Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WizzAir reset wachtwoorden van klanten uit voorzorg na technische problemen

Vliegmaatschappij WizzAir heeft bij alle gebruikersaccounts een wachtwoordreset gedaan. Het bedrijf zegt dat dat gebeurde om technische redenen, en niet omdat het slachtoffer was van een datalek.

Vrijwel alle klanten met een WizzAir-account hebben een mail gekregen, waaronder verschillende tweakers. "We hebben een tijdelijke technische onregelmatigheid ontdekt in onze systemen", staat in de email te lezen. "We hebben die opgelost, maar hebben wel uw wachtwoord gereset om de veiligheid van uw account te waarborgen." In de email staan vervolgens een paar wachtwoordeisen voor het instellen van een wachtwoord. Gebruikers moeten een wachtwoord tussen de zeven en zestien tekens aanmaken, met een letter en cijfer erin.

Hoewel de toon van de email doet vermoeden dat WizzAir slachtoffer van een datalek is geworden ontkent het bedrijf dat tegen BleepingComputer. "Er is op geen enkel moment persoonlijke informatie buitgemaakt. Het resetten van de wachtwoorden is een voorzorgsmaatregel", schrijft de maatschappij. Het bedrijf wil verder geen details geven over hoe de data was opgeslagen of welke technische problemen de systemen hadden.

Door Tijs Hofmans

Redacteur privacy & security

19-07-2019 • 19:05

33 Linkedin Google+

Submitter: sanzut

Reacties (33)

Wijzig sortering
At no point was any personal data compromised
Dat sluit voor Europese begrippen een datalek niet uit.

Het kan bijvoorbeeld inhouden dat de data voor onbevoegden toegankelijk was maar ze geen bewijs kunnen vinden dat iemand toegang had. Wat bijvoorbeeld kan als logbestanden onvoldoende registreren of gemanipuleerd zijn.

Deze actie om wachtwoorden te resetten mag wel wat beter uitleg krijgen van WizzAir.

[Reactie gewijzigd door kodak op 19 juli 2019 19:40]

Wat wil je dan dat ze uitleggen. Ze hebben geen enkel bewijs kunnen vinden dat er misbruik is gemaakt van de fout die ze zelf ontdekt hebben en ik neem aan dat zij zich voldoende bewust zijn van hun verplichtingen onder de GDPR. Ik vind het dan ook positief dat zij hier mee naar buiten komen en een reset doen uit voorzorg terwijl vele andere bedrijven net zouden proberen om het te verbergen en te doen alsof het nooit gebeurd is.
Er zijn niet veel gevallen waarin het nodig zou zijn om een wachtwoord reset te doen. Dan moet er iets wel heel mis zijn gegaan met de toegang.

Als je hier in de comments terug leest en online zoekt zie je commentaar dat WizzAir bijvoorbeeld wachtwoorden in plain text lijkt op te slaan. Dat ging al terug tot 2012 en de laatste berichten van de afgelopen dag zijn dat klanten een mail van wizzair ontvingen met hun oude wachtwoord leesbaar in die mails.

Als een bedrijf stelt dat het om een technisch probleem zou gaan en dit soort voorbeelden komen langs dan valt te betwijfelen of WizzAir hier genoeg uitleg geeft.
Ik heb twee mails gekregen van Wizzair. Een met de aankondiging dat de wachtwoorden reset worden en een tweede met de titel: 'Forgot password' met daarin: 'Thank you for your inquiry. According to our records, your Log-In information is as follows:' en vervolgens mijn wachtwoord.

De tweede mail is compleet generiek alsof ik zelf een aanvraag heb gedaan wat mijn wachtwoord is. Het is allemaal vrij amateuristisch. Sowiso had ik al geen al te hoge pet op van de ontwikkelaars al daar. Laats was ik geboorte data en paspoort afloopdata aan het invullen bij het boeken en vervolgens scrollde ik naar beneden, merkte ik dat alle data 'mee scrollde'. Ze werden allemaal enkele dagen verzet naar voren of naar achteren afhankelijk van of ik naar boven of naar beneden scrollde.

Reken maar dat als je op het vliegveld aankomt dat je gewoon mag dokken om die fout te hersellen wanneer je het niet door hebt gehad...
Voor de duidelijkheid: je kreeg in plain text je wachtwoord dat je ooit had gekozen van WizzAir via mail?
Mijn vermoeden was dat ze hun passwords onveilig hebben opgeslagen gehad tot nu en daarom de reset doen. (Of nog.. brrrr)

[Reactie gewijzigd door MrMonkE op 20 juli 2019 09:57]

Die wachtwoord eisen 7 tussen 16 tekens slaan nergens op, als iemand een lang wachtwoord wilt gebruiken dan moet dit toch gewoon kunnen? :?
Inderdaad. Sterker nog, dit zegt iets over de manier waarop de wachtwoorden worden opgeslagen.

Een hash heeft altijd een vaste lengte, ongeacht de lengte van de string die wordt gehasht.
Minder erg dan de ing, daar mag je ww niet te lang zijn, er mogen geen vreemde tekens in, ik kan geen enkel van mijn ww sentences toepassen, enige wachtwoord dat ik elke keer vergeet is die van de ing want kan er geen verhaaltje van maken ;(

Terwijl dit een betaalprovider/verwerker is

[Reactie gewijzigd door Unsocial Pixel op 20 juli 2019 09:08]

Er was volgens mij een onderzoek geweest dat lange wachtwoorden met zinnen die normale woorden gebruiken niet veilig zijn omdat de hedendaagse bruteforce crackers die zo gevonden hebben.
Ja vandaar ook dat woorden in elkaar geweven worden, afgekort, voorzien van tekens, opzettelijk fonetisch ipv correct. Het is niet zo dat de gemiddelde persoon ook maar 1 woord kan onderscheiden in mijn wwden
Bij ING zijn ze er heilig van overtuigd dat hun nieuwe website helemaal af is en veel klantvriendelijker is dan hun vorige. Er kunnen overigens liefst twee niet alfanumerieke tekens worden gebruikt: @ en #.
Wellicht zijn ze daardoor al een heel stuk beter beveiligd dan dat bij Wizzair het geval was...
Tot een paar jaar geleden was dat wachtwoord niet eens case sensitive. Had een keer per ongeluk capslock aan staan en toen logde hij toch vrolijk in...
Gebruikers moeten een wachtwoord tussen de zeven en zestien tekens aanmaken
Heeft iemand een idee waarom sommige websites wachtwoorden qua lengte zo sterk beperken?
Meestal omdat het password unencrypted gewoon in een databaseveld wordt opgeslagen, en de meeste databases hebben vaste limieten voor bepaalde datatypes. Een hash heeft meestal een vaste lengte (sha1 is bijvoorbeeld 40 tekens ongeacht de input).
Ik hoopte eigenlijk dat er technisch goede reden was om dit zo te doen, want met hashing (liever geen SHA1) is er eigenlijk weinig reden om een lengtelimiet toe te passen. Want op het moment klinkt dit alsof WizzAir een onveilige situatie had gevonden, en dat ze die hebben gepatcht met een nieuwe onveilige oplossing.
Op zich wil je wel een lengte-limiet om een slow-aanval te voorkomen, maar dan praat je over 512+ tekens.
Sommige hashing algo's hebben wel een lengte bepaald tot wanneer het algoritme effectief is, bijvoorbeeld bcrypt. Maar bcrypt kan veel meer dan 16 chars aan :')
Ik vraag me soms af of het niet tijd is voor wat nieuws.
In plaats van SHA, Argon2 gebruiken?
SHA1 was maar een voorbeeld, sowieso wil je geen unsalted hashes gebruiken om aanvallen met rainbow dictionaries te voorkomen.
Omdat ze het niet begrijpen? :P
Het zou niet het eerst bedrijf zijn die zo eerst naar buiten komt en dat dan later blijkt dat er toch vervelende dingen zijn gebeurd.

De bedrijven die toch deze aanpak kozen werden later toch altijd op 1 of andere manier afgestraft.
Zolang zij geen bewijzen hebben dat er misbruik is gebeurd kunnen ze toch moeilijk gaan zeggen: we zijn gehacked, onze data is gestolen. Ze erkennen dat er een probleem is, dat er een mogelijkheid was om data te stelen en hebben uit voorzorg het wachtwoord gereset. Wat hadden ze meer moeten doen op dat moment?
Omdat ze zelf gezegd hadden:
Het bedrijf zegt dat dat gebeurde om technische redenen, en niet omdat het slachtoffer was van een datalek.
Als dan later blijkt dat men toch wist dat er vervelende dingen zijn gebeurd gaan ze nat.

Wat hadden ze meer moeten doen dan op dat moment? Eerlijk zijn of er nare dingen zijn gebeurd en daar direct mee naar buitenkomen en niet ontkennen.

Als men later er mee naar buiten komt dat men het toen al wist kan dit zware financiële gevolgen hebben voor het bedrijf. Bijvoorbeeld klanten die dan niet meer willen vliegen met de vliegmaatschappij en aandeelhouders die hun aandelen verkopen enz.
Ik heb ook een Wizzair account, geen email gehad.

Waar komt dat nieuwsartikel eigenlijk vandaan?

Alle sites verwijzen naar bleepingcomputer.

Op de website van Wizzair zelf staat (nog) niets, om 20:43 op 19.07.2019.
Hier ook geen e-mail gehad, terwijl ik toch echt een account heb daar... Merkwaardig.
Ik heb ook geen email gehad, mijn login / paswoord lijkt echter niet meer te werken.
Niet alle gebruikersaccounts, die van mij werkt nog. :P
Er zijn 2 soorten bedrijven in de wereld:

bedrijven die weten dat ze gecrackt zijn

en

bedrijven die nog niet weten dat ze gecrackt zijn
Ik heb vorige week n account aangemaakt ivm vakantie boeking maar tot nu toe geen mail gekregen.
Wel apart, geen bericht ontvangen, kon nog gewoon met het oude wachtwoord inloggen.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True