Allekabels waarschuwt 5000 klanten voor datalek van onbekende gegevens

Webshop Allekabels waarschuwt klanten voor een datalek. De gegevens van zo'n vijfduizend klanten zouden zijn gestolen, blijkt uit een mail die veel klanten hebben gekregen. De data is waarschijnlijk gestolen door een thuiswerkende werknemer.

Allekabels heeft alle getroffen klanten op de hoogte gebracht, blijkt uit een e-mail die inmiddels verschillende tweakers ook hebben ontvangen. Het gaat volgens het bedrijf om gegevens van circa vijfduizend klanten, maar wat er precies is gestolen is niet bekend.

Of er ook wachtwoorden bij het lek zaten is niet duidelijk. Een week geleden gingen al wel geruchten rond over een dataset die afkomstig zou zijn van de kabelwebshop, waarin ook adressen en bestelgeschiedenissen voorkwamen. Het is niet bekend of dat een legitiem lek was en of dat verband houdt met het huidige lek.

Het bedrijf zegt dat het heeft ontdekt dat er 'excessief klantdata is opgehaald door een medewerker', die 'vermoedelijk vanuit een thuiswerksituatie' werkte, maar details daarover ontbreken. De webshop zegt dat het melding heeft gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek. "We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners", schrijft het bedrijf.

Ook zegt het bedrijf nu al maatregelen te hebben genomen, maar het is niet bekend welke dat zijn. "Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst", is het enige dat het bedrijf schrijft.

Reacties (330)

Ray_ 4 februari 2021 17:33

Allekabels.nl is m.i. aardig laks geweest. Ik heb 3 dagen geleden een mail naar hun support gestuurd omdat ik spam ontving op een mailadres dat ik alleen voor hun site heb gebruikt.
Hierin heb ik ook aangegeven dat hun klanten hier al sinds half december over klagen (zie bijvoorbeeld https://twitter.com/Allekabels_NL/status/1338767224270680065 )

Vanmiddag een reactie gehad 'we zoeken het uit' gevolgd door deze mail. Nu snap ik dat gedegen onderzoek noodzakelijk is, maar volgens mij is het niet handig om na een melding maar gewoon door te kabbelen alsof er niets aan de hand is en een dikke maand later een mailtje in 5 minuten te tikken, zonder details of enige vorm van excuses.

StefanJanssen @Ray_ • 4 februari 2021 17:47

Zelf heb ik het in november bij ze gemeld en toen is het ook bij het AP gemeld (zowel door hun als door mij).
Maandag heb ik een tweede email op dit email adres gekregen en heb ik gezegd dat het wel tijd was om de klanten in te lichten.

Anoniem: 57381 @StefanJanssen • 4 februari 2021 18:43

Ik ook, op 15 dec. Direct gemeld nadat ik spam ontving op het mailadres dat ik bij hun gebruik. Er was wel wat overtuiging nodig en ik kreeg de indruk dat ik de enige zou zijn / er geen groot probleem was.

De spam die ik ontvang is overigens bank phising emails. Nogal dom want ze kunnen er zo veel meer mee als ze de afkomst er in betrekken. Bv factuur allekabels nog niet voldaan, klik hier om te betalen.....

Jim80 @Anoniem: 57381 • 5 februari 2021 08:51

Doe ik ook! Uniek e-mail adres per bedrijf en alles komt gewoon toe op mijn catch-all. Zeker 10 adressen hiervan zijn reeds gelekt en staan op spamlijsten. Zelfs bij mijn elektriciteitsleverancier is mijn adres uitgelekt!

Databeveiliging vandaag is nog steeds een grote grap. Dat in combinatie met de grote datahonger van bedrijven en overheden maken het er niet beter op.

Bartberk @Jim80 • 5 februari 2021 11:27

Hebben jullie hier toevallig een goede workflow voor? Ik kan me voorstellen dat het een pain in the ass is om elke keer een nieuw email account aan te maken.

Jim80 @Bartberk • 5 februari 2021 16:33

1) Koop een domeinnaam (is niet duur bij bijvoorbeeld vimexx)
2) Zoek een e-mail dienst die een eigen domein en een catch-all ondersteunt. Bijvoorbeeld Protonmail en je hebt een ad-free en zeer goed beveiligde omgeving. Protonmail is wel niet gratis als je een eigen domein wil gebruiken.

Vanaf dan verzin je gewoon zoveel adressen als je wil, alles met @jouwdomein.nl zal automatisch toekomen, en als je van een afzender teveel spam krijgt, filter je dat gewoon door naar de spam folder of prullenbak.

ArmEagle

@Bartberk • 5 februari 2021 11:46

Als je een eigen domeinnaam voor je e-mail hebt, dan is een catch-all adres vaak mogelijk.

Anders kun je proberen of je mail provider een +-toevoeging ondersteunt: `piet.heijn+website-naam@provider.tld`.

Edit: Dat werd hieronder ook al geschreven: Erwin537 in 'nieuws: Allekabels waarschuwt 5000 klanten voor datalek van onbe...

[Reactie gewijzigd door ArmEagle op 24 juli 2024 12:48]

bekkerm @Bartberk • 5 februari 2021 19:02

Dat ligt eraan. Ik gebruik aliassen of als ik daar geen zin in heb simpelweg de truc met de plus.

pietje@gmail.com is default
pietje+allekabels@gmail.com gaat braaf naar pietje
pietje+willekeurig@gmail.com gaat ook naar pietje.
Enzovoort...

elsinga @Jim80 • 5 februari 2021 09:40

Ik gebruik dezelfde tactiek en mailadressen worden niet alleen gelekt maar ook verkocht. Dan weet ik in elk geval wie stout is geweest...

JaymzHetfield @elsinga • 5 februari 2021 15:22

Dat is ook een datalek.

elsinga @JaymzHetfield • 5 februari 2021 16:31

Uiteraard.

yade @Jim80 • 5 februari 2021 11:04

Doen jullie hiervan ook aangifte? Wordt daar dan wat mee gedaan?

Jim80 @yade • 5 februari 2021 11:16

Mijn energie niet waard

Het 'verbrande' adres verdwijnt naar de spam folder en als ik nog iets met de afzender te maken wil hebben wijzig ik daar mijn email in een nieuw uniek adres

bjv @Jim80 • 5 februari 2021 11:41

Ik gebruik ook unieke email adressen per bedrijf en ook ik heb een (vorige) energieleverancier hierdoor geblacklist op mijn mailserver. Was het in jouw geval ook 1 van de traditionele 3 energieleveranciers?

dr86 @Anoniem: 57381 • 4 februari 2021 19:43

Welja breng mensen op ideeen...

dakathefox @dr86 • 4 februari 2021 20:50

Nee, daar zouden ze zelf niet op kunnen komen inderdaad.

bvloon @Anoniem: 57381 • 4 februari 2021 20:03

haha, dat is best een goede tip. niet dat ik er iets mee doe, maar wel goed.

Tourmaline @bvloon • 4 februari 2021 20:13

Tja, denk je dat wel denkende mensen dat ook niet door hebben of ze wel of niet betaald hebben?

Step5 @Tourmaline • 4 februari 2021 21:56

Ja daarom gaan ze door met die scams, net zo lang tot er eindelijk ns eentje intrapt

BlaDeKke @Tourmaline • 5 februari 2021 07:44

Wat percentage bevolking is wel denkend?

rkeet @Anoniem: 57381 • 5 februari 2021 08:59

Rabo toevallig? afgelopen nacht ineens lading binnen gekregen

WillySis @StefanJanssen • 5 februari 2021 11:31

Het inlichten van de klanten is een verplichting. Men mag na melding nog een periode wachten om een beperkt onderzoek te doen naar de werkelijke omvang. Als dit probleem half november al gemeld is, is die periode al lang en breed verlopen. De AP zal Allekabels.nl hier zeker op aanspreken en de lakse houding kan best eens uitmonden in een boete.

NickyVDP @Ray_ • 4 februari 2021 18:49

ik neem aan dat je email sub domeinen zijn geautomatiseerd? hoe heb je dat gedaan?

Erwin537 @NickyVDP • 4 februari 2021 19:01

Hier ook op 14 december gemeld. Kreeg een nette reply met dat ze het aan het uitzoeken waren maar niet hadden gevonden en encryptie gingen implementeren.

@NickyVDP Ik heb een catch-all die naar het enige 'bestaande' adres op mijn domein verwijst. Als ik bij een dienst aanmeld gebruik ik [dienst]@[mijndomein].nl. Je kan het volgens mij ook oplossen door bv. gmail te gebruiken en een + achter je adres naam te gebruiken, dat komt dan ook in dezelfde box aan (bv. [naam]+01@gmail.com komt aan op [naam]@gmail.com)

MitchellvB995 @Erwin537 • 4 februari 2021 21:07

Even een vraag vanuit mijn kant op dit op het oog leuke en goede idee: Wat voor toegevoegde waarde heeft dit? Hoewel iemand dan niet de e-mailadressen van andere diensten heeft, ontvang je nog wel steeds spam en dergelijke bij een eventueel data lek. Daarbij zullen mensen ook snel doorhebben dat je in andere gevallen bijvoorbeeld google@[mijndomein].nl en tweakers@[mijndomein].nl gebruikt. Ook loop je (of misschien alleen ik) het risico dat je bij bol.com of hardware.info vergeet of je nu hardware.info@[mijndomein].nl gebruikt of hardwareinfo@[mijndomein].nl.

Anoniem: 57381 @MitchellvB995 • 4 februari 2021 21:34

1) Je kunt de mailadressen waar je veel spam op krijgt ook direct weg filteren.
2) Je weet wie jouw email adres gelekt heeft (zoals in dit geval) en je kunt ze daarop aanspreken.
3) Bij een lek gebruikte gegevens worden op andere sites geprobeerd om mee in te loggen. Je hebt natuurlijk overal een ander wachtwoord (ja toch?), maar nu ook een andere login email. Net weer even een extra horde.
4) Makkelijk om met filters direct naar een goed mapje te dirigeren en je mailbox dus overzichtelijk te houden
5) Makkelijker om scam mee te herkennen, de Rabobank mailt me niet op allekabels.nl@xyz, als de rabobank zou mailen doen ze dat op rabobank.nl@xyz.
6) ....

En nee, lijsten met geharveste email adressen worden niet gescanned op voorvoegsels. Wat maakt het de spammer uit dat jij weet waar het vandaan komt? Waarom zouden ze dan extra moeite doen? En wat precies zouden ze het dan in moeten veranderen? Info@? Dat proberen ze toch al als de domeinnaam bestaat....

HakanX @Anoniem: 57381 • 5 februari 2021 01:54

Ik heb begrepen dat de scammers die email+iets@gmail.com wel corrigeren tegenwoordig. Ik gebruik ook mijn eigen domein, maar als ik het dan meld bij het bedrijf waar datalek is, geven ze of mij de schuld (zal zelf wel mn mail hebben gelekt) of het boeit hen niet.

Houtenklaas @HakanX • 5 februari 2021 10:32

Dat is lastig aangezien er zowel jouwmailadres+toevoeging@domein.nl kan worden gebruikt, als toevoeging+jouwmailadres@domein.nl. Dan ben je gemiddeld de helft kwijt, terwijl in het geval dat je het gewoon laat staan in ieder geval meer bereik hebt.

Als jij goed oplet is de uitkomst gelijk ==> /dev/null. Dus waarom zouden ze die moeite inderdaad doen?

lucatoni @HakanX • 5 februari 2021 05:16

Als jij een extract krijgt met duizenden of meer adressen, dan ben je wel even bezig om dit goed te corrigeren. Daarnaast, als je dit secuur doet bij alle diensten, wordt je in principe nooit meer gemaild op je algemene adres toch? Daarnaast, waar heb je dat in hemelsnaam begrepen, alsof scammers hier discussie over voeren op een forum

zjorsie @lucatoni • 5 februari 2021 07:30

Nouja, een regex om alles tussen de + en de @ weg te filteren is niet zo moeilijk.

Maar als je een specifiek emailadres gebruikt voor iedere site is het lastiger. Dan kan je (bijvoorbeeld tweakers@domein.nl vervangen naar ietsanders@domein.nl of al dit soort domeinen verwijderen uit de lijst om de herkomst te maskeren.

Ook met duizenden emailadressen is dat niet zo moeilijk

sparcle @Anoniem: 57381 • 5 februari 2021 06:54

En daarom heb ik geen catchall, maar registreer voor elke dienst een apart e-mail address. Dan kan ik die ook weer uitzetten als ik het zat ben. Geef toe, heb een lange lijst in /etc/postfix/virtual maar het werkt prima.

Houtenklaas @sparcle • 5 februari 2021 10:35

En daar ben ik te lui voor ... Ik gebruik wel één catchall adres. Als op een bepaald mailadres veel spam binnenkomt gaat die met een "rule" in de client naar de kliko. Dat werkt in drie muisklikken en voorkomt het aanpassen van virtual adressen en het opnieuw opstarten van allerhande mailservices. En het werkt ook prima

cyble @Houtenklaas • 5 februari 2021 10:54

@sparcle @Houtenklaas je kunt ook gewoon emailvoorvoegsel_01 t/m 99@domein.tld alvast vastleggen en dan in je wachtwoordenlijst bijhouden dat bijv 01 tweakers is en 02 allekabels etc. Dan hoef je geen catchall te doen, je kunt individuele adressen blokkeren en je hoeft je server lijst niet zo vaak te updaten.

sparcle @Houtenklaas • 5 februari 2021 12:27

postmap /etc/post/virtual is alles :-)
maar ik geef toe, ik ben er ook te lui voor aan het worden, dus heb ook van die email1@domain email2@domain etc voor "ik geef er niks om" momenten

TripleDeal @Anoniem: 57381 • 5 februari 2021 08:16

Ik vraag me altijd af of men met catch-all emailadressen niet last hebben van spammers die alle soorten combinaties van een emailadres van je domein proberen? Dan valt het toch niet meer te traceren of komt deze situatie niet voor?

magdiragdag @TripleDeal • 5 februari 2021 09:06

Is niet mijn ervaring. Nou krijg ik sowieso over het algemeen weinig spam, maar dat wat ik krijg komt binnen op adressen die bijvoorbeeld op mijn eigen website hebben gestaan, nooit op random adressen.

teaser @TripleDeal • 5 februari 2021 11:37

Jaren geleden had ik dit wel. Kreeg ik opeens ladingen spam op aaaaaa11aaaa@mijndomein.tld en dergelijke. Dit is wel volledig gedaan, tegenwoordig enkel nog spam op de adressen van bekende datalekken (vooral adobe, last.fm in mijn geval). Vandaag ook eentje ontvangen op het adres van thepetitionsite.com trouwens.

Houtenklaas @teaser • 5 februari 2021 17:04

Grappig, nooit over nagedacht, maar dat herken ik. Op mijn catchall adres krijg ik erg weinig spam. Wel op adressen die ik in het verleden zo hier en daar gebruikt heb zodat ik aan het mailadres kan zien waar het lek gezeten heeft. En die kan ik inmiddels niet meer op 2 handen tellen helaas. Maar goed, die zijn definitief buiten gebruik en zie ik dan ook helemaal niet meer. Nog keuze genoeg voor de apenstaart ...

TStick @Anoniem: 57381 • 5 februari 2021 07:09

Ooit had je services als sneakemail, en spamhotel die automatisch random aliassen aanmaakte waar je een [label] aan kon hangen, zodat je altijd de herkomst van spam kon traceren, en desgewenst de alias simpelweg kon verwijderen om deze spam te stoppen.

Ik heb de strijd al heel lang geleden opgegeven, spamfilters zijn gelukkig erg goed geworden.

MitchellvB995 @Anoniem: 57381 • 4 februari 2021 21:43

Dank.

Edit: deze dank was wel oprecht

[Reactie gewijzigd door MitchellvB995 op 24 juli 2024 12:48]

teaser @Anoniem: 57381 • 5 februari 2021 11:33

6) Leuke conversation topic als je bij een lokaal bedrijfje een bestelling gaat afhalen die je via hun webshop besteld hebt

Een nadeel daarentegen, sommige webshops laten niet toe dat je registreert met een e-mailadres dat hun bedrijfsnaam bevat. Heb het zelfs al meegemaakt dat mijn domein gewoon niet geaccepteerd werd. Bijenkorf was dat dacht ik. Ja bye dan, klant minder

BrokenTable @MitchellvB995 • 4 februari 2021 23:19

Sinds enige tijd zet ik ook de datum van aanmelding in het email adres. Bijv. tweakers.210204@[mijndomein].nl. Dat is het ook niet meer te 'raden' wat het email adres van een site is. En gelukkig zijn er passwordmanagers om niet te vergeten welk adres je waar gebruikt.

MitchellvB995 @BrokenTable • 5 februari 2021 23:06

Maar ik neem aan dat je overal je e-mailadres gewijzigd hebt? Of heb je overal een nieuw account aangemaakt. Ik merk namelijk vaak dat bedrijven e-mailwijzigingen echt waardeloos verwerken en je nog e-mails op oude adressen blijft ontvangen wat mij dan weer triggert.

BrokenTable @MitchellvB995 • 6 februari 2021 10:33

Ik ben begonnen om het met nieuwe account te doen en wil het het ook nog bij veelgebruikte accounts doen. Bij alle webshops en services aanpassen is monnikenwerk helaas

Erikd_1979 @MitchellvB995 • 5 februari 2021 08:13

ik heb dit ook ingesteld voor mijn eigen domein. bv tweakers@(mijndomein).nl

aantal jaren geleden krijg ik spam op nagellaktijn@(mijndomein).nl en daardoor kon ik de organisatie van 3fm die destijds die actie organiseerde rondom de kerst informeren over een lek.

Dit bleek inderdaad bij een van de partijen te liggen waar de software niet up to date was. na mijn melding hebben ze toen alles offline getrokken en melding gedaan.

los van het feit dat je de spam weg kan filteren, kan je ook onwetende partijen informeren over een lek.

PerlinNoise @MitchellvB995 • 5 februari 2021 11:48

Daarom gebruik ik niet bedrijf@domein.nl, maar bedrijf****@domein.nl, bijvoorbeeld: allekabels5536@domein.nl.

Sanchaz12 @Erwin537 • 4 februari 2021 19:45

Je kan het volgens mij ook oplossen door bv. gmail te gebruiken en een + achter je adres naam te gebruiken, dat komt dan ook in dezelfde box aan (bv. [naam]+01@gmail.com komt aan op [naam]@gmail.com)

Dat werkt zeker, weer wat geleerd! Bij het versturen van een email aan [naam]+test@gmail.com komt het gewoon in de inbox terecht, met onder het veld 'aan' het adres met toevoeging.

The Zep Man

Beveiliging en antivirus
Datalek

@Sanchaz12 • 4 februari 2021 20:01

Let op dat sommige webwinkels een + niet accepteren in het mailadres, ondanks dat dit een geldig karakter is.

un1ty @The Zep Man • 4 februari 2021 20:50

Niet alleen webwinkels, maar ook (zorg) verzekereraars snappen dit + symbool niet.. mijn email adres was door Univé notabene aangemerkt als niet geldig email adres, nadat dit al meerdere jaren dusdanig gebruikt werd. Hierdoor namen zij contact met mij op dat ze mij geen mails konden verzenden.. (wat wel het geval was).

mjl @The Zep Man • 4 februari 2021 21:27

En dat spammers dat er automatisch uit kunnen filteren...

Ynst2003 @The Zep Man • 4 februari 2021 23:57

en veel spammers kennen deze truck, dus filteren ze de '+' en alles wat daar achter komt, er uit.

gooos @The Zep Man • 5 februari 2021 00:02

Heel irritant inderdaad.

Wat ik trouwens ook nog wel eens meemaak is dat ze het + teken bij de registratie wel accepteren maar bij de wachtwoord reset niet... dat is nog irritanter en doorgaans krijg je totaal geen medewerking om dat probleem dan opgelost te krijgen.

dakathefox @The Zep Man • 4 februari 2021 20:51

Daar kom je dan snel genoeg wel achter.

moonlander @Sanchaz12 • 4 februari 2021 21:41

En dan gaan spammers alle mailadressen met een plus filteren aanpassen en alsnog mail versturen.

tweaknico @moonlander • 4 februari 2021 21:55

Success, dan moet je je eigen regel aanpassen: dus [naam]@whatever.tld is de catchall spambox,
en de [naam]+[sub]@whatever.tld een gemonitorde mailbox is...
Dan is verwijderen van de SUB automatisch spam....

(oh de spambox wordt natuurlijk automatisch afgevoerd naar de bitbucket.

[Reactie gewijzigd door tweaknico op 24 juli 2024 12:48]

FurionStormrage @Erwin537 • 4 februari 2021 20:22

Misschien een domme vraag, maar wat weerhoudt spammers/phishers ervan om alles tussen de + en de @ geautomatiseerd te verwijderen en je alsnog op je originele e-mailadres te benaderen?

Of wanneer de webwinkel of social media site je e-mailadres doorverkoopt gebeurt dat hopelijk gehashed oid en komen ze dus niet achter het origineel? Is dat hoe het werkt?

Anoniem: 57381 @FurionStormrage • 4 februari 2021 21:26

Die moeite nemen ze niet, het is maar een klein percentage dat hun gmail adres zo gebruikt. En de spam komt met en zonder die toevoeging toch wel aan... het maakt de spammer niet uit dat jij weet waar jouw email gelekt is.

Email adressen hashen heeft geen zin, dan kun je ze ook niet meer gebruiken om spam mee te versturen (alleen om een user mee te identificeren).

kuurtjes @Anoniem: 57381 • 4 februari 2021 23:07

Door jouw post heb ik er eventjes bij stil gestaan. Ik hoop dat spammers dat ook niet gaan doen

Als je zegt hoe mensen denken gaan de meeste laten zien dat dat immers niet zo is. Duurde me verder maar een fractie van een seconde om die plussen als een voordeel voor de spammer te gebruiken.

WeiserMaster @Erwin537 • 5 februari 2021 06:31

Je kan het volgens mij ook oplossen door bv. gmail te gebruiken en een + achter je adres naam te gebruiken, dat komt dan ook in dezelfde box aan (bv. [naam]+01@gmail.com komt aan op [naam]@gmail.com)

Werkt met veel diensten niet, waaronder Allekabels.nl.
Alleen [naam]@gmail.com wordt geaccepteerd door het formulier.
De catchall oplossing is beter dan de + oplossing, de catchall wordt niet door regex oid als fout gezien.

Rodrigo @WeiserMaster • 5 februari 2021 08:06

Op allekabels werkte dit wel. Ik ben 1 van deze getroffen mensen en heb hun mail hierover aangekregen op mijn naam+allekabels@...

Maar dan nog is een catch all oplossing nog altijd beter

WeiserMaster @Rodrigo • 5 februari 2021 09:43

Op allekabels werkte dit

Wanneer is jouw account dan aangemaakt?
Geen idee wanneer ik mijn account heb gemaakt, 2018/2019 ergens. Toen was + niet mogelijk, en ik heb het voor mijn commentaar van 06:31 nog weer geprobeert. Het formulier geeft zo gauw er een + in komt aan dat het mail adres fout is

[Reactie gewijzigd door WeiserMaster op 24 juli 2024 12:48]

Rodrigo @WeiserMaster • 12 februari 2021 00:21

Volgens mijn 1Password in 2016 :-)
En natuurlijk heb ik een random password voor deze site ^^

[Reactie gewijzigd door Rodrigo op 24 juli 2024 12:48]

xtinus @WeiserMaster • 5 februari 2021 11:53

Er schijnt een reguliere expressie check aanwezig te zijn op allekabels, welke de + niet ondersteunt:
in `account.js` functie `validatedata()` returnt `false als de `error_cnt` niet "0" is.
in de console (F12, developer tools) even dit plakken en je zou moeten kunnen submitten:

validatedata = function(){return true}

WeiserMaster @xtinus • 5 februari 2021 16:33

Yes, die werkt. Super!
Hoe ben je daar achter gekomen? Ik had al wat loppen prikken in de code, maar meer dan een beetje HTML en PHP wordt al gauw moeilijk

xtinus @WeiserMaster • 5 februari 2021 20:33

Jha, ik werd getriggered door het rode kader toen ik het email-adres probeerde aan te passen; en dan weet je dat er client-side scripting achter zit (en met een beetje geluk, geen server-side checks).
Ik zag toevallig in de HTML onder de submit button een javascript snippet, waarbij de 2e mij in het oog sprong:

HideIndUsrFields();
checktype();
bill2shipping();
HideStreetCity()

Toen ik vervolgens in Chromium `check` intypte, zag ik (autocomplete) dat er `checkEmail` was: als je dat zonder ronde haken intypt, zie je de functiedefinitie waar je op kunt klikken, en die brengt je meteen naar de code.
Met een beetje scrollen kwam ik `validatedata` tegen, en door een breakpoint daarin te zetten, kon ik na submitten er doorheen stappen en zien wat er gebeurde.
Er zijn overigens wel websites waar het een stuk lastiger is, maar uitendelijk blijft het (meestal) een webform dat gesubmit wordt

xFeverr @NickyVDP • 4 februari 2021 19:57

Bij Gmail en Outlook online (hotmail) kun je <gebruikersnaam>+<toevoeging>@<provider>.com gebruiken. Dus, stel je emailadres is nickyvdp@gmail.com dan kun je bijvoorbeeld nickyvdp+allekabels@gmail.com gebruiken als emailadres. Of, als je email xfeverr@hotmail.com is, dan kan je xfeverr+tweakers@hotmail.com gebruiken. Komt het gewoon aan in je mailbox.

jaenster

@xFeverr • 4 februari 2021 20:02

Ja.. Dit word steeds aangehaalt.. maar goed, denk je echt dat er nog een spammer is die +iets er niet afsloopt bij gmail/outlook/hotmail

..

Ik gebruik al jaren een catch-all-domein en dan krijg ik dus rare vragen of blikken bij bedrijven die dat totaal niet snappen. Al verschillende keren te horen gekregen, aan een klantenservice; "oh, nou, als je geen email wil achter laten, vind ik dat beter dan een nepaddress. Fijne dag!"

Of veel leuker, "Werk je ook bij bedrijf x net zoals ik?"

Of z'n fijne website die eigennaam@domain.tld niet accepteren

[Reactie gewijzigd door jaenster op 24 juli 2024 12:48]

smartbit @jaenster • 4 februari 2021 21:15

Idd alle 3 bekende reacties. Kreeg de mail van allekabels ook, aan allekabels@<domein.nl>

De maillogs van december zijn alweer opgeruimd dus kan niet meer achterhalen of ze het 14/15 december ook bij mij geprobeerd hebben, die is mogelijk niet langs de RBL gekomen. allekabels@ gaan we nu omzetten op allekabels2@ en allekabels@ gaan we blokken op de smtp server.

Begrijp niet waarom je een email altijd moet achterlaten, is heel vaak nutteloos zeker als het om elektronische leveranties gaat als tickets voor vervoer of concert. Bij IPVN zijn ze daar ook achter gekomen en hebben het email adres afgeschaft.

Bij veel organisaties had ik een account waar ik jaren mee gewerkt heb en plotseling wordt een email adres verplicht.

Nog een paar tips

als het telefoonnummer verplicht is, dan kun je voor 012-3456789 kiezen, maar leuker is het nummer van de leverancier zelf
voornaam: aflever, achternaam: adres. Sommige leveranciers doen moeilijk, de pakketjes leveracier/postbode nooit.

jaenster

@smartbit • 4 februari 2021 22:14

Ja, tot je niet thuis bent (volgens hun dan he) je het kan ophalen bij t postpunt en het niet mee krijgt omdat je niet daadwerkelijk "henk valsenaam" heet

sparcle @jaenster • 5 februari 2021 06:57

Ja, dus 1x gehad.

smartbit @sparcle • 5 februari 2021 08:10

Heel vervelend. Is op te lossen met een lichtbildausweis. Brenno heeft er een leuk filmpje over gemaakt.

Huisgenoot van kennis accepteerde pakketje niet omdat hij de tenaamstelling niet kende. Mijn kennis had willekeurige naam gebruikt.... Ach ja, opnieuw bestellen en wordt weer geleverd.

mjl @smartbit • 4 februari 2021 21:30

Aan mevr: A.f. Lever-Adres

jjjeck

@smartbit • 4 februari 2021 22:28

Begrijp niet waarom je een email altijd moet achterlaten,

Soms is het wel handig
- track en trace
- updates als er blijkt dat onverwachte gebeurtenis is (vertraging)

Imho is het dus soms best handig. (Hiervoor gebruik ik een Gmail adres ipv een op mijn eigen domein)
Wil ik echt geen e-mail achterlaten dan gebruik ik https://tijdelijke-email.nl/)

Anoniem: 57381 @jaenster • 4 februari 2021 21:39

Waarom zou een spammer die moeite nemen? Die heeft een lijst met miljoenen email addressen met een procentueel klein aantal met een +blabla er in.... De spam komt toch wel aan, boeiend dat jij weet waar het gelekt is....

Ik heb zelf een keer meegemaakt dat iemand (laten we hem Piet noemen hier) serieus boos werd omdat hij dacht dat ik zijn identiteit aan het stelen was omdat ik aan hem het mail adres piet@xyz doorgaf..... ik moest heel hard lachten maar hij was serieus erg boos. Niet iedereen begrijpt het inderdaad. Leuk is het wel en je kunt mensen soms ook wat leren door uitleg te geven als ze raar kijken.

Slimme.Smurf @jaenster • 5 februari 2021 00:04

Haha. Ik heb ook al vaak uit moeten leggen dat ik niet bij hun bedrijf werk.

Alleen bij A T A * waren ze zo dom dat ze het niet begrijpen dat ik geen inbox heb met hun naam, dat ik gewoon een eigen domein heb.
De telefoonmiep vond het nodig om een bedrijfsjurist in te schakelen en die begrepen er ook niets van.
Ze vonden het vast ook niet fijn dat ik dan gemakkelijk kon achterhalen waar een eventueel lek zat.
Dat kan ik natuurlijk ook met een ander uniek emailadres....
Wellicht hebben ze geen vertrouwen in hun eigen systeem.

Kleinere bedrijfjes zijn eerder dankbaar als je ze erop kunt attenderen dat hun webhoster/webdesigner zijn zaakjes niet op orde heeft. Een vroege waarschuwing kan verder reputatieschade voorkomen, lijkt mij.

[Reactie gewijzigd door Slimme.Smurf op 24 juli 2024 12:48]

Joostje123 @xFeverr • 5 februari 2021 05:21

Bij Gmail kan je ook met punten werken.

Dus bla@gmail.com
Is zelfde als b.la@gmail.com

xFeverr @Joostje123 • 5 februari 2021 11:46

oke, punten worden dus eigenlijk genegeerd? Maar daar kun je niets meer aan toevoegen toch?

Joostje123 @xFeverr • 5 februari 2021 14:20

klopt
Als je account bla@gmail.com is kan je niet bla.hoi@gmail.com doen.

Die gaan naar blahoi@gmail.com

Maar ik heb gewoon voor webshops alles naar bl.a@gmail.com gestuurd
Alles wat op die mail binnenkomt komt ook gewoon in mijn spam folder direct terecht.

coen254 @NickyVDP • 4 februari 2021 20:13

Een catch-all inbox opzetten op je eigen domein.

The_Woesh @NickyVDP • 4 februari 2021 19:56

Ook zonder domain kan dat.
Met gmail kan je met naam + Email voor alles een uniek email adres gebruiken. Bv allekabels+NickyVDP@gmail.com gebruiken als je daar een account aanmaakt

3raser @The_Woesh • 4 februari 2021 20:39

Je bedoeld het goed maar het werkt andersom. Het e-mailadres nickyvdp@gmail.com zou dan nickyvdp+allekabels@gmail.com worden. Daarnaast is deze truc zo algemeen bekend dat spammers ondertussen wel weten dat ze alles achter de + weg kunnen halen.

tweaknico @3raser • 4 februari 2021 22:01

Dan moet je bedenken dat de top folder dus de spam folder is en alles wat daar terecht komt verdacht is.
Alleen een geldige +subadres bekijk je nog.

Dan is het verwijderen van een suffix dus een enkeltje bitbucket.

HarmoniousVibe @The_Woesh • 4 februari 2021 20:21

Andersom dus, anders komt hij in de inbox van allekabels@gmail terecht.

nicenemo @NickyVDP • 5 februari 2021 07:55

devries+bedrijfsnaam@gmail.com

of een catchall met

bedrijfsnaam@mijndomein.nl

Saven @Ray_ • 4 februari 2021 20:31

En vraag me af hoe, en of, getroffen personen worden ingelicht? Ik heb daar eind 2018 iets gekocht. Vraag me af of mijn gegevens dan ook onder die 5000 vallen..

Lizard

@Saven • 4 februari 2021 20:50

Ik heb wel mail van allekabels gehad, terwijl mijn laatste order daar uit 2016 is.

mjl @Lizard • 4 februari 2021 21:31

Geen mail gehad maar wel verdacht veel spam...

Edit: password bij alle kabels maar even aangepast. Overigens niet het meest veilige proces...

[Reactie gewijzigd door mjl op 24 juli 2024 12:48]

gooos @mjl • 5 februari 2021 00:07

Ik ook de laatste tijd, toch nog maar eens wat extra in de gaten houden de komende tijd. En toch ook maar uit voorzorg mijn mail adres bij alle kabels veranderen voor de toekomst.

jinks26 @mjl • 5 februari 2021 10:03

Ik ook verdacht veel spam de laatste tijd op m'n oud email adres die ik aan het uitfaseren ben..

MClaeys @mjl • 5 februari 2021 21:37

Hier ook, redelijk wat besteld laatste jaren, geen mail maar wel spam.

De .be site wel, maar dat maakt geen verschil denk ik.

[Reactie gewijzigd door MClaeys op 24 juli 2024 12:48]

MrManuel

@Saven • 5 februari 2021 02:16

Ik ook en heb de mail ontvangen.
Heb om meer info gevraagd. Vooral welk type data gelekt is ben ik benieuwd naar.

ejabberd @Ray_ • 4 februari 2021 19:45

Allekabels.nl is m.i. aardig laks geweest.

Alle begrip voor Allekabels. Het zou best heel goed kunnen dat men tijd nodig had om:

Met zekerheid vast te stellen wie achter het lek zat.
Een stevig dossier op te bouwen tegen die medewerker.
Voldoende juridische raad in te winnen.

Het zou niet de eerste keer zijn dat een dief z'n werkgever aanklaagt wegens onterecht ontslag en nog gelijk krijgt ook. Als werkgever heb je een bikkelhard dossier nodig om een werknemer om dringende reden te ontslaan en eventueel voor de rechter te dagen.

Xfade @Ray_ • 4 februari 2021 20:15

Ik heb geen spam ofzo ontvangen. Gek dat het maar een klein groepje is dan.

De_Bastaard @Ray_ • 4 februari 2021 20:41

Ah! Dat zou wel verklaren waarom ik opeens (de laatste paar dagen) een buttload aan spam ontvang elke dag! Toch maar eens een extra adres gaan aanmaken voor webshops hoor.

dnrb @De_Bastaard • 4 februari 2021 21:45

Ik heb wel een mail van allekabels ontvangen dat mijn gegevens zijn gelekt, maar nog geen spam gehad door dat lek. Dat weet ik omdat ik bij allekabels het emailadres: allekabels@[Mijn Domein].nl heb opgegeven. en er geen spam naar dat adres is gestuurd. De kans is dus groot dat die buttload aan spam hier niks mee te maken heeft.

Tux3.14 @De_Bastaard • 4 februari 2021 22:18

Hier ook. Alleen geen mail gekregen dat mijn gegevens gelekt zouden zijn.

Anoniem: 84766 @Ray_ • 4 februari 2021 18:13

maar volgens mij is het niet handig om na een melding maar gewoon door te kabbelen...

In dit geval bleven ze doorkabelen...

Tijgert @Ray_ • 4 februari 2021 18:48

Ik las eerst "door te kabelen'

Robbierut4 4 februari 2021 17:26

Voor de mensen die de hele mail willen lezen: https://imgur.com/a/Rcn5vrN
Matige mail, zou handig zijn als ze zeggen welke gegevens gelekt zijn.

NoahAmber @Robbierut4 • 4 februari 2021 17:49

Dan zijn er verschillende mails gestuurd. Paste hier even de aanvang van de mail die ik heb mogen ontvangen:

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens (naam, adres, geboortedatum, telefoonnummer en e-mailadres) gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).

Robbierut4 @NoahAmber • 4 februari 2021 17:51

Ik denk dan dat het eraan ligt of je een account hebt of niet. Zag dat hierboven ook al. Ik heb geen account en krijg een mail zonder informatie.

NoahAmber @Robbierut4 • 4 februari 2021 18:15

Daar heb je een goed punt. Zal dat het zijn. Ik heb er namelijk idd een account

theMob @NoahAmber • 4 februari 2021 18:31

Maar heb je ook echt je geboortedatum opgegeven? Lijkt onverstandig.

Bij Wehkamp vragen ze dat als verplichte optie en heb ik 1-1-1900 ingevuld. Bij het allereerste contact met de klantenservice was de allereerste vraag van de mevrouw wat mijn geboortedatum was, want ze geloofde echt niet dat dat 1-1-900 was. Ik zei nee, maar waarom moet ik mijn geboortedatum opgeven als ik een broek bestel? Toen werd het even stil terwijl ze haar instructies doorlas en toen was het probleem opeens verdampt.

mae-t.net @theMob • 4 februari 2021 18:47

Om dat probleem te vermijden, ben ik meestal op unix-epoch of dos-epoch geboren. 1-1-1970 of 1-1-1980.

Triblade_8472 @mae-t.net • 4 februari 2021 19:33

Aan de ene kant is het verboden teveel informatie te vragen (er is geen nut voor een geboorte datum) maar aan de andere kant moeten ze wel weten hoe oud je bent (denk ik) ivm betalingvoorwaarden oid.

Ik geef vaak dan maar 1-1-geboortejaar op. Dan voldoe ik redelijk aan de leeftijd maar niet precies genoeg om het echt te laten zijn. En het is nog te onthouden ook

Enige issue geld voor een paar mensen die daadwerkelijk 1 jan. jarig zijn. Ik ken er een

Oon

@Triblade_8472 • 4 februari 2021 20:48

Het lastige is dat bij sommige persoonsgegevens (bijv. BSN) ze een hele goeie reden moeten hebben om die op te slaan, en ze bij andere gegevens gewoon 'identificatie' kunnen gebruiken. Ze moeten immers kunnen checken of jij het wel bent als je de klantenservice belt.

Het verplicht stellen is wel raar en onnodig. Alles behalve je postcode, huisnummer en achternaam is eigenlijk volkomen overbodig.

Floor @mae-t.net • 4 februari 2021 19:29

Of 30-2-1974

Bij slechte configuraties kon je dit nog wel eens doen.

PhilipsFan @theMob • 4 februari 2021 20:11

Zo doe ik dat ook vaak. Idioot dat webwinkels mijn geboortedatum moeten weten, ze hoeven alleen maar te weten of ik handelingsbekwaam ben. Dus een simpel vinkje als 'ik ben meerderjarig en sta niet onder curatele' is voldoende.

Maar het leidt soms ook tot vervelende situaties. Naast het onnodig opslaan van de geboortedatum, wordt dit door sommige bedrijven ook gebruikt ter identificatie verificatie. Dat is zo mogelijk nog idioter. Dus af en toe heb ik een klantenservice aan de lijn die naar mijn geboortedatum vraagt en die weet ik dan niet meer. Want ik gebruik meestal een random datum...

Slimme.Smurf @PhilipsFan • 5 februari 2021 00:16

In het verleden telde ik bij de dag, maand een jaar overal eentje bij op.
Tegenwoordig noteer ik al de gegevens die verplicht ingevuld moeten worden, en ik van denk dat ze niets mee te maken hebben, in de passwordmanager.

mjl @theMob • 4 februari 2021 21:33

Ik deed dat laatst ook maar kreeg de melding dat ik als minderjarige niet een account mocht aanmaken .. 01-01-1901...

dirk161 @theMob • 5 februari 2021 11:22

Je zou best kunnen stellen dat voor verificatie het gebruik van een verzonnen geboortedatum veiliger is dan je echte geboortedatum.

Caelorum @Robbierut4 • 4 februari 2021 19:06

Mail gekregen zonder informatie, maar heb wel een account.

ISaFeeliN @Robbierut4 • 4 februari 2021 22:59

Ik had (heb) een account daar, maar heb geen mail gehad van ze..

Robbierut4 @ISaFeeliN • 4 februari 2021 23:02

Staat ook in het artikel, alleen de accounts waarvan ze denken die gelekt zijn krijgen mail.

ISaFeeliN @Robbierut4 • 4 februari 2021 23:13

Jup, mijn vrouw (ook nerd uiteraard) heeft d'r wel een gekregen .. maar ons oude adres stond nog in haar account (zijn tijdje terug verhuisd).

Aapmansz @Robbierut4 • 4 februari 2021 19:18

Bestel er regelmatig zowel zakelijk als prive. Voor beiden een account. Nog geen mail van ze ontvangen op beide accounts.

mjtdevries @NoahAmber • 4 februari 2021 19:50

We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.

LOL, uit voorzorg gemeld bij de AP. Nee, jullie zijn wettelijk verplicht dit te melden.
Bij diefstal van gegevens van 5000 klanten is het zonneklaar dat je dit binnen 72 uur bij de AP moet melden.

bones @NoahAmber • 5 februari 2021 07:03

Huh waarom wil een kabelwebshop je geboortedatum?

jvvj @bones • 5 februari 2021 15:49

Om je geautomatiseerd te feliciteren en je 5% korting te geven op je eerstvolgende bestelling *

* bij een bestelling vanaf 100 euro.

Mangu429 @NoahAmber • 4 februari 2021 20:00

Ze hadden het woord 'mogelijk' beter weggelaten. Maar goed, de rest van de mail weerspreekt dit.

wontcachme @Robbierut4 • 4 februari 2021 17:38

In de mail die ik heb gehad staat wel welke data er vrij is gekomen

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens (naam, adres, geboortedatum, telefoonnummer en e-mailadres) gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.

Robbierut4 @wontcachme • 4 februari 2021 17:39

Huh apart, heb je dan een andere mail gehad?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Robbierut4 • 4 februari 2021 17:47

Het kan zijn dat ze onderscheid maken tussen mensen die een account hebben en welke dat niet hebben.

Houtenklaas @Bor • 4 februari 2021 18:07

Ik heb een account bij ze (met herkenbaar en uniek mailadres voor allekabels) en heb de "beperkte" mail gehad die alleen maar meer vragen oproept, dat lijkt het dan ook niet te zijn. Ik ontving hem overigens vandaag 16:36. Mijn geboortedatum is al enige tijd 1-1-1900 voor dit soort dingen, net zoals mijn telefoonnummer 0612345678 is ... (die doet het inderdaad niet). Inderdaad volstrekte kul om dat te willen weten.

[Reactie gewijzigd door Houtenklaas op 24 juli 2024 12:48]

ronaldmathies @Houtenklaas • 4 februari 2021 18:26

Bij mij hetzelfde, geregelt wat besteld, ook vandaag de korte email gehad. Heb een mail teruggestuurd met de vraag voor meer duidelijkheid over welke gegevens precies gelekt zijn.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ronaldmathies • 8 februari 2021 09:54

Bij mij hetzelfde, geregelt wat besteld, ook vandaag de korte email gehad. Heb een mail teruggestuurd met de vraag voor meer duidelijkheid over welke gegevens precies gelekt zijn.

Heb je al een reactie ontvangen? We zijn inmiddels dagen verder en het is helaas nog steeds radio stilte vanuit Allekabels.

ronaldmathies @Bor • 9 februari 2021 20:08

Ik heb nog geen reactie mogen ontvangen... hier in de comments lees ik wel wat er schijnbaar gelekt is maar ik wil het graag van hun horen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ronaldmathies • 9 februari 2021 20:13

Dat herken ik. Het lijkt volledige radio stilte te zijn nog steeds. Ik wacht de week nog af en ga daarna aangifte doen.

Zwaai Haai @Bor • 9 februari 2021 22:28

Ik heb gereageerd op de mail en om opheldering gevraagd aan Constantijn Souren, de eindbaas van allekabels die ook de mail ondertekend had. Geen enkele reactie. Niet eens een standaard antwoord of persbericht.

Op de website jubelen ze nog steeds dat ze 3.283.280 tevreden klanten hebben. Bij deze, maak daar maar 3.283.279 van.

azerty

@Bor • 4 februari 2021 17:59

Ik heb ook een account, en in mijn email staat er niks van gegevens... Dus dat is het selectiecriteria schijnbaar niet...

AP3X @Robbierut4 • 4 februari 2021 17:49

Wellicht het verschil tussen wel of niet een account hebben

Zwaai Haai @wontcachme • 4 februari 2021 17:45

Geboortedatum?

Ik zie geen rede om mijn geboortedatum, of misschien zelfs telefoonnummer in te vullen bij het bestellen van kabels.

Daarnaast, bij mijn klantgegevens op allekabels.nl/member/account.php zie ik ook geen veld voor geboortedatum.

Zynth @Zwaai Haai • 4 februari 2021 18:04

Die data mogen ze dus ook niet eens vragen. Blijkbaar doen ze dat dus ook niet.

[Reactie gewijzigd door Zynth op 24 juli 2024 12:48]

mae-t.net @Zynth • 4 februari 2021 18:46

Die mogen ze best vragen, zolang ze ze maar volgens de AVG verwerken.

Zynth @mae-t.net • 4 februari 2021 18:57

Je geboortedatum is niet noodzakelijk om hun dienst te verlenen.
Dat betekent dat als ze je geboortedatum vragen, ze daarbij direct ook expliciet moeten uitleggen wat ze hier mee gaan doen en daar "apart" toestemming voor moeten vragen.
Het mag niet "zomaar" onderdeel zijn van het bestelformulier.

https://autoriteitpersoon...rondslag-toestemming-6331

[Reactie gewijzigd door Zynth op 24 juli 2024 12:48]

mrmrmr @Zynth • 5 februari 2021 03:25

Dat vind ik ook een correcte interpretatie van de AVG. In Duitsland vragen ze al jaren naar de geboortedatum. Vreemd dat ze dat nog steeds doen. Ik vul nooit mijn echte geboortedatum in.

TweakOverflow

@Zynth • 4 februari 2021 18:11

Bij diverse websites doen ze dit om bijvoorbeeld een cadeaubon te sturen op jouw verjaardag

Dyon_R @wontcachme • 4 februari 2021 17:39

Interessant dat jij dit wel hebt staan. Ik heb exact dezelfde email als @Robbierut4;

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.

Oeroeg @Robbierut4 • 4 februari 2021 17:32

Alsof het zonder thuiswerken niet had kunnen gebeuren. Lijkt mij niet dat het kantoor van Allekabels word gescreend op het gebruik van USB-sticks. Of dat een medewerker op kantoor geen open internettoegang heeft.

[Reactie gewijzigd door Oeroeg op 24 juli 2024 12:48]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Oeroeg • 4 februari 2021 17:36

Dat niet alleen maar ik vind het ook raar dat men niet weet welke gegevens gelekt zijn. Ik heb de mail ook ontvangen maar herinner mij geen account te hebben. Een password reset mail komt ook niet aan. Dat is mogelijk gezien je zonder account kan bestellen. In dat geval bewaren ze de gegevens voor mijn gevoel wel erg lang.

Crim @Bor • 4 februari 2021 18:48

Je moet je administratie minimaal 7 jaar bewaren van de belastingdienst, ook alle verkoopfacturen. Dit kan bijna overal gebeuren lijkt me. Alleen bedrijven als Bol.com en Wehkamp kunnen misschien genoeg investeren in beveiliging tegen kwaadwillende werknemers. Voor een normaal MKB bedrijf is dit bijna niet te doen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Crim • 4 februari 2021 18:56

Bewaren en direct opvraagbaar zijn, blijkbaar zonder veel obstakels, zijn verschillende dingen.

Frankster @Bor • 4 februari 2021 22:23

En juist bij webshops moet het vaak direct opvraagbaar zijn; als je een vraag over je product hebt is het eerste dat gecontroleerd wordt de vraag of je het product daar ook daadwerkelijk hebt gekocht. Niet om lastig te zijn, maar juist om te voorkomen dat je support levert aan klanten die het product niet bij je werkgever hebben gekocht. Ik kan me nog heel goed herinneren dat klanten van de Blokker mijn voormalig werkgever heel vaak belden voor support voor hun Mitac Mio 168...

Poekie McPurrr @Frankster • 5 februari 2021 08:24

Precies dit. Wil je alles extra veilig opslaan of wil je je klanten snel kunnen helpen. Snel helpen: vrolijke klant, goede recensie, komt vaker terug en je houd geen dure support bezet omdat die bezig is met achterhalen gegevens.
Vraag is dan wel, hoelang hou je gegevens makkelijk beschikbaar.. een half jaar, een jaar?

Daarbij lijkt me dit niet te voorkomen, en vrees ik dat we dit meer gana horen nu a) door de GGD lek support-volk weet wat die gegevens waard zijn en b) bedrijven alerter zijn op wat een werknemer via de systemen te makkelijk en ongezien kan downloaden..

Oeroeg @Bor • 4 februari 2021 17:38

Mijn enige en laatste bestelling was van 2014.

Aapje @Oeroeg • 4 februari 2021 19:02

Mijn laatste bestelling daar was 2008...

WhatsappHack

Datalek
Beveiliging en antivirus

@Bor • 4 februari 2021 19:30

Tegen dat probleem liep ik ook aan. Nergens een wachtwoord te vinden en wachtwoorden die ik vroeger nog wel eens recyclede voor onbenullige zaken doen ook niets, kan me idd ook wel heugen gekozen te hebben om af te rekenen als gast. Ik ben wel benieuwd of toevallig enkel klanten zonder account zijn geraakt door het lek. In principe moeten ze je bestelgegevens minstens 5 jaar bewaren natuurlijk, dus vanuit dat oogpunt... Afijn.

Kadardar @Oeroeg • 4 februari 2021 17:36

Ik lees het als een corrupte medewerker die zonder toezicht door thuiswerken deze gegevens heeft gelekt.

Had ook op locatie kunnen gebeuren maar daar is het vaak toch iets moeilijker want je collega's lopen nog om je heen

nietorigineel @Kadardar • 4 februari 2021 20:30

Waarom steelt iemand gegevens van 5000 mensen, is dat zo lucratief per persoon dat het al de moeite is? Kan ik me haast niet voorstellen, bij doorverkopen. Gezien de andere reacties lijkt het al een tijdje aan de hand, dus ook niet waarschijnlijk dat ze hem snel te pakken hadden, voor hij meer kon stelen / downloaden. Voor eigen gebruik dan, om zelf goedkoop aan phishing targets te komen?

Kadardar @nietorigineel • 4 februari 2021 20:59

Waarom iemand gegevens steelt is nooit per direct duidelijk.

Kan verkoop zijn, kan ook zijn dat meneer/mevrouw profielen maakt zodat hij/zij bijv aanmaningen kan sturen met bergen gegevens erop zodat het net echt lijkt.

Dyon_R @Robbierut4 • 4 februari 2021 17:35

Ik heb al gereageerd op de mail met de vraag wat er specifiek is gelekt, wachtwoorden? adressen? Zoja, welke encryptie hashing methode zit er op wachtwoord? Mocht ik reactie krijgen zal ik dit delen.

Edit: hashing in plaats van encryptie, want dat is de juiste term, shoutout eborn

[Reactie gewijzigd door Dyon_R op 24 juli 2024 12:48]

Robbierut4 @Dyon_R • 4 februari 2021 17:36

Top, hoor het graag dan. Vind het ook wel vrij slecht dat dat er niet bij staat.

eborn @Dyon_R • 4 februari 2021 17:49

Ik vermoed geen enkele encryptie. Hashing hopelijk wel.

Sderoos @Dyon_R • 4 februari 2021 19:21

Ik ben gisteren gebeld door een tech-journalist. Die vertelde mij dat alle bestelgegevens in de database staan. Ook wachtwoorden staan er in, maar gehashed. Wou controleren of deze database legitiem was, ik stond er in...

FreshMaker @Sderoos • 5 februari 2021 07:03

Dus kortweg heb jij aan een potentiele klant van degene die de data gestolen heeft, aangegeven dat de database legitiem was, en dus waardevol ?

Iedereen kan zich als 'tech-journalist' voordoen.
* ik lees op Tweakers in de commentaren vaak genoeg reacties van "autoriteiten" en "kenners"

Pikoe @Robbierut4 • 4 februari 2021 17:38

Ik heb de mail ook gehad een uur geleden. Het was inderdaad handig geweest als ze hadden aangegeven welke gegevens gelekt waren, want nu gaan ze een hoop mail terug krijgen.

Gelukkig heb ik ze nooit een achternaam en telefoonnummer gegeven en heb ik een uniek emailadres gebruikt.

Lebans @Robbierut4 • 10 februari 2021 20:56

"....de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners."

Delen met onze partners ?? Vanaf maart dan encrypted ? Soweso delen vind ik raar, of zie ik dat verkeerd?

bones @roelboel • 5 februari 2021 07:09

Wat is er mis met “beste”?

roelboel @bones • 5 februari 2021 08:16

Er is niets mis met "Beste klant, beste zus, beste zo". Maar een kale "Beste, " is onprofessioneel en straalt mijns inziens onverschilligheid uit.

wontcachme 4 februari 2021 17:36

In de mail die ik heb gehad staat wel welke data er vrij is gekomen

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens (naam, adres, geboortedatum, telefoonnummer en e-mailadres) gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).

Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst.

We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.
Zodra de nieuwe encrypted e-mail database online is gegaan, zullen we u een bericht sturen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@wontcachme • 4 februari 2021 17:46

Dat zijn er tenminste twee verschillende mails uitgegaan; een zonder vermelding van de gelekte informatie en een waar deze zaken wel in genoemd staan.

wontcachme @Bor • 4 februari 2021 18:14

Ik heb de email binnengekregen om 15:55. Het plaatje van @Robbierut4 is van 16:41. Wellicht dat ze tussendoor de tekst hebben aangepast?

Beh1ndU @wontcachme • 4 februari 2021 19:53

Nee, ik heb de eerste mail (niet aangepast) ontvangen om 16.49...

Anoniem: 31430 @wontcachme • 4 februari 2021 17:42

Heb je een account bij allekabels.nl? Ik niet namelijk en bij aankopen zonder een account wordt er niet gevraagd om een geboorte datum.

wontcachme @Anoniem: 31430 • 4 februari 2021 18:07

Ik heb een account. Overigens staat er in de account gegevens geen eens een veld om een geboortedatum in te voeren

preske @wontcachme • 4 februari 2021 17:49

de versie die ik heb gekregen staat niet in welke gegevens gelekt zijn. goed bezig AlleKabels.

Oeroeg @preske • 4 februari 2021 18:00

Zijn ze lekker handmatig alle slachtoffers aan het mailen.

87brybry 4 februari 2021 18:14

Ik wíst het! Een aantal maanden geleden ben ik verhuisd. Natuurlijk lekker kabels besteld, huisje goed voorzien enzo. Leuk.
Op een dag kreeg ik een smsje van zogenaamd ABN, troep natuurlijk, maar ik besloot via een omweg te klooien op die nepwebsite. Kreeg 's avonds ineens allemaal valse bestellingen via thuisbezorgd aan de deur, met daarop mijn volledige naam (goed gespeld, want er zijn nogal wat variaties op) en bijna hetzelfde telefoonnummer. Lekker intimiderend.
Dus ik heb een lijstje opgemaakt van alle bedrijven waarop ik besteld heb op dit adres en waar mijn hele naam vermeld staat.. Allekabels staat daartussen.
Bij geen van de sites waar ik inlogde kon ik bankgegevens terugvinden; Niet in het account en ook niet in de facturen. De SMS vanuit ABN deed me dan al sterk vermoeden dat iemand mijn gegevens op een andere manier had verkregen.

Ik heb aangifte gedaan van het feit dat mijn gegevens ergens zijn misbruikt, maar gezien de doorgaands slechte communicatie met allekabels.nl heb ik niet de moeite genomen om ze te vragen of er toevallig iets gelekt is. Dat had ik dan aan nog negen andere bedrijven kunnen vragen en ik verwacht niet dat er een gedegen onderzoek volgt op basis van een vermoeden. Ook dit nieuwsbericht is natuurlijk geen zekerheid dat het daar vandaan komt. Ik heb ook geen mail van allekabels ontvangen terwijl ik er zeer regelmatig besteld heb.

Maar eng is het wel wat een bedrijf allemaal van je weet. Bij de simpleste webshop moet je al een naam, adres, telefoonnummer en bankgegevens achterlaten.

dnrb @87brybry • 4 februari 2021 21:56

Kijk eens op: https://www.politie.nl/th...gevens-zijn-gestolen.html
of op have I been powned. Misschien komt die data ergens anders vandaan.

87brybry @dnrb • 5 februari 2021 11:00

Yes, heb ik gecheckt. Firefox Monitor houdt m'n adressen ook in de gaten.
N.a.v. dit akkefietje heb ik bekeken waar ik in die maanden besteld heb, of ik op die sites mijn volledige naam en telefoonnummer heb achtergelaten (die laatste is vaak verplicht, geen idee waarom, maar mail gewoon?), of ik er een bekend of ouder wachtwoord heb gebruikt en of bankgegevens op te vragen waren. Op basis daarvan kwamen er dus 10 mogelijke sites aan het licht.

Voor de zekerheid ben ik wel een aanzienlijk deel van de wachtwoordenlijst in Firefox nagelopen, om op de recent gebruikte sites een uniek en ingewikkelder wachtwoord met MFA in te stellen. Daar zitten een paar uurtjes in, maar dan is het maar eens gedaan.

Maargoed, je kunt het inloggen nog zo complex maken; Als een bedrijf het toestaat dat medewerkers thuis een exportje kunnen maken van klantgegevens, dan ben je als consument machteloos. Ik ben er gelukkig scherp op, maar met deze methode lukt het die boefjes wel om het vertrouwen van anderen te winnen en geld over te maken. Banken zouden hier ook absoluut een grotere rol in moeten spelen door verdachte overboekingen tegen te houden en geldezels / rekeningen van jongeren scherper in de gaten te houden.

Wat overigens ook wel goed kan helpen is door de URL in de SMS, of de URL achter die doorlinksite, te rapporteren bij Google Safe Search. Binnen een dag kleurt je hele scherm rood als je de site wil bezoeken.

JSDB @87brybry • 5 februari 2021 07:36

Dus je hebt aangifte gedaan omdat iemand op jouw email iets besteld heeft? Hoe heb je dat gedaan?Handig om te weten misschien

87brybry @JSDB • 5 februari 2021 10:40

De aangifte was vanwege de datadiefstal en vanwege de valse bestellingen. Er zijn toch een aantal ondernemers door benadeeld. Thuisbezorgd heeft verdere orders kunnen annuleren en zou ook aangifte gedaan hebben. Ik vind het wel slecht van Thuisbezorgd dat ze het toestaan dat nieuwe accounts eten kunnen bestellen zonder vooraf te betalen, op nota bene een adres dat al gebruikt is onder een ander account. Daar zou toch op zijn minst een belletje moeten gaan rinkelen.
Hetzelfde kan gebeuren met andere bestellingen. Vanwege Corona zijn de bezorgers hier vaak al ingestapt voordat ik heb controleren of mijn naam erop staat.

Edit: De politieagente die de aangifte opnam wist trouwens niet wat thuisbezorgd was, dus dat geeft al een beetje aan hoe die aangifte verliep

[Reactie gewijzigd door 87brybry op 24 juli 2024 12:48]

Ruwor @87brybry • 5 februari 2021 11:55

Ik dacht dat door de corona je tegenwoordig niet meer met contant betalen kon bestellen?

PDZ 4 februari 2021 17:27

Ik ontvang sinds korte tijd allerlei spam-mails, daarvoor in alle jaren nog nooit één spambericht ontvangen (klinkt misschien gek, maar is echt waar). Ook ik heb in het verleden vaak bij Allekabels besteld, zou toch wel schijtergerlijk zijn als hierdoor mijn gegevens zijn gepubliceerd...

Robbierut4 @PDZ • 4 februari 2021 17:29

Ik heb een eigen domein met een catch all email adres. Bij bijvoorbeeld allekabels heb ik allekabels@domein als account/email adres. Zo kan ik direct zien waar iets gelekt is, en eventueel dat adres blokkeren van spam.
Zelf overigens wel de mail gehad van hun, maar geen spam op dat adres.

StefanJanssen @Robbierut4 • 4 februari 2021 17:36

Ik kreeg 25 november 2020 opeens een slagersbestelling op allekabels@domein binnen. Dit heb ik toen direct bij ze gemeld en toen is er gecommuniceerd naar het AP. Afgelopen maandag kreeg ik een email van de "rabobank" op hetzelfde email adres en toen heb ik ze nogmaals geschreven en gezegd dat ze toch wel eens de klanten mogen inseinen.

Geachte heer, mevrouw,

Graag wil ik twee versmenus bestellen voor as zondag 29 november.

2 x rundercarpaccio

2 x grand petit desert.

Wij zijn vanaf 17:00 uur thuis.

[knip] persoonsgegevens (van een vrouw uit Alphen aan den Rijn)[/knip]
Graag even een ontvangstbevestiging.

Met vriendelijke groet,

A van Haaren

EDIT: Exacte datum toegevoegd en de details van de slagersbestelling.

[Reactie gewijzigd door StefanJanssen op 24 juli 2024 12:48]

Oeroeg @StefanJanssen • 4 februari 2021 17:42

Wat is het verdienmodel hierachter?

Die slager heeft nu gewoon een bezorgadres en een factuur die betaald moet worden?
Als je zoekt op de namen van de versmenu's, kun je zien welke brasserie dat in Alphen is.

[Reactie gewijzigd door Oeroeg op 24 juli 2024 12:48]

StefanJanssen @Oeroeg • 4 februari 2021 17:45

Ik ben alleen geen slager, en het email waar het vandaan komt is van iemand met een andere voor en achternaam.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Oeroeg • 4 februari 2021 17:49

Veelal leidt het adres naar een leegstaand pand of posten ze buiten om de bezorger op te wachten.

Kewne @Oeroeg • 4 februari 2021 22:52

Het doel is bevestigen dat het een goed werkend en actief belezen emailadres is. In de spam/scamindustrie zijn die nu eenmaal een stuk meer waard, zeker als je ook NAW gegevens hebt. En een emailtje als deze zullen best veel mensen toch even op reageren met een "sorry ik ben geen slager, foute adres, helaas" met hun naam in de headers erbij. Er zijn wel andere manieren om het te doen, maar met mailtjes als dit kom je heel makkelijk door spamfilters heen en gelijk in de inbox terecht, wat in mailtjes met tracker images of URLs naar shady sites een stuk lastiger is.

FlipFluitketel Frontpage Admin @StefanJanssen • 4 februari 2021 17:48

Die mail kreeg ik 25-11-2020 dus ook inderdaad. Niet alleen op allekabels@mijndomein maar ook op 112kabels@mijndomein. Toen ook even zitten zoeken maar ik kon op dat moment geen andere klachten vinden dus gewoon verwijderd. Blijkbaar zit er dus toch wat meer achter.

Afgelopen/vorige week wel nog een andere vage mail gehad op allekabels@mijndomein dat er iets klaargezet zou worden of zoiets, niet echt aandacht aan besteed maar direct verwijderd.

[Reactie gewijzigd door FlipFluitketel op 24 juli 2024 12:48]

Zwaai Haai @StefanJanssen • 4 februari 2021 17:56

Wel een classic, phising met een typfout erin. Bij "grand petit desert" gaan al alarmbellen rinkelen..

en daarnaast is het een "petit grand dessert" en geen "grand petit dessert"

Oeroeg @Zwaai Haai • 4 februari 2021 18:08

Maar wat is het doel bij zoiets?

Als je reageert dat je geen slager bent, dan komt er een of ander verhaal dat een tikkie moet betalen?
Wordt die slager afgeperst?

Wesco @Zwaai Haai • 4 februari 2021 18:40

Plus dat je je kunt afvragen wat een 'groot klein toetje' of een 'klein groot toetje' precies inhoudt? Het lijkt een beetje met elkaar in tegenspraak...

Dyon_R @Robbierut4 • 4 februari 2021 17:34

Met de meeste email services kan je ook dit doen, de 'plus-methode':
Stel mijn email is dyon_r@gmail.com
Registreer ik mij op Tweakers; dan registreer ik mij als dyon_r+tweakers@gmail.com
Registreer ik mij op Allekabels.nl; dan registreer ik mij als dyon_r+allekabels@gmail.com

Veel grote providers zoals Microsoft, Protonmail en Gmail ondersteunen dit! Test van te voren wel door een email naar jezelf te sturen of die ook werkt voor jou. Als je een zakelijk email hebt, zal dit waarschijnlijk niet werken.
Kunnen spammers dit filteren door van de + tot de @ weg te halen? Ja, maar vaak zullen ze deze moeite niet nemen. Dit is een 'extra' laag beveiliging om te zien waar mogelijk je gegevens zijn gelekt, mocht je spam ontvangen.

Moet een website weigeren dat je een '+' gebruikt, kan het zo zijn dat je bij sommige providers ook een '.' op elke plek van je email kan zetten. Dit werkt alleen als je email-adres al dyon.r@gmail.com is, ik bezit dan dus ook dyonr@gmail.com en d.y.o.n.r@gmail.com en d.yonr@gmail.com.
Ook dit zal je eerst moeten testen. Daarbij, de gegevens hierboven zijn slechts en voorbeeld

[Reactie gewijzigd door Dyon_R op 24 juli 2024 12:48]

CH4OS

Datalek

@Dyon_R • 4 februari 2021 18:41

Kunnen spammers dit filteren door van de + tot de @ weg te halen? Ja, maar vaak zullen ze deze moeite niet nemen. Dit is een 'extra' laag beveiliging om te zien waar mogelijk je gegevens zijn gelekt, mocht je spam ontvangen.

Er zijn anders steeds meer websites die een + in de username van het e-mailadres niet toestaan.

mae-t.net @CH4OS • 4 februari 2021 18:49

En die voldoen daarmee dus niet aan de RFC's. Die staat een + namelijk gewoon toe. Zal eerder onwetendheid zijn dan kwade opzet, misschien helpt het om te klagen als je ertegenaan loopt.

CH4OS

Datalek

@mae-t.net • 4 februari 2021 18:51

Dat is prima, toch? Heeft ook niet zoveel met welke RFC dan ook te maken, maar puur met wat voor e-mailadressen door de website als valide worden beschouwd (en dus een stukje beleid wordt van het bedrijf in kwestie).

[Reactie gewijzigd door CH4OS op 24 juli 2024 12:48]

mae-t.net @CH4OS • 6 februari 2021 15:40

Welke e-mailadressen als valide worden beschouwd, dat is dus precies waar RFC's over gaan. Als iedereen dat voorzichzelf gaat bepalen, werkt het internet niet meer. Ik vind dat ik best UTF-32 en spaties mag gebruiken in een mailadres. Succes daarmee.

CH4OS

Datalek

@mae-t.net • 6 februari 2021 15:43

Ik mag hopen dat een RFC nooit en te nimmer bepaald wat het beleid is bij een bedrijf. Dat een RFC definieert wat een valide e-mailadres is, betekend niet direct dat je als webshop je daaraan moet houden. Immers, zou je strengere regels voor valide e-mailadressen hanteren (een subset dus), zijn dat net zo goed (aldus de RFC) valide e-mailadressen.

De Wet schrijft ook niet voor hoe de algemene voorwaarden eruit moeten zien van alle webshops. Een Wet omschrijft de kaders van het speelveld (er binnen blijven is legaal, er buiten is illegaal), als ik met strengere eisen binnen dat kader blijf, is wat ik doe/wil gewoon legaal. Bijvoorbeeld de zichttermijn bij online bestelde producten, die is minimaal 14 dagen, maar veel shops bieden in de praktijk meer (tot wel 100 dagen bij sommige winkels), is dat dan tegen de Wet, om een beleid te hebben dat breder is?

Een RFC is niet anders; het definiëren van een speelveld, als ik met strengere regels (bedrijfsbeleid) binnen het (RFC) kader blijf, heb je ook altijd valide e-mailadressen, die ook stuk voor stuk voldoen aan de betreffende RFC.

In jouw eerdere bericht noem je het 'eerder onwetenheid dan kwan kwade opzet', maar ik kan je vertellen, software engineers weten heus wel dat er RFC's zijn die zaken definieren en ook dat er RFCs zijn die definieren wat valide e-mailadressen zijn.
Echter zijn zij ook gebonden om te zorgen dat de data (input) voldoet aan de wensen van de organisatie zoals die ze opslaan wil en wat voor hen een acceptabel e-mailadres is. Steeds meer partijen bannen de + uit het e-mailadres, om een wildgroei aan dezelfde e-mailadressen te voorkomen, zodat een klant maar 1 profiel kan hebben. Redenen genoeg te bedenken waarom dat is.

[Reactie gewijzigd door CH4OS op 24 juli 2024 12:48]

mae-t.net @CH4OS • 7 februari 2021 13:23

Ik wil wel een stukje meegaan in je redenatie, maar nu ben je gewoon excuses aan het zoeken om je niet aan de RFC's te hoeven houden op een punt waar een oroganisatie echt geen geïnformeerde eisen aan gaat stellen. Dit is gewoon onwetendheid. Ik geef je op een briefje dat er nergens in een implementatie-eis staat dat de + in een mailadres expliciet verworpen moet worden.

Overigens onderschat je het nut van RFC's. Mijn voorbeeld was misschien niet gelukkig omdat ik expres dingen wilde doen die het internet zouden breken, maar het beperken van mogelijkheden kan net zo goed schadelijk zijn als er interactie met de rest van het internet verwacht wordt.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 12:48]

CH4OS

Datalek

@mae-t.net • 7 februari 2021 13:47

Ik heb het idee dat we langs elkaar heen praten, maar goed, here goes:

Ik wil wel een stukje meegaan in je redenatie, maar nu ben je gewoon excuses aan het zoeken om je niet aan de RFC's te hoeven houden op een punt waar een oroganisatie echt geen geïnformeerde eisen aan gaat stellen.

Zoals ik het zie, ben je aan het drammen om gelijk te krijgen, zoals jij denkt dat ik excuses maak om eea recht te praten.

Dit is gewoon onwetendheid. Ik geef je op een briefje dat er nergens in een implementatie-eis staat dat de + in een mailadres expliciet verworpen moet worden.

Het kan prima bedrijfsbeleid zijn en hoeft niet 100% onwetendheid te zijn. Redenen heb ik er intussen genoeg voor gegeven. Ik zie het op de websites die ik bezoek, ik heb dat gemaakt voor meerdere bedrijven en klanten waar ik als/voor software engineer heb gewerkt. De RFC waar we het nu over hebben, is vooral van toepassing op mailservers, maar daar heeft een webserver of database niets mee te maken, die geeft alleen het commando om de mail te versturen, maar heeft ook de verantwoordelijkheid om de gegevens op een juiste manier op te slaan, al dan niet met additioneel beleid vanuit de organisatie.

Ik geef je geen ongelijk, begrijp mij niet verkeerd, ik weet dat een + een prima valide karakter is in e-mailadressen, maar dat hoeft niet te betekenen dat iedereen dat klakkeloos moet accepteren zoals jij het in jouw posts brengt.

Overigens onderschat je het nut van RFC's.

Ik begrijp het heel goed, alleen kun je niet de RFC's overal op toepassen. Zoals ik eerder al zei, een RFC bepaald alleen hoe zaken werken, wat valide is en in dit geval met name voor SMTP-servers. Daar een subset op bouwen is niets mis mee en heeft zeker niet direct met onwetendheid te maken zoals jij stellig stelt, dat weerspreek ik, meer niet, maar jij blijft jezelf vastklampen aan de RFC.

Mijn voorbeeld was misschien niet gelukkig omdat ik expres dingen wilde doen die het internet zouden breken, maar het beperken van mogelijkheden kan net zo goed schadelijk zijn als er interactie met de rest van het internet verwacht wordt.

Waar breekt het internet, als een bedrijf een + teken niet toestaat in (de username van) een e-mailadres (en dus strengere eisen heeft aan een RFC-compliant e-mailadres?

Kan het bedrijf opeens niet meer e-mailen naar die klant?

Ik denk dat we prima weten wat daarop het antwoord is.

Maar laten we het hierbij laten, we gaan het niet eens worden namelijk en door discussiëren heeft mijns inziens geen zin.

[Reactie gewijzigd door CH4OS op 24 juli 2024 12:48]

Pikoe @Dyon_R • 4 februari 2021 18:15

Helaas kan je bij AlleKabels via de normale wijze niet je wachtwoord wijzigen als je een + in je e-mailadres hebt. Gelukkig via de 'wachtwoord vergeten' functie wel.

Terr-E

@Dyon_R • 4 februari 2021 17:41

Met de meeste email services kan je ook dit doen, de 'plus-methode':
…
Als je een zakelijk email hebt, zal dit waarschijnlijk niet werken.

Ter aanvulling; Zakelijke Gmail ( Google G Suite / Workspace ) ondersteunt het in ieder geval wel. Wij gebruiken het vaak !

Edit: De puntjes methode werkt NIET met G Suite / Workspace.

[Reactie gewijzigd door Terr-E op 24 juli 2024 12:48]

honey @Dyon_R • 4 februari 2021 19:01

Ha, leuke methode. Ik kende het niet eens.

Maar, uiterst irritant voor je suggesties als je een mail schrijft denk ik.

blup @Dyon_R • 4 februari 2021 19:45

Microsoft? Helaas kent Office 365 die plus methode niet.

.
Thans, ik krijg een bounce.

Nope, niet dus: https://techcommunity.mic...in-office-365/m-p/1170418

[Reactie gewijzigd door blup op 24 juli 2024 12:48]

hans235 @blup • 5 februari 2021 09:59

bedankt! geprobeerd en werkt als een speer!

niekw @Robbierut4 • 4 februari 2021 17:45

Dat heb ik gelukkig ook zo geregeld! Dus nu ik deze mail ook van ze heb ontvangen, gaat het gebruikte adres simpel in de burner.... next!

Overigens heb ik zo wel eens op andere dedicated mailadressen spam ontvangen en de bijbehorende bedrijven hierop kunnen attenderen... die er vervolgens niet op terugkomen of actie op ondernemen. Dan vind ik het feit dat Allekabels dat nu wel doet, wel netjes.

Hoe dan ook: ik ben wel erg blij met mail op eigen eigen domein!

[Reactie gewijzigd door niekw op 24 juli 2024 12:48]

CH4OS

Datalek

@niekw • 4 februari 2021 18:44

Dan vind ik het feit dat Allekabels dat nu wel doet, wel netjes.

Dit zijn ze gewoon verplicht. Dus niets optioneels en dus ook niet "netjes", maar gewoon omdat het moet (van de AVG/GDPR), anders kunnen ze van de AP een dikke prent verwachten.

[Reactie gewijzigd door CH4OS op 24 juli 2024 12:48]

niekw @CH4OS • 4 februari 2021 21:49

... ik heb het nog even nagezocht en zie zojuist dat ook Allekabels een van de bedrijven is die ik had geïnformeerd: ik kreeg op dit adres in november vorig jaar al spam

Dus nee, inderdaad ook niet netjes!

MeTheOne2008 @Robbierut4 • 4 februari 2021 18:31

ja die catch-al methode met eigen domeinnaam doe ik al 20 jaar en werkt prima.!!!
En ook dus dummy data in vullen: bij invullen van formulieren op websites.

Anonieme mailboxen zoals mailinator.com kan ook werken, maar let op , die worden doo rhackers ook uitgelezen kwam ik achter. Als ze weten dat je een password reset naar dit soort mailboxen stuurt kunnen ze die ook zelf doen en onderscheppen. (geldt ook voor anonieme sms diensten.)

PDZ @Robbierut4 • 4 februari 2021 17:31

Dat is wel een slimme zet, ik zal er eens naar kijken om dat ook te doen met mijn eigen domein.

killercow @PDZ • 4 februari 2021 17:34

de meeste mailservers ondersteunen een + in je account-naam.
dus als pdz@jouwdomein.nl je normale email adres is, dan komt pdz+allekabels@jouwdomein.nl ook meestal we binnen, en kun je daarop filteren / blocken als dat nodig is.
Bij gmail werkt dit in ieder geval zo, en de meeste postfix installaties ook.

NKR @killercow • 4 februari 2021 17:39

Mooie is dat de 'bad guys' dat ook weten en gewoon de + en alles daarna weglaten.

ThinkPad @NKR • 4 februari 2021 18:07

Inderdaad, hier valt prima een RegEx voor te maken.

Houtenklaas @killercow • 4 februari 2021 19:16

Exim geeft je de keuze om het zo te doen, of exact andersom, postfix zal ook wel zoiets kennen denk ik.

Zoals in jouw voorbeeld configureer je in de exim router (pdz+allekabels@jouwdomein.nl > pdz@jouwdomein.nl):
local_part_suffix = +* : -* : _*
local_part_suffix_optional

En exact andersom (allekabels+pdz@jouwdomein.nl > pdz@jouwdomein.nl):
local_part_prefix = *+ : *- : *_
local_part_prefix_optional

Oeroeg @PDZ • 4 februari 2021 17:30

Ik heb een uniek e-mailadres voor allekabels, maar tot op heden nog geen spam daarop ontvangen.
Wel bovenstaande e-mail gekregen.

Daarnaast zou het wel echt droevig zijn als een medewerker voor dit doel gegevens steelt. Lijkt mij dat de dataset wel voor iets lucratiever te verpatsen valt, zeker in combinatie met andere data.

[Reactie gewijzigd door Oeroeg op 24 juli 2024 12:48]

dasiro @Oeroeg • 4 februari 2021 17:38

lek en diefstal is nog niet hetzelfde als uitbuiting ervan, maar wat niet is, kan nog komen als ze de dader niet snel genoeg pakken

Theo.H @PDZ • 4 februari 2021 17:34

Helaas heb ik na vele datalekken in het korte verleden een gigantisch toenamen gezien in spam berichten. Wellicht dat er meer gekeken moet worden om mailadressen te gaan beschermen??

Anoniem: 1301524 @PDZ • 5 februari 2021 13:49

Helaas in hetzelfde schuitje... Jaren mijn email spam-free kunnen houden en sinds kort ook een heel (overduidelijke) spam emails. Ik zie sommigen wel spreken over een catch all email, maar uiteindelijk als je die dan op je gsm hebt staan krijg je uiteindelijk ook veel spam binnen. Dus weet niet of dat echt de oplossing gaat zijn. Mijn tactiek doorheen de jaren waren 3 email addressen te gebruiken:
- 1 time emails via een website
- spam email adres voor moest het net iets belangrijker zijn
- normaal email voor normale zaken

Patsie75 4 februari 2021 17:45

Altijd erg ironisch wanneer er een hack plaatsvind en het bedrijf de volgende tekst op hun eigen website heeft staan:

https://www.allekabels.nl/klantenservice.php

Hoe veilig zijn mijn gegevens?

Uw gegevens zijn bij ons veilig. Persoonlijke gegevens worden via een beveiligde verbinding verstuurd en opgeslagen op beveiligde servers. Daarnaast zullen wij uw gegevens nooit verstrekken aan derden. Tijdens het plaatsen van een bestelling op Allekabels.nl worden uw gegevens versleuteld en via een beveiligde verbinding naar ons verzonden. U kunt de beveiligde verbinding herkennen aan het slotje linksboven in de browser. Uw gegevens worden daarnaast altijd op goed beveiligde servers opgeslagen. Alleen bevoegde medewerkers met een geheimhoudingsplicht hebben toegang tot deze servers. Op deze manier bieden wij maximale veiligheid en is fraude of diefstal van gegevens uitgesloten.

1x3xc-12 @Patsie75 • 4 februari 2021 19:13

Er heeft geen hack plaats gevonden en de gegevens zijn inderdaad veilig opgeslagen zoals ze beweren.

Het betreft een medewerker die vanwege zijn beroep toegang had tot deze gegevens, dat is geen hack

Patsie75 @1x3xc-12 • 4 februari 2021 21:27

Misschien heb je de laatste twee regels gemist, ik zal ze nog een keer quoten voor je:

Alleen bevoegde medewerkers met een geheimhoudingsplicht hebben toegang tot deze servers. Op deze manier bieden wij maximale veiligheid en is fraude of diefstal van gegevens uitgesloten.

Ze geven duidelijk aan dat fraude en diefstal uitgesloten zijn, omdat alleen geauthoriseerde medewerkers erbij kunnen komen. En dat is dus precies wat er is gebeurd. Diefstal en mogelijk fraude door hun eigen medewerker.

Dus ja... ironisch.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Patsie75 • 5 februari 2021 20:35

Ironisch is een understatement. Het is gewoon een loze niet waar te maken belofte. Erg slecht inderdaad!

3ddie

4 februari 2021 17:32

Ik heb de mail ook gehad, maar wat mij niet duidelijk is, zijn de gegevens nou ook gelekt naar buiten, of is het lek dat een bepaalde werknemer de 5000 klanten in heeft gezien? Ik gebruik zelf een apart mailadres voor ze, heb daar in ieder geval nog geen spam op gezien.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@3ddie • 4 februari 2021 17:39

Dat is al een van de vragen die de mail oproept inderdaad. De communicatie is hier niet erg duidelijk.

Sderoos @Bor • 4 februari 2021 19:40

De database wordt online te koop aangeboden. Zie mijn andere reactie.

Sderoos 4 februari 2021 19:07

Ik ben eergisteren gebeld door een tech-journalist. Die kon zo al mijn gegevens oplezen. Mijn gegevens staan blijkbaar in de sample file van de database die aangeboden werd, hij wou deze toetsen. Deze database was afkomstig van Allekabels en zou €25.000 moeten kosten. Op twitter zag ik een tweet van iemand die in december al spam ontving op een mailadres die geregistreerd stond bij allekabels.nl.

Mail die ik ontvangen heb:

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens (naam, adres, geboortedatum, telefoonnummer en e-mailadres) gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).

Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst.

We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.
Zodra de nieuwe encrypted e-mail database online is gegaan, zullen we u een bericht sturen.

Met vriendelijke groet,

Constantijn Souren

COO
Allekabels.nl

-edit: mail toegevoegd-

[Reactie gewijzigd door Sderoos op 24 juli 2024 12:48]

Mangu429 @Sderoos • 4 februari 2021 19:52

25.000 voor gegevens van 5000 klanten? Niet echt reëel.

Sderoos @Mangu429 • 4 februari 2021 20:00

Ik moet zeggen, deze journalist vertrouw ik eerder dan een dergelijk statement van allekabels. Ik vermoed dat er meer aan de hand is.

Lord Sony 4 februari 2021 17:25

Bizar, ik zit in hun klantenbestand, maar heb nog geen bericht van hen gehad. Of hebben enkel de betrokken personen soms een bericht ontvangen?

azerty

@Lord Sony • 4 februari 2021 17:27

Je zal niet onder de ca. 5000 klanten vallen... Ik helaas wel, want de mail kwam een uurtje geleden binnen bij mij...

rbr320 @Lord Sony • 4 februari 2021 17:28

Ik heb ook geen bericht van ze gehad, maar ik heb dan ook pas 1 keer bij ze besteld zonder een account aan te maken want dat is gelukkig niet verplicht. Ik ga er dan ook vanuit dat ik niet getroffen ben.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@rbr320 • 4 februari 2021 17:37

Het lijkt er op dat dat niet uitmaakt. Ik heb daar ook geen account voor zover ik kan nagaan (staat niet in mijn administratie en password reset mail komt ook niet aan). Het lijkt er meer op dat het om bestel / naw gegevens gaat. Jammer genoeg doet het bedrijf daar tot op heden geen uitspraak over.

rbr320 @Bor • 4 februari 2021 17:40

Bedankt voor de verduidelijking. Ik heb tot op heden nog geen bericht gehad dat ik getroffen zou zijn, maar ik hou het in de gaten. Niet dat er veel aan te doen is natuurlijk, het kwaad is geschied.

Nougat @Lord Sony • 4 februari 2021 17:26

"Allekabels heeft alle getroffen klanten op de hoogte gebracht"

Daywalk3r @Lord Sony • 5 februari 2021 07:57

Heb ook een bestelling sinds 2016, dus sta al lang in de database maar geen mail.
En ook geen gekkes spam of sms o.i.d gehad. Dus alleen betrokkenen denk ik dan.

Poekie McPurrr @Daywalk3r • 5 februari 2021 08:17

Misschien even contact opnemen met ze, al is het maar om te vragen waar je bestelling blijft

Nijl @Lord Sony • 4 februari 2021 17:26

Je krijgt vanzelf een 1-cent tikkie.

Theo.H @Nijl • 4 februari 2021 17:31

Leuk, maar wat als je niet aan tikkie doet?

Oeroeg @Theo.H • 4 februari 2021 17:39

Dan komt er vanzelf een Nigeriaanse prins voorbij.

Theo.H @Oeroeg • 4 februari 2021 17:42

Ik wil niet racistisch klinken maar prinsen die negeer ik

Niekleair @Theo.H • 4 februari 2021 17:53

Als je het puur om de prinsen gaat is het discriminatie en geen racisme toch?

Vic-Green 4 februari 2021 17:25

Grrr, ik heb hier van de week nog besteld, loop ik risico mannen?
(Niet dat het nog veel uit maakt na de Ledger gegevens hack)

StefanJanssen @Vic-Green • 4 februari 2021 17:41

Mijn email adress is al gelekt in november (toen kreeg ik de eerste spammail op allekabels@domein). Dus je bent waarschijnlijk veilig.

CH4OS

Datalek

@StefanJanssen • 4 februari 2021 18:50

Zover ik begrijp is er een medewerker geweest die eea op zijn kerfstok heeft. Dat jouw adres dan in november al gelekt was, wil niet zeggen dat dat voor iedereen zo moet zijn.

CanerAkar @Vic-Green • 4 februari 2021 17:26

"Allekabels heeft alle getroffen klanten op de hoogte gebracht"

Ik neem dus aan van niet

Thasaidon @CanerAkar • 4 februari 2021 17:54

Ik heb ooit wel eens wat besteld bij ze en ook een account, maar geen mail gehad.
Voor de zekerheid toch maar even mijn wachtwoord veranderd.

AmigaWolf @Thasaidon • 4 februari 2021 18:37

Heb daar Glaszekeringen gekocht verleden jaar, maar heb geen e-mail gehad van Allekabels, hoop dat er niks van mij gestolen is.

Zal voor de zekerheid maar me wachtwoord veranderen.

Quad

@Vic-Green • 4 februari 2021 18:19

Ik heb een emailadres die ik specifiek voor deze shop en een andere shop hebt gebruikt. Toevallig ontving ik spam op dat adres deze week. Wellicht dat het ermee te maken heeft, zou jammer zijn maar niet super ernstig.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Vic-Green • 5 februari 2021 20:37

Afhankelijk van wanneer dit heeft plaatsgevonden loop je inderdaad risico. Bovendien is een niet betrouwbare medewerker lastig uit te sluiten.

Op dit item kan niet meer gereageerd worden.

Allekabels waarschuwt 5000 klanten voor datalek van onbekende gegevens

Lees meer

Reacties (330)

Sorteer op:

Weergave: