Gegevens van klanten Social Deal mogelijk op straat na datalek

De website Social Deal heeft last van een datalek. Daarbij zijn mogelijk gegevens van een nog onbekend aantal klanten buitgemaakt. Om welke gegevens het precies gaat is nog niet bekend, maar Social Deal raadt klanten aan hun wachtwoorden te resetten.

Een groot aantal tweakers meldt dat ze een e-mail hebben ontvangen van het platform. Daar zitten niet alleen Nederlandse gebruikers bij, maar ook gebruikers van de Belgische versie van de site. Ook Duitse gebruikers hebben de mail gehad. "We hebben de mail uit voorzorg naar al onze leden gestuurd", zegt Social Deal-eigenaar Rens van den Berg tegen Tweakers. Het is niet duidelijk hoeveel gebruikers er precies slachtoffer zijn van het datalek, of welke data er is buitgemaakt. Volgens Social Deal is er 'tijdens de thuiswerkperiode' een inbraak geweest op een computer van een van de ontwikkelaars van het bedrijf. Daardoor was er mogelijk toegang tot bepaalde informatie van klanten, maar om welke informatie het precies gaat is nog niet bekend. "We kunnen niet uitsluiten dat er iets is buitgemaakt", zegt hij. Het is dus niet duidelijk of er ook wachtwoorden zijn buitgemaakt. "Als dat gebeurd is, dan waren de wachtwoorden wel versleuteld." In de mail aan klanten schrijft het bedrijf: "We gaan er voorlopig van uit dat er delen van de gegevens van onze leden in het bezit zijn van deze onbevoegde persoon."

Social Deal vraagt alle gebruikers hun wachtwoorden te resetten. Het bedrijf zegt dat het melding heeft gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek. Er is een onderzoek ingesteld naar de precieze omvang en de oorzaak van het datalek. "Het is jammer dat dit moet gebeuren in deze tijd", zegt Van den Berg. "Maar we hopen op begrip van onze leden. We hebben in korte tijd een grote omslag moeten maken naar thuiswerken, en we vinden het heel erg dat iemand misbruik heeft gemaakt van die situatie. We willen ook liever dat we onze leden nu alvast waarschuwen terwijl er later misschien niets aan de hand is, dan andersom."

Door Tijs Hofmans

Nieuwscoördinator

08-04-2020 • 20:58

91

Submitter: marzman95

Reacties (91)

91
88
41
3
0
36
Wijzig sortering
Volgens Social Deal is er 'tijdens de thuiswerkperiode' een inbraak geweest op een computer van een van de ontwikkelaars van het bedrijf.

Ontwikkelaars zitten toch in een ontwikkelomgeving? Daar hoort toch geen productiedata in te zitten?
Teveel bij enterprise gezeten denk ik. Kleine bedrijven hebben vaak een wat minder strikte scheiding.
ik zou social deal geen klein bedrijf noemen.
Niet beursgenoteerd, dus veel minder regels. De regels die er zijn zijn grotendeels zelf opgelegd. De accountant kijkt alleen naar de financiele stroom en de controleerbaarheid/betrouwbaarheid daarvan. M.a.w. geen reden om strikte scheiding aan te brengen (want kost wel tijd/geld).
Gebaseerd op wat? Bekendheid? Dat zegt geen hol.

Als je even googled categorie 51-200 medewerkers. De meeste doen ws marketing, customersupport en verkoop.

Kan ook zijn dat ik een ander beeld bij groot heb dan jij. Voor mij is het hooguit een grote MKBer.
ze hadden een omzet van >12 miljoen 3 jaar na oprichten in 2013. in nederland ben je al geen mkb meer als je, of een omzet hebt van meer dan 40 miljoen, of 20 miljoen in je balanstotaal hebt, of meer dan 250 werknemers hebt. je bent pas geen middelgrote mkber meer als je minder dan 50 werknemers hebt. dus ze zijn hoe dan ook volgens wat je zelf zegt een grote mkber ;) de schaal gaat overigens van micro naar klein naar middelgroot. dus middelgroot is dan gewoon een grote mkb. beetje hetzelfde als dat de austronauten hun penis maten in groot enorm en gigantisch op moesten geven :+
Nee, maar misschien wel de credentials voor de productie-omgeving in een verloren mailtje / password manager zonder 2FA?
Ik neem aan dat een ontwikkelaar, indien het beschikbaar is, gebruik maakt van 2FA. Supermakkelijk tegenwoordig en toch een extra laag beveiliging zou ik denken.
Sinds wanneer worden data verbindingen naar een database bijv. met 2fa beveiligd?
Dat beweer ik helemaal niet. Ik heb geen idee hoe ze bij de database terecht gekomen zijn. Daarom ook mijn "indien beschikbaar". Ik reageer ook maar op @Wish die het suggereert.
Dat bedoelde ik in ieder geval niet :) . Ik doelde op het ontgrendelen van bijvoorbeeld een zakelijke laptop zonder 2FA. En van daaruit bij een mail of wachtwoorden-kluis met daarin de credentials (usernaam/ww) van een productieomgeving.
De VPN die nodig is voordat je de database kan bereiken kan alsnog 2FA vereisen.
Ik kreeg de e-mail in de middag en heb daarna op de reset-button gedrukt.

Wel na uitvoerig bestuderen van die e-mail. Nergens bleek uit dat het écht van Social Deal was en dát vond ik eigenlijk ook niet erg handig...
Dus je hebt de mail onderzocht, kon niet herleiden dat het echt van socialdeal was. En hebt vervolgens toch op de link geklikt en je wachtwoord gereset???
Ik heb in ieder geval NIET geklikt op die link, deze mail trok nu eens echt op niets, ze zouden zelf de wachtwoorden moeten resetten, want hoe kan ik deze link nu vertrouwen...
Ik vond het ook raar hoe ze de instructies om je wachtwoord resetten hadden verwoord. Het klonk verdacht voor mij.

''We vragen je uit voorzorg jouw Social Deal wachtwoord opnieuw in te stellen. Dit gaat eenvoudig via de knop onder dit bericht.''

Waarom wordt er geen alternatief gegeven waarbij je zelf via de website hierheen kan navigeren? Nu zit er een link achter een knop, waar je maar op moet vertrouwen dat deze naar de echte site gaat. Dit had ook een hack op hun email kunnen zijn die naar een fake website stuurt. Als iedereen op die fake website inlogd heb je heel eenvoudig alle inloggegevens van mensen die hun wachtwoord 'reset' hebben.

Verder is het jammer dat niet word aangegeven hoe de wachtwoorden versleuteld zijn en of er mogelijk toegang is tot creditcard gegevens etc. Ik snap dat ze nog niet alles weten, maar nu moeten we aannemen dat echt alles op straat ligt.
Als de link wel naar de daadwerkelijke website van socialdeal leidt kun je prima op zo'n link klikken. Ik gebruik geen socialdeal, maar ik neem aan dat zo'n link dan iets van https://socialdeal.nl/passwordreset zou zijn.
Je kunt in een mail de naam van de url veranderen. Dus als er socialdeal.nl staat kan het nog steeds naar bijv. google.nl gaan.
Dat klopt, maar daar moet je dus ook niet van uit gaan. Je moet de daadwerkelijke link checken voor je erop klikt. Dit is altijd te checken. De eenvoudigste manier is (in Outlook) rechtsklik op een link, en dan Hyperlink kopiëren. Daarmee kopieër je het daadwerkelijke url, en als je deze in je adresbalk plakt, zie je dus waar de link daadwerkelijk heen gaat. In jouw voorbeeld kopieër je dus de socialdeal.nl link, en bij het plakken komt er dan google.nl te staan.
Zelfs als je de link leest is het niet gegarandeerd veilig. Je kunt namelijk unicode characters encoden in een URL waardoor je letters kunt gebruiken die erg lijken op andere letters. Zie hier: https://www.theguardian.c...hishing-url-trick-hackers

Deze twee links zijn gelijk, en verwijzen niet naar de officiele Apple site:
https://www.аррӏе.com/
https://www.xn--80ak6aa92e.com/

In nieuwere versies van Chrome is het gelukkig gefixed, maar in Firefox werkt dit nog gewoon.

[Reactie gewijzigd door FakeTruth op 23 juli 2024 08:58]

Ook dat is nog te controleren.
Deze twee links zijn gelijk, en verwijzen niet naar de officiele Apple site:
https://www.аррӏе.com/
https://www.xn--80ak6aa92e.com/
Hoe bedoel je dit? Ik zie 2 totaal verschillende links, waarvan de eerste een plain text url is.

update: ik zie dat als je de url kopiëert dat je in de browser dan apple.com krijgt, maar als je die dus uitvoert niet meer.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 08:58]

In Firefox zie ik dus dit:
https://prnt.sc/rvxxon

En copy paste die plain text url maar eens in je browser ;)

[Reactie gewijzigd door FakeTruth op 23 juli 2024 08:58]

Dat had ik inderdaad gedaan, in Edge krijg je dan dat andere url, maar in Firefox dus https://www.аррӏе.com. Maar ik checkte sowieso al op zulk soort urls, door het in notepad++ te kopiëren en de encoding te veranderen (ANSI in dit geval). Bij https://www.аррӏе.com krijg ik dan https://www.аррӏе.com.
Ook daar zou ik mee uitkijken. Wie zegt dat de website zelf niet is aangepast door de hacker?
Daar moet je dan maar op vertrouwen. Als ze toegang hebben tot de bestanden, kunnen ze ook de database accounts achterhalen, en dan zou het veranderen van de wachtwoorden van gebruikers dus niet meer uitmaken. Op die manier zou je geen enkele site meer kunnen vertrouwen, vooral wanneer er een datalek is geweest.
Ik heb op de link geklikt. Daarna ben ik alsnog zelf naar de Social Deal website gegaan.

Doorgaans maakt klikken op een button nog niet zoveel uit. Bovendien klopte het mailadres van de afzender.
Pas op: mailadres van de afzender zoals je die ziet is gewoon wat iemand heeft ingetypt. Dat zegt niks!
Je moet dan altijd de header checken. Ik zou heel eenvoudig een mail kunnen sturen die afkomstig is van het mailadres van bijvoorbeeld Bill Gates. Als je dan echter de header bekijkt zie je dat dit niet de echte afzender is.
Hmm, weer wat geleerd.

Dank!
Als je de email niet vertrouwd klik je toch niet op de link in email. Maar open je de browser en ga je naar de betreffende website (liefst via een bookmark die je ooit hebt aangemaakt).
Eenmaal ingelogd verander je je wachtwoord.

Dit doe ik altijd voor alle websites, nooit klikken op een link in een email, maar zelf naar de website gaan. Tenzij je zelf iets initieert op een site waardoor je dus een email verwacht...
Hebben julie dat dan ook terugekoppeld aan de klantenservice?

Ik ben het namelijk eens met de "bijzondere" formulering van de mail en de link button (wachtwoord reset).

Na reset kun je altijd nog via de website inloggen en het wachtwoord nogmaals wijzigen. Echter zou het ook al zo kunnen zijn dat er iets meedraait op de server(s) om dit weer af te vangen.

Overigens heb ik wel een mail gestuurd aan klantenservice dat het een vreemde mail is.
Social Deal raadt klanten aan hun wachtwoorden te resetten
En waarom reset Social Deal niet zelf alle wachtwoorden om vervolgens aan haar klanten bij een eerste inlogpoging te vragen om een nieuw wachtwoord in te stellen?
Misschien bedoelen ze hier ook mee dat je op alle andere sites waar je hetzelfde wachtwoord gebruikt, je wachtwoord moet resetten. ;)
Nee, dat benoemen ze niet in de mail. En dan nog. Dan zou het en/en moeten zijn. En zelf alles resetten. En de klanten mailen met uitleg plus waarschuwing. Ik vind hoe ze het nu doen nogal gemakzuchtig.
We vragen je uit voorzorg jouw Social Deal wachtwoord opnieuw in te stellen. Dit gaat eenvoudig via de knop onder dit bericht.
Consumentbond:
Wat moet je doen als je een verdachte mail ontvangt?
Klik niet op linkjes
Goed voorbeeld...
Dat doet de Rabobank ook. Sturen nooit linkjes mee in mails. Maar bij nieuwsbrieven weer wel.
Andere afdeling. Nml. marketing. Die doen vaak maar wat.
Nee, die doen niet maar wat. Die nieuwsbrieven zullen nooit linkjes bevatten voor bijvoorbeeld een wachtwoordreset.
Omdat die linkjes niets te maken hebben met je account of wachtwoord.
Dan hadden ze dat wel aangegeven, dus ik dat bedoelen ze er niet mee.
Ik denk dat er ook veel mensen zijn die hun account hebben gekoppeld via Facebook of Google. Hiervan kun je niet je social deal wachtwoord resetten. Ik verwacht ook niet dat die zijn buit gemaakt omdat het inloggen dan anders werkt dan met id/inlognaam/mail en wachtwoord.

dat verklaart ook waarom mensen mail op hun oude account hebben ontvangen.
Ik vind het nogal zwak om te melden dat de beveiliging niet op orde is vanwege thuiswerken 'in deze tijd'. Dan was het daar voor dus ook al niet op orde, dat er uitgerekend nu ingebroken is verder niet relevant in dit verhaal. Ik gun dit uiteraard geen enkel bedrijf en ook geen enkele klant dat hun gegevens mogelijk op straat liggen, maar ga er geen uitvluchten bij halen.
Vele bedrijven hebben om thuiswerken te kunnen ondersteunen, vele beveilgings maatregelen moeten verzwakken. Ik zeg niet dat dit hier de oorzaak is, maar het zou kunnen. Het is een utopie te denken dat elk bedrijf van de ene op andere dag zomaar naar 100% remote kan gaan zonder dat er iets misgaat.
Dat betekent, in theorie, dat je gewoon dus gewoon meer de tijd moet nemen voor je verder gaat. Doe je dat niet, tja dan moet je ook op de blaren zitten als er wat mis gaat. Maar wie is er weer echt de dupe van...
Soms heb je die tijd niet en is het roeien met de riemen die je hebt.
En dan volgt dus de 2e helft van mijn post.
Probleem is natuurlijk dat, bij gegevensdiefstal, vooral de klant de dupe is. Dat het bedrijf zelf bij wijze van spreke ten onder gaat hieraan zal me eigenlijk een zorg wezen. Eigenlijk hun verdiende loon.
Het kan ook simpelweg gebeuren door een minder goed beveiligd thuisnetwerk. Dat is iets waar een bedrijf weinig invloed op heeft. Dit zal meestal het geval zijn, aangezien de meesten een simpele modem/router van de provider hebben, met een zo goed als standaard configuratie.
Met een beetje pech hebben die routers ook nog eens het standaard admin/admin account, al hebben de meeste routers tegenwoordig standaard een gegenereerd wachtwoord. En natuurlijk kun je standaard meestal niet vanaf de WAN kant inloggen.

Bovendien kan er ook malware draaien op een apparaat in je netwerk, dat zal ook gemakkelijker werken binnen een thuisnetwerk.

Een systeem is zo veilig als de zwakste schakel.
Die invloed hebben ze wel, ze vergeten het alleen of denken dat het niet belangrijk is of gevalletje komt later wel.
Wat voor invloed hebben ze dan? Ze kunnen je hooguit een aantal instellingen laten checken, maar veel verder ook niet. Tenzij ze je een betere router geven die wel voldoet aan de eisen.
IT dienst inschakelen, advies geven, checklist geven, beveiliging opschroeven, etc. en als dat niet mogelijk is of het bedrijf de risico's te groot vind je niet thuis laten werken. In theorie moet het gewoon zo zijn. Dat bedrijven dat niet doen...
"We hebben de mail uit voorzorg naar al onze leden gestuurd", zegt Social Deal-eigenaar Rens van den Berg tegen Tweakers.

Ik heb een account bij Social Deal, maar niet zo'n mail ontvangen. Zouden ze dan toch meer weten over welke klanten hierdoor zijn geraakt...
Bij mij was die in de spamfolder terecht gekomen.
Precies, ik heb ook geen mail ontvangen
Hier ook geen mail ontvangen, spam box is ook leeg.
De ontwikkelaar had misschien maar een deel van de database bij. Bvb enkel de klanten die recent wat gekocht hebben of zo (ik zeg maar wat).
Dan moeten ze ook niet zeggen dat ze de mail naar ál hun leden hebben gestuurd. Het kan ook ergens tussen de zender en ontvanger geblokkeerd worden (gebeurt me iets te vaak bij Office 365). Dan krijgt de zender soms wel een mail terug met de reden dat de mail tegengehouden is, maar ook niet altijd.
Daar heb je een punt.
MIsschien te voorbarig.

ik heb mijn wachtwoord moeten resetten op 1 account, dat was al een account wat een paar jaar bestond.

op 2 nieuwere accounts heb ik deze mail niet gehad.
Wachtwoord reset gedaan krijg niet eens een mail dat dan is gedaan. Daarbij ik blijf ingelogd.
Dat is vaak het geval, op de achtergrond kan de site prima je sessie vernieuwen met het nieuwe wachtwoord.
Stukje veiligheid zou naar mijn idee zijn alle sessies uitloggen en overal dan opnieuw inloggen.
Ik weet niet of dit persé veiliger is, bij het aanpassen van je wachtwoord moet je in de meeste gevallen je oude wachtwoord invullen, en dan 2 keer het nieuwe. Als je daarna nog eens je nieuwe wachtwoord in moet vullen om in te loggen maakt het niet veiliger naar mijn idee, je hebt op hetzelfde apparaat immers net je nieuwe wachtwoord al ingevuld.
Bij Social deal 1x oude en 1x nieuwe
Dat maakt het nog steeds niet minder veilig, alleen de kans dat je het wachtwoord verkeerd typt en vervolgens je wachtwoord dus niet meer weet is iets hoger. Het 2 keer intypen van je wachtwoord is puur ter bevestiging.
Ik ontving de mail met het verzoek om mijn wachtwoord te resetten in het Duits, dus ik ging er vanuit dat het phising was. Blijkt naderinzien toch niet zo te zijn. Vraag blijf wel waarom ik de mail in het Duits ontving met een Nederlands social deal account.
Misschien dat je provider routeert via Duitsland.
Kreeg het mailtje, vond het beetje verdacht, op een linkje klikken.... Wachtwoord toch maar gereset, gewoon via de website.
Ik dacht, heb dat Social Deal account helemaal niet nodig dus weg ermee.
Nou, het is dus onmogelijk om je account te verwijderen. Of ze hebben het heel goed verstopt.
Om je overeenkomst met Social Deal te beëindigen dien je een e-mail te sturen naar : Info@socialdeal.nl

Op dit item kan niet meer gereageerd worden.