Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gebruikersgegevens van pdf-lezer Foxit zijn gestolen bij datalek

Hackers hebben ingebroken op de servers van de populaire pdf-reader Foxit. Daarbij zijn namen, adressen, e-mails en wachtwoorden buitgemaakt. Veel zaken rondom de hack zijn nog niet bekend.

Het lijkt te gaan om een inbraak op de servers van het bedrijf, waarbij de aanvallers verschillende gegevens van gebruikers van de software buit hebben weten te maken. Slachtoffers hebben een mail ontvangen van het bedrijf. ZDnet heeft die mail ingezien. In de mail worden klanten gewaarschuwd dat hun wachtwoord is gereset, en dat zij een nieuwe moeten instellen als zij de volgende keer weer inloggen op hun account.

De informatie die gestolen is komt van gebruikers die een account hebben bij Foxit. Daarin kunnen zij onder andere premium software van het bedrijf kopen en hun transactiegeschiedenis bekijken. Volgens Foxit zijn er geen creditcardnummers of andere financiële gegevens buitgemaakt bij de diefstal. Wel zou het gaan om de namen van gebruikers, hun e-mailadressen, eventuele bedrijfsnamen, telefoonnummers, en ip-adressen.

Daarnaast zijn er wachtwoorden buitgemaakt. Foxit zegt echter niet of die versleuteld waren en op welke manier. Ook zegt het bedrijf niet hoeveel slachtoffers er zijn, en wanneer het incident plaatsvond.

Door Tijs Hofmans

Redacteur privacy & security

30-08-2019 • 17:39

30 Linkedin

Reacties (30)

Wijzig sortering
Premium account voor een PDF reader?
Nee, voor een PDF editor.
Dan klopt de titel+inleiding niet
Foxit is bij het grote publiek bekend van de Reader (net als Adobe, maar daarnaast bieden ze de dus ook premium diensten aan, waaronder een PDF editor. Zakelijke klanten zijn sowieso geraakt hierdoor.
Ken het hele bedrijf/software niet, was daarom verbaasd dat er mensen betalen voor een reader. Kennelijk zit er dus meer achter, thanks ;)
Foxit zegt niet of de wachtwoorden versleuteld waren en op welke manier. Dan heb ik €5 die zegt dat het unsalted, MD5 of plaintext was. Goed dat ze de wachtwoorden gereset hebben, maar wie weet hoeveel klanten herbruikten hun wachtwoord voor andere accounts. Die zouden weldra wel eens meer dan enkel hun Foxit data kunnen verliezen.
Men kan ook gewoon gehashte wachtwoorden hebben gejat. Dat is het de vraag wat voor hashing dat was. Als dat inderdaad MD5 is dan is het zo onveilig als het maar kan. Maar als iedere gebruiker nu gewoon een eigen wachtwoord laat generen per website, onthouden door de browser (en gesynced met je google account ofzo) dan maakt het helemaal niets meer uit of je wachtwoord nu gejat wordt ofniet.

De grootste zwakte van een gestolen wachtwoord is dat men deze vaak op meerdere sites tegelijk gebruikte. Soms zelfs identiek aan de inlog van hun mailbox. Ik heb vroeger ook in die scene gezeten, password lists enzo, het zal je verbazen hoeveel mensen 1 wachtwoord voor dezelfde dingen (blijven) gebruiken.
Om diezelfde reden hamer ik er bij iedereen op om zoveel mogelijk verschillende wachtwoorden te gebruiken. En wie dat niet wil leg ik wel uit dat op zijn minst de emailadressen allemaal een eigen wachtwoord MOETEN hebben.

Mensen lijken het echt niet belangrijk te vinden heb ik vaak het gevoel.
Ik zou zeggen, dit moet alleen voor belangrijke accounts. Voor websites die niet belangrijk voor je zijn, zoals random fora of de talloze sites waar je een account moet hebben voor dingen, kun je gewoon hetzelfde wachtwoord gebruiken.
Dat is met een password manager een non-issue, en helpt je juist met consequent verschillende wachtwoorden gebruiken, of het nu voor iets belangrijks is of niet. Er zal ongetwijfeld ook ooit een service komen die je in eerste instantie niet belangrijk acht, maar na enkele jaren dat wel geworden is. Bijvoorbeeld iets Bitcoin-gerelateerd op het moment dat het nog nieuw, onbekend en waardeloos was, maar een paar jaar later tonnen of zelfs miljoenen waard geworden kan zijn.
Password managers werken vaak weer niet op mobiel, of niet goed. Dan kun je dus nooit vanaf je mobiel of bij iemand anders thuis ergens inloggen. Je moet uiteraard goed bedenken of het om een belangrijke site gaat. En als het die status verandert je wachtwoord aanpassen.
Lul je nou maar wat of heb je het daadwerkelijk ooit geprobeerd? Ik gebruik KeePass en op mijn mobiel KeePass2Android. Deze syncen allebei automatisch m'n database op m'n server, dus ik heb altijd de nieuwste versie op al m'n computers, m'n mobiel en een backup op m'n server (en een backup daarvan). Op m'n mobiel kan ik bij veel apps gewoon op het dingetje "Fill with KeePass2Android" drukken, "delen" met de app om op URL te zoeken welke inloggegevens ik zoek, of handmatig zoeken, en vervolgens de boel invoeren met het speciale toetsenbord (met knoppen "Username" en "Password") zodat je niet hoeft te copy/pasten. Op m'n computer kan ik met ctrl+shift+a automatisch laten "typen" op basis van de titel van het huidige venster. Ik weet niet hoeveel makkelijker je het precies wil hebben. Syncen kan iig met KP2A ook met Dropbox, Google Drive, OneDrive, Owncloud/Nextcloud, PCloud, FTP, SFTP/SCP, Webdav, you name it.
Op een iPhone is het aanbod apps voor wat betreft KeePass iets kleiner (ik heb er zelf niet mee gewerkt), maar alsnog goed aanwezig en voldoende bruikbaar. Zelfs m'n moeder (niet bepaald een Tweaker) heeft haar wachtwoorddatabase op zowel haar iPhone als op haar laptops en de hele zooi is gewoon gesynct met iCloud (of Dropbox, ben ik vergeten).
Ik gebruik zelf al tien jaar dagelijks Lastpass. Het programma op mijn telefoon gebruik ik ook al vele jaren. Maar het vertoont toch geregeld kuren. Soms werkt het goed, maar op dit moment werkt het b.v. vaker niet dan wel. En ik ken genoeg mensen die sowieso mentaal of technisch nauwelijks in staat zijn om een wachtwoordmanager op hun mobiel en in hun browser in te stellen.

En sowieso blijven de andere bezwaren die ik noemde nog van toepassing, inloggen op werk, bij vrienden, wanneer je telefoon leeg is e.d. Je bent gewoon afhankelijk van iets wat niet 100% betrouwbaar is en zeker niet 100% beschikbaar.

Voor sites als Tweakers gebruik ik hetzelfde wachtwoord als op diverse andere sites van middelmatig belang: vervelend als iemand mijn account overneemt, maar geen ramp. Voor de honderd of zo sites die me niets kunnen schelen gebruik ik mijn afvalbakwachtwoord. Dat is gewoon prima, zitten geen serieuze nadelen aan. Voor mijn belangrijke sites gebruik ik unieke wachtwoorden, en voor de allerbelangrijkste (Digi D, Google, Paypal, Steam e.d.) 2FA.
Op een iPhone is het aanbod apps voor wat betreft KeePass iets kleiner (ik heb er zelf niet mee gewerkt), maar alsnog goed aanwezig en voldoende bruikbaar.
Er zijn 'free' en betaalde apps.
Persoonlijk ben ik al een paar jaar over naar een "premium" ( 99ct :+) en gebruik keepass touch
auto sync met een aantal cloudservices, maar voornamelijk 2weg-sync, wat bij heel veel van de andere alleen maar 'downloaden' is.
Met 2way kan ik eenvoudig mobiel ook mijn passwords aanpassen/aanmaken.
IOS geeft al een tijdje 'veilige wachtwoorden' bij een nieuwe aanmelding, dus die kopieer ik, en zet gelijk in keepass, zodat ik op mijn andere devices ook gelijk loop
hopelijk voegen ze zelf de gegevens toe bij haveibeenpwned zodanig dat mensen kunnen zien welke gegevens gelekt zijn, want je kan dan ook niet meer afgaan op mails die vanuit het bedrijf verstuurd worden, aangezien ze gehackt zijn
Een database met gebruikers gegevens is iets anders als een SMTP server overnemen.
Natuurlijk kunnen die gegevens wel gebruikt worden om legitiem lijkende mails te maken.
Vroeger was Foxit redelijk licht en een goed alternatief voor Adobe, tegenwoordig nauwelijks verschil met pop-ups en cloud pushen. Gebruik tegenwoordig Sumatra PDF. Geen onzin, alleen het weergeven van PDF-bestanden en een aantal andere formaten zoals ePub.
Inderdaad, al tijden de portable versie staan, no-nonsense, een .exe en een settings.txt
Foxit reader...net zo een bedrog als utorrent is geworden. Ver van weg blijven. Beter is sumatra pdf gebruiken.
De gegevens zijn toch niet gestolen? Het origineel is er immers gewoon nog.
Kopiëren zonder toestemming wordt ook als stelen beschouwd. Slachtoffers van gegevensdiefstal of identity theft zijn typisch ook hun gegevens niet kwijt.
Nou, ik zou zeggen dat het geen stelen is, maar alleen metaforisch zo genoemd wordt in informeel spraakgebruik.
Ik denk dat als in een rechtbank of een academisch artikel over diefstal van gegevens gesproken wordt, dat ze doelen op het illegaal bemachtigen van gegevens, ongeacht of de rechtmatige eigenaar daarbij zijn gegevens verloren is. Volgens mij is die definitie goed ingeburgerd.
Het lijkt mij dat er in een rechtbank dus niet gesproken wordt over 'diefstal van gegevens'; doorgaans houden die zich vrij strikt aan hoe dingen in wetten omschreven staan, en daarin is diefstal toch echt iets heel anders dan een datalek danwel onbevoegde kopie.
De gegevens zijn toch niet gestolen? Het origineel is er immers gewoon nog.
De gegevens zijn strikt genomen "buitgemaakt", maar er is zeker wel wat 'ontvreemd' en dat is de vertrouwelijkheid van deze gegevens.
Of dat juridisch ook helemaal stand houd weet ik niet, mocht een eventuele aanklacht het omschrijven als "persoonsgegevens gestolen".
Ik dacht in eerste instantie dat ze bij Fox IT (beveiligingsbedrijf) ingebroken hadden...
Schrok al.
Bereid je maar vast voor dan. Is al een keertje gebeurd.

[Reactie gewijzigd door supertanno op 30 augustus 2019 18:06]

Dat is een ander bedrijf (Fox IT) dan Foxit.
Dat weet ik, daar ging @Goldwing1973's comment ook over. Hij dacht dat dit over Fox IT ging i.p.v. Foxit en ik wees hem erop dat bij Fox IT al een keer is ingebroken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True