Dataset met telefoonnummers bijna 533 miljoen Facebook-users verschijnt online

Een dataset met persoonlijke gegevens van zo'n 533 miljoen Facebookgebruikers is gepost op een malafide hackersforum. Daaronder vallen naar schatting 5,4 miljoen Nederlanders. Het gaat voornamelijk om telefoonnummers.

Security-onderzoeker Alon Gal meldt dat het gaat om telefoonnummers, Facebook-id's, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-teksten, datum van accountcreatie, werkgever en e-mailadressen. Alleen die laatste komt veel minder voor dan de rest: 2,5 miljoen keer. De hoeveelheid Nederlanders is een inschatting van RTL-techjournalist Daniël Verlaan, die de dataset heeft ingezien. De getroffen gebruikers zijn verspreid over 106 landen en volgens Bleeping Computer bevatten 'bijna alle' entries een telefoonnummer.

Een Facebook-vertegenwoordiger heeft op Twitter gereageerd op de ontwikkeling, maar gaat niet diep op de zaak in. "Dit is oude data die in 2019 gemeld werd. We hebben het achterliggende probleem in augustus van 2019 gevonden en opgelost".

Alon Gal trok in januari al aan de bel over de data. Die zou destijds via een Telegram-bot aangeboden worden aan geïnteresseerden. Toen moesten kwaadwillenden een bedrag betalen per gebruiker, maar nu is op hetzelfde forum de gehele dataset gepost en gratis te downloaden. Hij stelt dat het gaat om een kwetsbaarheid die 'vroeg in 2020' uitgebuit werd, maar dat strookt niet met de uitspraken van de Facebook-vertegenwoordiger. Een andere reageerder corrigeert hem ook al en stelt dat de kwetsbaarheid 'vroeg in 2019' verholpen was.

Tegen BleepingComputer zegt Gal dat de kwetsbaarheid vermoedelijk in de 'vriend toevoegen'-functie zat en dat die toegang gaf tot de telefoonnummers van vreemden. De rest van de data is mogelijk gewoon gescraped van openbare profielen.

De database is aan Have I Been Pwned toegevoegd, maar omdat die werkt op basis van e-mailadressen, noteert de site 2,5 miljoen accounts in plaats van 533 miljoen.

Beeld via BleepingComputer.com

Reacties (240)

GREENSKiN 4 april 2021 21:00

Ik heb hier een tooltje live gezet: Facebook leak checker. Hier kan je op voornaam/achternaam (exacte match) zoeken of je 06-nummer in de dataset zit. Je krijgt de laatste 3 cijfers te zien van je 06-nummer.

Sorry voor de quick 'n dirty look, dat was echt letterlijk 30 minuten werk

florejaen @GREENSKiN • 5 april 2021 02:52

Voor de Belgen onder ons een eigen tool

: https://www.flowmedia.be/facebook
Lijst met gelekte telefoonnummers staat er ook bij als je het niet zou vertrouwen

[Reactie gewijzigd door florejaen op 23 juli 2024 15:13]

Linksquest Moderator Spielerij @GREENSKiN • 5 april 2021 02:56

Bedankt hiervoor, ik zag dat mijn gegevens er 1x in voor komt, laatste 3 cijfers zijn er ook bij. Maar eens kijken wat ik eventueel aan kan doen. En toch raar dat ik hier nog in voor kom, terwijl ik mijn account in december 2018 al had stopgezet.

nickko @Linksquest • 5 april 2021 08:41

De lek is uit een oudere dataset. Waar jouw account met gegevens dus nog in stond..

Als je gebeld wordt uit een land met een vreemde + netcode niet opnemen.
En goed opletten bij sms’jes van bijvoorbeeld jou “bank” met een hyperlink hierin verwerkt. (Jou echte bank zal je dit nooit sturen)

[Reactie gewijzigd door nickko op 23 juli 2024 15:13]

dr86 @nickko • 5 april 2021 11:48

Dat zou je sowieso niet moeten doen, of je moet een telefoontje uit India verwachten.

aking @nickko • 5 april 2021 17:24

Wat is eigenlijk het precieze gevaar met het opnemen van buitenlandse nummers?

Ik bedoel hun bellen, dus dan kunnen ze me nooit doorverbinden met een of ander betaalnummer of iets lijkt me, en voor zover ik weet kun je met/tijdens een telefoongesprek ook niet echt een toestel hacken ofzo.

Dus het enige "kwaad" dat ik zie is dat ze dan weten dat het nummer bestaat.

supersnathan94

Datalek

@aking • 5 april 2021 18:12

Jaa dat valt dus vies tegen. Collect calls is ook nog een ding. Dan worden de kosten op jou verhaalt. Zij beheren dan ook het betaalnummer waar bepaalde tarieven aan vast zitten bijvoorbeeld.

Kan een dure grap worden.

Ook heb je nog zoiets als de wangiri fraude. Slinkse manier om iemand terug te laten bellen.

psy

@supersnathan94 • 5 april 2021 19:58

Bij collect calll krijg je het van te voren te horen. Meteen ophangen dus.

En terugbellen. Tja. Dat moet je dus nooit doen.

supersnathan94

Datalek

@psy • 5 april 2021 20:36

Ja, maar ook daar hebben ze wat op gevonden:

De oplichter hangt op voordat jij van een operator te horen krijgt dat het om een collect call gaat. Bel je terug, dan zijn de kosten automatisch voor de beller.

https://roosendaal.nieuws...ing-collect-call-valkuil/

b12e @supersnathan94 • 5 april 2021 23:41

De raad is en blijft dus: buitenlands nummer belt je onverwacht, bel dan nooit terug.

Maar antwoorden kan dus an sich geen kwaad, zolang het geen collect call betreft (maar dat hoor je dan vanzelf wel).

MaZeS @supersnathan94 • 16 april 2021 11:30

Dat bericht van Roosendaal nieuws lijkt nou niet echt te kloppen.
Ze verwarren volgens mij collect calls met het op eigen initiatief terugbellen na een gemiste oproep.

supersnathan94

Datalek

@MaZeS • 16 april 2021 12:02

Ook dan zijn er nog steeds allerlei manieren. De FCC heeft hier zelfs nog een onderzoek naar gedaan: https://www.fcc.gov/consu.../mexico-collect-call-scam.

Dat was ff drie tellen googelen.

KiddieDiamond @aking • 6 april 2021 18:38

Dus het enige "kwaad" dat ik zie is dat ze dan weten dat het nummer bestaat.

Eens ze zeker weten dat het nummer bestaat, worden die opnieuw doorverkocht onder een nieuwe lijst van nummers met verificatie dat die bestaan. Je komt op die manier extra in het vizier voor spam, omdat spam sturen naar een nummer dat niet werkt ook centen kost.

aking @KiddieDiamond • 6 april 2021 22:34

Mjah en dan krijg ik smsjes van mijn kinderen, die ik niet heb. Of van mijn moeder, die ik niet meer heb

Ik heb één keer zo'n banksms gehad op het moment dat ik daadwerkelijk zelf met een betaling bezig was, en daar scheelde het niet veel. Maar dat was dus inderdaad precies op het "juiste" moment omdat ik zelf met een betaling bezig was, maar zonder zo'n samenloop van omstandigheden kunnen ze toch vrij weinig met spam op mijn nummer

KouweZakkie @nickko • 7 april 2021 14:55

Ik neem altijd op. Ik bel alleen nooit terug.

Tot nog toe nog niet de mazzel gehad dat ze belden tijdens handelingen die het er bij mee laten luisteren een goed sterk verhaal zouden maken. En dan nog waargebeurd ook.

Wilf @Linksquest • 5 april 2021 11:58

Ik heb ook even gecheckt (in 2016 gestopt met die troep), geen match gelukkig. Ik had het ook even gecheckt om te kijken of ze mijn gegevens ook niet stiekem nog openbaar bewaarden (heimelijk zullen ze vast wel een flinke DB hebben).

avlt @Wilf • 5 april 2021 12:52

Ze bewaren een hele hoop van je. Ik heb ergens in 2018 mijn account verwijderd en vorig jaar een testaccount gemaakt met een ander emailadres, telefoonnummer en naam. En ik krijg opeens hele reeksen vriendschapsvoorstellen van vrienden uit mijn verwijderde account.

Wilf @avlt • 5 april 2021 14:17

Zelfde public IP of browser / device fingerprint wellicht? Ik heb onlangs een tijdelijke account gemaakt vanwege een verkoop en daarbij was er geen enkel vriendschapsvoorstel die ergens op sloeg (niet op zelfde device, ander public IP en geen oude cookies, en niet met de app gebruikt).

djwice

@Linksquest • 5 april 2021 11:17

Dit lek bestaat al heel lang, al ruim vóór 2010 was er een gratis functie beschikbaar waarmee je met 1 druk op de knop een CSV laat checken door Facebook en in ruil kreeg je heel veel extra informatie terug van elke match met je csv. Persoonlijke informatie en zelfs informatie over de relaties met anderen.

Om deze functie te gebruiken was geen Facebook account nodig.

[Reactie gewijzigd door djwice op 23 juli 2024 15:13]

slijkie @GREENSKiN • 5 april 2021 13:15

Wat ik dan niet snap ik dat ik Facebook al jaren geleden compleet verwijderd heb. Dat duurde toen 30 dagen. En nu staat mijn nummer er wel in. Erg vervelend.

mcyh @slijkie • 5 april 2021 13:20

“Maar het is oude data. ‘t is al lang ‘opgelost’” 🥲

m0ridin @GREENSKiN • 5 april 2021 10:21

Tnx, helaas hier ook in de lijst...

Maar ja, veel kan je er nu ook niet meer aan doen. Vreemde nummers neem ik sowieso (haast) nooit op, laat staan buitenlandse en gelukkig weet ik ook wel dat ik niet op vreemde links in appjes ed moet klikken.

2FA staat aan, wachtwoord ook maar veranderd just in case en verder maar aankijken.

kipjr @GREENSKiN • 5 april 2021 11:57

Is het ook mogelijk om te zoeken op telefoon nummer?

ewoutw @GREENSKiN • 5 april 2021 12:05

Kan het zijn dat mijn telefoon nummer er wel in zit maar mijn e-mail niet.

Jij vind mijn telefoonnummer, ihavebepowend vindt niet mail e-mail. Ik had het eerder andersom verwacht.

4Lph4Num3r1c @ewoutw • 6 april 2021 09:39

In de lijst van 500 miljoen records, staan maar 2,5 miljoen emailadressen, maar wel ruim 480 miljoen telefoonnummers.

DikkieDick @GREENSKiN • 5 april 2021 12:07

Thanx. Er komen na invullen van mijn naam 4 telefoonnummers tevoorschijn (dwz de laatste 3 cijfers daarvan natuurlijk). 1 is bekend en 3 niet. Nou weet ik dat er nog minimaal 1 persoon is die exact dezelfde naam heeft als ik.

rjtuijnman @GREENSKiN • 5 april 2021 14:50

Thanx! Ik vrees dat ik dus ook het slachtoffer ben. Snap nu ook waar die vreemde telefoontjes en SMS-berichten vandaan komen...

Kiswum @GREENSKiN • 5 april 2021 16:19

Bedankt voor de update.
Ik lijk safe te zitten, vermoedelijk doordat ik geen telefoonnummer aan mijn FB profiel heb gekoppeld en er lijkt dus ook geen directe koppeling met Whatsapp te zijn.

berchtold @GREENSKiN • 5 april 2021 19:09

Interessante tool. Maar zover ik weet zijn er amper gebruikers met telefoonnummer in die database (heb er zelf geen gezien). Ook wel grappig dat hij zegt dat mijn nummer op xxx zou eindigen. Maar die klopt niet.

Pieter-64 @GREENSKiN • 4 april 2021 23:28

nah, ik weet niet waar het vandaan komt, maar mijn naam en nummer komen niet overeen.
dat is iets wat zeker is

in de 3 getallen die je geeft komen er 2 niet eens voor in mijn telefoon nummer

GREENSKiN @Pieter-64 • 4 april 2021 23:58

Dan ben jij het niet

maar iemand met zelfde voor/achternaam. Ja, het bestaat!

Nystran @GREENSKiN • 5 april 2021 10:06

Je zou maar Willem de Vries heten:

Oh jee, je naam zit er in (83 keer) 😱 De gevonden telefoonnummer(s) eindigen op... 708, 968, 311, 085, 686, 229, 039, 704, 638, 179, 864, 383, 014, 431, 273, 768, 829, 283, 069, 989, 095, 766, 611, 002, 028, 060, 274, 909, 323, 256, 770, 316, 505, 447, 870, 492, 043, 934, 617, 684, 356, 584, 068, 824, 679, 904, 783, 639, 044, 801, 569, 169, 829, 475, 567, 870, 915, 399, 801, 778, 793, 050, 892, 423, 362, 390, 909, 897, 407, 003, 201, 134, 320, 906, 246, 224, 450, 397, 170, 085, 991, 100, 297 Nog een keer checken?

GREENSKiN @Nystran • 5 april 2021 11:16

Ja, dit is de top 10

Jan Jansen (642)
Jan Janssen (313)
Ali Ali (311)
Hoi Doei (294)
Henk Jansen (282)
Muhammad Muhammad (275)
Jan Bakker (252)
Peter Jansen (251)
Jan de Vries (246)
Jan Smit (212)

PNJvG @GREENSKiN • 5 april 2021 13:13

Even een vraag uit interesse, en als leek.... hoe kun jij een top 10 uitdraaien, als er niets geen data wordt opgeslagen?

[Reactie gewijzigd door PNJvG op 23 juli 2024 15:13]

kuurtjes @PNJvG • 5 april 2021 14:13

Dat is gewoon een top 10 van meest voorkomende namen voor zover ik weet. De dataset zelf is wel opgeslagen maar de zoekopdrachten enz waarschijnlijk niet.

aking @PNJvG • 5 april 2021 17:29

Het lijkt mij dat @GREENSKiN de hele dataset heeft anders kan hij er niet in (laten) zoeken

En dus kan hij prima zien welke namen er het meest in staan, of en wie er op welke namen zoekt met zijn tooltje slaat ie niet op.

supersnathan94

Datalek

@PNJvG • 5 april 2021 18:15

Zelf downloaden. Aangezien er al vier tweakers zijn die de dataset in handen hebben is dat kennelijk niet heel moeilijk.

janvandijk96 @Nystran • 7 april 2021 17:18

Of zoals ik: Jan van Dijk

Mijn telefoonnummer zit er 2 keer in, dus dat zal wel raak zijn

Oh jee, je naam zit er in (197 keer) 😱 De gevonden telefoonnummer(s) eindigen op... 940, 607, 148, 107, 563, 064, 821, 710, 083, 508, 029, 496, 689, 713, 466, 474, 893, 620, 391, 560, 718, 353, 554, 340, 777, 737, 478, 116, 657, 919, 073, 410, 301, 125, 128, 743, 178, 620, 798, 082, 729, 164, 030, 082, 679, 796, 646, 141, 405, 549, 100, 950, 174, 989, 801, 819, 028, 859, 749, 667, 358, 711, 347, 804, 458, 260, 046, 099, 313, 283, 607, 019, 192, 644, 137, 099, 684, 968, 293, 974, 343, 107, 873, 543, 606, 942, 279, 437, 568, 479, 398, 653, 869, 169, 916, 753, 586, 350, 203, 537, 314, 378, 065, 738, 172, 639, 106, 411, 526, 953, 032, 381, 452, 802, 626, 538, 600, 195, 777, 942, 533, 197, 380, 272, 059, 043, 523, 396, 673, 817, 897, 089, 013, 714, 370, 956, 850, 614, 476, 140, 820, 621, 029, 792, 332, 113, 879, 153, 981, 669, 802, 788, 579, 683, 387, 721, 915, 578, 028, 262, 940, 211, 385, 999, 244, 529, 926, 442, 012, 339, 273, 323, 285, 537, 166, 705, 591, 179, 551, 737, 759, 645, 386, 345, 658, 561, 286, 336, 166, 874, 570, 234, 802, 550, 174, 138, 318

Rabb @GREENSKiN • 5 april 2021 22:57

Bedankt! Mijn naam staat er 25x in voor, maar m'n nummer niet :-)

Timoo0oo @GREENSKiN • 6 april 2021 11:10

Bedankt hiervoor!! Henk de Vries komt er 207 keer in voor.
Niet dat ik zo heet, maar gewoon ter info

Tomatoman 4 april 2021 23:55

Een Facebook-vertegenwoordiger heeft op Twitter gereageerd op de ontwikkeling, maar gaat niet diep op de zaak in. "Dit is oude data die in 2019 gemeld werd. We hebben het achterliggende probleem in augustus van 2019 gevonden en opgelost".

Wat een belachelijke reactie

. Die woordvoerder zegt nog net niet “wat loop je nou te zeuren” en doet alsof het probleem is opgelost. Maar feit is dat van ruim een half miljard mensen de persoonlijke gegevens nu op straat liggen. Bij de meesten niet een e-mailadres, maar wel veel gevoeligere informatie zoals (in het artikel genoemd) geboortedata, geslacht, relatiestatus, bio-teksten en werkgever. Voor kwaadwillenden is dit een goudmijn. “We hebben het achterliggende probleem […] opgelost” is een ontluisterende reactie voor wat misschien wel het grootste datalek ooit is.

kiang

@Tomatoman • 6 april 2021 09:50

Als de AVG nu eens toegepast wordt moet dit in een boete resulteren waar Facebook niet bovenop komt.

En terecht: als een aannemer een gebouw bouwt dat instort en er mensen doodgaan gaat hij voorgoed failliet. Facebook heeft hier een half miljard mensen schade toegebracht, dat valt niet goed te praten, Facebook heeft hiermee bewezen dat ze geen ene zak geven om het beveiligen van jouw data, en dus moeten ze maar gewoon stoppen met wat ze doen.

Natuurlijk gaat dit niet gebeuren, maar dat is wat zou moeten.

[Reactie gewijzigd door kiang op 23 juli 2024 15:13]

lulkoekje @Tomatoman • 7 april 2021 18:56

Ehm. Dus ze hebben een gigantisch datalek gehad en hebben verzuimd dat te melden.. Dat is wat die vertegenwoordiger eigenlijk zegt. Dus daar komt dan logischerwijs een flinke boete achteraan. een datalek + niet tijdig aan de meldplicht voldaan. Kassa .

martijnluyckx 5 april 2021 13:46

Je kan ook bij mij terecht (in samenwerking met Inti voor de NL versie)! 😄
Nederland: https://benikerbij.nl
België: https://benikerbij.nl/be

rikkert278 @martijnluyckx • 10 april 2021 18:35

Misschien ga ik hier te krap door de bocht, maar als ik het goed begrijp dan is jouw website simpelweg een wrapper/doorgeefluik voor het zoekveld op de website van https://haveibeenpwned.com/ toch? Waarom dan niet simpelweg een link naar het zoekveld op de haveibeenpwned website posten i.p.v. een link naar jouw eigen website? Kudos trouwens voor de nette bronvermelding op een goed zichtbare plek op jouw website!

Misschien bestond deze functionaliteit van haveibeenpwned op 6 april nog niet (maar aangezien jij jouw data daar vandaan haalt betwijfel ik dat), maar de https://haveibeenpwned.com/ website heeft ook een netjes zoekveld waarmee je (ook gratis) kunt zoeken op een telefoonnummer om vervolgens te kijken of het gelekt is door dit Facebook lek (alsmede en een hoop andere lekken). Als https://haveibeenpwned.com/ precies dezelfde functionaliteit aanbiedt als de website die je wilt gaan bouwen (of al aan het bouwen bent), waarom zou je dan een wrapper schrijven voor diezelfde site om de functionaliteit vervolgens alleen te spiegel op jouw eigen website? (misschien is dit wederom te kort door de bocht, maar ik denk dat dit je toch enigszins moet zijn opgevallen tijdens het schrijven van de benodigde scraper en/of het implementeren van dehaveibeenpwned API?)

Behalve een paar kwaadaardige/onfrisse/ongure en/of illegale redenen kan ik eigenlijk geen enkele goede reden bedenken waarom je niet gewoon direct naar https://haveibeenpwned.com/ linkt. Mijn excuses als die goede reden er wel degelijk is, maar ik ben momenteel wat moe dus ik kon er geen bedenken

Nog een heel fijn weekend gewenst trouwens!

wimdebok 5 april 2021 11:12

Dat is me wat, van een half miljard gebruikers gegevens bij elkaar geharkt of achterover gedrukt. Dat zal me een ophef geven. Nou nee, op Tweakers nog geen 200 reacties. Zijn we datadiefstal moe of zijn heeft het meerendeel van de tweakers geen facebook account? En hier ook al gezegd, de achteloosheid waarmee gereageerd wordt door Facebook. Het zegt ook iets over deze bedrijven. Misdragende medewerkers van de GGD geeft meer ophef, misschien ook wel terecht. Denk overigens al jaren, met hoe OS'en, apps en webpaginas met gebruikersdata omgaan is privacy (beter: data hamsteren) een gepasseerd station.

AlbertJP @wimdebok • 5 april 2021 23:08

Ik heb wel een facebookaccount, maar noch mijn naam noch mijn telefoonnummer komt in de dataset voor. Ik zie net op Facebook dat daar nog een telefoonnummer van mij staat dat al sinds 2013 niet meer geldig is

dus het had met ook niet veel problemen opgeleverd.

n4m3l355 @wimdebok • 6 april 2021 04:17

Ik denk dat onderhand men ook wel moe is van weer een data lek. Ondanks dat deze ongekend groot is, het is er weer eentje. Onderhand kennen we het wel en tegelijkertijd verwacht ik ook dat er niets tegen gebeurd. Zowel door de overheid als door bedrijven, het maakt eigenlijk niet uit.

Voor mij steekt het op een aantal punten. Enerzijds onze eigen overheid gaat achteloos met onze privacy om, en als er weer een lek is gaat men er zeer ongevoelig mee om. Anderzijds ondanks dat dit niets nieuws is, is er nog steeds geen keiharde regelgeving voor consequenties. Een bedrijf dat een half miljard users lekt of 30% van Nederland, zou gewoon kapot gemaakt moeten worden. Per user verdient Facebook 40 USD per jaar, bij een half miljard gebruikers zou men gewoon deze inkomsten op z'n minst een jaar kwijt moeten zijn. Dit komt neer op een boete van 20 miljard dit is op dit punt toch niet onredelijk?

Ja dit is een absurd groot bedrag maar dit zijn nou eenmaal de bedragen dat dergelijke bedrijven netto overhouden. Daarnaast zou ook duidelijk moeten worden gemaakt dat dit gewoon niet meer gebeurd. Dat men deze fout gewoon 2 jaar ongemoeid heeft gelaten geeft wederom aan dat FB het totaal niet interesseert wat er gebeurd met de gebruikersgegevens van hun platform. Sterker nog het lijkt er haast op dat men het wel goed vond. Dit is een ongekend schandaal.

Helaas, het zal wel weer voorbij gaan alsof niets is gebeurd. Men blijft maar lekker aanmodderen en ons de gebruiker moet het maar weer accepteren. Dit is gewoon schandalig zowel van Facebook maar ook onze eigen overheid die totaal geen bescherming bied aan de burger.

Sircuri @wimdebok • 5 april 2021 12:18

Tja, wat je niet deelt, kan ook niet gejat worden.

wimdebok @Sircuri • 5 april 2021 12:42

Dat is waar maar op het moment dat je het internet op gaat deel je wel jouw gedrag. Hoef je nog niets eens de gegevens direct te overleggen. Aan gedrag ontkom je niet. Een beetje site heeft software aan boord om dat te analyseren. Ik heb een telefoon met Android erop. Heb werkelijk geen flauw idee wat dat dat systeem van Google allemaal doet maar het bedrijf kennende is het niet veel goeds. Eens op zoek.....

Edit: Nog even gezocht naar wat Android doet en verzamelt, daar werd ik niet gelukkig van. Jammer dat er op de smartfoons nog geen systeem a la linux is wat je van de plank trekt en erop zet.

https://arstechnica.com/g...ends-to-apple-study-says/

[Reactie gewijzigd door wimdebok op 23 juli 2024 15:13]

DeeJay1965 4 april 2021 10:46

Hier kan je zelf checken of je erin staat https://monitor.firefox.com/

wildhagen

Hackers
Datalek
Networking en security

@DeeJay1965 • 4 april 2021 10:49

Dan kan je beter have i been pwned? gebruiken, die is veel vollediger.

Jouw link geeft namelijk slechts één hit op mijn emailades (de bekende LinkedIn-dataleak uit 2016), maar de ander geeft me er 3 (wat ook klopt, zover bekend dan).

sgouman @wildhagen • 4 april 2021 11:51

In de database van de facebook lek staan geen emailadressen. Dus dan wordt het bij have i been pwned lastig om te zoeken denk ik? Aangezien die alleen op emailadres zoekt.

wildhagen

Hackers
Datalek
Networking en security

@sgouman • 4 april 2021 11:54

In de database van de facebook lek staan geen emailadressen.

Jawel, er staan wel degelijk email adressen, staat nota bene letterlijk in het artikel. Alleen is dat maar van een klein deel van de gelekte accounts het geval:

De database is aan Have I Been Pwned toegevoegd, maar omdat die werkt op basis van e-mailadressen, noteert de site 2,5 miljoen accounts in plaats van 533 miljoen.

Dus dan wordt het bij have i been pwned lastig om te zoeken denk ik? Aangezien die alleen op emailadres zoekt.

Alleen de 2.5 miljoen mensen waarvan ook het mailadres is gelekt, zijn idd terug te vinden. Dat klopt. Maar dat kan die 2.5 miljoen mensen dus nog wel helpen.

Ik heb ook nergens geclaimed dat alle gelekte gegevens terug te vinden zijn op I Have Been Pwned. Zover ik weet is er geen enkele zoekmachine waar je leken op basis van telefoonnummer kunt zoeken.

SunnieNL

@wildhagen • 4 april 2021 18:41

Troy denkt er over na op dit moment, maar weet niet goed hoe hij het zover anoniem kan krijgen dat het gaat werken. Enige manier die ik kan bedenken is door een check te doen of je het telefoonnummer wel bezit dmv, hoe ironisch ook, een sms naar het nummer met een code en dat altijd te doen, of het nummer nou wel of niet in de dataset staat. Pas na de check het antwoord of het wel of niet bekend is.
Maar dat gaat hem waarschijnlijk een hoop geld kosten om te gebruiken.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 15:13]

supersnathan94

Datalek

@SunnieNL • 4 april 2021 21:19

Voor de volledigheid:

Dat komt doordat het heel eenvoudig is om telefoon nummers te brute forcen. Email adressen kunnen een praktisch oneindige reeks zijn en dan ook met verschillende providers, waar telefoonnummers gestandaardiseerd zijn op een aantal getallen en bepaalde reeksen zijn niet te gebruiken.

In nederland zijn er bijvoorbeeld maar 60 miljoen combinaties. Hoewel dat er veel lijken is dat een schraal contrast voor wat er aan email adressen mogelijk is.:

In addition to restrictions on syntax, there is a length limit on email addresses. That limit is a maximum of 64 characters (octets) in the "local part" (before the "@") and a maximum of 255 characters (octets) in the domain part (after the "@") for a total length of 320 characters.

Op die eerste 64 chars heb je de mogelijkheid voor 26 letters lowercase, 26 letters uppercase, 10 cijfers en 22 tekens. Minimaal! Want er zijn nog andere dingen. In principe mag local part uit de gehele ascii set bestaan (spaties en ‘@‘ mag ook).

Bij elkaar is dat dan dus 64^84 = 5,2e151

Dan ben je heeeeeeel lang bezig om daar een gebruikt adres uit te trekken.

En dan hebben we de verschillende domeinen nog niet gehad (wat met 255 characters de boel helemaal complex maakt).

Pieter-64 @supersnathan94 • 4 april 2021 23:31

uhhh, lowercase of upper case maakt niet uit bij mail adressen.
komt allemaal aan op het zelfde adres.

tenminste bij alle mail versies die ik tot nu toe gebruikt hebt maakt het niet uit upper of lower case

supersnathan94

Datalek

@Pieter-64 • 5 april 2021 11:06

Klopt, maar volgens de standaard zou dat wel een verschil moeten zijn. https://tools.ietf.org/html/rfc5321#section-2.3.11

Het is aan de host om hier wat mee te doen.

Het maakt dus wel degelijk uit, maar is veilig om het te negeren in de praktijk.

https://stackoverflow.com...sensitive/9808332#9808332

sgouman @wildhagen • 4 april 2021 12:40

Ik heb vanochtend de database van NL ingezien.
Er zijn ongeveer 5 miljoen nederlandse accounts gelekt.
Hiervan zijn er maar 35.000 bekend in de database die daadwerkelijk een emailadres hebben. erg weinig dus.

laptopleon @sgouman • 5 april 2021 10:36

Wel heel toevallig dat mijn emailadres er bij staat dan.

(En ja, ik weet zeker dat dat gelekt is via facebook want ik gebruik per site een ander email-adres, in dit geval facebook@...)

sgouman @laptopleon • 5 april 2021 11:04

Tsja geen idee, als ik door de database zoek zijn er 64 mensen die een facebook@ emailadres gebruiken.(in NL)

laptopleon @sgouman • 5 april 2021 12:07

Staat die online / kun je een link delen?

Vihaio @wildhagen • 4 april 2021 10:54

Apart, Firefox Monitor gebruikt namelijk Have I been pwnd.

https://support.mozilla.o...nvolved-in-these-breaches

JBVisual @Vihaio • 4 april 2021 11:19

vreemd genoeg kom ik tot dezelfde conclusie.
Op een of andere manier heb ik 3 email adressen waaro0 ik met 1 email adres maar 4 hits heb met de firefox check.

terwijl bij "Have I been pwnd" ik met alle 3 de email adressen ik 8, 5 en 3 hits heb. (de 8 hits zijn van hetzelfde email adres als waarbij ik met firefox 4 hits had)

Edit: Typo

[Reactie gewijzigd door JBVisual op 23 juli 2024 15:13]

Blokker_1999

Hackers
Datalek
Hack
Networking en security
Facebook

@Vihaio • 4 april 2021 11:28

En bij mijn email adressen komen de resultaten ook netjes overeen.

Lord Anubis @wildhagen • 4 april 2021 12:07

Is het geen risico dat men een email adres kan ingeven, ziet waar dat gelekt is en dan vanuit daar verder gaat vergaren?

SunnieNL

@Lord Anubis • 4 april 2021 18:46

Dat is ook de reden dat Troy niet op telefoonnummers wilt laten zoeken. Mailadressen zijn lastiger on the fly te verzinnen, telefoonnummers daarentegen zijn gewoon cijferreeksen. Als Troy zou tonen dat een telnr. In de Facebook dataset staan wordt het zoeken vrij makkelijk, voornamelijk omdat die dataset vrij clean is.

RoestVrijStaal @wildhagen • 4 april 2021 11:02

Beetje jammer dat je bij beiden niet met je telefoon nummer kan controleren of je in de dataset staat.

Granted, je kan ermee controleren of je telefoon nummer die je gebruikt hebt voor Facebook al gerelateerd is aan je e-mailadres. Maar het is nog steeds gissen of aan je telefoon nummer een NAW oid aan gerelateerd is. Als die telefoon nummer al in de dataset staat.

pepsiblik @RoestVrijStaal • 4 april 2021 12:03

Ga er maar gewoon vanuit dat ze een compleet profiel van je hebben. Wat niet op Facebook stond, schrapen ze wel ergens anders vandaan

Unsocial Pixel @wildhagen • 4 april 2021 11:55

En nog steeds vraag ik me af hoe volledig die nou is. Heb al 15jaar hetzelfde mail adres en nog steeds sta ik er niet in... Dat kan toch bijna niet?

_Pussycat_ @Unsocial Pixel • 5 april 2021 07:51

Ik heb het even lang en sta er nu 5x ofzo in. Misschien heb je geluk gehad.

theduke1989 @wildhagen • 4 april 2021 13:27

Mijn email van Ziggo is bij 18 websites Exposed damn it.

Al mijn Gmail accounts daarin tegen weer niet. Betekend dit dat Google het beter op orde heeft?

Heedless @theduke1989 • 4 april 2021 13:39

Dit heeft niets te maken met beveiliging van Ziggo of Google. De data komt van websites waarop je die adressen gebruikt hebt.

[Reactie gewijzigd door Heedless op 23 juli 2024 15:13]

theduke1989 @Heedless • 4 april 2021 13:59

het is alleen heel apart dat alleen me ziggo email en outook email powned zijn, maar al mijn gmail accounts niet, terwijl ik die toch echt +10 jaar ook gebruik op verschillende websites.

GeoBeo @theduke1989 • 4 april 2021 15:05

het is alleen heel apart dat alleen me ziggo email en outook email powned zijn, maar al mijn gmail accounts niet, terwijl ik die toch echt +10 jaar ook gebruik op verschillende websites.

Kwestie van geluk. Mijn gmail adres is 8x gepowned. Gewoon allemaal websites waar ik hem zelf heb ingevuld.

Tim.C @theduke1989 • 4 april 2021 17:32

21x op mijn gmail, win ik nu een prijs?

JohanNL @Tim.C • 4 april 2021 17:46

Ja je ontvangt nu de dagelijkse " u heeft een prijs gewonnen, klik hier " mails, gefeliciteerd!

Techneut @wildhagen • 4 april 2021 16:41

En hoe betrouwbaar is dat dan? Ik bedoel hiermee dat met het invullen van je e-mailadres, waar dan ook, dit prijs geeft aan iemand die je niet kent.

Edit:
Sorry, per ongeluk bij reageren op de verkeerde knop gedrukt. Het was een reactie op het artikel van 10u43 waarin door wildhagen werd geadviseerd om de website have i been pwned te raadplegen voor je eigen e-mailadres, volgens hem beter dan een eerder voorgestelde site, teneinde te zien of iemands adres in de lijst voorkwam.

[Reactie gewijzigd door Techneut op 23 juli 2024 15:13]

Techneut @wildhagen • 4 april 2021 20:58

Verwijderd, bleek overbodig

[Reactie gewijzigd door Techneut op 23 juli 2024 15:13]

Anoniem: 736981 @wildhagen • 4 april 2021 10:51

Idem. Al zijn het er bij mij 10...

Is dit geen nieuws van vrijdag of gisteren? Tweakers is er bijna altijd als laatste bij.

pepsiblik @Anoniem: 736981 • 4 april 2021 12:06

Nou...wat de NOS en RTL doen is vooral het persbericht vertalen en kopiëren. Hier staat toch wat meer detailinformatie in en het lijkt ook daadwerkelijk gecontroleerd te zijn.

Auteur

Mark_88 @Anoniem: 736981 • 4 april 2021 11:07

Tweet van Gal is van gisteren ~14:00, eerste nieuwspublicatie die ik zo gauw terug kan vinden is 9to5Mac om ~18:00. Maar thanks hè.

nightraven79 @Mark_88 • 4 april 2021 11:46

Rond 17u gisteravond meldde hln.be (van dezelfde mediagroep als Tweakers trouwens) dit al, en zij verwezen als bron naar Business Insider

[Reactie gewijzigd door nightraven79 op 23 juli 2024 15:13]

Dutchy88 @Mark_88 • 4 april 2021 11:20

Ik ben het er wel mee eens dat nieuws de laatste tijd pas laat op Tweakers staat, dit nieuws stond bijvoorbeeld gisteren al op NOS.nl (linkje) En op AD.nl zelfs nog eerder. Juist voor dit soort nieuws kom ik normaal naar Tweakers maar lees ik nu vaak al eerder op anders nieuwssites.

[Reactie gewijzigd door Dutchy88 op 23 juli 2024 15:13]

Auteur

Mark_88 @Dutchy88 • 4 april 2021 11:22

Het zou erg waardevol zijn als je 'nieuws' en 'de laatste tijd' specifieker kan maken in het Geachte Redactie-forum.

nightraven79 @Mark_88 • 4 april 2021 11:47

Ok wat dacht je van dit: een andere site van jullie mediagroep postte het bericht gisteren reeds iets na 17u...
Communiceren jullie redacties niet met elkaar?

Kees BOFH @nightraven79 • 4 april 2021 12:25

Nee, elke site/krant heeft een eigen redactie die schrijft voor die krant/site. er zit wellicht soms wat overlap in freelancers, maar in principe hebben tweakers/nu.nl/vk.nl/ad.nl etc allemaal hun eigen redactie die geen nieuwsberichten delen.

Mortis__Rigor @Kees • 4 april 2021 12:34

Dan zit je toch wel lichtelijk fout hoor. Elk artikel van de DPG kranten komt in 1 grote database terecht. Elke andere krant kan dit artikel overnemen of kleine aanpassingen aan doen (zelfs tussen België en Nederland worden artikels gewoon gedeeld en overgenomen).
Als voorbeeld een artikel dat vandaag zowel bij HLN als bij AD verschenen is:
- https://www.hln.be/buiten...r-hun-medeweten~a8608d37/
- https://www.ad.nl/buitenl...als-oplichterij~a0bfc739/

Kees BOFH @Mortis__Rigor • 4 april 2021 12:40

Dat nieuwsbericht is volgens mij een ANP bericht, die dienen inderdaad als basis voor veel nieuwsberichten, maar daar gaat nog altijd een redacteur van die site zelf overheen. Dat zie je ook aan de verschillende tijdstippen dat iets gepost is, anders zou het gewoon overal hetzelfde zijn.

680x0 @Kees • 4 april 2021 14:30

Grapjas.. DPG werkt er naartoe om alles 1 pot nat te maken. In Vlaanderen zitten ze al allemaal samen in Antwerpen achter het centraal station.

MPC60 @Mark_88 • 4 april 2021 11:34

Misschien moet je je als nieuwsposter en werknemer van de Persgroep niet zo aangevallen voelen.

ArremeR @MPC60 • 4 april 2021 11:40

Waarom mag het platform niet verdedigd worden? De klant is altijd koning?

jaenster

@ArremeR • 4 april 2021 11:53

Klant is koning, platform is keizer.

ArremeR @Zomaareenmening • 4 april 2021 15:46

De schoorsteen rookt niet vanzelf, alstublieft -> https://tweakers.net/info/abonnementen/

wica @Dutchy88 • 4 april 2021 11:27

Yep voor het laatste nieuws kom je niet naar Tweakers.

Mortis__Rigor @wica • 4 april 2021 12:29

Daarvoor heeft DPG dan natuurlijk ook Het Laatste Nieuws

JAVE @wica • 4 april 2021 11:52

Het laatste nieuws, of het nieuws het laatst... What's the difference?

Gelukkig hebben we hier ook nog een verzameling mensen die de moeite nemen om te klagen op alles wat gepost wordt.

Webgnome @Anoniem: 736981 • 4 april 2021 11:00

offtopic:
Dit is inderdaad 'oud' nieuws en Tweakers is weer eens hekkesluiter. Valt mij de laatste tijd op dat sites als Nos / Rtl toch een stuk sneller zijn als Tweakers.net

bytemaster460 @Webgnome • 4 april 2021 11:17

Ik denk dat we blij kunnen zijn een site als Tweakers nog steeds gratis kan worden aangeboden. De NOS krijgt heel veel belastinggeld om met vele tientallen mensen nieuws te kunne brengen. Ook RTL nieuws heeft vele miljoenen ter beschikking om op het nieuws te zitten. Tweakers moet het met veel minder mensen doen en relatief ook met minder budget. Dat er dan een nacht tussen zit voordat bepaald nieuws wordt gepubliceerd lijkt me dan niet zo’n probleem.

bomberboy @bytemaster460 • 4 april 2021 11:33

Het is ook altijd wat. Is het supersnel en blijkt er iets mis, dan is er commentaar dat er geen fact check is.
Is het trager, dan is het te traag.

Ik ben blij dat er doorgaans wel context is bij een bericht en meestal ook degelijke bronnen vermeld worden.

edhollan @bytemaster460 • 4 april 2021 12:04

DPG media groep is niet bepaald klein.
https://www.adformatie.nl...noma-en-digitaal-beperken

bytemaster460 @edhollan • 4 april 2021 12:07

Klopt, maar dat betekent nog niet dat je heel DPG beschikbaar hebt voor Tweakers. Tweakers zal binnen DPG gewoon een budget en een toegewezen formatie hebben waar het het mee moet doen. Dat komt bijlange na niet in de buurt van de mogelijkheden van NOS of RTL Nieuws.

Lord Anubis @bytemaster460 • 4 april 2021 12:05

Minder mensen?? Hoeveel leden zijn er niet? Misschien zouden tweakers leden zelf zaken kunnen aanmelden en dat tweakers nieuwsposters het op kunnen pakken?

En wat voor soort van organisatie zit er achter tweakers?

Als tweakers volledig zelfstandig zou draaien, dan zou ik wel een abo willen nemen. Niet als er een organisatie achter zit die het hoofdzakelijk voor de winst doet en zelf een vrek zijn.

Robbierut4 @Lord Anubis • 4 april 2021 13:41

Er is een "tip de redactie" https://tweakers.net/submit/
Vanochtend het NOS nieuws daarin gezet, kreeg de melding dat het al gemeld was. Vervolgens staat bij dit artikel niet dat het is aangedragen door een community lid.

Verder is tweakers onderdeel van DPG.
Of die eisen stelt aan winst etc weten zij het beste, maar het recente "tweakers premium" doet niet veel goeds voor het gevoel bij de community.

Nystran @Robbierut4 • 5 april 2021 10:16

Misschien leest de redactie ook NOS nieuws? En is de tip bedoeld voor meer obscure buitenlandse bronnen?

Jazco2nd @bytemaster460 • 4 april 2021 12:10

Is DPG niet een groot commercieel bedrijf, slag groter dan RTL Nederland?

bytemaster460 @Jazco2nd • 4 april 2021 12:14

Ja, maar dat betekent niet dat Tweakers onbeperkte capaciteit binnen DPG kan claimen. RTL Nieuws kan hun volledige budget inzetten voor nieuwsberichten en dat is heel wat meer dan het budget dat Tweakers binnen DPG heeft.

Stijnvi @bytemaster460 • 4 april 2021 12:24

RTL tech (Bright) is maar een klein onderdeel van RTL nieuws
En RTL nieuws is weer een klein onderdeel van het hele RTL
Dus ook het het RTL tech nieuws kan geen volledige capaciteit claimen

FreshMaker @bytemaster460 • 4 april 2021 12:47

Ja, maar dat betekent niet dat Tweakers onbeperkte capaciteit binnen DPG kan claimen. RTL Nieuws kan hun volledige budget inzetten voor nieuwsberichten en dat is heel wat meer dan het budget dat Tweakers binnen DPG heeft.

Dan is er niet goed onderhandeld
Ik werk bij een klein bedrijf, wat is overgenomen door een instalatiebedrijf in een héél andere tak van dienstverlening
Deze is (daarna) weer overgenomen door een energiebedrijf/producent, en daarbij kwamen naast wat 'verplichtingen' ook een hele hoop voordelen, en extra opleidingsmiddelen.

Ik zal als beveiliger met 'extra's' niet in Zweden aan de slag kunnen, maar kan volop hulp vragen van de andere diensten ( tot zelfs DE en de UK aan toe )

Jazco2nd @bytemaster460 • 4 april 2021 14:01

Raar verhaal. DPG heeft veel meer nieuws content en media dan RTL en veel meer mensen die daarvoor werken.
RTL nieuws is 1 site, een tv redactie that's it. Appels en peren. Daarnaast, hoeveel mensen heb je thuiswerkend nodig om op tijd nieuws te leveren?

[Reactie gewijzigd door Jazco2nd op 23 juli 2024 15:13]

680x0 @bytemaster460 • 4 april 2021 12:13

DPG is groter en rijker dan jullie NOS. Ze krijgen zelfs 1 mlj subsidie in Vlaanderen welke ze naar Nederland (en dus Tweakers) doorsluizen.

https://deadeyes.medium.c...si-monopolie-ab2d2fa5f7eb

bytemaster460 @680x0 • 4 april 2021 12:15

Tweakers is onderdeel van DPG en heeft het te doen met de eigen budgetten. Het slaat nergens op om de mogelijkheden van Tweakers 1 op 1 te vergelijken met de mogelijkheden van DPG.

680x0 @bytemaster460 • 4 april 2021 14:23

DPG heeft belachelijk grote financiële mogelijkheden.. Maar hier op Tweakers laat men uitschijnen dat ze elke euro moeten omdraaien.

Gewoon klinklare onzin.

Voor DPG moet gewoon alles wat ze bezitten zoveel mogelijk opbrengen. Al de rest interesseert hen gewoon niets.

bytemaster460 @680x0 • 4 april 2021 17:27

Ik zeg toch niet dat DPG geen geld heeft? Ik zeg dat Tweakers het moet doen met het budget dat ze krijgen en dat is heel veel minder dan de NOS of RTL Nieuws.

iketot @bytemaster460 • 4 april 2021 19:32

Weet jij alle budgetten dan ?

En het is toch een keuze van DPG om een (te) beperkt budget aan T.net geeft ?

Als ze beter en sneller nieuws willen leveren moeten ze meer budget sturen ..

bytemaster460 @iketot • 5 april 2021 10:42

Dat is natuurlijk een afweging die DPG zelf maakt. Tweakers heeft een relatief kleine doe.groep vergeleken met NOS of RTL Nieuws. Als ze sneller berichten de wereld in willen sturen moeten ze inderdaad meer budget toekennen, maar waarschijnlijk is het helemaal geen doel om via Tweakers snel te berichten. Dat laat men over aan de grote nieuwsdiensten met een groot bereik.

iketot @bytemaster460 • 5 april 2021 10:53

Ja maar als Tweakers steeds achter loopt met het nieuws, zullen steeds meer mensen afhaken, zeker nu het begin van de betaalmuur is gemaakt en er dus meer kwalitatieve berichten zullen verdwijnen voor niet betalende bezoekers.

Dan blijft het steeds minder interessant om Tweakers te bezoeken..

bytemaster460 @iketot • 5 april 2021 11:07

Tweakers is geen realtime nieuwsdienst. Het brengt juist wat meer achtergronden op technieuws. Het is geen doel van Tweakers om vooraan te staan on nieuws als eerste te brengen. Het is niet dat mensen gevaar lopen omdat Tweakers pas 12 uur later over een datalek schrijft. Daar heb je andere nieuwsdiensten voor.

Iblies

Facebook

@680x0 • 5 april 2021 17:54

😒 wat een ongelooflijk vaag bericht van een ongelooflijk vage bron.

In Belgie krijgt papier defacto subsidie en is het niet vreemd dat ze een subsidie krijgen. Ik betwijfel het ten zeerste of het aan DPG zelf is, ik ga er van uit aan een van de kleinere bedrijven die er onder hangen.

680x0 @Iblies • 6 april 2021 00:07

Vaag bericht van vage bron?

Deze beter? Je had ook zelf kunnen Google'en maar dat doen we niet als we het niet willen horen uiteraard.. Nietwaar?

https://www.knack.be/nieu...icle-opinion-1666995.html

Stijnvi @bytemaster460 • 4 april 2021 12:22

Tweakers is onderdeel van de DPG groep
Dat is ook geen klein bedrijf hoor

bytemaster460 @Stijnvi • 4 april 2021 12:33

Klopt maar dat betekent niet dat Tweakers het volledige budget en alle personeel van DPG ter beschikking heeft om nieuwsberichten te schrijven. Daarom maakt ik een vergelijk met NOS en RTL Nieuws en niet met de NPO en RTL Nederland. Tweakers heeft een eigen budget, net zoals de NOS dat heeft en RTL Nieuws dat heeft.

aadje93 @bytemaster460 • 4 april 2021 12:50

De nos toont dan ook geen reclame 😉

bytemaster460 @aadje93 • 4 april 2021 12:59

Op de site misschien niet maar op TV zijn de reclames voor het 8-uurjournaal behoorlijk prijzig. Daar krijgt de NOS ook een belangrijk deel van.

Auteur

Mark_88 @bytemaster460 • 4 april 2021 11:18

Dank. Something, something, gegeven paard.

Lord Anubis @Mark_88 • 4 april 2021 12:06

Er bestaat in deze wereld geen gegeven paard meer.

GeroldM @Lord Anubis • 4 april 2021 16:38

Open source paard?

FreshMaker @Mark_88 • 4 april 2021 12:43

Dank. Something, something, gegeven paard.

Gegeven paard ?

Met advertenties en trackers op de site, kan je dit geen gegeven paard noemen.
De entrys van de bezoekers is hetgeen 'gegeven' wordt

Daar ligt ook nog steeds ( voor mij de waarde ) in de website.
Voor brekend nieuws zijn er bronnen die beter, sneller en completer zijn.
Een link naar een twitterpost, of het bronartikel maakt het niet completer, daar zet je mensen alleen maar op een speurtocht.

En jouw reactie komt nogal arrogant over, en is één van de redenen dat ik geen 'betaald' abonnement neem

supersnathan94

Datalek

@Mark_88 • 4 april 2021 21:24

Ik waardeer jullie inzet enorm hoor, maar ik wil me toch even verzetten tegen het “gegeven paard” deel.

Gezien de hoeveelheid trackers die ik verplicht door m’n strot heen geduwd krijg (wat wettelijk helemaal niet mag, wat door velen al jaren wordt aangegeven), icm targeted ads betaal ik gewoon echt met m’n data.

Prima, maar dat betekent niet dat het een gegeven paard is.

Overigens zijn er ook mensen die wel met fysieke euro’s betalen voor de content. Dus daar gaat dat helemaal niet voor op.

jpgview @wildhagen • 4 april 2021 10:54

Altijd een beetje twijfel gehad of het wel een goed idee is om bovenstaande check(s) te gebruiken. Je moet, veronderstel ik, je email address opgeven, om te kijken of het in de dataset voorkomt, maar je geeft op die moment wel je email address aan hen.

Wie zit er achter die sites, en zijn ze te vertrouwen?

Jester-NL @jpgview • 4 april 2021 11:05

reviews: Troy Hunt: 'De Adobe-breach kwam precies goed uit voor Have I been P...

Anders lees je dat interview met de oprichter/eigenaar van haveIbeenpwnd even

Anoniem: 454358 @jpgview • 4 april 2021 11:24

Als je je zorgen maakt om je email adres, dan dien je of geen email te gebruiken, wegwerp email adressen voor online diensten te gebruiken of gewoon helemaal niet online te gaan.

Andros @Anoniem: 454358 • 4 april 2021 11:41

Dat laatste is klets. De fout ligt bij criminelen die data misbruiken en bij niets of niemand anders. Wat jij zegt is hetzelfde als na een inbraak roepen: "had je maar niet je huis moeten verlaten".

Anoniem: 454358 @Andros • 4 april 2021 11:44

eh nee, ik zeg dat je je niet druk moet maken als iemand je email adres heeft, en als je dat wel doet, je email adres niet moet gebruiken voor online diensten. De kans dat je email adres ergens buitgemaakt wordt is volgens mij tegenwoordig wel iets van 80%, dus dien je je daar tegen te wapenen.
Om jou voorbeeld te gebruiken; zet een extra slot op je deur als je gewone sleutel overal verkrijgbaar is.

FilipSP @jpgview • 4 april 2021 11:49

Niet alleen te vertrouwen, maar zijn ze ook betrouwbaar ?

Net even check uitgevoerd met twee emailadressen die ik al 15 jaar gebruik voor nieuwsbrieven etc. Bij de ene 3x gepowned, bij de andere 1x, maar met uitzondering van LinkedIn allemaal bij partijen waar ik nog nooit iets heb achtergelaten.

Nu zijn er twee marketingbedrijven bij, die waarschijnlijk mijn email al ergens anders hebben geoogst (Facebook of zo), maar een is gewoon een account op een website van een relatief kleine hack.

pepsiblik @FilipSP • 4 april 2021 12:02

Dat heb ik dus ook. Mijn adres staat erin, omdat ik in iemand anders zijn contactenlijst sta.

Jack Flushell

@jpgview • 4 april 2021 13:59

Je geeft toch alleen een adres, niet een wachtwoord?

Joolee @Orgel • 4 april 2021 16:41

Als je het over de dienst Haveibeenpwned hebt van Troy Hunt hebt (je reactie is niet heel erg duidelijk) dan sla je de bal nogal mis. Deze website is zo opgezet dat de eigenaar helemaal niet kan inzien wíe er op zijn site naar een e-mail adres heeft gezocht. Dat klinkt technisch onmogelijk maar is in de praktijk verrassend eenvoudig. Als je je adres ingeeft, dan wordt er lokaal (dus niet bij Troy op de server) een hash van gemaakt. Slechts een deel van deze hash wordt naar de server gestuurd en de server stuurt de volle variant van alle matchende hashes terug naar de browser. Je controleert dus in feite lokaal of je E-mail adres in de hack voor komt.

.SnifraM @Orgel • 6 april 2021 16:27

Wederom slaat je reactie compleet de plank mis

Orgel @.SnifraM • 6 april 2021 17:51

Klopt.. maar ik heb tenminste een studie gedaan en werk lekker thuis de hele dag in m'n pyjama. Gezien jouw reactie werk jij met planken door vogelhuisjes in elkaar te zetten buiten in de kou en natte sneeuw. Wie doet het nu beter hier??

En trouwens..er is geen vogel te bekennen

[Reactie gewijzigd door Orgel op 23 juli 2024 15:13]

Orgel @.SnifraM • 6 april 2021 11:10

Zeggen de meeste totdat hun gegevens op straat liggen

juanita @DeeJay1965 • 4 april 2021 11:20

Is er ook 1 waar je op telefoonnummer kan zoeken?

Unsocial Pixel @juanita • 4 april 2021 11:58

Goede vraag die ik graag beantwoord zie worden. Want sinds het "foutje" van de covid test registratie die allemaal gelekt zijn word ik 3keer per week gebeld door verschillende telefoonnummers (enkel de laatste 4 cijfers verschillen telkens). In dit lek zat/zit echter waarschijnlijk ook mail en bsn wat mij toch wel zorgen baard.
Ach so far sta ik gelukkig nog niet op powned en dat is toch best een prettig gevoel.

borbit @DeeJay1965 • 4 april 2021 10:50

Dat is dus enkel op email. Terwijl het leeuwendeel van het lek op telefoon nummer gaat.

Dychmann @DeeJay1965 • 4 april 2021 16:22

Ik heb zelf het bestand gecheckt en ik sta erin met mijn data (naam telefoonnummer werkgever). Deze website geeft dus een vals negatieve melding. Dus juich niet te vroeg

preske @DeeJay1965 • 4 april 2021 11:55

"Dit e-mailadres komt niet voor in het datalek Facebook."
Oef, en vreemd.

84hannes @preske • 4 april 2021 17:10

Niet vreemd, slechts 0,5% van de gelekte gegevenssets bevat een e-mailadres.

preske @84hannes • 4 april 2021 17:54

dus mijn telefoonnr kan wel degelijk erbij zitten?

Palindrome @preske • 4 april 2021 20:24

Ja voor zover ik weet bevat elke entry van de dataset wel een telefoonummer.

84hannes @DeeJay1965 • 4 april 2021 16:42

Dataset met telefoonnummers bijna 533 miljoen Facebook-users verschijnt online
(...)
het gaat om telefoonnummers, Facebook-id's, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-teksten, datum van accountcreatie, werkgever en e-mailadressen. Alleen die laatste komt veel minder voor dan de rest: 2,5 miljoen keer.

De link die jij deelt gebruikt e-mailadressen om slachtoffers te identificeren. Echter, slechts bij 0,5% van de getroffen gebruikers is ook een e-mailadres gekoppeld. Als jouw gegevens buit zijn gemaakt heb je dus maar 0,5% kans dat jouw link dat kan bevestigen, in de overige 99,5% levert het hooguit een onterecht gevoel van veiligheid op.

edit:
Geen idee waarom dit ongewenst is

[Reactie gewijzigd door 84hannes op 23 juli 2024 15:13]

Zackito 4 april 2021 10:45

Is dit ook echt “gehackt” of een bot die openbare informatie uitgelezen heeft van openbare facebook accounts?

Skyclad @Zackito • 4 april 2021 10:55

Kennelijk was er een server zonder password beveiliging:
https://techcrunch.com/20...ok-phone-numbers-exposed/
(Gevonden via dit artikel over de leak: https://www.businessinsid...ernational=true&r=US&IR=T)

Oon

@Skyclad • 4 april 2021 12:59

Dat lijkt me stug, een organisatie van Facebook heeft het beheren van servers gewoon volledig geautomatiseerd en het instellen van toegang dmv keys en uitschakelen van wachtwoorden is daarin de standaard. Het komt ook niet overeen met wat het artikel zegt.

kodak

Networking en security
Datalek
Hack
Hackers

@Oon • 4 april 2021 20:07

Hoe het volgens jou bij het bedrijf zou moeten werken wil helaas niet zeggen dat dat ook de praktijk is. Daarbij trek je het journalistieke bericht kennelijk in twijfel omdat je een mening hebt, niet vanwege feiten. In het artikel kan je namelijk ook lezen dat Facebook onbeperkt zoeken op telefoonnummers en emailadressen mogelijk maakte en dat pas later is gaan beschermen. Er staat daarbij niet dat die bescherming vervolgens voldoende was.

Oon

@kodak • 4 april 2021 21:23

Nouja, de link die hier gedeeld wordt komt niet overeen met de verklaring uit het Tweakersartikel. Ik weet natuurlijk niet of Facebook inderdaad alle servers geautomatiseerd beheert en uitrolt, maar ik weet wel dat Facebook veel eigen tools heeft ontwikkeld (zie bijv. https://github.com/facebook), en acht zelf de kans klein dat Facebook op één server 'vergeten' is om wachtwoorden uit te schakelen, laat staan helemaal vergeten is om beveiliging aan te zetten (zeker aangezien die bij de meeste OSen standaard aan staat).

Daarom zeg ik ook 'dat lijkt me stug', en niet dat per definitie niet zo kan zijn.

wica @Zackito • 4 april 2021 10:50

Als ik het goed heb, waren deze data door een foutje bij facebook openbaar en vervolgens heeft iemand een botje geschreven.

Anoniem: 411179 @Zackito • 4 april 2021 10:50

Tegen BleepingComputer zegt Gal dat de kwetsbaarheid vermoedelijk in de 'vriend toevoegen'-functie zat en dat die toegang gaf tot de telefoonnummers van vreemden. De rest van de data is mogelijk gewoon gescraped van openbare profielen.

Staat gewoon in het artikel.

Zackito @Anoniem: 411179 • 4 april 2021 10:52

Of ik heb er net overheen gelezen, of het artikel is nog aangepast na mijn reactie.

neeecht 4 april 2021 10:58

Vanaf dag één onzin sites (facebook) met een fake account en echte sites (ing.nl ofzo) uit elkaar gehouden.
Wederom profijt van. Sowieso naam@eigendomein.nl al jaren, per website.

Telefoonnummer alleen als het echt nodig is.
Maar goed, mijn hobbie is telecom, heb sowieso drie nummers (kpn,vodafone,t-mobile)

Heel af en toe komt er ineens spam binnen, maar alles gaat via google, die pakken dat meestal wel internationaal op en een paar dagen is alles weg.

En anders gaat de email forward terug naar de zender: spambedrijf@eigendomein.nl > info@spambedrijf.com en dat lost het vaak snel op.

Memori @neeecht • 4 april 2021 11:03

Ik doe ongeveer hetzelfde wat jij ook doet. Zelfs WhatsApp verwijderd voordat Facebook het overnam. Ik heb ooit het data verzoek aan Facebook van mijn broer ingezien. Blijkt dat mijn volledige persoonsgegevens erin staan inclusief telefoonnummer. Ook al heb je nooit toesteming gegeven, je data wordt gemined uit de contactenlijst van andere telefoons die wel toestemming hebben gegeven.

Rve28 @Memori • 4 april 2021 12:31

@neeecht en @Memori , ik wil al een tijdje iets vergelijkbaars opstellen met spambedrijf@eigendomein.nl maar ik weet nog niet zo goed wat hiervoor de beste/makkelijkste optie is.

Gebruiken jullie een eigen e-mailserver, zoja welke?
Anders, welk hostingsbedrijf zouden jullie hiervoor aanraden?

neeecht @Rve28 • 4 april 2021 13:09

Elk modern hosting bedrijf denk ik. Ik ga geen advies geven omdat ik al 20 jaar bij dezelfde zit en geen idee heb van anderen. (En deze is niet meer voor consumenten beschikbaar.)

Het enige wat ik heb: domein.nl met DNS en MAIL forwarding.

DNS:
Onder het domein zet ik een IP adres, gericht naar weer een aparte hosting server. Wel prive, niet van mijzelf.

MAIL:
Een catchall en sommige direct redirects;
*@domein.nl > eigenaccount@gmail.com, al het spamfilteren doet google dus. En terug mailen vanuit gmail heb ik nog nooit issues mee gehad. (Nadeel van terugmailen is wel men dus je gmail account weet.) Bij email kun je een reply email instellen en je zou altijd een aparte/nieuw gmail account kunnen maken.

En soms heb ik ook bijv: info@domein.nl > account1@gmail.com en sales@domein.nl > account2@gmail.com bijvoorbeeld.

Je zou het idd ook met een eigen mailserver kunnen doen, maar dat is voor mij teveel gedoe om bij te houden.

Memori @Rve28 • 4 april 2021 13:30

Catch-all en dan met behulp van filters kan je de mail in je gewenste inboxen zetten. Ik gebruik hier zelf Thunderbird voor maar het kan volgens mij met elke email client/webmail wel.

Als je maar één mail adres hebt en geen mogelijkheid tot catch-all, kan je e-mail subaddressing (+ teken) toepassen. Dit ziet er zo uit:
mijnadres+tweakers@gmail.com
mijnadres+webshop@gmail.com

Alle mail gaat dan naar mijnadres@gmail.com waar je dan kan filteren op ontvanger.

Franckey @Memori • 4 april 2021 20:57

Dat doe ik ook, maar helaas vinden veel websites een adres met een plus-teken niet geldig.

jwbokx @Rve28 • 4 april 2021 14:15

Ik had eerst een eigen mail server draaien, maar dat is veel te veel en gedoe geworden met al dat gehack.
Nu een domain naam bij versio. Of dit de beste is weet in niet, maar nog weinig gedoe gehad. Alleen nadat ze over genomen waren werd alles veel duurder terwijl van mijn website nooit iets terecht komen is. Dus nu alleen nog de mail.
Ik heb voor alle bedrijven en forwarder aan gemaakt. Gaat het mis, gooi ik die weg en verdwijnt alles in de prullenbak.

david-v

@Rve28 • 4 april 2021 20:11

Je hebt een domeinnaam nodig en vervolgens een catch all instellen. Er zijn hosting partijen die dns registratie bieden met een simpele catch all voor €8 per jaar (bij een .nl domein). Andere domeinen kan ook maar kunnen duurder zijn.

dutchnltweaker @neeecht • 4 april 2021 11:04

En anders kan je altijd (zoals ik) ene prepaid kaart aanschaffen voor overal aan te melden als het echt nodig is. Zo houd ik mijn privé 06nummer gescheiden.

UitgelogdeUser @neeecht • 4 april 2021 11:32

Ik heb ook al jaren catch-all adressen voor alles
Tweakers@, <webshop>@, en ga zo maar door werkt prima.

Dat laatste is wel een goeie tip overigens! Ik sta ergens op een mailing list van een restaurant, aantal keer bezwaar gemaakt, slechte Google recensie naar nergens gehoor gekregen. Dit ga ik dus gelijk instellen

Kenju @neeecht • 4 april 2021 12:21

Denk dat velen in de tweakerscommunity het op deze manier doen. Maar het gaat Facebook natuurlijk om de metadata die ze kunnen halen uit je account die in feite niets zal verschillen van wat je met je echte gegevens op Facebook zou doen, en daarnaast alle social connecties die je daarmee aangegaan bent.

Als het gaat om de mensen die deze gegevens gestolen hebben, zal hetgeen dat ze met deze gegevens willen doen minder effectief zijn, maar je kan bijv nog steeds gemaild worden op dat adres met phishingmails. Let je net even niet op waar het mailtje op binnenkomt, en het kan raak zijn.

New Yorker 4 april 2021 10:48

Jackpot voor telefoon scammers

K-aroq @New Yorker • 4 april 2021 11:15

Daar heb je niet echt een Facebooklijst voor nodig. Je hebt zo een scriptje gemaakt dat bestaande nummers gaat bellen. En in combinatie met andere openbare informatie kan je al redelijk targetten. In Nederland zijn vaste telefoonnummers van oorsprong wijkgebonden. ALs je op basis van demografische gegevens een wijk gaat targetten waar relatief veel ouderen wonen heb je meer dan gemiddeld kan om die doelgroep te bereiken middels de oude wijkprefixen.

k0enf0rNL 4 april 2021 11:09

Aangezien Have I been Pwned en Firefox je alleen maar toestaan om te zoekeb op basis van emailadres kan je lastig controleren of je er zelf in staat. Zijn er andere plekken waar je kan zoeken op bijvoorbeeld naam en/of telefoonnummer?

PdeBie @k0enf0rNL • 4 april 2021 19:11

De data set zelf downloaden?

Bergen @PdeBie • 5 april 2021 02:10

Dat heb ik ook gedaan, want ik wilde gewoon weten welke gegevens van mij in de dataset zitten. En mijn telefoonnummer staat er ook in...

Dit is het formaat:
telefoonnummer:id:voornaam:achternaam:geslacht:woonplaats:relatiestatus:geboorteplaats:werkgever:datetime:email:geboortedatum

Het id is een 15-cijferig nummer, zoals 100002320381549. Dit voorbeeld is enigszins random/aangepast, maar zo zien de ids er allemaal ongeveer uit. Ik herken het formaat niet. Je Facebook gebruikersnaam staat er niet in.

Het datetime veld zou inderdaad de account creation date kunnen zijn, want de oudste datums zijn uit 2007 (toen Facebook nog maar net bestond), maar de datum bij mijn entry klopt niet. Daar staat een datum uit november 2017, maar mijn account is al ouder. De meest recente datums zijn van 2019.

Enfin, ik zal 'm weer van mijn computer wissen. Bizar dat je dit met een beetje creatief googlen zo kunt vinden. Het kostte me nog geen twee minuten. De records worden in zipfiles per land aangeboden. Er staan 5.430.387 records in de zipfile van Nederland. (ps: stuur me geen verzoek om de link; zoeken doe je zelf maar.)

[Reactie gewijzigd door Bergen op 23 juli 2024 15:13]

Daniel Jackson 4 april 2021 11:10

Jaren terug heb ik mijn profiel op inactief gezet, dat zit net een stapje onder volledig verwijderen. Hopelijk heeft dat genoeg bescherming geboden om niet te betrokken te zijn geweest bij dit lek.

Maurits van Baerle

Facebook

@Daniel Jackson • 4 april 2021 11:35

Er zijn vast wel beschrijving te vinden hoe je nog effectiever daar mee om kunt gaan. Facebook heeft je data al en die zul je maar beperkt kunnen verwijderen.

Misschien kun je iets doen met langzaam aan (tien per week?) connecties verwijderen. Langzaamaan foto’s verwijderen, langzaamaan alle andere data verwijderen.

Tot slot “verhuis” je maar Ecuador of iets dergelijks, bevriend wat willekeurige mensen in Ecuador, wacht een maandje en zet dan je taal op Spaans en volg je wat Ecudoriaanse bands. Een maandje later verander je geboortestad naar Mexico City. Log af en toe in om nieuwe Ecuadoriaanse Like suggesties te accepteren.

Als je grotendeels je data niet bij Facebook weg kunt halen kun je het in ieder geval vervuilen.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 15:13]

Op dit item kan niet meer gereageerd worden.

Dataset met telefoonnummers bijna 533 miljoen Facebook-users verschijnt online

Lees meer

Je Facebook-gegevens staan online

Reacties (240)

Sorteer op:

Weergave: