Gegevens van klanten Social Deal mogelijk op straat na datalek

De website Social Deal heeft last van een datalek. Daarbij zijn mogelijk gegevens van een nog onbekend aantal klanten buitgemaakt. Om welke gegevens het precies gaat is nog niet bekend, maar Social Deal raadt klanten aan hun wachtwoorden te resetten.

Een groot aantal tweakers meldt dat ze een e-mail hebben ontvangen van het platform. Daar zitten niet alleen Nederlandse gebruikers bij, maar ook gebruikers van de Belgische versie van de site. Ook Duitse gebruikers hebben de mail gehad. "We hebben de mail uit voorzorg naar al onze leden gestuurd", zegt Social Deal-eigenaar Rens van den Berg tegen Tweakers. Het is niet duidelijk hoeveel gebruikers er precies slachtoffer zijn van het datalek, of welke data er is buitgemaakt. Volgens Social Deal is er 'tijdens de thuiswerkperiode' een inbraak geweest op een computer van een van de ontwikkelaars van het bedrijf. Daardoor was er mogelijk toegang tot bepaalde informatie van klanten, maar om welke informatie het precies gaat is nog niet bekend. "We kunnen niet uitsluiten dat er iets is buitgemaakt", zegt hij. Het is dus niet duidelijk of er ook wachtwoorden zijn buitgemaakt. "Als dat gebeurd is, dan waren de wachtwoorden wel versleuteld." In de mail aan klanten schrijft het bedrijf: "We gaan er voorlopig van uit dat er delen van de gegevens van onze leden in het bezit zijn van deze onbevoegde persoon."

Social Deal vraagt alle gebruikers hun wachtwoorden te resetten. Het bedrijf zegt dat het melding heeft gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek. Er is een onderzoek ingesteld naar de precieze omvang en de oorzaak van het datalek. "Het is jammer dat dit moet gebeuren in deze tijd", zegt Van den Berg. "Maar we hopen op begrip van onze leden. We hebben in korte tijd een grote omslag moeten maken naar thuiswerken, en we vinden het heel erg dat iemand misbruik heeft gemaakt van die situatie. We willen ook liever dat we onze leden nu alvast waarschuwen terwijl er later misschien niets aan de hand is, dan andersom."

Reacties (91)

jpsch 8 april 2020 22:41

Volgens Social Deal is er 'tijdens de thuiswerkperiode' een inbraak geweest op een computer van een van de ontwikkelaars van het bedrijf.

Ontwikkelaars zitten toch in een ontwikkelomgeving? Daar hoort toch geen productiedata in te zitten?

latka @jpsch • 9 april 2020 00:55

Teveel bij enterprise gezeten denk ik. Kleine bedrijven hebben vaak een wat minder strikte scheiding.

t link @latka • 9 april 2020 08:00

ik zou social deal geen klein bedrijf noemen.

latka @t link • 9 april 2020 09:46

Niet beursgenoteerd, dus veel minder regels. De regels die er zijn zijn grotendeels zelf opgelegd. De accountant kijkt alleen naar de financiele stroom en de controleerbaarheid/betrouwbaarheid daarvan. M.a.w. geen reden om strikte scheiding aan te brengen (want kost wel tijd/geld).

freaky @t link • 9 april 2020 16:34

Gebaseerd op wat? Bekendheid? Dat zegt geen hol.

Als je even googled categorie 51-200 medewerkers. De meeste doen ws marketing, customersupport en verkoop.

Kan ook zijn dat ik een ander beeld bij groot heb dan jij. Voor mij is het hooguit een grote MKBer.

t link @freaky • 9 april 2020 18:02

ze hadden een omzet van >12 miljoen 3 jaar na oprichten in 2013. in nederland ben je al geen mkb meer als je, of een omzet hebt van meer dan 40 miljoen, of 20 miljoen in je balanstotaal hebt, of meer dan 250 werknemers hebt. je bent pas geen middelgrote mkber meer als je minder dan 50 werknemers hebt. dus ze zijn hoe dan ook volgens wat je zelf zegt een grote mkber

de schaal gaat overigens van micro naar klein naar middelgroot. dus middelgroot is dan gewoon een grote mkb. beetje hetzelfde als dat de austronauten hun penis maten in groot enorm en gigantisch op moesten geven

Wish @jpsch • 8 april 2020 23:41

Nee, maar misschien wel de credentials voor de productie-omgeving in een verloren mailtje / password manager zonder 2FA?

Deralte @Wish • 9 april 2020 07:13

Ik neem aan dat een ontwikkelaar, indien het beschikbaar is, gebruik maakt van 2FA. Supermakkelijk tegenwoordig en toch een extra laag beveiliging zou ik denken.

Puffino @Deralte • 9 april 2020 09:06

Sinds wanneer worden data verbindingen naar een database bijv. met 2fa beveiligd?

Deralte @Puffino • 9 april 2020 12:54

Dat beweer ik helemaal niet. Ik heb geen idee hoe ze bij de database terecht gekomen zijn. Daarom ook mijn "indien beschikbaar". Ik reageer ook maar op @Wish die het suggereert.

Wish @Puffino • 9 april 2020 12:59

Dat bedoelde ik in ieder geval niet

. Ik doelde op het ontgrendelen van bijvoorbeeld een zakelijke laptop zonder 2FA. En van daaruit bij een mail of wachtwoorden-kluis met daarin de credentials (usernaam/ww) van een productieomgeving.

dutchminator @Puffino • 9 april 2020 13:41

De VPN die nodig is voordat je de database kan bereiken kan alsnog 2FA vereisen.

THE_BASE 8 april 2020 22:23

Ik kreeg de e-mail in de middag en heb daarna op de reset-button gedrukt.

Wel na uitvoerig bestuderen van die e-mail. Nergens bleek uit dat het écht van Social Deal was en dát vond ik eigenlijk ook niet erg handig...

jongetje

@THE_BASE • 9 april 2020 07:57

Dus je hebt de mail onderzocht, kon niet herleiden dat het echt van socialdeal was. En hebt vervolgens toch op de link geklikt en je wachtwoord gereset???

RCTycooner @jongetje • 9 april 2020 08:36

Ik heb in ieder geval NIET geklikt op die link, deze mail trok nu eens echt op niets, ze zouden zelf de wachtwoorden moeten resetten, want hoe kan ik deze link nu vertrouwen...

deathmonkey @RCTycooner • 9 april 2020 11:01

Ik vond het ook raar hoe ze de instructies om je wachtwoord resetten hadden verwoord. Het klonk verdacht voor mij.

''We vragen je uit voorzorg jouw Social Deal wachtwoord opnieuw in te stellen. Dit gaat eenvoudig via de knop onder dit bericht.''

Waarom wordt er geen alternatief gegeven waarbij je zelf via de website hierheen kan navigeren? Nu zit er een link achter een knop, waar je maar op moet vertrouwen dat deze naar de echte site gaat. Dit had ook een hack op hun email kunnen zijn die naar een fake website stuurt. Als iedereen op die fake website inlogd heb je heel eenvoudig alle inloggegevens van mensen die hun wachtwoord 'reset' hebben.

Verder is het jammer dat niet word aangegeven hoe de wachtwoorden versleuteld zijn en of er mogelijk toegang is tot creditcard gegevens etc. Ik snap dat ze nog niet alles weten, maar nu moeten we aannemen dat echt alles op straat ligt.

mjz2cool @jongetje • 9 april 2020 08:53

Als de link wel naar de daadwerkelijke website van socialdeal leidt kun je prima op zo'n link klikken. Ik gebruik geen socialdeal, maar ik neem aan dat zo'n link dan iets van https://socialdeal.nl/passwordreset zou zijn.

Troubled @mjz2cool • 9 april 2020 08:59

Je kunt in een mail de naam van de url veranderen. Dus als er socialdeal.nl staat kan het nog steeds naar bijv. google.nl gaan.

mjz2cool @Troubled • 9 april 2020 09:07

Dat klopt, maar daar moet je dus ook niet van uit gaan. Je moet de daadwerkelijke link checken voor je erop klikt. Dit is altijd te checken. De eenvoudigste manier is (in Outlook) rechtsklik op een link, en dan Hyperlink kopiëren. Daarmee kopieër je het daadwerkelijke url, en als je deze in je adresbalk plakt, zie je dus waar de link daadwerkelijk heen gaat. In jouw voorbeeld kopieër je dus de socialdeal.nl link, en bij het plakken komt er dan google.nl te staan.

FakeTruth @mjz2cool • 9 april 2020 10:01

Zelfs als je de link leest is het niet gegarandeerd veilig. Je kunt namelijk unicode characters encoden in een URL waardoor je letters kunt gebruiken die erg lijken op andere letters. Zie hier: https://www.theguardian.c...hishing-url-trick-hackers

Deze twee links zijn gelijk, en verwijzen niet naar de officiele Apple site:
https://www.аррӏе.com/
https://www.xn--80ak6aa92e.com/

In nieuwere versies van Chrome is het gelukkig gefixed, maar in Firefox werkt dit nog gewoon.

[Reactie gewijzigd door FakeTruth op 23 juli 2024 08:58]

mjz2cool @FakeTruth • 9 april 2020 10:04

Ook dat is nog te controleren.

Deze twee links zijn gelijk, en verwijzen niet naar de officiele Apple site:
https://www.аррӏе.com/
https://www.xn--80ak6aa92e.com/

Hoe bedoel je dit? Ik zie 2 totaal verschillende links, waarvan de eerste een plain text url is.

update: ik zie dat als je de url kopiëert dat je in de browser dan apple.com krijgt, maar als je die dus uitvoert niet meer.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 08:58]

FakeTruth @mjz2cool • 9 april 2020 10:09

In Firefox zie ik dus dit:
https://prnt.sc/rvxxon

En copy paste die plain text url maar eens in je browser

[Reactie gewijzigd door FakeTruth op 23 juli 2024 08:58]

mjz2cool @FakeTruth • 9 april 2020 10:13

Dat had ik inderdaad gedaan, in Edge krijg je dan dat andere url, maar in Firefox dus https://www.аррӏе.com. Maar ik checkte sowieso al op zulk soort urls, door het in notepad++ te kopiëren en de encoding te veranderen (ANSI in dit geval). Bij https://www.аррӏе.com krijg ik dan https://www.Ð°Ñ€Ñ€ÓÐµ.com.

haagsepracht @mjz2cool • 9 april 2020 12:55

Ook daar zou ik mee uitkijken. Wie zegt dat de website zelf niet is aangepast door de hacker?

mjz2cool @haagsepracht • 9 april 2020 13:29

Daar moet je dan maar op vertrouwen. Als ze toegang hebben tot de bestanden, kunnen ze ook de database accounts achterhalen, en dan zou het veranderen van de wachtwoorden van gebruikers dus niet meer uitmaken. Op die manier zou je geen enkele site meer kunnen vertrouwen, vooral wanneer er een datalek is geweest.

THE_BASE @jongetje • 9 april 2020 09:01

Ik heb op de link geklikt. Daarna ben ik alsnog zelf naar de Social Deal website gegaan.

Doorgaans maakt klikken op een button nog niet zoveel uit. Bovendien klopte het mailadres van de afzender.

Ballenbakz @THE_BASE • 9 april 2020 09:54

Pas op: mailadres van de afzender zoals je die ziet is gewoon wat iemand heeft ingetypt. Dat zegt niks!

mjz2cool @THE_BASE • 9 april 2020 13:31

Je moet dan altijd de header checken. Ik zou heel eenvoudig een mail kunnen sturen die afkomstig is van het mailadres van bijvoorbeeld Bill Gates. Als je dan echter de header bekijkt zie je dat dit niet de echte afzender is.

THE_BASE @mjz2cool • 9 april 2020 13:36

Hmm, weer wat geleerd.

Dank!

mjz2cool @THE_BASE • 9 april 2020 13:38

Voor outlook.com: https://mxtoolbox.com/Public/Content/EmailHeaders/

frere @jongetje • 9 april 2020 10:33

Als je de email niet vertrouwd klik je toch niet op de link in email. Maar open je de browser en ga je naar de betreffende website (liefst via een bookmark die je ooit hebt aangemaakt).
Eenmaal ingelogd verander je je wachtwoord.

Dit doe ik altijd voor alle websites, nooit klikken op een link in een email, maar zelf naar de website gaan. Tenzij je zelf iets initieert op een site waardoor je dus een email verwacht...

magician2000 @THE_BASE • 10 april 2020 01:40

Hebben julie dat dan ook terugekoppeld aan de klantenservice?

Ik ben het namelijk eens met de "bijzondere" formulering van de mail en de link button (wachtwoord reset).

Na reset kun je altijd nog via de website inloggen en het wachtwoord nogmaals wijzigen. Echter zou het ook al zo kunnen zijn dat er iets meedraait op de server(s) om dit weer af te vangen.

Overigens heb ik wel een mail gestuurd aan klantenservice dat het een vreemde mail is.

Freakster86 8 april 2020 21:10

Social Deal raadt klanten aan hun wachtwoorden te resetten

En waarom reset Social Deal niet zelf alle wachtwoorden om vervolgens aan haar klanten bij een eerste inlogpoging te vragen om een nieuw wachtwoord in te stellen?

Skit3000

@Freakster86 • 8 april 2020 21:23

Misschien bedoelen ze hier ook mee dat je op alle andere sites waar je hetzelfde wachtwoord gebruikt, je wachtwoord moet resetten.

Freakster86 @Skit3000 • 8 april 2020 21:29

Nee, dat benoemen ze niet in de mail. En dan nog. Dan zou het en/en moeten zijn. En zelf alles resetten. En de klanten mailen met uitleg plus waarschuwing. Ik vind hoe ze het nu doen nogal gemakzuchtig.

We vragen je uit voorzorg jouw Social Deal wachtwoord opnieuw in te stellen. Dit gaat eenvoudig via de knop onder dit bericht.

Consumentbond:

Wat moet je doen als je een verdachte mail ontvangt?
Klik niet op linkjes

Goed voorbeeld...

Sharkoon @Freakster86 • 8 april 2020 22:09

Dat doet de Rabobank ook. Sturen nooit linkjes mee in mails. Maar bij nieuwsbrieven weer wel.

latka @Sharkoon • 9 april 2020 00:55

Andere afdeling. Nml. marketing. Die doen vaak maar wat.

mjz2cool @latka • 9 april 2020 08:54

Nee, die doen niet maar wat. Die nieuwsbrieven zullen nooit linkjes bevatten voor bijvoorbeeld een wachtwoordreset.

mjz2cool @Sharkoon • 9 april 2020 08:54

Omdat die linkjes niets te maken hebben met je account of wachtwoord.

mjz2cool @Skit3000 • 9 april 2020 09:04

Dan hadden ze dat wel aangegeven, dus ik dat bedoelen ze er niet mee.

sweetdude @Freakster86 • 9 april 2020 11:21

Ik denk dat er ook veel mensen zijn die hun account hebben gekoppeld via Facebook of Google. Hiervan kun je niet je social deal wachtwoord resetten. Ik verwacht ook niet dat die zijn buit gemaakt omdat het inloggen dan anders werkt dan met id/inlognaam/mail en wachtwoord.

dat verklaart ook waarom mensen mail op hun oude account hebben ontvangen.

Dubbeldrank

8 april 2020 21:11

Ik vind het nogal zwak om te melden dat de beveiliging niet op orde is vanwege thuiswerken 'in deze tijd'. Dan was het daar voor dus ook al niet op orde, dat er uitgerekend nu ingebroken is verder niet relevant in dit verhaal. Ik gun dit uiteraard geen enkel bedrijf en ook geen enkele klant dat hun gegevens mogelijk op straat liggen, maar ga er geen uitvluchten bij halen.

Opperpanter2 @Dubbeldrank • 8 april 2020 21:18

Vele bedrijven hebben om thuiswerken te kunnen ondersteunen, vele beveilgings maatregelen moeten verzwakken. Ik zeg niet dat dit hier de oorzaak is, maar het zou kunnen. Het is een utopie te denken dat elk bedrijf van de ene op andere dag zomaar naar 100% remote kan gaan zonder dat er iets misgaat.

The Chosen One @Opperpanter2 • 8 april 2020 21:31

Dat betekent, in theorie, dat je gewoon dus gewoon meer de tijd moet nemen voor je verder gaat. Doe je dat niet, tja dan moet je ook op de blaren zitten als er wat mis gaat. Maar wie is er weer echt de dupe van...

Sharkoon @The Chosen One • 9 april 2020 01:31

Soms heb je die tijd niet en is het roeien met de riemen die je hebt.

The Chosen One @Sharkoon • 9 april 2020 09:44

En dan volgt dus de 2e helft van mijn post.

magician2000 @The Chosen One • 10 april 2020 01:43

Probleem is natuurlijk dat, bij gegevensdiefstal, vooral de klant de dupe is. Dat het bedrijf zelf bij wijze van spreke ten onder gaat hieraan zal me eigenlijk een zorg wezen. Eigenlijk hun verdiende loon.

mjz2cool @divvid • 9 april 2020 09:21

Het kan ook simpelweg gebeuren door een minder goed beveiligd thuisnetwerk. Dat is iets waar een bedrijf weinig invloed op heeft. Dit zal meestal het geval zijn, aangezien de meesten een simpele modem/router van de provider hebben, met een zo goed als standaard configuratie.
Met een beetje pech hebben die routers ook nog eens het standaard admin/admin account, al hebben de meeste routers tegenwoordig standaard een gegenereerd wachtwoord. En natuurlijk kun je standaard meestal niet vanaf de WAN kant inloggen.

Bovendien kan er ook malware draaien op een apparaat in je netwerk, dat zal ook gemakkelijker werken binnen een thuisnetwerk.

Een systeem is zo veilig als de zwakste schakel.

The Chosen One @mjz2cool • 9 april 2020 09:45

Die invloed hebben ze wel, ze vergeten het alleen of denken dat het niet belangrijk is of gevalletje komt later wel.

mjz2cool @The Chosen One • 9 april 2020 09:53

Wat voor invloed hebben ze dan? Ze kunnen je hooguit een aantal instellingen laten checken, maar veel verder ook niet. Tenzij ze je een betere router geven die wel voldoet aan de eisen.

The Chosen One @mjz2cool • 9 april 2020 09:55

IT dienst inschakelen, advies geven, checklist geven, beveiliging opschroeven, etc. en als dat niet mogelijk is of het bedrijf de risico's te groot vind je niet thuis laten werken. In theorie moet het gewoon zo zijn. Dat bedrijven dat niet doen...

Super_Fred 8 april 2020 21:30

"We hebben de mail uit voorzorg naar al onze leden gestuurd", zegt Social Deal-eigenaar Rens van den Berg tegen Tweakers.

Ik heb een account bij Social Deal, maar niet zo'n mail ontvangen. Zouden ze dan toch meer weten over welke klanten hierdoor zijn geraakt...

adje123 @Super_Fred • 8 april 2020 21:46

Bij mij was die in de spamfolder terecht gekomen.

Ntr- @Super_Fred • 8 april 2020 21:47

Precies, ik heb ook geen mail ontvangen

Segafreak83 @Ntr- • 8 april 2020 22:53

Hier ook geen mail ontvangen, spam box is ook leeg.

OxWax @Super_Fred • 8 april 2020 21:52

spam folder?

Deralte @Super_Fred • 9 april 2020 07:15

De ontwikkelaar had misschien maar een deel van de database bij. Bvb enkel de klanten die recent wat gekocht hebben of zo (ik zeg maar wat).

mjz2cool @Deralte • 9 april 2020 09:23

Dan moeten ze ook niet zeggen dat ze de mail naar ál hun leden hebben gestuurd. Het kan ook ergens tussen de zender en ontvanger geblokkeerd worden (gebeurt me iets te vaak bij Office 365). Dan krijgt de zender soms wel een mail terug met de reden dat de mail tegengehouden is, maar ook niet altijd.

Deralte @mjz2cool • 9 april 2020 12:54

Daar heb je een punt.

Peter F 8 april 2020 21:38

MIsschien te voorbarig.

ik heb mijn wachtwoord moeten resetten op 1 account, dat was al een account wat een paar jaar bestond.

op 2 nieuwere accounts heb ik deze mail niet gehad.

RobbyTown

8 april 2020 22:00

Wachtwoord reset gedaan krijg niet eens een mail dat dan is gedaan. Daarbij ik blijf ingelogd.

mjz2cool @RobbyTown • 9 april 2020 09:24

Dat is vaak het geval, op de achtergrond kan de site prima je sessie vernieuwen met het nieuwe wachtwoord.

RobbyTown

@mjz2cool • 9 april 2020 11:57

Stukje veiligheid zou naar mijn idee zijn alle sessies uitloggen en overal dan opnieuw inloggen.

mjz2cool @RobbyTown • 9 april 2020 12:21

Ik weet niet of dit persé veiliger is, bij het aanpassen van je wachtwoord moet je in de meeste gevallen je oude wachtwoord invullen, en dan 2 keer het nieuwe. Als je daarna nog eens je nieuwe wachtwoord in moet vullen om in te loggen maakt het niet veiliger naar mijn idee, je hebt op hetzelfde apparaat immers net je nieuwe wachtwoord al ingevuld.

RobbyTown

@mjz2cool • 9 april 2020 12:24

Bij Social deal 1x oude en 1x nieuwe

mjz2cool @RobbyTown • 9 april 2020 12:34

Dat maakt het nog steeds niet minder veilig, alleen de kans dat je het wachtwoord verkeerd typt en vervolgens je wachtwoord dus niet meer weet is iets hoger. Het 2 keer intypen van je wachtwoord is puur ter bevestiging.

Freekers 8 april 2020 22:06

Ik ontving de mail met het verzoek om mijn wachtwoord te resetten in het Duits, dus ik ging er vanuit dat het phising was. Blijkt naderinzien toch niet zo te zijn. Vraag blijf wel waarom ik de mail in het Duits ontving met een Nederlands social deal account.

mjz2cool @Freekers • 9 april 2020 09:27

Misschien dat je provider routeert via Duitsland.

andre51 8 april 2020 23:16

Kreeg het mailtje, vond het beetje verdacht, op een linkje klikken.... Wachtwoord toch maar gereset, gewoon via de website.

MasterMaarten 8 april 2020 23:05

Ik dacht, heb dat Social Deal account helemaal niet nodig dus weg ermee.
Nou, het is dus onmogelijk om je account te verwijderen. Of ze hebben het heel goed verstopt.

RobbyTown

@MasterMaarten • 9 april 2020 01:06

Om je overeenkomst met Social Deal te beëindigen dien je een e-mail te sturen naar : Info@socialdeal.nl

Op dit item kan niet meer gereageerd worden.

Gegevens van klanten Social Deal mogelijk op straat na datalek

Lees meer

Reacties (91)

Sorteer op:

Weergave: