Gebruikersgegevens van pdf-lezer Foxit zijn gestolen bij datalek

Hackers hebben ingebroken op de servers van de populaire pdf-reader Foxit. Daarbij zijn namen, adressen, e-mails en wachtwoorden buitgemaakt. Veel zaken rondom de hack zijn nog niet bekend.

Het lijkt te gaan om een inbraak op de servers van het bedrijf, waarbij de aanvallers verschillende gegevens van gebruikers van de software buit hebben weten te maken. Slachtoffers hebben een mail ontvangen van het bedrijf. ZDnet heeft die mail ingezien. In de mail worden klanten gewaarschuwd dat hun wachtwoord is gereset, en dat zij een nieuwe moeten instellen als zij de volgende keer weer inloggen op hun account.

De informatie die gestolen is komt van gebruikers die een account hebben bij Foxit. Daarin kunnen zij onder andere premium software van het bedrijf kopen en hun transactiegeschiedenis bekijken. Volgens Foxit zijn er geen creditcardnummers of andere financiële gegevens buitgemaakt bij de diefstal. Wel zou het gaan om de namen van gebruikers, hun e-mailadressen, eventuele bedrijfsnamen, telefoonnummers, en ip-adressen.

Daarnaast zijn er wachtwoorden buitgemaakt. Foxit zegt echter niet of die versleuteld waren en op welke manier. Ook zegt het bedrijf niet hoeveel slachtoffers er zijn, en wanneer het incident plaatsvond.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 30-08-2019 17:39 30

30-08-2019 • 17:39

30

Lees meer

De toekomst van het wachtwoord

21 okt 2019

De toekomst van het wachtwoord

Er moet iets veranderen aan authenticatie

259
Gegevens 300 Funda-klanten zijn gestolen door phishingaanval op makelaars
Gegevens 300 Funda-klanten zijn gestolen door phishingaanval op makelaars Nieuws van 6 september 2019
Datalek bij psychiatrisch centrum Parnassia door fout in e-mailverzending
Datalek bij psychiatrisch centrum Parnassia door fout in e-mailverzending Nieuws van 23 augustus 2019
Gemeente Etten-Leur lekt 2000 e-mailadressen van inwoners
Gemeente Etten-Leur lekt 2000 e-mailadressen van inwoners Nieuws van 16 augustus 2019
Klanten van Amazon krijgen mails met orderbevestigingen van andere klanten
Klanten van Amazon krijgen mails met orderbevestigingen van andere klanten Nieuws van 16 augustus 2019
Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet
Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet Nieuws van 14 augustus 2019
AP is akkoord met gedragscode Nederlandse ict-sector voor persoonsgegevens
AP is akkoord met gedragscode Nederlandse ict-sector voor persoonsgegevens Nieuws van 13 augustus 2019
Meer producten en artikelen
Beveiliging en antivirus Foxit Datalek Pdf

Reacties (30)

-Moderatie-faq
30
30
25
1
0
0
Wijzig sortering
Anoniem: 93248 30 augustus 2019 20:18
Premium account voor een PDF reader?
Bergen @Anoniem: 9324831 augustus 2019 01:39
Nee, voor een PDF editor.
Anoniem: 93248 @Bergen31 augustus 2019 09:51
Dan klopt de titel+inleiding niet
tweaker2010 @Anoniem: 9324831 augustus 2019 12:01
Foxit is bij het grote publiek bekend van de Reader (net als Adobe, maar daarnaast bieden ze de dus ook premium diensten aan, waaronder een PDF editor. Zakelijke klanten zijn sowieso geraakt hierdoor.
Anoniem: 93248 @tweaker201031 augustus 2019 14:29
Ken het hele bedrijf/software niet, was daarom verbaasd dat er mensen betalen voor een reader. Kennelijk zit er dus meer achter, thanks ;)
reinaertvdc 30 augustus 2019 17:59
Foxit zegt niet of de wachtwoorden versleuteld waren en op welke manier. Dan heb ik €5 die zegt dat het unsalted, MD5 of plaintext was. Goed dat ze de wachtwoorden gereset hebben, maar wie weet hoeveel klanten herbruikten hun wachtwoord voor andere accounts. Die zouden weldra wel eens meer dan enkel hun Foxit data kunnen verliezen.
Anoniem: 58485 @reinaertvdc30 augustus 2019 18:13
Men kan ook gewoon gehashte wachtwoorden hebben gejat. Dat is het de vraag wat voor hashing dat was. Als dat inderdaad MD5 is dan is het zo onveilig als het maar kan. Maar als iedere gebruiker nu gewoon een eigen wachtwoord laat generen per website, onthouden door de browser (en gesynced met je google account ofzo) dan maakt het helemaal niets meer uit of je wachtwoord nu gejat wordt ofniet.

De grootste zwakte van een gestolen wachtwoord is dat men deze vaak op meerdere sites tegelijk gebruikte. Soms zelfs identiek aan de inlog van hun mailbox. Ik heb vroeger ook in die scene gezeten, password lists enzo, het zal je verbazen hoeveel mensen 1 wachtwoord voor dezelfde dingen (blijven) gebruiken.
bazs2000 @Anoniem: 5848530 augustus 2019 18:35
Om diezelfde reden hamer ik er bij iedereen op om zoveel mogelijk verschillende wachtwoorden te gebruiken. En wie dat niet wil leg ik wel uit dat op zijn minst de emailadressen allemaal een eigen wachtwoord MOETEN hebben.

Mensen lijken het echt niet belangrijk te vinden heb ik vaak het gevoel.
Cerberus_tm @bazs200030 augustus 2019 19:04
Ik zou zeggen, dit moet alleen voor belangrijke accounts. Voor websites die niet belangrijk voor je zijn, zoals random fora of de talloze sites waar je een account moet hebben voor dingen, kun je gewoon hetzelfde wachtwoord gebruiken.
DataGhost @Cerberus_tm30 augustus 2019 19:13
Dat is met een password manager een non-issue, en helpt je juist met consequent verschillende wachtwoorden gebruiken, of het nu voor iets belangrijks is of niet. Er zal ongetwijfeld ook ooit een service komen die je in eerste instantie niet belangrijk acht, maar na enkele jaren dat wel geworden is. Bijvoorbeeld iets Bitcoin-gerelateerd op het moment dat het nog nieuw, onbekend en waardeloos was, maar een paar jaar later tonnen of zelfs miljoenen waard geworden kan zijn.
Cerberus_tm @DataGhost31 augustus 2019 01:07
Password managers werken vaak weer niet op mobiel, of niet goed. Dan kun je dus nooit vanaf je mobiel of bij iemand anders thuis ergens inloggen. Je moet uiteraard goed bedenken of het om een belangrijke site gaat. En als het die status verandert je wachtwoord aanpassen.
DataGhost @Cerberus_tm31 augustus 2019 01:37
Lul je nou maar wat of heb je het daadwerkelijk ooit geprobeerd? Ik gebruik KeePass en op mijn mobiel KeePass2Android. Deze syncen allebei automatisch m'n database op m'n server, dus ik heb altijd de nieuwste versie op al m'n computers, m'n mobiel en een backup op m'n server (en een backup daarvan). Op m'n mobiel kan ik bij veel apps gewoon op het dingetje "Fill with KeePass2Android" drukken, "delen" met de app om op URL te zoeken welke inloggegevens ik zoek, of handmatig zoeken, en vervolgens de boel invoeren met het speciale toetsenbord (met knoppen "Username" en "Password") zodat je niet hoeft te copy/pasten. Op m'n computer kan ik met ctrl+shift+a automatisch laten "typen" op basis van de titel van het huidige venster. Ik weet niet hoeveel makkelijker je het precies wil hebben. Syncen kan iig met KP2A ook met Dropbox, Google Drive, OneDrive, Owncloud/Nextcloud, PCloud, FTP, SFTP/SCP, Webdav, you name it.
Op een iPhone is het aanbod apps voor wat betreft KeePass iets kleiner (ik heb er zelf niet mee gewerkt), maar alsnog goed aanwezig en voldoende bruikbaar. Zelfs m'n moeder (niet bepaald een Tweaker) heeft haar wachtwoorddatabase op zowel haar iPhone als op haar laptops en de hele zooi is gewoon gesynct met iCloud (of Dropbox, ben ik vergeten).
Cerberus_tm @DataGhost31 augustus 2019 05:27
Ik gebruik zelf al tien jaar dagelijks Lastpass. Het programma op mijn telefoon gebruik ik ook al vele jaren. Maar het vertoont toch geregeld kuren. Soms werkt het goed, maar op dit moment werkt het b.v. vaker niet dan wel. En ik ken genoeg mensen die sowieso mentaal of technisch nauwelijks in staat zijn om een wachtwoordmanager op hun mobiel en in hun browser in te stellen.

En sowieso blijven de andere bezwaren die ik noemde nog van toepassing, inloggen op werk, bij vrienden, wanneer je telefoon leeg is e.d. Je bent gewoon afhankelijk van iets wat niet 100% betrouwbaar is en zeker niet 100% beschikbaar.

Voor sites als Tweakers gebruik ik hetzelfde wachtwoord als op diverse andere sites van middelmatig belang: vervelend als iemand mijn account overneemt, maar geen ramp. Voor de honderd of zo sites die me niets kunnen schelen gebruik ik mijn afvalbakwachtwoord. Dat is gewoon prima, zitten geen serieuze nadelen aan. Voor mijn belangrijke sites gebruik ik unieke wachtwoorden, en voor de allerbelangrijkste (Digi D, Google, Paypal, Steam e.d.) 2FA.
FreshMaker @DataGhost31 augustus 2019 07:19
Op een iPhone is het aanbod apps voor wat betreft KeePass iets kleiner (ik heb er zelf niet mee gewerkt), maar alsnog goed aanwezig en voldoende bruikbaar.
Er zijn 'free' en betaalde apps.
Persoonlijk ben ik al een paar jaar over naar een "premium" ( 99ct :+) en gebruik keepass touch
auto sync met een aantal cloudservices, maar voornamelijk 2weg-sync, wat bij heel veel van de andere alleen maar 'downloaden' is.
Met 2way kan ik eenvoudig mobiel ook mijn passwords aanpassen/aanmaken.
IOS geeft al een tijdje 'veilige wachtwoorden' bij een nieuwe aanmelding, dus die kopieer ik, en zet gelijk in keepass, zodat ik op mijn andere devices ook gelijk loop
dasiro 30 augustus 2019 17:58
hopelijk voegen ze zelf de gegevens toe bij haveibeenpwned zodanig dat mensen kunnen zien welke gegevens gelekt zijn, want je kan dan ook niet meer afgaan op mails die vanuit het bedrijf verstuurd worden, aangezien ze gehackt zijn
kuurtjes @dasiro30 augustus 2019 18:41
Een database met gebruikers gegevens is iets anders als een SMTP server overnemen.
Natuurlijk kunnen die gegevens wel gebruikt worden om legitiem lijkende mails te maken.
magnifor 30 augustus 2019 21:28
Vroeger was Foxit redelijk licht en een goed alternatief voor Adobe, tegenwoordig nauwelijks verschil met pop-ups en cloud pushen. Gebruik tegenwoordig Sumatra PDF. Geen onzin, alleen het weergeven van PDF-bestanden en een aantal andere formaten zoals ePub.
FreshMaker @magnifor31 augustus 2019 07:37
Inderdaad, al tijden de portable versie staan, no-nonsense, een .exe en een settings.txt
Anoniem: 1248170 31 augustus 2019 02:25
Foxit reader...net zo een bedrog als utorrent is geworden. Ver van weg blijven. Beter is sumatra pdf gebruiken.
MsG 30 augustus 2019 18:00
De gegevens zijn toch niet gestolen? Het origineel is er immers gewoon nog.
reinaertvdc @MsG30 augustus 2019 18:04
Kopiëren zonder toestemming wordt ook als stelen beschouwd. Slachtoffers van gegevensdiefstal of identity theft zijn typisch ook hun gegevens niet kwijt.
Cerberus_tm @reinaertvdc30 augustus 2019 19:05
Nou, ik zou zeggen dat het geen stelen is, maar alleen metaforisch zo genoemd wordt in informeel spraakgebruik.
reinaertvdc @Cerberus_tm30 augustus 2019 19:32
Ik denk dat als in een rechtbank of een academisch artikel over diefstal van gegevens gesproken wordt, dat ze doelen op het illegaal bemachtigen van gegevens, ongeacht of de rechtmatige eigenaar daarbij zijn gegevens verloren is. Volgens mij is die definitie goed ingeburgerd.
svenslootweg @reinaertvdc30 augustus 2019 23:29
Het lijkt mij dat er in een rechtbank dus niet gesproken wordt over 'diefstal van gegevens'; doorgaans houden die zich vrij strikt aan hoe dingen in wetten omschreven staan, en daarin is diefstal toch echt iets heel anders dan een datalek danwel onbevoegde kopie.
RoestVrijStaal @reinaertvdc31 augustus 2019 02:01
https://www.youtube.com/watch?v=IeTybKL1pM4
TD-er @MsG30 augustus 2019 22:39
De gegevens zijn toch niet gestolen? Het origineel is er immers gewoon nog.
De gegevens zijn strikt genomen "buitgemaakt", maar er is zeker wel wat 'ontvreemd' en dat is de vertrouwelijkheid van deze gegevens.
Of dat juridisch ook helemaal stand houd weet ik niet, mocht een eventuele aanklacht het omschrijven als "persoonsgegevens gestolen".
Goldwing1973 30 augustus 2019 17:55
Ik dacht in eerste instantie dat ze bij Fox IT (beveiligingsbedrijf) ingebroken hadden...
Schrok al.
supertanno @Goldwing197330 augustus 2019 18:06
Bereid je maar vast voor dan. Is al een keertje gebeurd.

[Reactie gewijzigd door supertanno op 23 juli 2024 12:17]

mpkossen @supertanno30 augustus 2019 20:28
Dat is een ander bedrijf (Fox IT) dan Foxit.
supertanno @mpkossen30 augustus 2019 20:53
Dat weet ik, daar ging @Goldwing1973's comment ook over. Hij dacht dat dit over Fox IT ging i.p.v. Foxit en ik wees hem erop dat bij Fox IT al een keer is ingebroken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq