Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gebruikersgegevens Nederlands prostitutieforum zijn via vBulletin-lek gestolen

Een crimineel heeft e-mailadressen en ip-adressen van 250.000 gebruikers van het Nederlandse prostitutieforum Hookers.nl buitgemaakt en biedt de data te koop aan. Dat is mogelijk door de publicatie van een lek in vBulletin twee weken geleden.

Behalve e-mailadressen en ip-adressen gaat het ook om gebruikersnamen en wachtwoorden, maar de wachtwoorden zijn versleuteld en niet zomaar te kraken, meldt NOS. De site bevestigt tegenover NOS het datalek en zegt dat alle gebruikers donderdagochtend een melding krijgen over het datalek.

Het lek in vBulletin kwam twee weken geleden uit. Het gaat om een remote code execution-kwetsbaarheid waarmee een aanvaller een HTTP POST-request kan uitvoeren op de server waar vBulletin op draait. Daarvoor is bovendien geen verdere authenticatie nodig. Een aanvaller heeft geen account op het betreffende forum nodig. Opvallend is hoe relatief eenvoudig het lek is uit te buiten. Dat kan al door een commando in te geven in slechts twintig regels Python-code.

De crimineel vraagt 300 dollar voor de set gegevens van in totaal 250.000 gebruikers en prostituees. De kwetsbaarheid is uit te buiten op vBulletin-forums tot en met versie 5.5.4. Hookers.nl draait op die meest recente kwetsbare versie, maar had kennelijk de patches van vBulletin van 25 september niet geïnstalleerd.

Door Arnoud Wokke

Redacteur mobile

10-10-2019 • 08:06

140 Linkedin Google+

Reacties (140)

Wijzig sortering
Het blijft me verbazen hoe makkelijk zulke grote bedrijven denken over updates e.d.
Dit is toch echt hun eigen schuld dan denk ik.

Ik hanteer altijd de regel om een update binnen 24 uur te installeren.
Dat is heel knap van jou Koen. Maar heb jij ook een enorme historie legacy systemen, mengelmoes van allerlei architecturen, netwerken, domeinen en afhankelijkheden, een 24-uursoperatie en kritieke businessprocessen onder je hoede?

Ja ook in al deze situaties moet je goed patch management inregelen en z.s.m. de "meest bekende veilige situatie" realiseren. Maar feit is dat in 24 uur je volledig omgeving patchen voor veel grote bedrijven volstrekt onhaalbaar is en komende jaren zal blijven. Ik heb het vaker dan eens gezien dat systemen dusdanig zijn opgezet dat downtime altijd resulteert in impact in productie. Slecht design? Misschien. Probleem morgen opgelost? Absoluut niet. Simpelweg omdat je jaren aan technische historie, architectuur en processen niet snel overboord kan zetten.

[Reactie gewijzigd door Eagle Creek op 10 oktober 2019 08:24]

Het is natuurlijk kansberekening. Wat is erger, de kosten van de downtime of de kosten van een cryptolocker die zich via een lek van enkele maanden oud verspreid? Downtime van een forum, of datadiefstal van je hele klantenbasis? Downtime van remote werken of een breach van je hele VPN? Downtime van je faxmachine of een persistent thread riskeren die vanuit de fax je hele netwerk kan aanvallen (dit is daadwerkelijk een ding)?

24 uur is inderdaad nogal snel maar binnen een week moet toch wel te regelen zijn. Dat bedrijven allerlei legacy troep hebben is het onderliggende probleem maar dat vind ik nogal een makkelijk excuus. Helemaal met een lek als deze (of als die van Fortinet ot Cisco) moet je toch snel handelen. Je weet dat de exploit in het wild gebruikt wordt, je weet dat hackers random bedrijven ermee aanvallen, dan zou het patchen van een systeem toch de downtime waard mogen zijn. Zo niet vind ik dat je bij een lek een flinke AVG-boete mag betalen door de persoongegevens die je hebt gelekt op te offeren voor je bottom line.

Dat is natuurlijk anders dan de kantoor-PC's een weekje achter laten lopen op security patches vanwege testbeleid. Afhankelijk van de exacte exploits die bekend zijn wil je soms alsnog sneller patchen, maar een goede test uitvoeren voor je updatet moet kunnen.

Bedrijven hebben enige stappen gemaakt (ze patchen nu daadwerkelijk) maar er is nog een lange weg te gaan totdat ze het oplossen van beveiligingsproblemen zien als een broodnodig proces in het bedrijf in plaats van een vervelende IT-afdeling die de baas van het werk houdt met updates. Dat is niet per se de schuld van slecht IT-beleid maar wel zeker de schuld van het bedrijf.

Verzekeringen zouden een clausule moeten hebben dat services maximaal X dagen aan patches mogen hebben om uitbetaling te krijgen, dan zal de bovenlaag misschien anders reageren op beveiligingswaarschuwingen. Momenteel is het gewoon goedkoper om je te verzekeren dan om je zaken op orde te hebben, en klanten en personeel worden hier de dupe van.
Het is natuurlijk kansberekening. Wat is erger, de kosten van de downtime of de kosten van een cryptolocker die zich via een lek van enkele maanden oud verspreid?
De patch is twee weken oud. Alsnog veel tijd om in te updaten, maar niet zo veel als de maanden die je suggereert.
Met die maanden refereerde ik naar de EternalBlue exploit van de NSA, die op het moment dat WannaCry om zich heen greep al een maand of 3 was gepatcht. Enkele grote bedrijven liepen echter meer dan drie maanden achter met security patches. Denk aan bedrijven als Renault, Deutsche Bahn, Hitachi, FedEx, de Britste NHS en meer.

[Reactie gewijzigd door GertMenkel op 10 oktober 2019 10:20]

en wie zegt dat ze die vandaag pas hebben geïnstalleerd?
nergens in de nieuwsberichten die ik heb gezien staat iets over van wanneer het bekend was en wanneer het opgelost was..

het lek kan bijvoorbeeld al in een uurtje opgelost zijn maar als je dan al van je data berooft ben is het al te laat..
Hoewel ik je enerzijds gelijk geef ga het maar gaan uitleggen aan een productie bedrijf, hun productie stil leggen om een risico op te vangen. Tenzij men al ervaring heeft dat sommige IT risico's ook een impact kan hebben op hun productie wens ik je veel geluk, je zal het nodig hebben.

Vergeet ook niet dat een productie plat leggen vrij snel gaat maar ze terug opstarten, afhankelijk van wat juist, kan dat serieus oplopen. Als je pech hebt kan het zijn dat je externe partners nodig hebt om een productie op te starten en dan weet ik toch een geval waar je meer dan een week bezig bent. Bij dat geval draait de installatie wel nog maar dan zonder productie, als je ze volledig plat gooit dan word het nog veel meer kostelijk.
Eventjes heel bot: Als je als bedrijf dermate veel legacy-meuk en technical debt hebt dat het patchen van systemen moeilijk wordt, dan is dat toch echt je eigen schuld, want je hebt er blijkbaar voor gekozen om niet doorlopend te investeren in het beheersbaar houden van je infrastructuur.

Die legacy-meuk komt niet uit het niets. Dat is het gevolg van vele jaren (of zelfs decennia) aan mismanagement. En op een gegeven moment doet het boem. Dat de nalatigheid over de laatste X jaar is verspreid maakt het niet minder nalatig.

Dus wat dat betreft is de opmerking van Koen m.i. volledig terecht.
Er zijn helaas meer dan genoeg IT afdelingen die pas op de hoogte worden gebracht wanneer deze de software en/of hardware in handen krijgen om uit te rollen. Liefst gisteren klaar, want vriendje(s) van de baas moeten wel worden betaald.

In een goede toko, is IT er vanaf het begin bij betrokken en voorzien zij de aankoper(s) van eventuele risico's bij implementatie. En dan nog gaat het vaak mis, zodra de theorie de praktijk ontmoet.

In een ideale wereld hebben jij en tweaker Koen echt wel gelijk. Maar ondertussen worden met de beste bedoeling "snelwegen naar de hel" aangelegd en daar gaat vaak ook nog eens behoorlijk wat tijd overheen.

Net als in de echte wereld: een (technische) schuld heb je zonder moeite. En je komt er meestal moeilijk vanaf en tegen een heleboel kosten, die de baas/management/CFO niet wil of kan betalen. En wat dan? Moet het bedrijf dan maar stil staan?

Helaas, het is nooit zo zwart/wit als je in je post voorsteld. Dat kan je onder de 'nalatigheid'-mat vegen, maar daar verandert de praktijk echt niet mee. Zeker in bedrijven/omgevingen welke de mantra 'het gaat er niet om wat je kent, maar wie je kent' hebben omarmd.
Het zou sowieso heel knap zijn om in complexe systemen zoals jij beschrijft een kritiek lek op 24u te patchen. Gewoon alles al maar door je test- en goedkeuringsprocessen krijgen duurt al snel enkele dagen. Maar zulke systemen zijn dan meestal ook niet afhankelijk van enkel en alleen het up-to-date zijn van de software.

Met een public facing stukje software zoals een forum is het een andere zaak en hoewel het goed kan zijn dat je daar ook snel wil testen of een patch goed is, is snel handelen daar belangrijker omdat een aanvaller direct bij dat systeem kan. En als het een kritiek lek is, dat zeer eenvoudig te misbruiken is en je hebt een goede reden om deze niet onmiddelijk te patchen hoor je je stukje software gewoon offline te halen voor enkele uren of dagen. Kans op misbruik wordt dan te groot.
En dan zijn er nog de problemen die ontstaan door de updates zelf, wij doen altijd eerst de minder kritieke servers updaten en als alles goed gaat na 2-4 weken de meest kritieke servers, tenzij het echt ernstig lek is.
Op mijn vorige werk kwam er een update voor Infor. Maatwerkpakket ook. De update, desondanks voorbereid, heeft er helaas voor gezorgd dat productie vanuit de logistiek op een complete halt kwam, voor een dag lang. Het heeft vervolgens bijna 2 weken geduurd eer de nasleep daarvan was weggewerkt. Dus ja, Eagle - compleet gelijk. Het hoeft niet eens slecht design te zijn, voorbereiding van hier tot daar en nog kan het verkeerd gaan.
In een normale situatie ben ik het hiermee eens, er moet goed getest worden. In deze situatie wordt het echt anders, we hebben het over een groot lek in een nogal belangrijk deel van het product. Dit zijn situaties waar je processen overboord gooit, het kort test en zo snel mogelijk in productie wilt zetten. Desnoods maak je er nachtwerk van. Natuurlijk is er een grote kans dat er tegen andere problemen aangelopen wordt en dat los je volgende dagen dan maar op. Het lek is in ieder geval gedicht.
Je hebt helemaal gelijk, ik werk ook voor een bedrijf waar upgrades en patches zorgvuldig moeten worden gepland.

Anderzijds: Een forumsite als deze kan best een uurtje uit de lucht voor een upgrade op een rustig moment. Zo belangrijk is het gespreksonderwerp nou ook weer niet :+
Dat is heel knap van jou Koen. Maar heb jij ook een enorme historie legacy systemen, mengelmoes van allerlei architecturen, netwerken, domeinen en afhankelijkheden, een 24-uursoperatie en kritieke businessprocessen onder je hoede?
Maar we hebben het hier niet over historie legacy systemen, mengelmoes van allerlei architecturen, netwerken, domeinen en afhankelijkheden, een 24-uursoperatie en kritieke businessprocessen. We hebben het hier over een vBulletin installatie.

Daarnaast maakt iedereen de aanname dat deze 2 weken na ontdekking is gehacked, maar we weten allemaal dat breach detectie heel wat later kan gebeuren dan de daadwerkelijke breach...

Daarnaast is het natuurlijk altijd aan de beheerders om elke patch te beoordelen op noodzaak, dat kan natuurlijk niet altijd (wordt niet altijd blootgegeven ;-), maar in dit geval zal een beheerder op de luchtalarm knop moeten rammen.
Ik snap zeker ook hun situatie, zoals je omschrijft.
Ik begrijp heel goed de realiteit die je schetst, dat is helaas vaak zo.

Aan de andere kant, wanneer je wel structureel alles patcht (liefst geautomatiseerd) en aan lifecycle management doet, heb je ook veel minder of zelfs geen last van legacy.

Updaten en upgraden zijn de allerbelangrijkste veiligheidsmaatregelen.
Dat is dus potentieel 23 uur te laat als je pech hebt. Het is een utopie dat we alles 100% veilig kunnen houden. Vaak is het verstandiger om ook naar damagw controle te kijken. Gegevens die er niet zijn kunnen ook niet lekker.
Gegevens die er niet zijn kunnen ook niet lekken.
Das erg makkelijk denken voor iets wat alleen relevant is voor deze situatie. Maar het kan dus ook zo zijn dat er iets extra's wordt geïnstalleerd wat bv. ip adressen gaat loggen, prive berichten doorstuurt, trojans serveert, etc.

Je kan een super goed slot op je huis/ramen zetten, een peper dure alarm installatie, etc. Maar als ze vervolgens je hele huis meenemen, daar rekent niemand echt op. https://www.washingtonpos...ouse-yes-an-entire-house/
Welk grote bedrijf bedoel je precies? Ik heb de indruk dat er achter hookers.nl nou net geen groot bedrijf zit. Meer een uit de hand gelopen hobby, net zoals tweakers ooit is begonnen. Verschil is natuurlijk dat tweakers op een gegeven moment door een grotere partij is gekocht, terwijl er maar heel weinig bedrijven zullen zijn die zich aan een site als hookers.nl willen 'branden'.
Welk grote bedrijf bedoel je precies? Ik heb de indruk dat er achter hookers.nl nou net geen groot bedrijf zit. Meer een uit de hand gelopen hobby, net zoals tweakers ooit is begonnen. Verschil is natuurlijk dat tweakers op een gegeven moment door een grotere partij is gekocht, terwijl er maar heel weinig bedrijven zullen zijn die zich aan een site als hookers.nl willen 'branden'.
De enige nieuwswaarde hier is ook dat het om een 'hoerenlopers' forum gaat waarvan de gegevens zijn gelekt, sensatie! Nu kunnen we iedereen vertellen dat Kees van de boekhouding af en toe een avontuurtje heeft.

Er zal achter de site zelf weinig ander businessmodel zitten dan het forum draaiende houden op advertentie-inkomsten.
Nieuws waarde hier is ook dat de persoonsgegevens die nu op straat liggen, gerelateerd aan deze website, toch best wel wat potentie biedt op gebied van chantage.
Ik denk dat de meeste mensen daar wel zo slim zijn geweest om niet hun echte gegevens op te geven ;) Net als met andere fora voor illegaal downloaden e.d.

Gebruikersgegevens != Persoonsgegevens

[Reactie gewijzigd door GekkePrutser op 10 oktober 2019 11:27]

kans en effect... Gezien het aantal users zit er best wat "kans op effect" tussen
Niet echt - zit een bedrijf achter die best grote websites onderhoud ;-)

https://midhold.nl/
Een toevoeging op de "Best grote websites" wordt op hun site beschreven als zijnde: Kinky.nl, Hookers.nl, Erotracks.nl en Webcambordeel.nl

(Om je grap even verder toe te lichten :D )
Ze hebben alvast maar een vacature voor klantenservice geopend. Neem aan dat ze best wel wat telefoontjes kunnen verwachten.

Dit gaat weer een hoop emails opleveren met bedreiging van het nieuws naar buiten brengen vanuit diverse spam etters en vragen om zoveel bitcoins.
Vbulletin is ellende. Vooral bij grotere sites, wat dit wel lijkt te zijn, is patchen een drama. Een simpele patch op een groot forum KAN zomaar een paar uur tot dagen in beslag nemen. En dan is dit al de zoveelste kwetsbaarheid, is er nog een groot Vbulletin forum dat niet gehackt is!?

Wij bekeken altijd de sourcecode van patches zorgvuldig om te zien wat het deed en wat we konden verwachten. Simpele zaken deden we direct, anderen moesten zorgvuldig gepland. Een forum dat down is levert veel gezeur op.

Dus dan moest iemand midden in de nacht hopen dat de patch in afzienbare tijd kon worden geïnstalleerd. Dit was wel een paar versies van Vbulletin geleden, maar begreep dat versie 5.5 nog steeds een draak is.

Dit is heel wat anders dan b.v. Wordpress, die minor updates zelf, automatisch kan installeren en zelfs bij grote sites snel update. Ook major updates.
Vroeger, voordat VBulletin gebruik maakte van hooks, kostte het ook flink wat tijd en energie om een gehackt (modded) forum te upgraden. Gebruik VB al jaren niet meer trouwens, het is hardstikke legacy. De laatste keer dat ik keek hadden ze nou ook niet bepaald de creme-de-la-creme aan devs rondlopen.

In deze hack is het voor bezoekers van het forum extra zuur. Prostitutiebezoek maakt dat de gestolen data gebruikt kan worden voor chantage-doeleinden. Dus iedereen met een accountje op dat forum kan binnenkort mails tegemoet zien waarin wordt gedreigd met publicatie van beelden als het slachtoffer niet betaalt.
Een patch die authenticatie voor een bepaald request installeert zal niet uren tot dagen kosten. dat is hoogstwaarschijnlijk een aanpassing in een of meerdere php bestandjes
Een e-commerce store en dan binnen 24 uur patchen. Zelf ben ik ook van zo snel mogelijk patchen maar ik heb toch een paar dagen nodig van intensief testen voordat ik een patch kan i stalleren op een live site. Minor patches ja die gaan iets sneller maar heb ook vaak genoeg gehad dat een security patch een hele store(stage) in de soep liet lopen :)
Het blijft me verbazen hoe makkelijk zulke grote bedrijven denken over updates e.d.
Grote bedrijven? Wie zit er achter dit forum? Ik vind er weinig informatie over en als ik op "algemene voorwaarden" klik, kom ik zelfs op een andere site uit...
De patch is net twee weken oud. Nergens staat dat de hack gisteren pas heeft plaatsgevonden.
De hack kan heel goed binnen een normale termijn voor het implementeren van een patch hebben plaatsgevonden, of nog vóór het uitbrengen van de patch, wanneer de kwetsbaarheid al eerder bekend was.
Voor deze zero day was een 24 update te lang.
Doordat de degene die de exploit heeft gepubliceerd niet de fabrikant (vBulletin) op de hoogte heeft gesteld, i.c.m. met dat het een extreem gevaarlijke en tegelijkertijd zeer gemakkelijk uit te voeren exploit is, waren er binnen die 24 uur al diverse hackers geautomatiseerd actief vBulletin websites aan het hacken.

Op het vBulletin forum zag je dan ook veel berichten van eigenaren met gehackte websites. (vBulletin heeft helaas een hoop van deze berichten verplaatst naar een prive forum, zodat het nieuwe klanten niet afschrikt.) Ook kwam vBulletin vrij laat met een patch, pas 1.5 dag later. Ook kozen ze er voor om de klanten in die tussentijd niet in te lichten, omdat er nog geen patch beschikbaar was.
Het blijft me verbazen hoe makkelijk zulke grote bedrijven denken over updates e.d.
Dit is toch echt hun eigen schuld dan denk ik.

Ik hanteer altijd de regel om een update binnen 24 uur te installeren.
Je beseft dat je met je laatste zin eigenlijk zegt : "Ik klik op elke link die ik zie en ik download en installeer al die zooi"

Want binnen 24 uur heb jij die update echt niet uitvoerig getest.

Er zijn meer dan genoeg patches die per ongeluk het lek groter maakten (die hebben dezelfde gedachte als jij, het lijkt het te fixen dus uitrollen nu en we wachten wel tot de gebruikers gaan piepen) en dan ben je verder van huis.

Wil je serieus software aanbieden dan gooi je nieuwe software (wat dus een update is) eerst x tijd in een VM met een plain install om het te kunnen pentesten, dan doe je hetzelfde met elke variatie qua backup/config van je live-omgeving.
En daarna ga je pas naar een upgrade plan kijken. Dan heb je qua deployment nog te maken met maintenance windows etc. etc. etc.
Bij een beetje klein bedrijf zal je als je het serieus zou doen al tegen minimaal een week aanlopen. Maarja, een klein bedrijf heeft over het algemeen geen pentester qua security en die wacht dus even andere bedrijven af.

Serieus omgaan met updates is niet blind linkjes aanklikken en software installeren wat jij voorstelt.
Wat je even mist is dat hier sprake is van een lek dat schijnbaar zeer eenvoudig te exploiteren was. Er was ook geen sprake van responsible disclosure dus zowel de patch als de hack waren op hetzelfde moment beschikbaar. Als je dan googled op "Powered by vBulletin" vind je zo een berg fora die je kan aanvallen.

Zelfs binnen 24 uur was je nog te laat geweest. Server uitzetten op het moment dat je weet van het lek was de enige redding. Als je niet al te laat was.
Volgens mij is dit alleen exploitbaar op een Windows server i.v.m. het includen van filepaths. De / wordt wel escaped, de \ (gebruikt bij Windows filepaths) niet. Meeste fatsoenlijke servers hebben een blacklist van bepaalde gevaarlijke php-functies zoals shell_exec etc. waardoor niet alle forums even kwetsbaar zijn gelukkig.

[Reactie gewijzigd door Saven op 10 oktober 2019 09:30]

Misschien voor een simpel Wordpress website wel ja, maar als je toch al wat complexe meuk gebruikt kan een update zonder deze eerst te testen in een test omgeving (welke exact hetzelfde zou moeten zijn). Je live omgeving toch wel degelijk kapot maken..

Iedere update binnen 24 uur getest hebben en live zetten is gewoon niet te doen. Hookers.nl kan wel misschien een simpel forumpje bevatten, maar je weet niet wat er allemaal in de back end draait.

Misschien had de update wel een PHP update nodig, misschien draaien ze nog wel meer dingen op de server, weet jij veel.
Het blijft me verbazen hoe makkelijk zulke grote bedrijven denken over updates e.d.
Dit is toch echt hun eigen schuld dan denk ik.

Ik hanteer altijd de regel om een update binnen 24 uur te installeren.
Die regel hanteer ik zeker niet. Ik heb te vaak gezien dat een patch meer kwaad dan goed doet. Ik wacht altijd een paar dagen en als ik dan onder anderen hier geen rare meldingen lees, dan ga ik patchen.

Leuker is het als een patch andere zaken omgooit. Dat hebben we meer dan eens gezien bij iOS en onze VPN software. Wij raden onze mensen altijd aan om pas een nieuwe versie van iOS te installeren als wij die goedkeuren. Doen mensen het toch eerder, dan niet bij ons komen klagen dat niet alles het meer doet. (en ja, dat is niet leuk. en ja, dat is misschien wat minder veilig, en ja, soms moet je tegen je mensen zeggend dat ze wel moeten updaten en dat niet alles het meer doet)
Ik denk niet dat je hooker.nl als een groot bedrijf kan beschouwen! En als jij alle updates binnen 24 uur kan installeren (ook met Kerstmis he?) wil ik graag eens een gesprek met je. Dergelijke top it'ers zijn zeer zeldzaam dezer dagen.
Meer zelfs, op basis vd naamgeving vd site en het gebruik van vbulletin, klinkt het eerder iemand die een externe partij even snel zijn website in mekaar heeft laten boksen, uiteraard zonder onderhoudscontract.
En wat als die update nu juist de boel naar de tering helpt? Grote bedrijven denken zeker wel goed na over updates laden, en doen dat in veel gevallen niet binnen 24 uur, JUIST om problemen te voorkomen.
Maar dit is dan ook niet echt een groot bedrijf hoor.
Sterk verwijtbaar gedrag en mag om mij dan ook zwaar worden gestraft, het lek is volop in de publiciteit geweest, men heeft besloten om niet te patchen terwijl de patch in dit geval bijzonder simpel was, men had de stekker eruit moeten trekken als men niet gelijk kon patchen.

Het gaat hier niet om Ina van 3 hoog, het gaat hier om een commercieel bedrijf welke zijn verantwoording heeft ontlopen.
Sterk verwijtbaar gedrag en mag om mij dan ook zwaar worden gestraft, het lek is volop in de publiciteit geweest, men heeft besloten om niet te patchen terwijl de patch in dit geval bijzonder simpel was, men had de stekker eruit moeten trekken als men niet gelijk kon patchen.
Weet jij of er daadwerkelijk niet is gepatched? Er kan wel direct de 25e zijn gepatched toen dit naar buiten kwam en het in het nieuws verscheen. Het zou toen al te laat kunnen zijn geweest. Met een vingertje wijzen is makkelijk, als je niet alle feiten heb. Ik heb ze ook niet, maar aannames zijn de moeder van alle f-ups!

En een commercieel bedrijf betekend niet meteen groot en/of professioneel. Ga eens kijken/luisteren naar de laatst gepubliceerde interview met de Tweakers.net 'founders', Tweakers nu en Tweakers toen is niet met elkaar vergelijkbaar, maar het was toen ook al een commercieel bedrijf waar geld mee wordt verdient.
volop in de publiciteit? ik kan me het niet eens herinneren dat het voorbij gekomen is.. Niet iedereen zit dag en nacht met zijn neus in de techsites.. Ze draaide sowieso al de laatste versie van vBulletin, dus dat is al heel wat. Het is allemaal niet zo simpel zoals jij denkt.. Net zoals hieronder door Cergorach al wordt aangegeven, kan best zijn dat ze diezelfde dag al hebben gepatched. De 25e is de patch gepubliceerd, kan dus ook zijn dat de beheerder bezig was om die patch te laden en dus 1 of 2 dagen later pas werkelijk op de productieversie heeft geladen.

Waar ik me hier vooral altijd aan stoor is dat een hoop tweakers denken dat wat zij weten ook dan bekend is bij anderen, niet eens nadenkende dat dingen soms gewoon tijd kost, ook zaken als zulke lekken. Stel dat degene met de kennis van zaken nu net op vakantie is en dus helemaal geen nieuws volgt.. Of toevallig net dat nieuwsitem gemist heeft omdat die het druk had met andere zaken..
Nouja, ze kunnen in ieder geval niet inloggen op andere sites. Ik hoop alleen voor de gebruikers dat ze niet accounts als janwillem@defamiliejansen.nl hebben gebruikt :D

[Reactie gewijzigd door MASiR op 10 oktober 2019 09:04]

Blijkbaar is dit wel het geval... wel een nickname gebruiken om je 'anoniem' voor te doen, maar toch een e-mail adres gebruiken in de trand die jij schetst... 8)7
"Sommige mensen doen niet geheimzinnig over hun prostitueebezoek, maar zeker als mensen een nickname gebruiken, blijkt dat ze anoniem willen blijven." In het bestand dat de NOS in handen heeft, blijkt inderdaad dat mensen vaak een anonieme gebruikersnaam maar een herleidbaar e-mailadres gebruiken.
https://nos.nl/artikel/23...n-te-koop-aangeboden.html
Ik sta op dat forum geregistreerd met het e-mailadres kylelinne1988@tweakers.net.

Dat wil nog niet zeggen dat mijn naam Kyle Linne is.
Dat zegt hij toch ook niet? De NOS heeft het over "herleidbare e-mailadressen" en zegt: "Ook hebben we met Google-zoekopdrachten gecontroleerd of achter individuele accounts op Hookers.nl bestaande personen zitten. Alle door ons verzamelde informatie zal na publicatie worden verwijderd.".

Nu heb ik de e-mailadressen niet gezien, maar ik kan me goed voorstellen dat er genoeg adressen tussen zitten waarvan je vrij zeker kunt zijn dat het om voornaam.achternaam@gmail.com gaat en dit wel degelijk de naam van de persoon achter het e-mailadres is. De NOS kan het blijkbaar met een simpele Google zoekopdracht verifiëren.
Ik heb op die site het emailadres janpeterbalkenende@gmail.com ingevuld. Dat is ook herleidbaar, maar niet naar mij.
Klopt. Dat is het punt ook niet. Er zijn 250.000 e-mailadressen. Kans dat er daar genoeg tussen zitten die herleidbaar zijn naar een echt persoon is toch vrij groot. Iemand met een verzonnen e-mailadres kun ook je nog steeds achterhalen als diegene het e-mailadres ook op andere locaties gebruikt. Op sommige websites is je e-mailadres (al dan niet bedoeld) in je profiel te zien. Dat indexeert Google netjes. Misschien heb je daar wel een andere nickname gebruikt bij dat profiel. Zoeken op die nieuwe nickname krijgt weer een aantal hits op Google en warempel: herleidbaar.

Het gaat er in deze dus niet om dat er ook genoeg e-mailadressen tussen zitten die niet herleidbaar zijn. Het gaat er juist om dat een groot deel dat wel is. De NOS heeft een steekproef gedaan met 1000 adressen die ze hebben gekregen en waarvan er dus een aantal herleidbaar waren. De auteur van dat stuk, Joost Schellevis (heeft eerder bij Tweakers gewerkt) heb ik hoog genoeg zitten om hun proef voor waar aan te nemen.

Edit: typo

[Reactie gewijzigd door Sjnieboon op 10 oktober 2019 12:02]

Maar dan nog heb je, hoe heet het, probable deniability?
Je kan altijd tegen je vrouw zeggen dat iemand je naam heeft gebruikt en dat je daar het slachtoffer van bent.
Een e-mailadres misbruiken (want daar gaat het om, niet om de naam) is toch lastig. Als iemand anders zich met jouw e-mailadres wilt registreren dan moet diegene ook al toegang hebben tot je e-mail om te kunnen bevestigen. Het feit dat er dus een account is met jouw e-mailadres staat vrijwel gelijk aan dat jij ook degene bent die het account heeft aangemaakt. Zo werken registratiesystemen op basis van e-mail nou eenmaal. Mocht je een vrouw hebben die dat niet snapt heb je wellicht nog een kans. Anders zie ik het toch somber voor je in :9
Als ik een vrouw had die daar niet mee kan omgaan filtert dat gelijk mooi uit. Zou me overigens verbazen als ik zo'n vergissing zou maken.
Haha. Het ging ook niet over jou persoonlijk hè ;)
Je gebruikte anders wél de persoonlijke aanspreekvorm. :*)
En de NOS heeft blijkbaar de hacker betaald voor de adressen? Is dat niet heling en strafbaar in dit geval, hoe goed je journalistieke bedoelingen ook mogen zijn?
Misschien eerst even het NOS artikel lezen:
We hebben contact opgenomen met de verkoper van de database, onszelf voorgedaan als geïnteresseerde koper en gevraagd om een sneak preview. Die kregen we: de verkoper stuurde ons de gegevens van duizend leden. We hebben de verkoper niet betaald.
Maakt op zich niet eens zoveel uit. Als ik de set met emailadressen had en er kwaad mee in de zin had, dan zou ik naar iedereen een mailtje sturen en proberen er geld uit te halen, waarbij ik dus op voornaam.achternaam@gmail.com of voornaam@achternaam.iets waarschijnlijk meer succes zal hebben dan bij <randomstring>@gmail.com.

Maar ook als iemand ingelogd is als <randomstring>@gmail.com zal hij misschien zich bedreigd voelen en tóch geld overmaken. Voor de chanteur maakt het niet uit; een bulk email versturen is zo goed als gratis, als schieten met hagel, maar niet geschoten is altijd mis.

Daarnaast vraag ik me af hoeveel problemen het nou echt gaat opleveren. Ik probeer me voor te stellen hoe ik zelf zou reageren (ik heb er geen account btw). Emailadressen lekken zó vaak uit en je krijgt zóveel spam dat je volgens redelijk goed tegenover je partner kan volhouden dat je er niks mee te maken hebt en dat je emailadres ergens anders vandaan komt. Het is op dat moment jouw woord tegenover dat van een onbekend iemand die via internet geld van je af probeert te troggelen. Ik weet wel wie geloofwaardiger is.
TENZIJ je natuurlijk zo dom geweest bent om op dat forum dusdanig veel privé informatie te verspreiden dat het onmiskenbaar bij jou vandaan komt.
Het lijkt me erger dan dat.

Het probleem is nu dat publiek bekend is dat er een set email-accounts uitgelekt is. Alleen: bijna niemand heetf de hele set in handen. Als je nu een email-adres uit een andere bron hebt, dan kun je alsnog proberen om iemand er mee te chanteren. "Als je mij geen 0.1 BitCoin betaalt, dan maak ik bekend dat voornaam@achternaam.com in de Hookers.nl voorkomt". Het maakt tenslotte niet veel uit of het waar is, als niemand dat kan controleren. Het dreigement is de verdachtmaking.
Het gaat er helemaal niet om dat je mailadress voorkomt. Op hookers worden uitgebreide reviews geplaatst van de in Nederland actief zijnde prostituees. Reviews door nicknames zijn nu reviews door deels herleidbare emailadressen geworden.

Oftewel, van een aantal Nederlandse mannen is nu bekend wat ze afgelopen jaren in detail in bed gedaan hebben (staat in hun eigen review) en wellicht willen ze dat graag weg houden bij familie en collegas.
De enigen die hier chantabel mee zouden kunnen zijn, zijn fervente anti-sekswerk-strijders wiens hypocrisie aan het licht zou komen.
Ik weet niet of je opmerking bedoeld is om die hypocrisie belachelijk te maken, maar ik vind het nogal afbraak doen aan de gevolgen voor mensen wiens familie-/vriendenkring dit onderwerp zwaar veroordeelt. Mensen die prostituees bezoeken, of zelfs prostitutie accepteren, veroordelen omdat ze vinden dat "het niet hoort". (Vrijwel iedereen heeft ideeën over hoe andere mensen hun leven in moeten richten, om welke redenen dan ook). Helaas is vrijwel iedereen is onderhevig aan zulke groepsdruk.

Ik zie dit weer als het zoveelste voorbeeld dat "ik heb niets te verbergen" nergens op slaat, en dat meta data dat je ergens bent geweest al gevoelige informatie is (zelfs zonder enige content zoals posts).
"Mensen wiens familie-/vriendenkring dit onderwerp zwaar veroordeelt" hebben nog wel meer problemen met het conservatisme, de intolerantie en de druk van die omgeving. Die doet meer schade en "afbraak doen aan de gevolgen" dan zo nu en dan plezier maken met een sekswerker.
Ik ben ik het helemaal met je eens dat het problematisch is als mensen zich anders voor moeten doen dan ze zijn omwille van hun sociale groep. Ik wou alleen aangeven dat -naar mijn mening- meer mensen chantabel zijn dan je comment suggereert, omdat je comment het laat lijken alsof het voor de andere gebruikers niet zo erg is als hun naam in deze context naar boven komt. Ik kan me voorstellen dat redelijk wat gebruikers van dit forum zich schamen tegenover hun familie, werkgever en/of vrienden.

Maar goed, volgens mij was je comment meer bedoeld als: het is vet als van die "fatsoensmensen" die hún normen en waarden willen opdringen (maar zelf niet naleven) nu zitten te zweten omdat hun hypocrisie misschien aan het licht komt. Als je dat inderdaad bedoelde, ben ik het ook daar helemaal met je eens :) .
De groep die jij benoemt is toch al per definitie chantabel, bewijs jij maar eens dat jij geen stampertje64 van hookers.nl bent als ik claim dat jij dat wel bent.
Die sociale groep gaat jouw woord echt niet geloven als je het een beetje uitzoekt of ze geloven je toch al als je onschuld claimt (ook al zou je wel stampertje64 zijn).

De chantabiliteit van deze groep is niet gebaseerd op bewijs, enkel op gevoel.

Zo heb je ook een scam de ronde doen over dat ze beelden van je hebben tijdens porno-kijken. Wat denk je dat jouw omgeving gaat doen als er op FB/instagram/mail etc vage webcam-beelden vrijkomen van een rukkend persoon zonder daadwerkelijke details maar wel duidelijk kijkend naar kinderen op scherm oid.
Doen ze dit bij 1 miljoen mensen dan wordt het nieuws en gelooft niemand de beelden, maar doen ze het alleen bij jou, dan wens ik jou veel plezier met bewijzen dat jij het niet bent en wees niet verbaast als mensen hun kinderen voortaan bij jouw verjaardag thuislaten, want er blijft toch altijd iets hangen...
Ik denk dat ze dan de verkeerde vrienden hebben, dus dit filtert de kwaden er meteen mooi uit.
Gezien hoe dom sommige mensen zijn zou het mij inderdaad niet verbazen als er iemand van de SGP het partij-email heeft gebruikt voor inschrijving :P
Bedenk dat er accounts zijn van sekswerkers zelf, waarvan de omgeving niet op de hoogte is dat deze persoon sekswerk doet.
dat is nadrukkelijk niet de bedoeling van dat forum, het is echt enkel voor de klanten bedoeld, en de dames worden er actief op geweerd.
Dan ben ik verkeerd geïnformeerd; dank voor de correctie. Dit was mijn bron:
Het probleem geldt niet alleen voor klanten van sekswerkers: ook prostituees en escorts zijn actief op de website. Zij willen ook niet altijd met hun echte naam als sekswerker bekend staan, bijvoorbeeld omdat hun omgeving niet op de hoogte is.
bron

[Reactie gewijzigd door ATS op 10 oktober 2019 13:37]

Sowieso dom als iemand een op eigen naam staand (zakelijk) e-mail adres zou gebruiken maar helaas komen we er regelmatig veel van tegen, ook van soms hooggeplaatste figuren. Geen oordeel over hun gedrag hoor want iedereen is een mens tenslotte maar soms wanen mensen zich veel te veilig en zien er geen kwaad in om ook hun zakelijke e-mail adres te gebruiken op dergelijke sites.
Ik zou dus zo die 300 euro wel neer willen tellen en alle e-mail adressen direct online plaatsen zodat die hacker er niets meer aan kan verdienen. Beter in een keer ellende dan dat die e-mail adressen worden gebruikt om de mensen af te persen. Hoeven ze maar één keer door de zure appel heen dan financieel uitgekleed te worden.
Ik kan me wel voorstellen waarom je je zakelijke emailadres zou gebruiken; de kans dat je partner onbedoeld mail daarvan te zien krijgt is een stuk kleiner dan wanneer je het familie-mailaccount gebruikt.
Vroeger had een emailadres nog een zekere waarde en was het "duur" om er 1 aan te maken, nu is het gewoon kiezen tussen 10.000 mailproviders gmail/outlook/of 1 van de andere 12 miljoen google-resultaten.

Oftewel nu kan je "gratis" een derde emailadres aanmaken wat nergens aan gekoppeld is.
Zeker, en een <random>@gmail of hotmail is bijna geen moeite, maar mensen zijn gemaksdieren....
Zelfs met het vrijgeven van die database bereik je niets hoor, het is niet alsof veel mensen die database dan zullen zien (behalve juist misschien degene die willen blackmailen)..
Dan ben je dubbel strafbaar, nog afgezien van alle schadeclaims.
Nee. Zitten zat gebruikers bij van wie omgeving niet weet of niet mag weten (getrouwd en kinderen) dat ze actief prostituees bezoeken.

Daarnaast zijn de reviews van sommige gebruikers in groot detail en zal niet iedereen met een baan in het bedrijfsleven willen dat hun sexquotes gegrapt worden bij het koffie automaat
emailadres onthuld vaak een voornaam en achternaam, samen met de berichten uit het openbare forum maakt dat een grote groep hoerenlopers behoorlijk chantabel. Deze breach gaat nog een flinke staart krijgen.
Ik denk dat die 300 dollar ook wel wordt betaald, een schijntje voor deze data eigenlijk. Neemt niet weg dat je er dan niet op kan vertrouwen dat het niet alsnog verder uitlekt, doordat die hacker onbetrouwbaar is of omdat anderen hetzelfde trucje hebben uitgehaald. Verkeerd gelezen, maar blijft een koopje die je er bij 1 chantabel iemand al op terugverdiend geloof ik.

Dit toont maar weer eens aan dat zelfs een tijdje wachten of een nieuwe update niet met kinderziektes komt ook een flink risico kan vormen. Ze waren redelijk up to date, maar net niet helemaal, en dan ben je gewoon kwetsbaar. Daarom is het belangrijk bij zo'n uitgesteld update policy om toch altijd gelijk de change logs door te spitten bij elke release en bij kritieke kwetsbaarheden zoals deze toch gelijk een update uit te voeren (na een back-up uiteraard).

[Reactie gewijzigd door svenk91 op 10 oktober 2019 09:06]

Dan heb je het mis. Het is niet 300 dollar om te voorkomen dat de data wordt vrijgegeven. Het is 300 dollar voor eenieder die een kopie van die data wenst te bekomen (spammers bijvoorbeeld).
Ik denk dat je het verkeerd leest:
Die 300 dollar is wat het voor iedere willekeurige persoon kost om die data te kopen van de hacker, op de vrije markt als het ware.
De hacker kan het dus tig keer verkopen voor elke keer die 300 dollar. Er staat in het artikel niets over een afkoopsom om de data “terug te geven” aan de eigenaars van de site.
Zo lees ik het artikel tenminste..
Als je je registreert op een dergelijk forum is het dus handig een apart emailadres daarvoor aan te maken. Triest dat het vaak niet meer een vraag óf, maar meer wannéér iets gehackt wordt en je gegevens op straat liggen.
En gebruik daarnaast ook een password manager zodat je op elke website een ander wachtwoord gebruikt.
Ik ga er bij voorbaat al vanuit dat een website mijn gegevens verkoopt..

Ik draai al sinds 1999 mijn eigen Qmail server waarbij de .qmail-default email extensions fantastisch zijn. Lijkt een beetje op de Gmail user+toevoeging@gmail.com structuur, alleen gebruikt qmail een streepje en mijn email adres met streepje is nog nooit geweigerd, terwijl het google plus adres op diverse websites als niet-valide wordt gezien..

Voor telefoon geef ik ook altijd een verzonnen telefoonnummer op. Dit is een verplicht op vooral Amerikaanse websites. Bunq geeft mij de mogelijkheid om virtuele creditcards aan te maken met rolling CVC codes waardoor zelfs mijn creditcard gegevens maar eenmalig geldig zijn..
Een password manager gaat je alleen niet helpen als de hele database van een site ergens wordt gelekt.

Hooguit dat ze dan niet meer kunnen proberen om met (de hash van) jouw password ook ergens anders in te breken.
Een password manager is zodat je op elke website een ander wachtwoord kan gebruiken.
Mijn password manager, 1password geeft ook een melding als er ergens een datalek is en ik daar een account heb opgeslagen in mijn kluis. Ook houdt hij bij waar je dezelfde wachtwoorden hebt. Zo kan je snel zien hoe groot de schade is
Daarnaast accepteren sommige websites aan de voorkant bij registratie wel “+”, maar als je vervolgens wil inloggen niet.
Het hele domein verwijst dus naar jou, en dat had in dit geval dus niets geholpen. Wat maakt het uit dat je weet dat de chantagepoging uit gaat van hookers-jij@jouwdomein.nl ipv jouwnaam@hotmail.com als je in beide gevallen weet dat het over jou gaat?

[Reactie gewijzigd door ATS op 10 oktober 2019 12:52]

Doordat ik op elke website een 'uniek' email adres achter laat is, is het voor mij mogelijk als ik een spam mail krijg om te achterhalen welke website mijn gegevens geeft gelekt of verkocht..

Voor Tweakers gebruik ik user-tweakers@domein.nl, terwijl ik voor de telegraaf user-telegraaf@domein.nl gebruik. door de .qmail-default wordt alles tussen 'user-' en het apestaartje gezien als een wildcard..

Ik krijg sinds een paar weken elke week een brief van het AP dat vanwege drukte een antwoord op mijn klacht langer op zich laat wachten. Stel ik krijg van een website een email op user-tweakers@domein.nl binnen, dan dien ik direct een klacht in bij het AP dat tweakers mijn email heeft gelekt of verkocht aangezien tweakers de enige partij is waaraan ik dit emailadres heb gegeven..

Ik heb inmiddels bij Bunq 68 virtuele creditcards.. Het enige nadeel van een CVC code welke elke 5 minuten veranderd is dat je bij abonnementen regelmatig je CC gegevens moet bijwerken..

Hoewel het domein wel mijn eigendom is, wijst de whois niet direct naar mij. Je kunt er bij DirectNic ook voor kiezen dat zij hun gegevens in de whois plaatsen inclusief een speciaal emailadres op het domein van directnic met een forward naar mijn eigen emailadres..
Stel ik krijg van een website een email op user-tweakers@domein.nl binnen, dan dien ik direct een klacht in bij het AP dat tweakers mijn email heeft gelekt of verkocht aangezien tweakers de enige partij is waaraan ik dit emailadres heb gegeven..
En daarom werkt de AP dus niet, omdat mensen zoals jij ze overladen met vage beschuldigingen die geen bewijs hebben.

Of je moet een beter systeem gaan hanteren of ik zou je vriendelijk willen vragen om te stoppen met false-positives, want de daadwerkelijke spammers proberen de AP al vol te gooien met false-positives, die hoeven echt niet geholpen te worden door jou.
Ik denk dat de gebruikers zich niet echt zorgen maken om hun wachtwoord hierbij. Ik denk dat die zich meer zorgen maken over mogelijke e-mail adressen en/of nick / display namen.
grote groep hoerenlopers behoorlijk chantabel.
Komt ook deels door opmerkingen zoals deze, i.p.v. hoerenloper had je ook "klanten van erotische diensten" kunnen schrijven ;)
Die site is best bizar maar vermakelijk om te lezen: hoeren aangeprezen als stofzuigers met bijbehorende rating… Die gasten daar geven recensies tot in detail over zuigskills en andere kwaliteiten alsof het een test van de Consumentebond is. En als ze dan een topper hebben ontdekt plaatsen ze dat vol trots zodat er meer traffic komt naar ze. Alsof je op een forum je favoriete restaurant aanraad waarna het er vervolgens retedruk wordt en jij de volgende keer langer moet wachten terwijl de kwaliteit achteruit is gegaan :)

[Reactie gewijzigd door Furious5 op 10 oktober 2019 10:26]

Ik voorzie een nieuwe categorie in de pricewatch :)
Met als filter "zuigkracht"? :+
Tja, dat is toch precies waar oa die site voor bedoelt is.. dat jij het blijkbaar raar vindt, vind ik juist meer verwonderlijk, zeker omdat we tegenwoordig zowat overal wel een reviewsite voor hebben.. Lijkt mij toch wel fijn om te weten als je naar de hoeren gaat of een bepaalde hoer vriendelijk en schoon is of smerig en puur als een zak hooi gaat liggen en duidelijk nep kreunt..
Ik heb ooit naast een 'prive-huis' gewoond en dit forum was de reden dat ik mijn bedrijf niet op mijn adres kon zetten (als je dan een route beschrijving wou opvragen was de 1ste hit een review van een van de dames bij de buren haha).

Machtig forum, maar verbaas me wel over het bizarre aantal gebruikers zeg!
"Als je denkt dat je hier goed genaaid wordt, moet je eens langs de buren gaan!"
Mooi toch, de ene professional naast de andere. Kan alleen maar goed zijn voor je imago.
Ook mooi voor klantenbinding he. "Hey jij bent wel een goeie klant bij mij, hier, twee bonnetjes voor een beurt bij de buren." in plaats van altijd die saaie cinematickets of flessen wijn.
Ik vraag me af hoe chantabel je er echt mee bent. “Ja je e-mail-adres was geregistreerd!” “Bewijs maar”
“Nou ik heb bij vage Sjakie een database gekocht en daar sta je in!”
“Jaaaja”
Het ligt aan jezelf of je je eigen laat chanteren en die onzin gelooft. Ik heb ooit ook een account gemaakt op hookers.nl in 2006 ofzo. Ik weet alleen niet of die account nog bestaat maar ze iedereen gaan mailen dus we zien het vanzelf. En als dit soort wachtwoorden uitlekken boeit me dat niet, in het ergste geval kunnen ze op een aantal plekken iets onder je handle schrijven, ik leg er niet van wakker van. De voor mij belangrijke dingen hadden altijd al een sterk en uniek wachtwoord.

Je krijgt wel vaker een mailtje met de titel je bent gehackt en we weten alles van je met 1 of ander ww van 10+ jaar terug er in, jaa lekker courant jongens. En dat ze graag een donatie willen op 1 of ander btc adres, alleen durven ze weer niet een geldig afzender adres er bij te plaatsen, dat is dan weer jammer.
Je kent ongetwijfeld de spam dat je met je webcam bent opgenomen terwijl je porno aan het kijken was, en dat de beelden niet worden vrijgegeven als je X euro betaalt. Dat is een gok, gebaseerd op dat enorm veel mensen wel eens porno kijken en dat er nog altijd een groot taboe op zit. Nu gaat het om een hoerenlopersforum, een mogelijk nog groter taboe, en weten de spammers zeker dat je er geweest bent. Ze zullen de spam aanpassen naar "we weten dat je op dit forum bent geweest" met eventueel wat posts erbij. Dat weet je zelf ook, daarom werkt het. Je bent dan chantabel zolang je er waarde aan hecht dat die informatie "monkel is op .... geweest" geheim blijft. Wat zullen je partner, familie, vrienden, collega's ervan vinden dat jij op zo'n forum bent geweest?

En mocht het iemand in jouw kennisenkring zijn die de database heeft gekocht en jou op die manier confronteert (onwaarschijnlijk), komt alsnog jouw "bewijs maar"-reactie alleen maar geloofwaardig over als je echt heel goed bent in liegen. Het moet er volautomatisch uit komen rollen. In de meeste gevallen ben je zo enorm van je a propos dat iemand dat weet (ook omdat je weet dat het klopt) en omdat het onderwerp uit de lucht komt vallen, dan ben je direct gezien. En wederom ben je dan chantabel "ik heb 300 euro betaald voor deze database en ik wil eigenlijk winst maken, dus wat is het je waard?".

[Reactie gewijzigd door DataGhost op 10 oktober 2019 09:43]

Bij mijn laptop kan de camera het schrm niet zien.
Wat heerlijk naief. Het idee is dat men beweerd je gefilmd te hebben terwijl je de broek op de enkels had. Niemand heeft interesse in een random scherm opnemen, dat bewijst niets.
En, o ja, er hangt alu-folie voor mijn camera, die in Qubes OS overigens default uitstaat en zelfs vanuit een gehackte VM niet kan worden aangezet. 8-)
Dan blokkeer je die mailtjes. Zo lang ze je mail niet kunnen herleiden naar je persoon heb je geen probleem. Als iemand mijn e -mail heeft dan kan die gaan zoeken in google maar vind ie net zo goed 5 andere met dezelfde naam. Wie van die 5 ben ik? Succes met je chanteren. Alleen als het een bekende is die weet dat die mail bij jou hoort en je direct kent is dat een probleem.

[Reactie gewijzigd door Mirved op 10 oktober 2019 10:17]

Lees anders mijn bericht gewoon even. Het gaat niet om het al dan niet blokkeren van spam. Het gaat erom dat als je in die database zit (dus legitiem een account hebt aangemaakt) iemand je daarmee kan chanteren, omdat je daadwerkelijk een account hebt. In dat mailtje halen ze dan een enorm specifieke, niche site aan, in plaats van het generieke "je hebt porno gekeken oooooooohhhh!". Het is dus niet zomaar uit de lucht gegrepen en je kan er dus ook niet zo makkelijk vanuit gaan dat het allemaal maar overwaait. Je bent dus veel eerder geneigd om op de eisen in te gaan. En het hoeft echt niet dat een spamfilter dat gaat blokkeren. Er zijn ontzettend veel manieren om zo'n beperkte spamrun te doen zonder enig filter te triggeren.
Lees anders mijn bericht even. Je krijgt een mail van een vreemde 'hey ik weet dat jij op die site hebt gezeten"

Reactie: Ok leuk voor je doei!
Niet fraai dat je dan je reactie behoorlijk aanpast en vervolgens zegt dat ik 'm niet gelezen zou hebben. Kennelijk vind jij het niet erg als iemand zulke informatie over jou zou hebben, dat kan. Heel veel mensen vinden dat wel erg, en weten niet hoeveel meer er over ze bekend is als iemand met zulke informatie rondloopt, maar weten wel de authenticiteit ervan. Als iemand foto's van jou maakt op het moment dat je een bordeel uit loopt ben je daar vast ook niet mee te chanteren, terwijl dat bij behoorlijk wat mensen wel zo is.
En het is niet mogelijk dat ik de pagina ververst had voor jouw edit en dan rustig in de tussentijd jouw reactie heb gelezen en een reactie heb getypt?

Jij vindt het misschien niet erg, veel mensen weten niet dat een bluf gecombineerd met een feit nog steeds gewoon een bluf is. Een paar dagen geleden was er een topic op GoT waarin zo'n generic porno-spam langskwam, het bitcoin-adres wat in dat specifieke mailtje genoemd was kreeg iets van 2.5k euro binnen en dat is later doorgesluisd naar een ander bitcoin-adres met in totaal iets van 60k euro. Er zijn dus behoorlijk wat mensen die er wel gewoon in trappen, en dat was met iets generieks. Daarbij was het feit gegokt, of kon je bedenken dat het gegokt was. Nu maak je het feit een stuk specifieker en pijnlijker, in dit geval is het zo onwaarschijnlijk dat dat gegokt is en weet je zelf dat het waar is en nog dieper in de taboesfeer ligt. Je haalt dus ook een deel van de mensen over die bij de vorige dachten "ja maar iedereen kijkt porno dus dat is bluf". Die mensen zijn dus chantabel (getuige de betaling), dat is het punt wat er gemaakt wordt. Niet of jij dat wel of niet bent.
Dat is toch precies het punt wat ik probeer te maken. Je hoeft niet bang te zijn want niemand gaat zich de moeite doen om jouw echt te achterhalen. Dat mensen toch bang zijn en niet nadenken kan ik niks aan doen.
Hè weer een van m’n favoriete forums gehacked ;) Synthforum.nl laatst ook al: https://www.synthforum.nl...huwing-synthforum-gehackt

Nee, hoeren niet hoor maar synthesizers wel. Gelukkig is het wachtwoord op SF door de kat verzonnen door over het toetsenbord te lopen.

[Reactie gewijzigd door vj_slof op 10 oktober 2019 08:27]

Ik vind het knap van je kat als ie 2 keer op dezelfde manier over dat toetsenbord loopt zodat je het wachtwoord ook echt kan bevestigen. :+
Dat heet two factor authentication.
copy paste 1password. kan prima.
Maak dat de kat wijs!
Zou hij/zij niet meer kunnen verdienen door die 250.000 mensen te laten betalen om ze te schrappen uit de dataset?

De hacker is wellicht zelf een van die 250.000...


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True