Blokker waarschuwt onbekend aantal klanten voor datalek

Winkelketen Blokker heeft last gehad van een datalek. Er is ingebroken bij accounts, al is niet bekend bij hoeveel klanten dat gebeurde. Ook is niet duidelijk wat er precies is gebeurd. Volgens Blokker zijn er geen financiële gegevens of wachtwoorden gestolen.

Blokker schrijft dat in een e-mail naar klanten, die inmiddels door meerdere tweakers is ontvangen. "Met een aantal e-mailadressen is geprobeerd in te loggen bij meerdere accounts op Blokker.nl", schrijft het bedrijf. Dat gebeurde 'eerder deze week'. De winkelketen schrijft dat het geen aanwijzingen heeft dat de gebruikte e-mailadressen en wachtwoorden zijn buitgemaakt bij Blokker zelf. Mogelijk werd er gebruik gemaakt van credential stuffing. Het bedrijf schrijft dat inbrekers toegang hadden tot de contactgegevens en bestelhistorie van klanten. In de Blokker-accounts stonden 'geen bank- of betalingsgegevens', staat in de e-mail.

Het is niet duidelijk hoeveel klanten slachtoffer zijn geworden van het datalek. Blokker was vrijdagavond niet meer bereikbaar voor commentaar. Het bedrijf raadt klanten aan een uniek en sterk wachtwoord te verzinnen, en waarschuwt klanten dat hun gegevens 'hoogstwaarschijnlijk bekend zijn bij derden'. Het bedrijf heeft de getroffen accounts geblokkeerd. Klanten kunnen het laten deblokkeren door de klantenservice te bellen, die dan een resetlink stuurt. Blokker heeft melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek.

Blokker_Datalek

Reacties (145)

jurriaan

18 januari 2020 12:32

Niemand die het raar vindt dat anno 2020 mensen nog steeds wordt geadviseerd om grote en kleine letters en leestekens te gebruiken. De oproep om een uniek wachtwoord te gebruiken is goed, maar hoe komen we toch van die fabel over verschillende leestekens af in plaats van lengte aan te bevelen?

Gamebuster 17 januari 2020 20:58

Je moet tegenwoordig overal een account voor aanmaken, en ze worden massaal gelekt incl gerelateerde data.

Wanneer gaat hier iets mee gedaan worden?

kodak

Datalek
Beveiliging en antivirus
Privacy

@Gamebuster • 17 januari 2020 23:22

Dat je bij diverse organisaties accounts hebt en dat er lekken zijn lijken me twee verschillende zaken. Zoals het artikel al stelt is onduidelijk waar het lek precies zit en dat het er veel van weg heeft dat gebruikers accountgegevens hergebruiken. Als er een lek is en de accountgegevens kunnen verder nergens anders gebruikt worden is het probleem van een lek vervelend maar wel beperkt. Wanneer er iets mee gedaan gaat worden hangt dus ook van de wil van de gebruikers af. De vraag is of die gebruikers wel willen dat er iets aan gedaan gaat worden als ze vooral zichzelf er mee hebben.

kozue @kodak • 18 januari 2020 09:50

Dat je bij diverse organisaties accounts hebt en dat er lekken zijn lijken me twee verschillende zaken.

Dat lijkt voor jou misschien zo, maar er is wel degelijk een hard verband: geen account = geen gehacked account. Een wachtwoord dat ik niet heb kan ook niet uitlekken.

Hoe minder accounts hoe beter. Zo bestel ik bv regelmatig wat bij een Duitse webshop, en die hebben een optioneel account. Nog nooit aangemaakt. Ik moet iedere keer weer opnieuw m’n adres en CC invoeren, en dat vind ik prima. Zoveel moeite is het ook weer niet. In ieder geval een stuk minder moeite als een uniek sterk wachtwoord te moeten onthouden en de rommel opruimen wanneer de site gehacked wordt en ze namens jou bestellingen gaan doen.

Anoniem: 470811 @kozue • 18 januari 2020 10:39

Maar zonder accounts hebben ze nog steeds je gegevens, enige wat ze niet hebben is een wachtwoord (of een hash daarvan).

Er kan nog steeds een inbreuk plaatsvinden waarna de hele database (inclusief alle bestellingen met adres, email, en vast ook wel telefoon en wat betaalgegevens).

Een credential stuffing 'aanval' zal niet werken meer, maar het is niet zo dat de gegevens er niet meer zijn.

casberrypi @Anoniem: 470811 • 18 januari 2020 11:14

Bij het lekken van de gehele database zijn je bestelgegevens sowieso gelekt, of je nou wel of niet een account aanmaakt is dan irrelevant.

TheVivaldi @casberrypi • 18 januari 2020 12:28

Dat is dus precies wat teusink zegt...

Waterbeesje @Anoniem: 470811 • 20 januari 2020 17:49

Zonder account hebben ze je gegevens, true. Zonder meer fout en zonder meer een privacylek.

Het wordt met gelekt wachtwoord te gemakkelijk om op mijn naam méér te bestellen met een alternatief afleveradres... en de rekening bij mij te leggen (icm achteraf betalen).

2fa wordt zelden toegepast "want de mensen willen dat niet" en "het is moeilijker" en "een drempel" of "dat kost me veel ste duur om te late maken".

Soms is een account handig. Zeker als ik vaker bestel bij firma X. Maar als ik ergens eenmalig of zelden iets bestel, hoef ik helemaal geen account. Maar dat is vaak niet eens een optie meer, want data.

casberrypi @kozue • 18 januari 2020 11:12

Ik maak voor webshops die dit niet hebben een lang random wachtwoord. Meestal neem ik niet de moeite om die in een password manager te zetten, en als ik nog een keer iets moet bij die webshop, zoals terugsturen of een andere bestelling plaatsen dan kan ik altijd met een 'wachtwoord vergeten' procedure mijn account in.

sympa @casberrypi • 18 januari 2020 21:17

SSO-via-email. Waarom dat niet standaard is. gewoon geen wachtwoord aanmaken, ook gene gedoe met eerst aanmaken en dan nog een keer inloggen, gewoon inlog-link in de mail.

menne @kodak • 18 januari 2020 08:46

Het bedrijf raadt klanten aan een uniek en sterk wachtwoord te verzinnen

Hier zit inderdaad het grootste probleem. Alleen is het als gebruiker onmogelijk om dit te realiseren voor al je accounts als je geen password manager of iets gebruikt. Natuurlijk gebruikt een normale gebruiker voor al die tig webwinkels en andere onzin hetzelfde wachtwoord.

[Reactie gewijzigd door menne op 23 juli 2024 07:14]

ultimasnake @menne • 18 januari 2020 09:36

Zo onmogelijk is het niet hoor. Ik raad mensen die om vage redenen geen password manager willen altijd aan om de eerste 3 letters van de webwinkel zelf ergens in het wachtwoord te stoppen. Je onthoud 1 wachtwoord en voegt er wat voor of achter. Dat voorkomt al zoveel bij het uitlekken van 1 wachtwoord... het hoeft niet lastig te zijn als je een ezelsbruggetje hebt ☺️

Anoniem: 420148 @ultimasnake • 18 januari 2020 10:50

Dat is echt een bizar slecht idee. Ten eerste, 3 letters toevoegen aan een slecht wachtwoord helpt weinig tegen brute forcing en je hebt nu degene die je wachtwoord heeft gestolen de eerste 3 letters gegeven van alle wachtwoorden van dat emailadres. Blokker = blo, Mediamarkt = med, etc.

ACM Software Architect @Anoniem: 420148 • 18 januari 2020 11:44

Het zal weinig helpen tegen fanatieke brute forcing en ook niet als iemand echt per se 'jouw' wachtwoord wil weten.
Maar ik ben met je oneens dat het een 'extreem slecht idee' is. Want het helpt wel degelijk tegen de aanvallen waarbij domweg een bekende combinatie van email en wachtwoord wordt geprobeerd...

Dus het is in ieder geval een stuk beter dan helemaal geen variatie in de wachtwoorden.

jozuf @ultimasnake • 18 januari 2020 10:11

Ja zoiets of varianten erop.
Je kan bv ook de (hoofd) kleur van het logo gebruiken (icm wat je al noemde bv) om maar wat te noemen.

[Reactie gewijzigd door jozuf op 23 juli 2024 07:14]

ultimasnake @jozuf • 18 januari 2020 10:20

Oey, dat was wat geweest toen bol van licht blauw naar een middel donkere tint ging (voor vrouwen dan...)

jozuf @ultimasnake • 18 januari 2020 12:18

Elke huisstijl change je ww veranderen is te overzien

TheVivaldi @jozuf • 18 januari 2020 12:27

Bovendien wijzigt de kleur niet altijd. Toen TNT (althans, de Nederlandse postafdeling dan) bijv. overging naar PostNL bleef de hoofdkleur gewoon oranje (en dat is 'ie nog steeds).

tonkie_67 @TheVivaldi • 18 januari 2020 19:44

Maar vroegah was t rood.
Ik associeer de post nog steeds met rood...
Maar 1 x kleur wijzigen in 50 jaar is wel te doen.
Vraag me alleen af hoe ik mn wachtwoord moet kiezen voor de Regenboog organisatie: want die hebben idd alle kleuren van die boog prominent in hun logo

TheVivaldi @tonkie_67 • 18 januari 2020 19:59

Maar vroegah was t rood.

Weet ik, ik had het dan ook alleen over TNT --> PostNL en niet over PTT --> TNT.

Vraag me alleen af hoe ik mn wachtwoord moet kiezen voor de Regenboog organisatie: want die hebben idd alle kleuren van die boog prominent in hun logo

Een combinatie van alle eerste letters of eerste twee letters van de individuele kleuren van de regenboog?

jozuf @TheVivaldi • 19 januari 2020 11:06

ReGenBoog

rob12424 @ultimasnake • 18 januari 2020 11:02

Er zijn al brute force tools die de eerste aantal x letters van de winkel gebruiken en dat koppelen met op internet geposte wachtwoorden. Zo slim is dat plan dus niet.

slowdive @rob12424 • 19 januari 2020 10:17

Zou je daar een link/naam van kunnen geven?

rob12424 @slowdive • 19 januari 2020 12:44

Die heb ik niet. En dat mag ook niet. Maar een beetje zoeken naar crawler password en store kom je vast een heel eind.

slowdive @rob12424 • 19 januari 2020 16:03

Ik stel die vraag, omdat ik helder wil hebben of het klopt (niet omdat ik die tool zou willen gaan gebruiken).
Dat er lijsten zijn met usernames/passwords staat buiten kijf. Dat die lijsten gebruikt worden om op andere sites in te loggen is ook zeker (Tweakers heeft hier bijvoorbeeld onlangs nog melding van gemaakt, o.a. doordat mensen opgelicht werden via V&A).
Als het _,echt_ klopt dat hackers gebuikt maken van 'wachtwoord met letters uit de naam van de website' dan is dat belangrijk om te weten voor degenen die wél denken veilig te zijn met wachtwoorden die op die manier samengesteld zijn.
Het zou best kunnen kloppen, maar het aantal wachtwoorden kan wel enorm zijn. Stel dat het wachtwoord <iets-uit-de-sitenaam>+<standaarddeel-van-het-wachtwoord> is, en het eerste deel is 5 tekens lang. Dan is het aantal manieren om 5 letters uit (bv) Coolblue te kiezen 8*7*6*5*4= 6720. Dat betekent dat het 6000 keer moeilijker is om op deze manier een wachtwoord te raden, dan door de bekende wachtwoorden 1-op-1 te gebruiken.
Als die (5) letters willekeurig door een lang standaardpassword gemixt worden is het aantal combinaties nog veel groter. Bijvoorbeeld: de vijf letter zijn c,o,l,b,e en die worden door gemixt door TweakerIsCool -> cTweoakelrsIbCoeol.

Je kunt hier wel misbruik van maken als je van 1 user meerdere gemixte wachtwoorden hebt. Je kunt dan het standaarddeel gemakkelijk(er) achterhalen. Het aantal manier om 5 letters door het standaarddeel te mixen is nog steeds enorm.

Samenvattend. Als het al bestaat, denk ik dat deze tool het niet veel eenvoudiger maakt.

thesinsher @ultimasnake • 18 januari 2020 13:49

Of als je Google Chrome op de PC gebruikt of een Android telefoon heeft dan geeft het apparaat een wachtwoord (zeer complex) aan dat door het systeem is gegenereerd. Daar klik je vervolgens op en dat wachtwoord wordt dan automatisch bij alle apparaten dat je hebt gesynchroniseerd opgeslagen. Of dit ook geldt voor Mac/iOS weet ik niet.

Dan heb je altijd een ander wachtwoord voor elk account dat je hebt en je hoeft er ook niet voor over na te denken!

rjtuijnman @kodak • 18 januari 2020 16:15

Ik ben het voor een groot deel met je eens. Met Gamebuster ben ik het eens dat je voor de Duvel en zijn ouwe moer een account moet aanmaken waarin persoonsgegevens moeten worden ingevuld en dat je op een gegeven moment wel een keer door je geheugen heen bent waar het het onthouden van inlognamen en wachtwoorden betreft. Natuurlijk wéét iedereen dat het niet slim is om overal hetzelfde wachtwoord te gebruiken, maar ik moet bekennen dat ik gemakshalve ook wel eens een wachtwoordje 'in de herhaling gooi'.
Daarbij botsen wettelijke regelgeving en AVG regelmatig. Sites waar je je geboortedatum moet opgeven terwijl dat helemaal niet noodzakelijk is verder voor het onderhavige account.
Zeker als we bedenken dat de meeste instanties aan de telefoon je identiteit denken te kunnen controleren door even naar je geboortedatum te vragen. Als ik een willekeurige naam heb, dan heb ik daar binnen vijf minuten googelen een geboortedatum bij...

ToolBee @Gamebuster • 17 januari 2020 21:05

Wat wil je dan? 1 sleutel voor alles? Da's nog gevaarlijker!

HellFury @ToolBee • 17 januari 2020 21:15

Ik wil een random sub-emaildienst van bijv. gmail zoals apple het sinds iOS13 (kan) doen: een emailadres dat je aan kunt maken voor elke dienst, zodat je een emailadres kunt weggooien als het gehackt is. Lijkt me een dienst die google al in ontwikkeling moet hebben.

[Reactie gewijzigd door HellFury op 23 juli 2024 07:14]

Accretion @HellFury • 17 januari 2020 21:39

Bij hotmail/live/outlook kan dit ook.

Je kan bijvoorbeeld emailadres+blokker@live.com en dan natuurlijk een uniek password in een password manager genereren.

En voor een andere service bijvoorbeeld emailadres+hema.nl

Als je dan spam ontvangt, weet je welk account gelekt is maar kunnen ze verder niets met het password (behalve de service zelf).

Het ergste is wanneer sommige sites dit niet accepteren als mailadres of wanneer een 32-charactee hash niet mag vanwege lengte of gebruik van symbolen.

Holland1994 @Accretion • 17 januari 2020 22:13

Die + methode is niet echt meer aan te raden, want sommige websites kunnen daar niet mee omgaan. Zelfs hele grote spelers hebben het zo amateuristisch opgezet dat je dan wel met 12345+6789@gmail.com kunt registreren. Daarna kan je na de 1x niet meer inloggen, omdat het systeem het niet accepteert. Dus dan moet je elke keer je wachtwoord veranderen.

Accretion @Holland1994 • 17 januari 2020 22:37

Vaak moet je je mailadres bevestigen, als die mail niet komt, maak je gewoon een nieuwe met een ander adres?

Het klopt wel dat uit het adres met een +, je hoofd adres makkelijk te herleiden is, dus het maar minimaal effect heeft.

Franckey @Holland1994 • 18 januari 2020 00:16

Ja, daar heb ik ervaring mee... als je bij de Gamma/Karwei je e-mailadres aanpast naar een adres met een plusteken gaat het helemaal fout... dan heb je hun helpdesk nodig om het weer goed te krijgen.. en een paar weken later deed ik het opnieuw...

Ik stuur alle websites waarbij het niet werkt een mailtje met het verzoek de e-mailadres validatie aan te passen, ik hoop dat dat helpt.

Overigens gaat dit bij de meeste websites prima, dus dan is het wel een goede methode om eenvoudig spam te herkennen. Als ik bijv. zogenaamd een mail van de bank krijg op mijnnaam+webshop dan weet ik dat het spam is en dat die webshop een lek heeft.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Datalek

@Holland1994 • 18 januari 2020 14:58

Die + methode is niet echt meer aan te raden, want sommige websites kunnen daar niet mee omgaan. Zelfs hele grote spelers hebben het zo amateuristisch opgezet dat je dan wel met 12345+6789@gmail.com kunt registreren. Daarna kan je na de 1x niet meer inloggen, omdat het systeem het niet accepteert. Dus dan moet je elke keer je wachtwoord veranderen.

Ik heb mijn mailserver geconfigureerd om een '-' in plaats van '+' (streepje in plaats van plus). Dat werkt altijd, ik heb er nog nooit een probleem mee gehad.

scriptician @Holland1994 • 18 januari 2020 18:48

Nog een alternatief is Leemail: https://leemail.me

Ik gebruik het al jaren en ben er zeer tevreden over. Per site een e-mailadres genereren dat leesbaar is (met je gebruikersnaam) of anoniem (minder leesbaar), en uit te zetten als je wilt. Alle mail wordt doorgestuurd naar een door jou ingesteld adres.

En het leuke is dat je op mails die binnenkomen via een leemail kunt reageren en je echte e-mailadres verborgen kunt houden.

thomas.tnc @Accretion • 17 januari 2020 22:09

Alsnog kan je uit dit e-mailadres herleiden wat het originele e-mailadres is. Als voorbeeld wat Apple dus nu heeft is dat je echt een compleet willekeurige e-mailadres kan laten genereren waarmee je dus niet meer het originele e-mailadres kan herleiden.

CaptJackSparrow @thomas.tnc • 17 januari 2020 22:20

Dat je e-mailadres de helft is van je login credentials van een account is eigenlijk al vreselijk onveilig en domweg een hele foute gewoonte die er is ingeslopen als zijnde 'normaal'. Je kunt ook een login-naam en password kiezen die niets met je e-mailadres te maken hebben en die je voor elk account anders kunt kiezen. Omdat mensen gewoonlijk hetzelfde e-mailadres gebruiken voor accounts geef je aan iedereen die dat e-mailadres kent al de helft van je login credentials weg die je overal gebruikt wat het aanzienlijk makkelijker maakt om accounts te 'kraken'.

Vreselijk onveilige gewoonte. Eigenlijk zouden we daar massaal vanaf moeten stappen. Maar ja... gewoontes hè. Die krijg je er niet zo makkelijk uit.

Accretion @CaptJackSparrow • 17 januari 2020 22:36

Dat je e-mailadres de helft is van je login credentials van een account is eigenlijk al vreselijk onveilig.

Je e-mail of username is niet je wachtwoord.
Je kan voor elke website een andere username gebruiken, dit helpt iets in privacy, zodat je niet tussen verschillende websites gelinkt kan worden.

Maar, je kan een unieke username nemen van 10 karakters lang, en een uniek wachtwoord van 10 karakters lang.

Maar dat is niet (kraak) veiliger dan een username die overal hetzelfde is, en een uniek wachtwoord van 20 karakters.

De eerste optie geeft ook wat schijnveiligheid, aangezien jou username gewoon zichtbaar is tijdens het intypen (of simpelweg als account aan).

Kortom, je username is niet je wachtwoord, je moet het ook niet zien als een alternatief voor een goed wachtwoord.
Je kan wel unieke usernames gebruiken voor privacy en/of unieke e-mailadressen tegen spam.

mrmrmr @Accretion • 18 januari 2020 01:27

Het is onveilig omdat je van provider wisselt en de kans bestaat dat iemand anders alle mail bestemd voor jou ontvangt. Die nieuwe mailontvanger weet dan dat je account hebt, kent de accountnaam en kan het wachtwoord er op wijzigen.

Buiten dat is het ook geen goed idee iets dat aan verandering onderhevig, zoals een email adres, te gebruiken als gebruikersnaam.

jeroen79 @mrmrmr • 18 januari 2020 10:45

Dan zou je geen email van je provider moeten nemen.
Dat is niet alleen een probleem met accounts maar je moet ook al je contacten informeren als je overstapt naar een andere provider.

comecme @mrmrmr • 18 januari 2020 11:55

Bij een zelf te kiezen loginnaam hou je toch dat je eigenlijk altijd ook een emailadres moet invullen.

Als je dan verhuist van provider hou je het probleem dat jij benoemd. De accountnaam staat dan wel niet in mailtjes, maar meestal kun je kiezen voor "loginnaam vergeten" waarna je het emailadres invult en de accountnaam in een mail ontvangt.

Lukse @Accretion • 17 januari 2020 21:53

Volgens mij hebben spammers geleerd om alles vanaf de + weg te halen uit email adressen.
Ik heb dit nl verschillende jaren gedaan, bij elke account een + erachter en een unieke value per dienst, maar op geen enkele van die adressen is ooit spam binnen gekomen.

Accretion @Lukse • 17 januari 2020 22:03

Fair point, met datalekken komt het wel eens voor dat het unieke adres er in terug te vinden is.

Bij spam werkt het inderdaad niet altijd, maar elke keer dat het werkt is een reden om het wel te doen?

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@Accretion • 18 januari 2020 06:54

Tsjah, maar spambots weten dat vandaag ook. Die strippen vanaf het + teken tot aan de @ alles weer weg.

Lazerballz @Accretion • 18 januari 2020 10:23

Met meerdere mail adressen werken is een optie (incl mailbox), 1 voor gewone communicatie, 1 of meerdere voor spam gerelateerde communicatie.

Hoe ik het voor mezelf heb opgelost is als volgt:

1 Domein aangevraagd ( voorbeeld: lazerballz.nl) en een catchall adres er op gezet.

ik kan dan nu een account aanmaken met tweakers@lazerballz.n bij Tweakers.
Er hangt geen mailbox aan tweakers@lazerballz.nl maar omdat ik er een catchall adres op heb zitten wordt deze geforward naar een ander email adres.
(Je kunt hem ook naar een specifiek adres toe forwarden)

Vanuit de echte mailbox kan ik dan filteren op het To: tweakers@lazerballz.nl veld.
Natuurlijk kan nu een spammer mails versturen naar allesvoorhetapenstaartje@lazerballz.nl maar ook hier kun je weer op filteren.

Het enige nadeel is is dat je niet namens tweakers@lazerballz.nl kunt mailen, omdat er dus geen mailbox aan hangt.

Ik heb zelf hier nog nooit problemen mee gehad als ik bijvoorbeeld en klantenservice moest benaderen.
Mijn Paypal mail is anders dan mijn registratie mail maar omdat je vaak een code mee krijgt bij je klacht/vraag en je naam over het algemeen toch wel klopt is dit vaak geen probleem.

Een NL domeintje kost ~12 euro/jaar dus dat zijn nou ook weer niet de kosten.
Op mijn echte mail adres zit dan weer een wachtwoord van 15+ karakters en 2FA/MFA.

Wat ik zelf hoop te zien in de toekomst is dat inlog services werken zoals die van AWS.
2FA moet uiteraard wel aan staan.

Hierbij is het zo dat je pas weet of je wachtwoord goed of fout is na de 2FA.
Dus stap 1 = login (melding als die fout is of niet bestaat)
stap 2 = wachtwoord (geen melding goed/fout)
stap 3 = 2FA (melding goed/fout)

Als je wachtwoord niet klopt, keer je terug naar het login scherm.
Hier door is het best lastig wachtwoorden te raden/proberen.

webhalla @Lazerballz • 19 januari 2020 11:12

Xs4all webmail ondersteund identities. Daarmee kun je gewoon vanuit je eigen mailbox met een ander "adres" mailen. De ontvanger ziet dan ook mail afkomstig van je @lazerballz.nl domein en zal daar naar replyen. De catch all op je domein zorgt weer voor de forwarding naar je mailbox bij xs4all. Wel zorgen dat xs4all in de SPF staat anders wordt jouw lazerballz.nl als spamdomein aangezien.

Zou dit ook nog kunnen bij KPN?

harrytasker @Accretion • 18 januari 2020 00:08

Zoals je al aangeeft, dit werkt helaas op heel veel sites niet.

HellFury @Accretion • 20 januari 2020 11:42

Probleem hiermee is dat mijn emailadres (HEEL simpel) te achterhalen is! Ik zou een dienst willen die willekeurige adressen aanmaakt zodat ik deze kan deleten als een service gehackt wordt of ik spam ontvang van die dienst. Ik wil de controle hebben over wie mijn data heeft en wat zij er mee kunnen. Zodra ik een dergelijk adres verwijder, is het per direct nutteloos.

[Reactie gewijzigd door HellFury op 23 juli 2024 07:14]

SED @HellFury • 17 januari 2020 21:45

Als je eens begint met een wachtwoord aan te maken voor elke site dan helpt dat al voldoende.
Mogelijk dat je mailadres een keer lekt. Maar daar is met spamfiltering en blacklisting voldoende aan te doen.
Ik heb naast een basis wachtwoord voor elke site een logica in het wachtwoord (deel wwwnaamplus code) waaraan ik meteen bij een lek kan herkennen van welke site dat kwam.

Zer0 @SED • 17 januari 2020 21:51

Ik heb naast een basis wachtwoord voor elke site een logica in het wachtwoord

Waarmee je het alleen maar makkelijker maakt je andere wachtwoorden te achterhalen....

SED @Zer0 • 17 januari 2020 21:53

Nee, dat is wat te simplistich. Maar dan "verklap" ik de logica

Een hacker moet heel wat meer weten om die logica te achterhalen en bij een datalek waarbij accounts lekken is dat niet zinvol om te doen.
Voor heel serieuze accounts gebruik ik weer een andere logica..

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@SED • 18 januari 2020 06:56

Maar waarom zou je logica willen gebruiken in plaats van totaal willekeurige wachtwoorden? Ofwel is de logica relatief eenvoudig en dus zwak, ofwel moet je telkens zelf tijd gaan steken in het samenstellen van je wachtwoord. Wachtwoordmanager en lange, willekeurige wachtwoorden. Zeer eenvoudig en snel.

SED @Blokker_1999 • 18 januari 2020 12:13

De start is een erg moeilijk wachtwoord aangevuld met een logica gekoppeld aan domein of activiteit. Dat maakt dat ik overal ook zonder KeePass of lastpass op een veilige wijze bij bepaalde sites kan. Alle serieuze sites hebben two way, voor zover ze dit ondersteunen. Dan kan ik er uiteraard niet altijd bij.

sypie @SED • 17 januari 2020 22:04

In plaats van 123blokker is je wachtwoord nu 123cmpllfs?

SED @sypie • 17 januari 2020 22:11

welkom02 natuurlijk, brengt ze in verwarring. Ze verwachten welkom01

Cis @sypie • 17 januari 2020 22:11

Nice! Caesars Cipher!
Net zoals Exchange 2007: FYDIBOHF23SPDLT

HellFury @SED • 20 januari 2020 11:45

ik WIL helemaal geen spamfilters of blacklisting! Ik wil GEEN spam. Ik wil de controle hebben over wie mijn data heeft en wat zij er mee kunnen doen, gegeven de data die ze van me hebben. Gaan zij er onzorgvuldig mee om, dan wil ik de mogelijkheid hebben om ze die data te ontnemen.

Een basiswachtwoord klinkt als een goed idee, maar een onkraakbaar, random wachtwoord met een goede ww-manager of als onderdeel van een 2-factor auth blijft het beste.

SED @HellFury • 20 januari 2020 17:30

Niemand wil spam.

Daar is dat filter dan ook voor. Soms komt je mailadres ongewenst ergens terecht. Al was het maar die domme collega die gaat trouwen en iedereen van het bedrijf in cc zet.

HellFury @SED • 20 januari 2020 20:49

Stel nou he... Gewoon gedachtenexperiment, denk ff met me mee: random sub-emailadressen...

SED @HellFury • 20 januari 2020 21:08

Daarvoor heb ik op outlook.com al een aantal aliasses die ik verwijder bij "misbruik" en weer een nieuwe aanmaak.
Met een filter komt het netjes in zijn eigen mapje.

Rupie @HellFury • 17 januari 2020 21:47

In principe kan je dit toch ook bereiken door overal te registreren met behulp van het + teken als je een gmail hebt? Als jij ietsvaneenadres@gmail.com hebt kan je bij bv blokker registreren met ietsvaneenadres+blokker<datum>@gmail.com (als blokker het + teken accepteert als valide karakter, dat wil nog wel eens een probleem zijn helaas). Als je dan bij elke registratie iets anders achter de + zet heb je ook nergens dezelfde login. En als je die dan ook nog uniek maakt met iets van een datum heb je eigenlijk hetzelfde bereikt toch?

[Reactie gewijzigd door Rupie op 23 juli 2024 07:14]

ajolla @Rupie • 18 januari 2020 04:20

Als je gmail gebruikt geef je al niets om privacy. Waarom dan nog moeilijk lopen doen?
Neem een eigen domein en laat alles wat je niet als vast emailadres op je server instelt doorsluizen naar webmaster.
Mail aan ajolla_hema.nl@ajollasdomein.nl komt dan automatisch daar aan en als ajolla@ajollasdomein.nl maar niet je persoonlijk adres is én je voor ieder dergelijk adres een uniek wachtwoord genereert kan je weinig gebeuren.

thesinsher @ajolla • 18 januari 2020 13:56

Privacy? Het gaat om datalekken waar anderen kwaadaardige dingen mee kunnen doen. Volgens mijn bronnen heeft gmail geen last van datalekken gehad. Daarmee is gmail dus veilig. Dat scheelt, maar als privacy een hoge prioriteit heeft, dan valt gmail waarschijnlijk af.

HellFury @Rupie • 20 januari 2020 11:48

Sando @HellFury • 18 januari 2020 00:07

Voor meukaccounts kan je gebruik maken van 10minutemail.com.

ajolla @Sando • 18 januari 2020 04:20

Of mailinator.com.

HenkEisDS @Sando • 18 januari 2020 13:28

Alleen zijn die domeinen vaak in een blacklist opgenomen en worden dus geblokkeerd. Net als dat veel zakelijke providers gmail en yahoo blokkeren omdat ze liever je zakelijke email willen hebben.

HellFury @Sando • 20 januari 2020 11:49

dan heb ik een probleem 10 minuten later als ik ooit nog iets wil doen met dat account. Ik zou een dienst willen die willekeurige adressen aanmaakt die op de achtergrond forwarden naar mijn account, zodat ik deze kan deleten als een service gehackt wordt of ik spam ontvang van die dienst. Ik wil de controle hebben over wie mijn data heeft en wat zij er mee kunnen. Zodra ik een dergelijk adres verwijder, is het per direct nutteloos.

memphis @ToolBee • 17 januari 2020 21:40

Geen benodigde account om een online winkel volledig in te zien en bestellingen te kunnen plaatsen, of zeg ik nu iets geks?

ToolBee @memphis • 17 januari 2020 21:58

Het bestaatwel! Heel soms heeft een winkel, vaak eentje die er een website bij heeft, de mogelijkheid alleen een bestelformulier in te vullen en verder klaar.

Zeldzaam, dat wel.

theobril @ToolBee • 17 januari 2020 23:14

En ik ben iedere keer weer blij verrast dat het kan. Wel mooi, soms zijn het ook onderkant-van-de-markt-entrepreneurs. Zij willen geld en jij wil dingen en accounts aanmaken is voor hen ook de moeite niet.

ToolBee @theobril • 18 januari 2020 00:04

En daar zijn de prijzen dan ook vaak naar. Vandaar dat ik ze weet te vinden.

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@ToolBee • 18 januari 2020 06:58

Maar dan heb je alsnog een database erachter vol met persoonsgegevens die gehacked kan worden. Het enige verschil is dat er geen kolom met wachtwoorden meer is. Maar een goede website heeft in die kolom correct gehashte wachtwoorden staan die je niet kunt achterhalen.

AlexKnight1978 @memphis • 18 januari 2020 03:55

Dat, en dat winkels altijd de mogelijkheid geven om je account te verwijderen, want dat is bij veel winkels ook een probleem. Die optie bestaat dan gewoon niet op de site. Dat is bij Blokker dus ook zo.

Ze hebben daar gegarandeerd een heleboel accounts die al jaren niet meer gebruikt worden, maar als de gegevens gelekt worden, eventueel wel naar personen zijn terug te leiden.

jeroen79 @AlexKnight1978 • 18 januari 2020 10:59

Dat vraagt er om dat iemand een keer een grote AVG-actie organiseert waarbij een groot aantal mensen tegelijkertijd met de AVG in de hand vraagt of hun gegevens verwijderd kunnen worden.

tehip @jeroen79 • 22 januari 2020 12:39

Een tijdje geleden heb ik dit verzoek (verwijder mijn account en alle gegevens) neergelegd bij Blokker. Hier werd serieus op gereageerd en ik heb ook netjes bevestiging gekregen dat ze aan mijn verzoek hebben voldaan. Nu hopen dat ze écht gedaan hebben wat ze hebben gezegd.

psychodude @ToolBee • 17 januari 2020 21:53

Alternatieven als OAuth zijn natuurlijk te overwegen. Je loopt natuurlijk een risico dat op een moment dat een partij als Google gecompromitteerd wordt en je al je accounts gelinkt hebt aan je Google account, kwaadwillenden weer toegang hebben tot alles. Maar de kans dat dit gebeurd is toch te beschouwen als kleiner dan de kans dat jouw account gegevens lekken van een wat meer middelmatig bedrijf.

Natuurlijk kan een website dan alsnog gehacked worden, jouw data bloot komen te liggen. Maar in ieder geval zal er dan geen wachtwoord mee verloren gaan. De website in kwestie heeft dan namelijk geen plain text wachtwoord, geen encrypted wachtwoord, geen wachtwoord hash, niets. Je authentication is dan bijvoorbeeld via Google verlopen. Het enige dat de website te weten krijgt is met welk Google account er een succesvolle authenticatie heeft plaatsgevonden.

En qua safety is dit uiteraard vergelijkbaar met de safety van cloud based password managers.

Natuurlijk zijn offline password managers de meest veilige optie. Maar bij gebruik op meerdere werkplekken, desktops, laptops, tablets, smartphones... is een offline password manager moment toch vrij onwerkbaar in praktische zin. Ja, er zijn opties beschikbaar zoals bijv. Mooltipass. Maar echt lekker werkt het toch niet zodra je even in de trein staat, wilt inloggen en vervolgens een USB dongle aan je smartphone kunt hangen.

CH4OS

Datalek
Beveiliging en antivirus

@psychodude • 17 januari 2020 23:38

OAuth is geen oplossing voor dit soort zaken; als dan de OAuth provider gehacked is, kunnen ze opeens op meer sites inloggen met dezelfde gegevens.

kozue @psychodude • 18 januari 2020 09:44

Mja, moet je wel aan een partij als Google vast willen zitten. Hoe meer je aan zo’n bedrijf koppelt, hoe lastiger het is om er vanaf te komen als je het met ze gehad hebt. Zie bv de grote kudde die z’n Facebook niet op kan doeken omdat ze anders logins op andere sites verliezen.

Anoniem: 100047 @ToolBee • 17 januari 2020 23:28

Kopen zonder registratie?

ToolBee @Anoniem: 100047 • 18 januari 2020 00:06

Je hebt hem door. Maar begrijpelijk dat je het nog niet ervaren hebt.
Het vergt vaak specialistisch zoekwerk/noodzaak.

Vaak iets met vieze vingers en geen smartphone.

Anoniem: 100047 @ToolBee • 18 januari 2020 09:21

Als ik je goed begrijp bedoel je dat je fysiek de winkels afgaat. Maar dat bedoel ik niet. Er zijn gelukkig nog webshops die geen registratie nodig hebben, je kunt kopen als gast.

ToolBee @Anoniem: 100047 • 18 januari 2020 17:07

Dat begrijp je inderdaad niet goed.

Er zijn echt webwinkels die geen account nodig hebben.
Gewoon bestellen, klaar.

erwinwernars @ToolBee • 18 januari 2020 01:29

dat doen we eigenlijk al met de apps zoals lastpass en bitwarden.

kozue @ToolBee • 18 januari 2020 09:42

Wat ik wil? Geen account natuurlijk! Waarom zou ik een Blokker-account willen hebben, of van wat voor winkel dan ook? Ik ben al vaker weg gegaan toen ik een account aan moest maken. Geen enkele winkel is echt zo uniek dat je echt geen andere optie hebt.

thesinsher @ToolBee • 18 januari 2020 14:02

Als het uitsluitend om veiligheid gaat (en dus niet om privacy) vertrouw ik Google blindelings meer dan wanneer ik alles zelf in de hand neem met een eigen server op zetten en beveiligen...

niki_lauda @Gamebuster • 17 januari 2020 22:11

Nou ik merk juist steeds meer dat je bij veel webwinkels geen account meer hoeft aan te make. Maar soms moet wel goed lezen en vinkjes uitzetten.

Nyarlathotep @Gamebuster • 17 januari 2020 22:48

Je hoeft niet overal een account voor aan te maken.

Gegevens worden doorgaans niet gelekt. Gegevens worden ontvreemd d.m.v. hacks.

Wat wil je dat er gebeurt?

Sorry dat ik dit zo zeg, maar je klinkt nogal als een onwetende burger. De beveiliging van jouw gegevens heb je nog altijd grotendeels in eigen hand.
Bang voor online lekkage? Verklein jouw online footprint. Of zeg je internet verbinding op.
Of... Ga bewust om met jouw gegevens. Wat wil je online zetten? Hoe ga je om met beveiliging? Helaas is het 'zorgeloos online zijn' al lang geen vanzelfsprekendheid meer. Er komt gezond verstand en enige vorm van voorzichtigheid aan te pas. Helaas.

Frappuccino @Gamebuster • 17 januari 2020 22:49

Ik snap ook niet wat er mis is met online aankoop zonder registratie.
Het kan helaas heel weining.

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@Frappuccino • 18 januari 2020 07:02

Maar wat is de meerwaarde? Dat je wachtwoord niet wordt opgeslagen? Want dat is uiteindelijk het enige verschil. Maar als een websitebouwer een beetje zijn/haar best doet kunnen ze die wachtwoorden evengoed veilig hashen en opslaan. En dan heb jij wel de mogelijkheid om op eenvoudige wijze je bestelgeschiedenis in te zien of after-sales problemen aan te kaarten.

CH4OS

Datalek
Beveiliging en antivirus

@Gamebuster • 17 januari 2020 21:09

Je moet tegenwoordig overal een account voor aanmaken, en ze worden massaal gelekt incl gerelateerde data.

Daarom worden password managers steeds belangrijker. De kans dat je dan een wachtwoord voor meerdere sites hebt, is veel kleiner. Het lost het probleem niet op, maar minimaliseert de impact wel voor de getroffenen.

Wanneer gaat hier iets mee gedaan worden?

Wat moet er nog meer gedaan worden dan? De GDPR is al vrij streng wat dat betreft.

Sergelwd @CH4OS • 17 januari 2020 21:47

Ik heb anders nog nooit een verantwoordelijke veroordeeld zien worden....
Als je zo nodig allerlei onnodige gegevens wil vergaren zorg dan op zijn minst dat je ze goed beveiligd, dit soort foutjes mogen van mij gewoon flink bestrafd worden met gevangenis-straffen van rond de 10jaar.

[Reactie gewijzigd door Sergelwd op 23 juli 2024 07:14]

CH4OS

Datalek
Beveiliging en antivirus

@Sergelwd • 17 januari 2020 21:49

De Authoriteit Persoonsgegevens is waar de lek-meldingen binnen komen, die beoordeelt vervolgens o.a. of er sprake is van nalatigheid van het bedrijf en kan dan eventueel (hoge) boetes opleggen. Veroordelingen hiervoor zul je dus nooit gaan zien, het is geen strafbaar feit.

[Reactie gewijzigd door CH4OS op 23 juli 2024 07:14]

Sergelwd @CH4OS • 17 januari 2020 22:00

Dat zou het m.i. wel moeten zijn aangezien ze anderen schade toebrengen.

CH4OS

Datalek
Beveiliging en antivirus

@Sergelwd • 17 januari 2020 22:41

Je weet alleen niet of de schade bewust is toegebracht of niet. Ik denk dat de Blokker hier niet om gevraagd heeft.

Sergelwd @CH4OS • 17 januari 2020 22:53

Dat zeg ik ook niet...
Maar het zou op zijn minst een punt moeten zijn om over na te denken voordat je aan de collectie begint, met de verantwoordelijkheden en gevolgen die daarbij zouden moeten horen.

Anoniem: 669783 @CH4OS • 18 januari 2020 09:19

Totdat deze diensten weer gecompromitteerd worden. Hoewel dit soort services natuurlijk de nadruk zullen leggen op betere beveiliging vind ik het alsnog prettiger zelfs mijn passwords te beheren. Ik had laatst een login op mijn Uplay account vanuit Mexico, en ik gebruik een flinke lijst wachtwoorden met complexe tekens. Je moet echt blijven opletten tegenwoordig.

[Reactie gewijzigd door Anoniem: 669783 op 23 juli 2024 07:14]

Bender @Gamebuster • 18 januari 2020 11:02

Je bent niet verplicht iets te kopen.

Gamebuster @Bender • 18 januari 2020 12:58

Wat een bullshit.

Ik heb recent zonnepanelen aangevraagd. Weet je hoeveel accounts je nodig hebt om die op het dak te krijgen?

- Bedrijf van de zonnepanelen
- Gemeente
- SVN
- Liander
- mijnaansluiting.nl
- internet bankieren account bij je bank om te betalen
- mail account om contact met ze op te nemen
- account bij je telefoonmaatschappij om je simkaart/abonnement te beheren waarop ze je bellen
- microsoft account of apple id voor de computer die je gebruikt om het aan te vragen

Het is niet alsof je een winkel kan binnenkomen, 1000en euros cash kan geven, en daarna dat een paar mannetjes je dak op klimmen om ze neer te leggen. Je moet door een hele mangel heen om ze aan te vragen en voor ieder ding heb je accounts nodig.

Deze situatie is volledig doorgeslagen; slaat nergens meer op.

[Reactie gewijzigd door Gamebuster op 23 juli 2024 07:14]

Bender @Gamebuster • 19 januari 2020 12:10

Volgens mij is een deel daarvan om gratis geld (subsidie) te krijgen en stroom te verkopen.. lijkt mij eigen bewuste keuze.

monojack @Gamebuster • 18 januari 2020 12:21

Vandaar dat ik blij ben dat ik overal Apple Pay zie opduiken. Gedaan met accounts aanmaken. Eén manier van betalen overal. Momenteel zijn er teveel mensen bezig met het verzamelen van gevoelige data zonder dat ze eigenlijk beseffen waar ze mee bezig zijn.

Jan heeft een idee, zet een webshop maar heeft nog nooit van beveiliging gehoord. Bij Blokker zullen ze al wel wat beter beseffen waar ze mee bezig zijn. Maar Blokker heeft geen afdeling die zich enkel bezig houdt met het beveiligen van data. Als ik al zie hoeveel mails ik vorig jaar kreeg van bedrijven, die geacht worden toch echt wel aandacht besteden aan data beveiliging, om te melden dat mijn gebruikersgegevens waren gestolen dan kan je je voorstellen dat je een bedrijf als Blokker niet kan vertrouwen met je gegevens.

Als je dan kijkt bij hoeveel bedrijven je iets bestelt waar je nog nooit van gehoord hebt dan kan weet je dat je gegevens ooit ergens terecht komen. Daarom vind ik Apple Pay zo handig. Je vindt heel wat kleine ondernemers op het internet die goed zijn in wat ze doen maar qua webgebeuren nooit up to date kunnen blijven. Helemaal geen account meer nodig of gegevens moeten ingeven in een database die gemakkelijk te hacken is.

soccerroos @Gamebuster • 18 januari 2020 19:58

Verplichten van 2 staps verificatie is dat geen goede oplossing?

Gamebuster @soccerroos • 18 januari 2020 20:24

Is een hulpmiddel maar lost het probleem niet op: Overal accounts voor nodig hebben.

darknessblade 17 januari 2020 21:42

Wel slecht van blokker dat ze niet alle klanten benaderen, heb zelf wel een account maar geen mail gehad.

ze kunnen beter alle klanten benaderen, omdat er anders een bepaald precentage van de getroffen klanten niet benaderd is.

kodak

Datalek
Beveiliging en antivirus
Privacy

@darknessblade • 18 januari 2020 00:01

Zoals ik het bericht van het bedrijf lees staat er nergens dat er een groot datalek bij het bedrijf zelf is geweest behalve dat gegevens van bepaalde accounts zijn gelekt omdat daarin wel succesvol is ingebroken. Inbraak in accounts komt wel vaker voor, dan gaat een bedrijf zoals webshop of internetprovider echt niet elke keer ook alle andere duizenden klanten informeren. Natuurlijk kan dat informeren handig zijn om extra bewustzijn te creëren, maar dat lijkt me niet de taak van een bedrijf en je kan je ook afvragen wat het voor meerwaarde heeft. Andere kleinschalige diefstallen gebeuren ook dagelijks en dat hoor je ook niet iedere keer. Het lijkt me wat anders als het grootschalig is waar andere klanten ook bij getroffen dreigen te worden of als er daadwerkelijk een groot datalek is bij het bedrijf zelf.

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@darknessblade • 18 januari 2020 07:07

Zoals ik het bericht lees hebben ze alle klanten benaderd waarvan iemand de inloggegevens succesvol heeft misbruikt. Vermoedelijk enorm veel inlogpogingen met heel veel mislukte vanuit 1 en hetzelfde IP adres. En alle succesvolle van dat IP adres hebben de mail gekregen.

kanem0chi 17 januari 2020 21:00

@TijsZonderH misschien toch maar het linkje weghalen en een screenshot van de mail plaatsen? Want via de UTM tags uit de email kan ik de email van de submitter zien

[Reactie gewijzigd door kanem0chi op 23 juli 2024 07:14]

Auteur

TijsZonderH Nieuwscoördinator @kanem0chi • 17 januari 2020 21:01

Oh is dat echt zo? Goeie tip dan, thanks!

0xygen500 @TijsZonderH • 17 januari 2020 21:06

Datalekje?

alex3305 @kanem0chi • 17 januari 2020 21:19

Goed gevonden. Een beetje off-topic, maar ben wel benieuwd waar je het hebt gevonden. In de (broncode) van de mail of pagina kon ik het in ieder geval niet terughalen.

kanem0chi @alex3305 • 17 januari 2020 21:35

Zat in de UTM tags. Dus alles komt ook nog een keer in de GA terecht. Heb @TijsZonderH al wat meer uitgelegd, want een professionele e-mail marketeer zou dit nooit doen vanwege te hoge AVG risico's.

ro8in @kanem0chi • 18 januari 2020 00:31

Zat het email adres als utm tag erbij? Want ik vraag mij af hoe je anders het adres kon achterhalen zonder toegang tot matching systemen?

kanem0chi @ro8in • 18 januari 2020 10:27

E-mail zat in de UTM tags yes

ro8in @kanem0chi • 18 januari 2020 22:13

Oke lekker handig haha.

lighting_ 17 januari 2020 22:50

Je moet voor elk website een ander wachtwoord verzinnen. Sommigen zijn daar laks in.

Franckey @lighting_ • 18 januari 2020 00:21

Je moet voor elk website een ander wachtwoord verzinnen. Sommigen zijn daar laks in.

Daar zijn genoeg tools voor, dan hoef je niets te verzinnen. En als ik geen tool bij de hand heb, dan rammel ik wat op het toetsenbord op een tijdelijke OneNote pagina en plak ik dat op de plek van het password.

Mangu429 @Franckey • 18 januari 2020 08:27

[...]

Daar zijn genoeg tools voor, dan hoef je niets te verzinnen. En als ik geen tool bij de hand heb, dan rammel ik wat op het toetsenbord op een tijdelijke OneNote pagina en plak ik dat op de plek van het password.

En dan gooi je je tijdelijke document weg en onthoudt voortaan dat wachtwoord?

Tom 17 januari 2020 21:03

Het bedrijf raadt klanten aan een uniek en sterk wachtwoord te verzinnen

Wat aardig altijd, zo’n gratis advies van de communicatieafdeling. Vandaag nog even gekeken hoevaak mijn e-mailadres in haveibeenpwned voorkomt. Het is gewoon treurig eigenlijk.

Accretion @Tom • 17 januari 2020 21:42

[...]
Het bedrijf raadt klanten aan een uniek en sterk wachtwoord te verzinnen

De klant raadt het bedrijf aan om hun beveiliging op orde te hebben, voordat ze slim gaan doen met hun advies.

kodak

Datalek
Beveiliging en antivirus
Privacy

@Accretion • 17 januari 2020 23:28

Wat weet jij meer dan dat het bedrijf schrijft dat je met de wijsheid komt dat je kritiek op het bedrijf hebt?

Er staat dat het bedrijf opgemerkt heeft dat er pogingen waren om op diverse accounts in te loggen en dat in een aantal gevallen ook gelukt is, wat ze aanmerken als een inbraak in die accounts. Blijkbaar heeft het bedrijf controle op opvallende inlogpogingen en hebben ze daardoor kunnen voorkomen dat er vervelende zaken met de accounts zouden gebeuren nadat er op was ingebroken. En ze hebben de klanten geïnformeerd en melding gemaakt bij de toezichthouder. Er staat nergens dat de accountgegevens bij het bedrijf gelekt zouden zijn.

Blokker_1999

Datalek
Beveiliging en antivirus
Privacy

@Accretion • 18 januari 2020 07:03

Als ik die mail lees dan denk ik dat ze hun beveiliging wel degelijk op orde hebben. Enkele weken terug hebben we het hier op deze site ook gezien: gekaapte accounts op v&a doordat gebruikers logingegevens hergebruiken op meerdere sites. Dat lijkt hier ook van toepassing te zijn.

BeunPC @Tom • 17 januari 2020 21:18

Mijn emailadressen komen gelukkig maar een één keer voor daar.

Fijinees @BeunPC • 17 januari 2020 23:17

Van al mijn email adressen komt er 1 heel vaak voor, maar dat is dan ook het adres dat ik voor de zooi gebruik, prima dus.

bartje 17 januari 2020 21:24

Er staat dat je moet bellen. Dan zou het maar om klein groepje mensen gaan denk ik. Als iedereen belt wordt het te druk.
Verder lijkt de mail ook wel een beetje op een fishing mail zelf vind ik. Je moet bellen. Kan niet online door via de site je e-mail adres te submitted en dan een activatielink ofzo.

david-v

18 januari 2020 00:22

Mijn bol.com account is van de week gehacked en ik moest er nogal wat moeite doen om de bestelde artikelen voor bijna 500 euro te annuleren. Toevallig (ja stom, ik weet het) zelfde email en ww als bij blokker... Het zal toch niet

keranoz

18 januari 2020 02:17

Misschien wel data uit WeLwakInfo

nieuws: Politie pakt Nederlander op bij offline halen WeLeakInfo.com

Wanneer is zoiets nu een datalek dan? Als ik ergens een set usernames en passwords koop en gewoon willekeurige sites langs ga met deze set (zoals hier het geval lijkt te zijn), is dat dan een datalek? Vanaf hoeveel accounts praat je er dan over

Vind het netjes van Blokker dat ze er zo mee om gaan, het lijkt erop alsof het immers helemaal niet Blokker's schuld is maar gewoon mensen die op een of andere website die gepwned is (check Have I Been Pwned?) hetzelfde wachtwoord en email hebben.

+ in je mail adres waar anderen het over hebben heb je ook niet zo veel aan. Als je je eigen email server hebt (zoals ik) kan je gewoon fatsoenlijke aliasen aanmaken. Wat ik doe is, voor elke website die een email adres nodig heeft, naar random.org/strings gaan, daar een 16 cijferige string met getallen en lowercase letters weghalen, dat als emailadres gebruiken met domein erachter, en een willekeurig wachtwoord. Zit je prima veilig denk ik als een site gehackt wordt. Als die alias op straat komt te liggen gooi je die alias gewoon weg, en je echt mail adres kunnen ze niet achter komen op die manier, en ook al kunnen ze dat technisch wel, die moeite nemen ze toch niet want dan ben je al geen target meer.

SinergyX 17 januari 2020 21:04

de combinatie van uw emailadres en wachtwoord, zoals gebruikt voor uw Blokker account, hoogstwaarschijnlijk bekend is bij derden en mogelijk buiten Blokker.nl onrechtmatig kan worden gebruikt.

Dit.hoort.niet.te.kunnen.

Elke correcte vorm van encryption en opslag hoort zelfs het lekken nog een aardige job daar ooit het wachtwoord uit te halen, maar de manier hoe ze dit schrijven heb ik dus niet het idee dat hier enige vorm van goeie encryptie op lijkt te zitten.

Ik heb nog geen mail gehad, heb wel een blokker account (wanneer komt de tijd van 'aanleveren, uitleveren en verwijderen van data' zoals je veel in US of Ebay ziet), we gaan het zien.

@JayPe Goed punt, zo had ik hem nog niet gelezen

[Reactie gewijzigd door SinergyX op 23 juli 2024 07:14]

JayPe @SinergyX • 17 januari 2020 21:09

Het kan ook zijn dat er met inloggegevens afkomstig van andere bronnen ís geprobeerd om in te loggen bij Blokker. Dus dat ze waarschuwen om je wachtwoord uniek te maken, vooral als je voor verschillende sites dezelfde emailadres en wachtwoord combinatie gebruikt.

( dus niet dat de combi gelekt ia vanuit blokker maar dat die credentials elders vandaan komen)

[Reactie gewijzigd door JayPe op 23 juli 2024 07:14]

CH4OS

Datalek
Beveiliging en antivirus

@SinergyX • 17 januari 2020 21:16

Dit.hoort.niet.te.kunnen.

Geen idee waarom niet, maar Blokker heeft geen invloed op welke gegevens jij instelt op websites van derden. Basicly zeggen ze dat de gegevens waarmee de klant inlogt op Blokker, mogelijk ook gebruikt kunnen worden op andere websites. Je moet niet vergeten dat Blokker niet alleen te maken heeft met mensen die er verstand van hebben en daarom ook waarschuwt voor de neven effecten van deze lek. Dus dat het niet hoort te kunnen, is niet het pakkie-an van Blokker, maar van de getroffen klant; die is verantwoordelijk om een apart wachtwoord te gebruiken voor elke website waar hij/zij klant is danwel een account heeft.

Elke correcte vorm van encryption en opslag hoort zelfs het lekken nog een aardige job daar ooit het wachtwoord uit te halen, maar de manier hoe ze dit schrijven heb ik dus niet het idee dat hier enige vorm van goeie encryptie op lijkt te zitten.

Het is ook vooral een juridisch dingetje, Daarnaast kan je als gebruiker dit ook vrij redelijk binnen de perken houden door simpelweg een password manager te gebruiken en voor elke website een eigen wachtwoord te gebruiken.

Op dit item kan niet meer gereageerd worden.

Blokker waarschuwt onbekend aantal klanten voor datalek

Lees meer

Reacties (145)

Sorteer op:

Weergave: