog voordoen als achtergrondruis.

Joolee
@DB LucF • 29 november 2018 19:03

Dit kun je hoogstwaarschijnlijk detecteren met een trendanalyse en een SOC dat direct een alert daarvan gaat uitzoeken. Behalve natuurlijk als de criminelen hun logins/pogingen hebben uitgesmeerd over enkele weken.

Mittchel
@DB LucF • 29 november 2018 19:04

Das allemaal leuk en aardig, maar je kan gewoon een lock leggen op gebruikersnaam/userid niveau. 3x foutieve gegevens voor een gebruiker? Uit voorzorg blokkeren en/of melding sturen naar de gebruiker is gewoon mogelijk. Hoeft geen IP aan te pas te komen lijkt mij.

joppybt
@Mittchel • 29 november 2018 19:51

Dat is leuk. Dan maak ik een bot die alle usernamen drie keer met een bewust fout wachtwoord probeert. Vervolgens is *iedereen* gelocked.
Een gemakkelijke denial of service aanval.

Zer0
@Mittchel • 29 november 2018 20:02

Das allemaal leuk en aardig, maar je kan gewoon een lock leggen op gebruikersnaam/userid niveau. 3x foutieve gegevens voor een gebruiker?

Wellicht nog eens het artikel goed doorlezen. Er zijn geen accounts binnengedrongen waarvan de criminelen geen wachtwoord hadden, alleen accounts waar ze al een email-adres en wachtwoord hadden.
Met jouw oplossing zouden nu net de verkeerde accounts gelockt worden.

kritischelezer
@Mittchel • 29 november 2018 23:58

Je kan weinig doen als iemand je wachtwoord heeft, elke poging kan gedaan worden vanaf een uniek ip, dus er valt geen ip te blokken, grote kans dat in 1 keer het account werkt.

Behalve een 2 traps beveiliging, of een goede captcha (bij afwijkend IP dan normaal) zal dit soort inlog pogingen onmogelijk maken of vertragen.

[Reactie gewijzigd door kritischelezer op 29 november 2018 23:58]

tinustate
@DB LucF • 29 november 2018 21:30

Natuurlijk is dit goed mogelijk, ip's van botnes, proxies, tor e.d. zijn beschikbaar, eventueel voor een klein bedragje.
Maar nog makkelijker: geo ip. Gewoon kijken wie er inlogt vanuit niet nederland.
Ook zonder al dit kun je detecteren dat er iets bijzonders aan de gang, kijk naar je geschiedenis, brengt dit in beeld. En vergelijk nu elke dag deze beelden met het beeld van vandaag.
En met bepaalde technologieën kun je het zelfs "live" doen. En dan heb je het niet eens over AI of bigdata wat het weer op een heel ander niveau brengt.

kritischelezer
@tinustate • 30 november 2018 00:01

Er zijn ook mensen die via een VPN willen inloggen, of vanuit het buitenland. De VPN kan een een buitelandse server zijn. Dan blok je dus een behoorlijke groep.

Wel kun je aanvragen die niet "normaal" zijn, anders behandelen, met een extra vraag.

0xygen500
@CAPSLOCK2000 • 29 november 2018 18:27

netjes? Beveiliging niet op orde dan hoor je door het stof te gaan.

SMD007
@0xygen500 • 29 november 2018 18:35

welke beveiliging die van de gebruikers die dus op meerdere plekken hun zelfde inlog gebruiken? Natuurlijk zijn er beveiligingen die RTL kan toepassen om zo maar in loggen te voorkomen, maar de gebruikers zijn hier toch echt de genen die in de fout gaan.

justmike
@0xygen500 • 29 november 2018 18:54

Het enige dat je RTL kan verwijten is dat ze niet genoeg maatregelen hebben genomen om hun "domme" gebruikers te beschermen tegen zichzelf.

Lick_A_Brick
@CAPSLOCK2000 • 29 november 2018 18:23

De manier waarop de criminelen aan de inloggegevens zijn gekomen is iets waar je weinig aan kunt doen. Een simpele beveiligings functie toepassen waarmee je maar een x aantal keren je wachtwoord verkeerd kan invullen is iets wat ook al een eis was toen ik een website moest bouwen voor mijn opleiding (en het was niet eens een web development opleiding)

Goldwing1973
@Lick_A_Brick • 29 november 2018 18:36

Probleem hier alleen is dat de criminelen een lijst van inlog gegevens hadden van andere sites.
Dus ze hadden max 2 a 3 wachtwoorden om te proberen.
Als je een website opzet wil je niet dat een gebruiker niet meer kan inloggen omdat hij een tiepfoutje gemaakt heeft, dus je geeft 'm minimaal 3 pogingen tot je tot (tijdelijke) blokkade over gaat.
En dat zou dan ook nog genoeg zijn geweest voor de criminelen.

Lick_A_Brick
@Goldwing1973 • 29 november 2018 18:39

Dit klopt inderdaad ja, in mijn gedachte zat ik even aan een bruteforce aanval te denken maar dit is natuurlijk niet het geval.

renevanh
@Lick_A_Brick • 29 november 2018 18:37

Het probleem is niet dat ze tig wachtwoorden per account geprobeerd hebben en geluk hebben gehad, ze hebben duizenden accounts geprobeerd met één wachtwoord per account en zijn in 32000 gevallen succesvol ingelogd omdat die wachtwoorden correct waren.
Je zou kunnen detecteren dat een veelvoud aan pogingen vanuit één locatie of één sessie komt, maar dat lossen 'de criminelen' natuurlijk eenvoudig op door een botnet in te zetten.

Aan de kant van RTL is de enige oplossing op dit te voorkomen 2FA, maar daar zit niemand op te wachten voor de diensten die ze aanbieden denk ik...

SunnieNL

@Lick_A_Brick • 29 november 2018 18:39

Je kan natuurlijk ook zorgen dat gebruikers altijd 2FA moeten gebruiken bij inloggen. Bijvoorbeeld via een open authenticator als die van Microsoft of Google.

Ivanzoomski
29 november 2018 20:27

Dus er is bij 32.000 accounts inzicht geweest in de adresgegevens van gebruikers. Wie weet zijn ze zelfs wel gedownload. So what??

Er zijn geen betaalgegevens buit gemaakt. Ze hadden ook een rondje door de buurt kunnen rijden en naw gegevens noteren. Duurt wel wat langer, maar ok.

Er is dus helemaal NIETS aan de hand maar toch vinden sommige het dan goed dat ze het melden, ze moeten door het stof. Waarvoor dan? Omdat iemand een rondje heeft gereden door de buurt met een pen en blocnote bij zich.

Het privacy verhaal en verantwoordelijkheden van bedrijven hierin is m.i. behoorlijk doorgeslagen. Deze ophef is hier een mooi voorbeeld van.

sellh48

@Ivanzoomski • 29 november 2018 20:40

Als het klopt wat door RTL en in het nieuwsbericht beweerd wordt, hebben de hackers daadwerkelijk in kunnen loggen op de accounts. En dat vind ik ernstig zat.
In je voorbeeld: Er hebben niet alleen tijdens een rondje in de buurt naw gegevens genoteerd, maar de sleutels zijn bemachtigd en daarmee zijn de woningen binnengegaan.

Nogmaals... ALS HET KLOPT. Want de berichten over het incident vind ik om meerdere redenen behoorlijk onduidelijk en ongeloofwaardig. In mijn geval kan het (Lastpass) wachtwoord onmogelijk "op internet rondgezworven" hebben of ook op andere internetsites gebruikt zijn, zoals in het artikel beweerd wordt. Toch ontving ik van RTL een behoorlijk warrige mail.

[Reactie gewijzigd door sellh48 op 29 november 2018 20:57]

kodak

Datalek
Beveiliging en antivirus

@Ivanzoomski • 30 november 2018 01:37

Om met je laatste punt te beginnen, het is een probleem dat de gebruikers massaal hun wachtwoorden op meer plekken gebruiken en bijna nooit wijzigen. En dus lopen die gebruikers bij een lek elders een risico bij andere bedrijven.

Maar dat er niets aan de hand is, daar ben ik het niet mee eens. We hebben in Nederland en in Europa wetgeving die verwerkers verplicht om persoonsgegevens die ze over hun klanten verwerken zorgvuldig te beschermen. Als een bedrijf geld te willen verdienen door persoonsgegevens te verwerken heeft het ook een plicht om de minder leuke kant van het beschermen serieus te nemen. Het is al sinds het begin van de eeuw bekend dat mensen hun wachtwoorden massaal hergebruiken en dat dit met hergebruik van de username (dat bij heel veel bedrijven ook nog eens verplicht het mailadres is) een heel zwakke beveiliging is, als die gegevens lekken. En dat die gegevens kunnen lekken en publiek worden is ook al heel veel jaren bekend. Dan kan je als bedrijf niet menen dat je de persoonsgegevens van je klanten goed in bescherming hebt door de meest gebruikte vorm van toegang te vragen die tot in de eeuwigheid gebruikt mag worden. Misschien vinden we het als ondernemers niet leuk dat we een plicht hebben om persoonsgegevens goed te beveiligen, maar dat is nu eenmaal de wet omdat ondernemers het al niet zo nauw namen met andermans gegevens beschermen.

Dat een crimineel de gegevens die konden worden ingezien misschien ook op een andere manier kon verkrijgen doet er overigens niet toe. Je kan misschien toch wel aan die gegevens komen dus ik hoef niets te beschermen is geen optie. Er is geen wetgeving die klanten verplicht zorgvuldig met hun eigen persoonsgegevens om te gaan, er is wetgeving die verwerkers van andermans persoonsgegevens verplicht om zorgvuldig met die persoonsgegevens om te gaan.

Nox
29 november 2018 18:17

Is dit een datalek van RTL? Afgezien van de duizenden inlogpogingen was dit ook gebeurd als ze iets slimmer waren en RTL wel de beveiliging op orde had. Met wat handigheidjes heb je veel VPN's en TOR-nodes als extern IP en kan je alsnog bij de gegevens.

Beetje jammer dat RTL nu snel in de ogen van de consument de boeman is terwijl ze zelf hetzelfde wachtwoord hebben gebruikt wat waarschijnlijk nog op am i powned oid te vinden is, of de versie die de politie bijhoudt.

eric.1
@Nox • 29 november 2018 18:41

Is dit een datalek van RTL?

RTL had data in handen van 32.000 accounts, dit is door onbevoegden ingezien. Dan lijkt me dat wel een datalek van RTL ja.

Dat het niet geheel de fout is van RTL is niet heel relevant lijkt me.

sellh48

29 november 2018 19:25

Kreeg ook zo'n mail. Maar het is zo onduidelijk als maar kan....
Ik gebruik voor de RTL diensten een door Lastpass gegenereerd wachtwoord, niet makkelijk te raden en niet op andere sites gebruikt dan op RTLXL en Videoland.

Toch wordt er in het persoonlijk bericht beweerd dat er is ingelogd op mijn account.
In het nieuwsbericht wordt beweerd dat de inloggegevens afkomstig zijn van andere datalekken. Dat lijkt me godsonmogelijk, want mijn Lastpass wachtwoorden staan niet op andere plekken.

Nadat ik het RTL XL wachtwoord volgens omschrijving in de mail had gewijzigd, bleek het Videoland wachtwoord onveranderd. Het wachtwoord is toch voor alle diensten van RTL gelijk, begrijp ik uit het nieuwsbericht?

sellh48

29 november 2018 20:06

Het RTL wachtwoord wijzigen blijkt überhaupt niet te werken. Doe je dat volgens de instructies in het persoonlijke bericht van RTL, en probeer je vervolgens met het nieuwe wachtwoord in te loggen op RTLXL, krijg je de foutmelding "Account disabled".
Videoland blijft gewoon op het oude wachtwoord werken.

RTL lijkt er een rommeltje van te maken....;-(

WillySis
29 november 2018 23:25

Het verbaast mij eigenlijk hoe gemakkelijk allerhande persoonlijke gegevens buit te maken zijn als je eenmaal een account hebt gehackt. Ik vindt eigenlijk dat er nog steeds te veel informatie wordt gevraagd (en opgeslagen). Als bedrijven nu alleen de informatie vragen die ze nodig hebben, dan valt er ook minder te stelen. Telefoon nummer en adres zijn bijvoorbeeld zelden echt nodig. Geboorte datum is nog minder vaak nodig. Officieel mag je van de AP ook alleen de noodzakelijke gegevens opslaan, maar ik heb niet het idee dat daar ooit op wordt gecontroleerd.

tinustate
29 november 2018 18:17

Ik ben benieuwd of ze dit ook op tv gaan uitzenden en dan als eerste item.
Als ze dat doen heb ik weer een beetje meer respect voor rtl nieuws.

[Reactie gewijzigd door tinustate op 29 november 2018 18:18]

keenan001
@tinustate • 29 november 2018 18:42

Als dit als belangrijkste nieuws gaan uitzenden daalt mijn respect direct. T.o.v. alle andere zaken die spelen in de wereld, is dit totaal onbelangrijk.

iTremble
29 november 2018 18:46

Een paar dagen geleden werd er ingelogd op een hele oude Origin account, vermoedelijk is er weer een verzamellijst van wachtwoorden in omloop van gehackte site's.

Op https://haveibeenpwned.com/ kwam ik inderdaad weer voor op nieuwe gelekte lijsten.

stresstak
@iTremble • 29 november 2018 19:30

Op https://haveibeenpwned.com/ kwam ik inderdaad weer voor op nieuwe gelekte lijsten.

Vraag blijft hoeveel gewone mensen het bestaan kennen van die site.
Ik denk dat voor elke 100 'tweakers' er 10.000 normale burgers zijn die nooit checken of hun gegevens zwerven.

sellh48

@stresstak • 29 november 2018 19:38

Volgens havibeenpwned zouden mijn gegevens soldaat gemaakt zijn van het Franse Nemoweb. Geen idee wat dat is. Ik ken het niet en ik heb er, voorzover ik weet, geen account.
RTL wordt niet genoemd, maar ontving wel een bericht van RTL.

<EDIT>
Blijkt geen inbraak op Nemoweb, maar een inbraak bij de NGV (Nederlands Genealogische Vereniging). Daar was ik al van op de hoogte, maar daarbij zijn alleen namen en e-mail adressen buit gemaakt, geen inloggegevens.

[Reactie gewijzigd door sellh48 op 29 november 2018 20:17]

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Criminelen kregen toegang tot 32.000 RTL-accounts

Lees meer

Reacties (78)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden