Yourhosting wijzigt wachtwoorden na mogelijke diefstal onversleutelde inlogdata

Yourhosting licht klanten in over een hack van zijn systemen waarbij misschien onversleutelde inloggegevens van klanten zijn buitgemaakt. De dader probeert het bedrijf nu te chanteren door cryptovaluta te eisen.

Yourhosting heeft uit voorzorg e-mailwachtwoorden van klanten een reset gegeven. Het bedrijf ontdekte in het afgelopen weekend dat een criminele hacker zijn systemen was binnengedrongen en daarbij misschien toegang had tot onversleutelde inloggegevens. Het bedrijf weet niet welke e-mailaccounts getroffen zijn bij de mogelijke diefstal en reset daarom een groot aantal wachtwoorden van klanten.

De anonieme dader eist cryptovaluta van Yourhosting, maar het bedrijf gaat daar niet op in. "Wij onderhandelen niet met hackers en we geven dan ook geen gehoor aan de eis." Volgens het bedrijf waren de gegevens onversleuteld 'om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken'. "Veel klanten maken gebruik van oude protocollen. Dat is ook de reden waarom we ervoor hebben gekozen dit zo te laten staan", stelt de hostingpartij.

Het bedrijf gaat de ondersteuning voor deze protocollen nu wel stoppen. Daarnaast belooft het zijn beveiliging aan te scherpen. Yourhosting heeft een melding van een datalek gemaakt bij de Autoriteit Persoonsgegevens. Yourhosting claimde een paar jaar geleden meer dan 120.000 klanten te hebben. Niet bekend is hoeveel klanten het bedrijf momenteel heeft en hoeveel accounts een wachtwoordreset hebben gehad.

Reacties (110)

Tjidde 19 februari 2020 13:09

De mail die YourHosting gestuurd heeft

Beste <naam>,

In het kort
Er is een mogelijk datalek. Daarom hebben we uit voorzorg het wachtwoord van je e-mailadres gereset. Om weer toegang te krijgen tot je e-mail is het belangrijk dat je een nieuw wachtwoord instelt. Ga hiervoor naar Mijn Account.

Wat is er aan de hand
Afgelopen weekend is gebleken dat we slachtoffer zijn geworden van een hack waarbij een onbevoegd persoon mogelijk toegang heeft gekregen tot onversleutelde inloggegevens van e-mailgebruikers. De hacker heeft cryptomunten geëist. Wij onderhandelen niet met hackers en we geven dan ook geen gehoor aan de eis.

Omdat onbekend is welke e-mailadressen hierbij mogelijk betrokken zijn, hebben we besloten e-mailwachtwoorden uit voorzorg te resetten. Hierdoor zijn de mogelijk buitgemaakte gegevens onbruikbaar geworden. Het onderzoek naar de toedracht is ondertussen in volle gang.

Wat moet je doen
Om weer toegang te krijgen tot je e-mail is het belangrijk dat je jouw e-mailwachtwoord wijzigt in de Hostingmanager. Bekijk de instructies in Mijn Account. Vanwege onderhoud is dit mogelijk vanaf 12:00. Maak je gebruik van hetzelfde wachtwoord op andere accounts, pas deze uit voorzorg dan ook aan.

Stel nieuwe wachtwoorden in voor je e-mailadressen. Je kunt na het wijzigen van je wachtwoord webmail gebruiken om e-mails te lezen en sturen. Gebruik je een e-mailprogramma om je e-mail te lezen, dan moet je deze ook opnieuw instellen. Ga naar Mijn Account voor meer informatie.

Wat doen wij?
We hebben in samenwerking met ICT Recht melding gemaakt bij de Autoriteit Persoonsgegevens over het mogelijke datalek. In reactie op het mogelijke datalek scherpen wij de veiligheidsprocessen en -voorzieningen nog verder aan. Dit heeft onze hoogste prioriteit.

We begrijpen dat deze situatie vragen oproept. Heb je hulp nodig met het instellen van je e-mail, bekijk dan deze pagina. Hier houden wij je ook op de hoogte van mogelijke ontwikkelingen. Kom je er niet uit, dan staat onze klantenservice voor je klaar. We hopen op je begrip dat de wachttijden kunnen oplopen.

We nemen het mogelijke datalek uiterst serieus en begrijpen dat het onze verantwoordelijkheid is dat je gegevens veilig zijn.

Namens Yourhosting wil ik mijn oprechte excuses aanbieden.

Met vriendelijke groet,

Bart S.T. Carlier
Algemeen directeur Yourhosting

Ik ben best wel verbaast een bedrijf dat met dit soort dingen bezig is als nog wachtwoorden unencrypted opslaat.

--Edit--

In de manager staan bij al mijn domeinen ik niet getroffen ben. Echter toch maar voor de zekerheid veranderd maar ook log's kunnen fouten bevatten.

[Reactie gewijzigd door Tjidde op 22 juli 2024 21:32]

dreambofh @Tjidde • 19 februari 2020 14:10

> Omdat onbekend is welke e-mailadressen hierbij mogelijk betrokken zijn, hebben we besloten e-mailwachtwoorden uit voorzorg te resetten. Hierdoor zijn de mogelijk buitgemaakte gegevens onbruikbaar geworden.

Jaja, wie zegt dat hun klanten deze wachtwoorden ook niet op andere plaatsen gebruiken dan enkel YourHosting? Voor YourHosting kan dan de kous wel af zijn dat deze niet meer te gebruiken zijn, maar er liggen nog meer risicos bij klanten die hun wachtwoorden hergebruiken. Gaat YourHosting hun een gratis wachtwoord manager geven? Of cybercrime verzekering na dit incident?

Tomatoman @dreambofh • 19 februari 2020 14:31

Wat moet je doen
Om weer toegang te krijgen tot je e-mail is het belangrijk dat je jouw e-mailwachtwoord wijzigt in de Hostingmanager. [...] Maak je gebruik van hetzelfde wachtwoord op andere accounts, pas deze uit voorzorg dan ook aan.

Gebruik van één wachtwoord voor meerdere accounts is onverstandig, omdat iemand die het wachtwoord in handen krijgt dan mogelijk ook toegang kan krijgen tot andere websites/accounts. Dat is iets wat de gebruiker van het wachtwoord valt aan te rekenen, niet YourHosting. Ik zie dan ook geen reden waarom YourHosting hiervoor compensatie zou geven – dat zou feitelijk een beloning zijn voor ongewenst gedrag.

Renssanting @Tomatoman • 19 februari 2020 15:46

Het ongeëncrypt opslaan van wachtwoorden is nog onverstandiger.

bilbob @Renssanting • 19 februari 2020 15:48

denk dat het onverstandiger is om één wachtwoord te gebruiken. Zeker vanuit de gebruiker gezien.

dnzm @bilbob • 19 februari 2020 17:26

Eens. Als gebruiker kun je er niet vanuit gaan dat je wachtwoord op een onleesbare manier wordt opgeslagen (zoals nu maar weer blijkt), dus moet je er vanuit gaan dat je wachtwoord op straat ligt zodra je het ergens invult. Een wachtwoord hergebruiken is dus uitermate onhandig.

mrwiggs @Renssanting • 21 februari 2020 12:39

nvm

[Reactie gewijzigd door mrwiggs op 22 juli 2024 21:32]

LiquidCrystal @dreambofh • 19 februari 2020 14:44

Jaja, wie zegt dat hun klanten deze wachtwoorden ook niet op andere plaatsen gebruiken dan enkel YourHosting?

Da's toch echt het feestje van de klant.
Erg naïef om een wachtwoord op meerdere plaatsen te gebruiken en het dan het probleem van een bedrijf te maken, terwijl de gebruiker hiervoor gekozen heeft. Iedereen weet dat je nergens hetzelfde wachtwoord moet gebruiken, juist om in het geval van een leakage te voorkomen dat andere diensten ook problemen zouden kunnen ondervinden.

Gaat YourHosting hun een gratis wachtwoord manager geven? Of cybercrime verzekering na dit incident?

Het is knullig dat ze wachtwoorden unencrypted hebben bewaard, maar dat betekend niet dat ze ineens verantwoordelijk zijn voor de manier waarop gebruikers met hun gebruikersnamen en wachtwoorden omgaan.

En er zijn voldoende (al dan niet gratis) tools verkrijgbaar, waarin je je wachtwoorden veilig kunt opslaan.

Een grappig plaatje, welke dit heel eenvoudig duidelijk maakt:
https://pbs.twimg.com/media/D0zqdWJW0AA646c.jpg

Gebruikers hebben zelf een verantwoordelijkheid, om veilig met hun gegevens om te gaan.

[EDIT: Plaatje toegevoegd]

[Reactie gewijzigd door LiquidCrystal op 22 juli 2024 21:32]

c-nan @LiquidCrystal • 19 februari 2020 14:49

Knullig? Pardon?! Het is onverantwoord. Het is dom. Het is zeer amateuristisch.

Anno 2020 wachtwoorden plain text opslaan. Hoe haal je het in je hoofd.

P_Tingen @dreambofh • 19 februari 2020 14:36

Die gratis ww manager kunnen ze van mij wel krijgen. En weet je wat, omdat het woensdag is, krijg je er twee voor de prijs van één: hier en hier. Net zo makkelijk.

Maar zonder dollen: je kunt YourHosting veel verwijten, maar wachtwoord-hergebruik is daar absoluut niet bij. Je zou nooit je wachtwoorden moeten hergebruiken, hooguit voor rommel-logins, maar als je login ook maar een klein beetje voorstelt, moet je er een apart wachtwoord voor aanmaken. En het liefst ook nog 2FA instellen. Ik mag hopen dat YourHosting dat aanbiedt....

dreambofh @P_Tingen • 19 februari 2020 19:22

Zo, veel reacties.

Ik ben van mening dat bedrijven die persoonsgegevens verliezen zeker wel een verantwoordelijkheid hebben voor wat daar eventueel mee kan gaan gebeuren. Ongeacht of wachtwoorden hergebruikt worden door de klanten. Desnoods met iets van een awareness training, breach detection of extra security features boven op hun diensten.

Iets met verantwoordelijkheid nemen.

P_Tingen @dreambofh • 20 februari 2020 09:03

Je mag heel veel vinden. Vind ik. De vraag hier intrigeert me wel en ik vraag me af wat de juridische insteek is. Picture this:

Ik leen jouw garagesleutel om er iets uit te halen wat ik wil lenen, maar ik raak de garagesleutel kwijt. Omdat ik mijn verantwoordelijkheid neem stel ik voor een nieuw slot voor jouw garage te betalen. Dan vertel jij me ineens dat diezelfde sleutel ook past op je huis, je kluis en je auto omdat dat lekker makkelijk is. En dat ik dus ook nieuwe sloten voor je huis, kluis en auto moet betalen.

We worden het niet eens en uiteindelijk staan we voor een rechter. Wat zal die beslissen? Mijn gok is dat die zal redeneren dat het mij valt te verwijten dat ik je sleutel kwijt ben geraakt maar dat het niet realistisch was voor mij om te verwachten dat jij je sleutel op meerdere plekken zou gebruiken en dat ik dus ook niet verantwoordelijk ben voor de gevolgschade daarvan omdat ik die redelijkerwijs niet heb kunnen overzien toen ik jouw sleutel aannam.

Ik zal mijn dochter en haar vriend eens vragen, die zijn beide jurist en zullen hier wel iets van vinden.

Spykie @dreambofh • 19 februari 2020 14:25

Dat is toch echt het probleem van die klanten.

mcDavid @dreambofh • 20 februari 2020 11:46

Sterker nog: Je kunt er vergif op innemen dat een groot deel van die klanten voor hun e-mail het zelfde wachtwoord gebruik(t)en als voor hun YourHosting account, en mogelijk ook voor andere producten die ze afnemen, zoals FTP of Wordpress.

Ik mag hopen voor die klanten dat ze dat op zijn minst even getest hebben (ik bedoel, als je toch de plain-text wachtwoorden bij de hand hebt is dat een kleine moeite?), en in die gevallen ook de wachtwoorden van die andere diensten gereset hebben.

[Reactie gewijzigd door mcDavid op 22 juli 2024 21:32]

Devaqto @Tjidde • 19 februari 2020 13:30

Ik ben best wel verbaasd dat jij je domeinen nog bij deze partij laat staan. Een partij zoals dit, die wachtwoorden ongehasht opslaat verdient helemaal geen bestaansrecht.

Tjidde @Devaqto • 19 februari 2020 13:44

Ik zeg niet dat ik ze laat staan. Ik zit altijd een tijdje te twijfelen voor migratie naar een andere provider. Maar ik wil niet nu een paniek keuze maken omdat het moet. Liever dat ik daar een goed overwogen keuze in maak dan dat ik naar de volgende overstap om zo in andere problemen te komen.

MiesvanderLippe @Devaqto • 19 februari 2020 14:16

Het hoeft dat niet te zijn toch? Als je een webserver / reverse proxy hackt heb je op dat punt gewoon toegang tot inkomende data. Die is dan onversleuteld.

Edit: Laat maar, lezen is lastig. Knullig dat ze dit gedaan hebben.

[Reactie gewijzigd door MiesvanderLippe op 22 juli 2024 21:32]

The Zep Man

Beveiliging en antivirus

@Tjidde • 19 februari 2020 14:19

Ik ben best wel verbaast een bedrijf dat met dit soort dingen bezig is als nog wachtwoorden unencrypted opslaat.

Er staat nergens iets over of de wachtwoorden onversleuteld waren opgeslagen. Mogelijk gebruiken ze een goede password scheme voor de opslag, maar ontvangen ze de wachtwoorden nog plain text (SSL/TLS in-transit) op hun server, die gecompromitteerd was.

Tjidde @The Zep Man • 19 februari 2020 14:27

Op https://info.yourhosting.nl/instructies-klanten staat het volgende;

Waarom waren de inloggegevens onversleuteld?
De onversleutelde wachtwoorden bestonden om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken. Veel klanten maken gebruik van oude protocollen. Dat is ook de reden waarom we ervoor hebben gekozen dit zo te laten staan.

[Reactie gewijzigd door Tjidde op 22 juli 2024 21:32]

The Zep Man

Beveiliging en antivirus

@Tjidde • 20 februari 2020 07:11

Wat niets afdoet aan mijn verhaal. Er staat nergens dat de wachtwoorden onversleuteld waren opgeslagen. Enkel worden 'oude protocollen' genoemd, wat iets is voor onderweg (in-transit).

Elke mail client kan een wachtwoord plain text versturen, ook elke oude mail client. Dat is de meest universele ondersteuning. Server-side komen wachtwoorden daarmee onversleuteld binnen (na SSL/TLS decryptie) en "bestaan" daarom onversleuteld totdat men iets met het wachtwoord doet (en mogelijk zelfs daarna, indien men inderdaad wachtwoorden plain text opslaat). Met andere woorden: wachtwoordopslag kan op elke manier wanneer mail clients de wachtwoorden plain text aanleveren.

Het lijkt erop dat er veel moeite gedaan wordt om het woord 'opslag' te vermijden. Het bovenstaande is de meest waarschijnlijke reden als dat zo bedoeld is.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:32]

Niemand_Anders @The Zep Man • 20 februari 2020 14:15

Voor bepaalde inlog protocollen (zoals apop en ander CRAM (Challenge/response authentication methods) moet je een hash genereren op basis van het originele wachtwoord + wat random data. Bij APOP is dat MD5(greeting + wachtwoord).

Echter het eit dat je een plein text password nodig hebt om de eenmalige unieke hash te berekenen, houd nog niet in dat je passworden ook als plaintext in je database plaatst. Bij ons staan alle wachtwoorden encrypted opgeslagen in de database, waarbij een deel van de key bij de user record staat. Bij een CRAM/DIGEST based login moeten wij eerste het wachtwoord ontsleutelen..

Wij maken ook gebruik van CRAM authenticatie op onze websites waarbij over een salt en het wachtwoord een SHA1 hash wordt uitgerekend en samen met de salt naar de server wordt gestuurd. Hierdoor gaat je password nooit in plaintext over het internet. Iedereen welke weleens met een tool als (Telerik) Fiddler weet hoe eenvoudig SSL/TLS verkeer is te onderscheppen met een custom root certificaat op de client..

De CPU's welke wij gebruiken hebben allemaal AES extenties aanboord, waardoor de impacht van versleutelde wachtwoorden minimaal is. Mocht onze database ooit op straat komen te liggen, dan is het achterhalen van de originele wachtwoorden zeer lastig..

JeroenED @Tjidde • 19 februari 2020 18:11

Ik ben best wel verbaast een bedrijf dat met dit soort dingen bezig is als nog wachtwoorden unencrypted opslaat.

En dan hoor ook je de meest belachelijke redenen. Zoals "Maar wij kunnen je wachtwoord wel geven als je het kwijt bent". Of "Hiermee differentiëren we ons van anderen". En de absolute klassiekers "Maar wij krijgen geen hackers over de vloer" en "Wij zijn niet interessant genoeg"

[Reactie gewijzigd door JeroenED op 22 juli 2024 21:32]

jordynegen11 19 februari 2020 13:40

Yourhosting is niet de enigste partij die wachtwoorden onversleuteld opslaat.

Er zijn er veel meer dan jij denkt. Vaak worden server of gebruikers wachtwoorden automatisch naar je gemailt en is er ergens wel een verzonden email historie. Vaak kunnen klanten zelfs deze historie inzien van zichzelf.

Een voorbeeld is OVH. Toch wereldwijd een hele grote speler maar ze hebben dit niet op orde.

Tuurlijk, yourhosting had die "oude protocollen" allang moeten afschaffen maar ze zijn lang niet de enige die het verkeerd doen.

[Reactie gewijzigd door jordynegen11 op 22 juli 2024 21:32]

n9iels

19 februari 2020 13:11

Volgens het bedrijf waren de gegevens onversleuteld 'om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken

Ik zou dan persoonlijk toch de keus maken om die "bepaalde" manier zsm uit te faseren. Het feit dat bijv. 10% van de klanten een oude protocol gebruikt zou toch niet moeten betekenen dat het voor de overige 90% onveiliger wordt?

[Reactie gewijzigd door n9iels op 22 juli 2024 21:32]

Tjidde @n9iels • 19 februari 2020 13:28

Gelukkig gaan ze wel deze laag uitzetten. Echter raar dat er dezer tijd nog steeds dit mogelijk is.

Blijven deze wachtwoorden onversleuteld staan?
Nee. We verwijderen de authenticatielaag waarin deze oude protocollen ondersteund werden en waar de wachtwoorden dus onversleuteld beschikbaar moesten zijn

bron: https://info.yourhosting.nl/instructies-klanten

TweakOverflow

@Tjidde • 19 februari 2020 13:44

Beetje laat niet?

Wraldpyk @TweakOverflow • 19 februari 2020 14:42

Beter laat dan niet. Het is jammer dat het op deze manier moet, maar gelukkig snappen ze nu wel dat het afgelopen moet zijn met de verouderde technieken.

CAPSLOCK2000

Beveiliging en antivirus

@n9iels • 19 februari 2020 13:43

Ik zou dan persoonlijk toch de keus maken om die "bepaalde" manier zsm uit te faseren. Het feit dat bijv. 10% van de klanten een oude protocol gebruikt zou toch niet moeten betekenen dat het voor de overige 90% onveiliger wordt?

Het probleem is dat het allemaal achter de schermen gebeurt. Niemand ziet er iets van tot het fout gaat, niemand vertrekt, niemand betaalt minder. Financieel gezien is het (op korte termijn) dus gunstiger om niks te veranderen en alle klanten te behouden.

Het zou rechtvaardig zijn als de klanten nu boos overstappen naar een andere hoster, maar bij vergelijkbare gevallen in het verleden bleek dergelijk nieuws alleen maar als reclame te werken.
Ik vrees dat het de meeste mensen niet echt interesseert. Ze zijn murw geslagen door de constante stroom van hacks en lekken en ze kunnen toch niet beoordelen of een andere hoster beter is, wat veiligheid betreft. Daarbij zien de meeste mensen de schade niet direct. Als bv een gestolen wachtwoord wordt gebruikt om op een andere site in te breken dan geven ze die andere site de schuld.

We zijn in Nederland ook niet gewend om op veiligheid te letten. We gaan er van uit dat alles wat in de winkel verkocht wordt wel min of meer in orde zal zijn omdat de overheid toezicht houdt. Zelfs bij de goedkoopste winkels (zoals de Action) verwacht je nog een zekere minimumveiligheid omdat ook die spullen aan wettelijk eisen moeten voldoen. Natuurlijk gaat het daar ook wel eens fout, maar meestal gaat het goed. Als je in een auto stapt kun je er van uit gaan dat er veilige gordels in zitten. Niemand test dat voor vertrek. In de IT ligt de lat een stuk lager.

Dostar 19 februari 2020 13:04

Wat is dat toch met bedrijven en "onversleutelde inlogdata"?
Leggen deze ook al hun administratieve papieren op de balie om in te lezen zo gauw je binnen komt voor een kop koffie?

xvilo @Dostar • 19 februari 2020 13:10

Mogelijke log files waar te veel informatie in is gekomen?

NielsFL @xvilo • 19 februari 2020 13:19

Heeft denk ik meer te maken met de toepassing: e-mail.

Een hoop e-mail clients zijn beperkt in de wijze waarop zij wachtwoorden kunnen hashen. Sterker, de default in veel apps is om plain-text over SSL te gebruiken.

Dan staan je wachtwoorden mooi en veilig gehasht in de database, en loopt al het verkeer over SSL, maar is er toch een moment op de mail server waar de wachtwoorden in plain-text verwerkt worden. (En dus beschikbaar voor een hacker.)

latka @NielsFL • 19 februari 2020 14:14

Dan ben je al hip en modern. POP3 (ik neem aan dat men geen POP2 meer aanbood) is cleartext paswoord over poort 110 (geen SSL). Er is echter geen enkele reden voor Yourhosting om bij dit soort oude protocolen de paswoorden niet te hashen! POP3 komt uit 1988 en toen werden paswoorden gewoon al gehashed opgeslaten op een Unix systeem (in de /etc/passwd file). Dus dat de reden die ze aangeven (oude protocollen) kan hooguit slaan op oude systemen van Yourhosting die van voor 1988 zijn en waar men zelf aan het klussen is gegaan zonder na te denken. Dit persbericht kan wat mij betreft dus in het bakje "marketing, damage control" en niet in het bakje "transparant en open".

Edit: oh crap. Er is nog zoiets als CRAM-MD5 auth met POP3 waarbij een naieve implementatie idd. een cleartext paswoord gebruiken. Niet dat het hoeft, maar het kan. Die standaard is Obsolete sinds 2008 en nooit breed gebruikt, dus ik denk toch nog steeds dat dit in het bakje "marketing, damage control" kan.

[Reactie gewijzigd door latka op 22 juli 2024 21:32]

d3burt

@latka • 19 februari 2020 23:24

Je staat er van te kijken hoeveel klanten je aan de telefoon hebt als je CRAM-MD5 uitzet. Geen reden natuurlijk om het toe blijven staan, maar als je zoals YourHosting een echte helpdesk hebt die klanten echt te woord staat en met ze meedenkt wel iets om goed voor te bereiden. Been there, done that, got the t-shirt, en dat was voor een server met 20 mailboxen.

O, en je staat er ook van te kijken dat je anno 2020 geen enkele warning van sasldb krijgt als je het gebruikt. Ik heb het voor debugging pas nog getest in Ubuntu 18.04 (de huidige LTS).

latka @d3burt • 20 februari 2020 09:53

Welke mailclient doet er dan CRAM-MD5?

bazzi

@NielsFL • 19 februari 2020 13:53

maar dan moet de hacker al binnen zijn op het systeem en een tussenlaag bouwen tussen de SSL/TLS en de mailserver dan wel voor de mailserver direct. En dat on-opgemerkt......

HenkEisDS @Dostar • 19 februari 2020 13:12

Je zou eens moeten weten hoe vaak ik achter de naam van de partij met wie ik concurreerde ben gekomen door het inschrijfformulier op de balie goed te bekijken.

Dostar @HenkEisDS • 19 februari 2020 13:15

En hun weer jouw naam te pakken hebben...

HenkEisDS @Dostar • 19 februari 2020 13:23

Mits ze slim genoeg zijn om te kijken en mijn handschrift kunnen lezen.

CyberMania @Dostar • 19 februari 2020 13:13

Ik vind dat als je als bedrijf besluit in het kader van gebruiksgemak de inloggevens onversleuteld te bewaren, je jouw gebruikers hiervan van te voren heel expliciet van op de hoogte moet stellen en deze de keuze te geven.

Dat ze dit niet hebben gedaan vind ik zeer schandelijk (en ja ik ben zelf klant bij Yourhosting).

Dostar @CyberMania • 19 februari 2020 13:14

Precies dit! Ik zou dan zelf namelijk ver weg blijven bij dit soort partijen die onkundig met gegevens om gaan.

ByteDelight 19 februari 2020 13:38

Even de 'positieve' punten van deze situatie vanuit mijn standpunt:

Heb een eigen bedrijf, en ben behoorlijk afhankelijk van email.
Ik constateerde rond 12.30 dat m'n email client ging vragen om een wachtwoord.
Na even wachten (15 min) probeerde ik het opnieuw, zelfde resultaat.
Googlen naar 'yourhosting storing' bracht me bij https://allestoringen.nl/storing/yourhosting/, fel rood vanaf ongeveer 10.00 vanmorgen (wat erop doet lijken dat ze een script hebben gebruikt om wachtwoorden te resetten, dat ca. 2 uur lang nodig heeft gehad).

Op dat moment zelf nog geen idee wat er aan de hand was, maar nog niet de moeite genomen om Yourhosting.nl te bezoeken.
Kwam achter de situatie via Tweakers (wat moet je anders als je niet kunt werken).

Okee, op zich een IMHO puike actie om de wachtwoorden te resetten.
Maar het is nu zo druk op hun platform dat ik de Hostingmanager niet kan bereiken

Dus ik probeer het elke 10 minuten, maar kom er niet door.

Ze zijn gelukkig open over de oversleutelde bestanden, en dat geeft mij het gevoel dat ze er ook wat aan gaan doen (beter laat dan nooit).
Maar dat ik nu niet bij de Hostingmanager kan, is vrij zuur voor een klein bedrijf als dat van mij..

Maar nogmaals: ik ben te spreken over hun reactiesnelheid op de potentiele inbraak.
Kunnen veel bedrijven wat van leren.

[Reactie gewijzigd door ByteDelight op 22 juli 2024 21:32]

aip @ByteDelight • 19 februari 2020 14:07

Het niet betalen, en daar zelf open over zijn, kan ik waarderen.

Het nu al drie uur niet kunnen werken niet.

En aangezien ik - zo te zien net als jij - puur van e-mail afhankelijk ben (adviseer op basis van uurtje factuurtje hier), ben ik daar toch wel redelijk geïrriteerd over. Tuurlijk, een lange ontspannen lunch is lekker, tweakers, youtube of dumpert afstruinen ook, maar zo wordt het wel kostbaar. Nog even los van de zaken die ik heb toegezegd vandaag te doen, en wat nu niet lukt.

tvtech

@aip • 19 februari 2020 14:37

waarom laat je bij zo'n partij je mail draaien als je er zo afhankelijk van bent? Voor €4,20 p/mnd heb je al Office 365 incl 50GB mailbox, 1 TB Onedrive en Sharepoint o.a. Of alleen Exchange online voor €3,40.
Dan draait je mail bij een professionele partij waarbij er een stuk meer know how aanwezig is dan een simpel hostertje als yourhosting. Als is Office 365 ook niet vrij van storingen helaas, maar dat heb je overal.

aip @tvtech • 19 februari 2020 15:50

Ik vind 324 Euro voor een jaar voor mail + office + website nou ook weer niet echt dirt cheap. Maar dat zal wel aan mij liggen. En dat is toch echt wat ik voor het eerste jaar betaald heb.

Ruzor @aip • 19 februari 2020 16:27

Dan heb je toch iets verkeerd gedaan

https://products.office.c...l&activetab=tab:primaryr2

tvtech

@Ruzor • 19 februari 2020 21:29

inderdaad, ik heb al een aantal jaren Office 365 Business Essentials voor €4,20 p/mnd. Daarvoor alleen Exchange online voor €3,40. Als je ziet wat je er voor €0,80 bij krijgt is dit een no-brainer.

draadloos @aip • 19 februari 2020 14:37

Als je zo afhankelijk van email bent, heb je gewoon de verkeerde partij gekozen.

OxWax @draadloos • 19 februari 2020 15:29

Welke partij zou u aanraden? PVDA?

hansbeen @ByteDelight • 19 februari 2020 14:30

Hoezo puike actie? Ik kan al meer dan 3 ur niet bij mijn email nu, en al hun systemen inclusief (betaalde!!!) helpdesk zijn overbelast. wachtwoorden resetten is onmogelijk op dit moment.

basdej 19 februari 2020 13:09

Volgens het bedrijf waren de gegevens onversleuteld 'om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken'. "Veel klanten maken gebruik van oude protocollen. Dat is ook de reden waarom we ervoor hebben gekozen dit zo te laten staan", stelt de hostingpartij.

WTF

HenkEisDS @basdej • 19 februari 2020 13:22

Onacceptabel inderdaad. Binnen een paar maanden staat dit in een torrent en kan de hele wereld ervan meegenieten. Ik hoop dat dit ze de kop gaat kosten. Het is als hoster jouw verantwoordelijkheid je klanten te beschermen. Als dit betekent dat je de ondersteuning van 'oude protocollen' stop zet en hierdoor een paar klanten wat tijd moeten investeren om hun oude meuk te updaten, so be it. Of zet klanten die expliciet aangeven de veiligheidsrisicos te kennen in een aparte omgeving als dat kan, maar laat niet de rest van je klanten de dupe hiervan zijn.

Ik vraag me daarnaast af wat die zogenaamde oude protocollen dan wel niet zijn? De CEO die de email ondertekende lijkt me meer een marketeer dan een techneut, dus ik ben erg benieuwd naar de onderbouwing van de techneuten. Lijkt mij een lulverhaal.

i2Paq @HenkEisDS • 19 februari 2020 14:16

"Ik hoop dat dit ze de kop gaat kosten."

Ik vindt dit echt een ongepaste uitspraak!

tvtech

@i2Paq • 19 februari 2020 14:31

nee hoor, dit roepen ze over zichzelf af als ze zo werken. Een slecht bedrijf verdient geen klanten als er een alternatief is. En die is er.

Horatius @i2Paq • 19 februari 2020 15:06

Hoezo? Een hoster is vrij 'high-tech' ze weten meer dan genoeg van de software wereld om te weten dat dit echt not-done is.

Oftewel als ze dit soort fouten maken zouden ze eigenlijk niet moeten bestaan dus hoop je dat ze straks ook niet meer bestaan wat vertaalt naar 'de kop kosten'.

HenkEisDS @i2Paq • 19 februari 2020 14:29

Leuk voor je!

Prutsers die met gegevens van derden werken en die in 2020 nog steeds wachtwoorden in plain-text opslaan hebben imho geen bestaansrecht.

Vul je eigen gegevens, en die van een paar familieleden, maar eens in op: https://haveibeenpwned.com Kijken of je dan nog zo graag bedrijven in leven houdt die onzorgvuldig met data van derden omspringen.

thenob @HenkEisDS • 19 februari 2020 18:03

Oude protocollen zijn FTP, POP3 en IMAP, allen versturen password in plain-text over de pijp.
POP3 en IMAP heeft een s-alternatief en al veel users gebruiken die. Maar is het account ooit geconfigureerd zonder SSL of STARTTLS, dan gaan users dit niet aanpassen.
Zelfde verhaal met FTP. Als onze nieuwe servers is enkel nog FTP over SSH2.
En nu komt het: dit hard implementeren kost je weldegelijk klanten!
5% van de gebruikers die we overzetten naar een nieuwe server vertrekt, ofwel omdat ze het niet klaar krijgen ofwel omdat ze daar geen zin in hebben, argumentatie: "het heeft altijd zo gewerkt, en bij mijn andere provider X gaat het wel"

Zelfde verhaal met 2FA.
Klanten moeten het echter zelf aanzetten en toevoegen op hun GSM.
Doen ze dat niet blijven er grote images knipperen dat ze "onveilig" inloggen.
Na 2 jaar: nog geen 10% heeft 2FA aanstaan.

.... nog een lange weg te gaan, en nee het is niet de techniek of de goodwill van bedrijven, maar het is "opvoeding van gebruikers"

HenkEisDS @thenob • 19 februari 2020 23:50

Dan voor de uitgebreide toelichting, maar dit zegt nog steeds niets over het plaintext opslaan van wachtwoorden. Of zie ik dat verkeerd?

tvtech

@basdej • 19 februari 2020 14:29

inderdaad. Maar het is ook gewoon een hele slechte hoster. Ik heb een klant die er haar website en e-mail heeft draaien. Wat een drama om gewoon alleen maar je mail op je iPhone wil hebben. De imap server is dan serverxxx.yourhosting.nl met een ander wachtwoord dan de smtp server die dan ook weer een heel apart adres heeft als serverxxx.firstfind.nl, certificaten die totaal niet kloppen. Het is echt een drama om dit werkend te krijgen en te houden want vaak stopt het gewoon na 2 weken gewerkt te hebben. En dan ben ik ict'er.

graceful @basdej • 19 februari 2020 18:04

Tja, de standaard voor Exim configs (YH kwam van DirectAdmin met Exim) is nou eenmaal plaintext.
https://www.exim.org/exim...intext_authenticator.html

Nou draaien ze tegenwoordig Plesk (zie https://www.yourhosting.nl/support/nieuwe-hostingmanager/ voor overstap DA -> Plesk), echter daar kun je door middel van door Plesk zelf geinstalleerde tools het wachtwoord van ieder willekeurig domein gewoon ophalen:
https://support.plesk.com...-sequence-found-in-string (mail_auth_view)

Zo weten ze welke domeinen 'gehackt' zijn, door te kijken in de bash history.

[Reactie gewijzigd door graceful op 22 juli 2024 21:32]

page404 19 februari 2020 13:34

Dat is toch zo’n partij waar je als klant voor een dubbeltje op de eerste rij kan zitten? Nu weten die klanten ook waarom.
Ik betaal wat meer voor mijn hosting en VPS maar er zijn van die momenten dat ik weer weet waarom. Dit is zo’n moment.

Nrzonline @page404 • 19 februari 2020 13:49

Want die euro's die je extra per jaar overmaakt bieden garantie dat zij nooit ten prooi zullen vallen en al hun system wel prima op orde hebben?

[Reactie gewijzigd door Nrzonline op 22 juli 2024 21:32]

page404 @Nrzonline • 19 februari 2020 14:01

Nou nee, maar als je voor het goedkoopste gaat weet je zeker dat er ergens op bezuinigd wordt. En we weten allemaal wat goede security kost. Maar je staat vrij om het gokje te nemen hoor

Ezechiel 19 februari 2020 13:11

Volgens het bedrijf waren de gegevens onversleuteld 'om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken'. "Veel klanten maken gebruik van oude protocollen

Als je weet dat er onveilige protocollen worden gebruikt, informeer je je klanten en zet je deze toch uit? Zeker in de IT moet je af en toe een handje helpen om de eindklant op te voeden en te wijzen op mogelijke incidenten en de (verstrekkende) gevolgen die deze kunnen hebben.

CAPSLOCK2000

Beveiliging en antivirus

@Ezechiel • 19 februari 2020 13:48

Als je weet dat er onveilige protocollen worden gebruikt, informeer je je klanten en zet je deze toch uit?

Dat kunnen die budgethosters zich niet veroorloven. Als een klant één keer de helpdesk belt dan duurt het jaren om dat terug te verdienen. Die hosters doen er alles aan om klanten te behouden en er zo min mogelijk werk aan te hebben.

hansbeen @CAPSLOCK2000 • 19 februari 2020 16:12

Yourhosting heeft een betaalde klantenservice als je wilt bellen!!!

RoestVrijStaal @Ezechiel • 19 februari 2020 16:19

Die beslissing is niet 100% aan de IT afdeling. Zo'n keuze gaat over wel of geen klanten (en dus inkomsten) behouden.
Dat een x aantal klanten willen betalen voor een manier dat op den duur voor hun onveilig is, is de keuze die die klanten maken en interessant voor sales. Voor het bedrijf is het een simpele handeling om de wachtwoorden te resetten. Voor klanten meer, maar daar kozen ze ook voor.

CAPSLOCK2000

Beveiliging en antivirus

@RoestVrijStaal • 19 februari 2020 16:26

Die beslissing is niet 100% aan de IT afdeling. Zo'n keuze gaat over wel of geen klanten (en dus inkomsten) behouden.
Dat een x aantal klanten willen betalen voor een manier dat op den duur voor hun onveilig is, is de keuze die die klanten maken en interessant voor sales. Voor het bedrijf is het een simpele handeling om de wachtwoorden te resetten. Voor klanten meer, maar daar kozen ze ook voor.

De vraag is wel of klanten dat echt weten en er bewust voor hebben gekozen of niet.
Ik kan me niet voorstellen dat mensen bewust kiezen voor de onveilige optie op het moment dat ze iets nieuws aanschaffen. Het lijkt me aannemelijker dat ze daar nooit over nagedachte hebben, net zoals de meeste mensen nooit nadenken over IT-beveiliging. Waarschijnlijk hebben ze gewoon de goedkoopste gekozen zonder te overzien waar er dan op wordt bezuinigd.

Wim-Bart @Ezechiel • 19 februari 2020 23:14

Zelfs legacy protocollen zoals IMAP, Pop, FTP of wat dan ook kunnen gewoon met password hashes werken. Het is gewoon een fuckup van de provider. Er is geen enkele reden om wachtwoorden niet te versleutelen, een FTP server kan gewoon een plain text ontvangen, dat hashen en tegen een versleutelde entry aan testen. Het hele verhaal van legacy protocollen is gewoon onzin.

SinergyX 19 februari 2020 13:08

mogelijk toegang heeft gekregen tot onversleutelde inloggegeven

Tja.. Misschien langzaam tijd dit maar als wet te gaan opnemen? Administratie etc heeft ook behoorlijk berg aan eisen en wetten, maar digitale opslag blijkbaar niet zo.

Hierdoor zijn de mogelijk buitgemaakte gegevens onbruikbaar geworden.

Tot de persoon toevallig hetzelfde wachtwoord elders gebruikt, zou je kunnen zeggen dat dit gebruiker fout is, maar dan kom ik weer bij de 'tja', waren ze versleuteld was het aanzienlijk moeilijker uberhaubt het daadwerkelijk wachtwoord te kunnen zien.

CyberMania 19 februari 2020 13:10

Omdat onbekend is welke e-mailadressen hierbij mogelijk betrokken zijn,
hebben we besloten sommige e-mailwachtwoorden uit voorzorg te resetten.

Waarom niet allemaal, dat lijkt me veel veiliger als je niet precies weet welke wel en welke niet.

Op dit item kan niet meer gereageerd worden.

Yourhosting wijzigt wachtwoorden na mogelijke diefstal onversleutelde inlogdata

Lees meer

Reacties (110)

Sorteer op:

Weergave: