Allekabels: wachtwoorden van accounts ouder dan september 2018 zijn te kraken

Allekabels meldt aan klanten dat wachtwoorden van accounts die voor 1 september 2018 zijn aangemaakt, gekraakt kunnen worden. De webshop heeft die wachtwoorden gewist. Om hoeveel van de 2,6 miljoen gelekte accounts het gaat, is niet bekend.

Operations Director Constantijn Souren schrijft naar klanten dat het bedrijf op 23 augustus 2020 gehackt is door cybercriminelen en dat daarbij versleutelde wachtwoorden zijn gestolen. Allekabels claimt in de mail dat 'een minderheid' van alle wachtwoorden te ontsleutelen is. Allekabels geeft in de mail verder geen informatie over de gebruikte versleuteling of waarom het wachtwoorden voor 1 september 2018 niet beter zou hebben versleuteld. De webshop zegt inmiddels melding te hebben gemaakt bij de Autoriteit Persoonsgegevens. Daarnaast heeft Allekabels de wachtwoorden die voor september 2018 zijn aangemaakt, inmiddels verwijderd. De desbetreffende klanten zijn daarvan op de hoogte gesteld.

Uit onderzoek van RTL Nieuws bleek donderdag dat bij die hack 2,6 miljoen unieke e-mailadressen zijn gestolen met onder meer versleutelde wachtwoorden. Volgens journalist Daniël Verlaan zijn de wachtwoorden gehasht met MD5 en voorzien van een salt, of met Bcrypt. De salt die gebruikt is voor het versleutelen van de MD5-wachtwoorden, is ook gestolen, waarmee die wachtwoorden eenvoudig zijn te kraken.

In een faq geeft Allekabels aanvullende informatie over het datalek. Zo zijn klantnaam, eventuele bedrijfsnamen en adresgegevens bij de aanval buitgemaakt. Van klanten die gebruik hebben gemaakt van achteraf betalen, zijn ook geboortedatum en telefoonnummer uitgelekt. Daarnaast is van de honderdduizend klanten die op het moment van de aanval het recentst een order hebben geplaatst, ook het IBAN-nummer uitgelekt. De webshop claimt verder 'tegenwoordig' privacygevoelige klantgegevens in een 'datakluissysteem' te plaatsen, waar data alleen kan worden opgeslagen of gewijzigd. Medewerkers en criminelen zouden deze data niet kunnen inzien, claimt het bedrijf.

Donderdag werd bekend dat er bij het datalek gegevens van 3,6 miljoen mensen zijn buitgemaakt. Een miljoen daarvan komt van klanten die via platforms als bol.com en Amazon een bestelling bij Allekabels hebben geplaatst. De resterende 2,6 miljoen klantgegevens zijn van mensen die direct bij de webshop iets hebben besteld. Alleen van deze laatste groep zijn de e-mailadressen en wachtwoorden buitgemaakt. De webshop zelf claimde in februari dat de gegevens van maar vijfduizend klanten waren gestolen.

IT-banen

Reacties (542)

xoniq 16 april 2021 10:21

Ook dit moest wéér via de media komen. Vannacht stond er nog op hun website een toelichting dat alle wachtwoorden veilig en onleesbaar zijn, en niet misbruikt kunnen worden. (Harde statement, heb een screenshot gemaakt)

En nu is dat op onderzoek van de media weer veranderd naar hetgeen Tweakers al meld. Het blijft maar strooien met mooi weer, wat even later weer vernietigd wordt. Heel triest dit. Ben benieuwd wat het volgende stukje van de ondergang wordt.

Paar screenshots van gister, voor ze de FAQ hadden aangepast, wat dus toont wat voor puinhoop het is met wat ze wel en niet weten:

https://pbs.twimg.com/media/EzDXFP9XAAE_mMy.jpg
https://pbs.twimg.com/media/EzDXj9cWUAgHKg2.jpg
https://pbs.twimg.com/media/EzBZ1G5WQAMSkto.png
https://pbs.twimg.com/media/EzBbPqxWQAc5lbs.jpg

En er is meer wat stinkt; mede Tweaker @mjl geeft aan dat hij benaderd is dat zijn wachtwoord niet is gelekt, omdat zijn account van 'na 2018' zou zijn, maar ondertussen kan hij aantonen dat er bestellingen zijn van 2017, waar dus wederom onjuistheden zijn.
Dit heeft waarschijnlijk te maken met dat AK communiceert over accounts van voor 2018, terwijl dit om wachtwoorden gaat. Wachtwoorden die aangepast zijn na 2018, zijn - zoals zij beweren - veilig.

[Reactie gewijzigd door xoniq op 22 juli 2024 19:18]

eilavid @xoniq • 16 april 2021 10:28

Ik kan alleen maar hopen dat de autoriteiten ze hard gaan aanpakken. Zeker nu ook blijkt hoe gemakzuchtig ze met gegevens van klanten om gaan.

xoniq @eilavid • 16 april 2021 10:30

Leugens na leugens, kwalijke zaken mooier doen lijken voor de klanten, en niet snappen dat de waarheid er wel uit komt.

Grootste data hack ooit in Nederland, mag prima een voorbeeld aan gesteld worden, zodat heel ondernemend Nederland hier kritischer naar hun eigen systemen gaat kijken.

captain007 @xoniq • 16 april 2021 11:49

Het is vooral gewoon treurig omdat het niet had gehoeven. Als ze vanaf het eerste moment open en transparant waren geweest over hoe erg het was, dan was dat beter geland dan nu. Dan was het nog steeds heel vervelend en hadden we nog steeds van alles kunnen vinden van de manier waarop bijvoorbeeld wachtwoorden zijn opgeslagen, maar was de gevolgschade minder groot. Nu krijgen we midden in de nacht een mail met kromme zinnen, een overhaast in elkaar geflanste FAQ met halve waarheden en weet je als je de nieuwsberichten niet goed volgt nog steeds niet wat er nu exact is gebeurd.

Heb er jarenlang als tevreden klant vele honderden meters netwerkkabel besteld en andere gerelateerde spullen. Het is dan gewoon uitermate teleurstellend dat men niet in staat is gewoon fatsoenlijk te communiceren, toegeeft dat men gewoon fouten heeft gemaakt en werkt aan herstel in het vertrouwen. Door de huidige gang van zaken is er juist eerder sprake van wantrouwen en zien we een mooi voorbeeld hoe paniekvoetbal en slechte communicatie de boel alleen maar erger maakt.

xoniq @captain007 • 16 april 2021 11:54

Het enige wat ze hadden moeten doen; is het minder concreet houden, en durven aangeven dat ze niet direct zeker weten hoe groot de hack was. Dan was het nog steeds bagger, maar minder aan te rekenen buiten technische implementaties om.

Als ze niet concreet hadden gezegd dat er bepaalde zaken absoluut niet gelekt waren (wat dus wel zo blijkt te zijn), en een persbericht hadden gereleased waarin ze een onderzoek beginnen, was het niet zo ontploft. Dus ja, paniekvoetbal, slechte communicatie, en naar mijn idee ook het lek kleiner te laten lijken dan het is.

En dat laatste beweer ik op het feit dat het eerst '5000' gegevens waren, toevallig enkel van een paar slimme jongens die speciaal een e-mailadres hadden opgezet puur voor Allekabels. Alleen die e-mailadressen zouden gelekt zijn. Dat is pure obstructie, en moedwillig de boel onder tafel schuiven.

Anoniem: 57381 @xoniq • 16 april 2021 12:48

Ik heb ze vorig jaar al verteld dat ik moest vast stellen dat het meest waarschijnlijke scenario was dat ze gehacked waren. Dit op grond van spam op uniek mailadres. Hun reactie was dat hun verzendpartner gehacked zou zijn.... maar als postnl gehacked zou zijn dan zou ik van veel andere bedrijven ook spam moeten ontvangen.... Hun hele reactie was nogal ontkennend en ze hadden veel eerder en veel sneller kunnen ingrijpen. Het is ze lang geleden al verteld!

Overigens denk ik dat het tijd is om te handelen alsof al onze data op straat ligt. Er zijn genoeg grote datalekken geweest (RDW bijvoorbeeld). M.a.w. het is waarschijnlijk dat criminelen alle gegevens hebben en daar gericht misbruik van zullen gaan maken. Dus ieder contact dat ik niet zelf initieer zal ik als wantrouwend behandelen. Dus als de bank belt en ter verificatie mijn geboorte datum vraagt, dan krijgen ze die dus niet! Als ik een brief krijg van het RDW dan ga ik er vanuit dat die nep zou kunnen zijn. Een factuur per post van allekabels betaal ik niet zo maar naar het rekeningnummer op de brief. Etc.etc.

laptopleon @Anoniem: 57381 • 16 april 2021 13:52

Ik deel al 20+ jaar per webwinkel/abonnement/account unieke mailadressen uit, zoals veronicamagazine@[mijndomeinnaam] en allekabels@[mijndomeinnaam].

Als je dan spam krijgt op zo'n mailadres, wat je zelf verder nergens voor gebruikt, zijn er grofweg twee mogelijkheden: Het bedrijf is gehackt of ze verkopen je info door.

Nu is mail beter beveiligd maar 20 jaar geleden was dat ook nog niet zo standaard, dus je kan niets bewijzen, maar hoe dan ook ga ik er hierdoor al lang van uit wat je online aan data opgeeft, een keer op straat kan komen te liggen.

Daarom geef ik bijvoorbeeld altijd een valse geboortedatum op, tenzij het echt niet anders kan.

pasop8erje @laptopleon • 16 april 2021 15:15

Je kunt ook altijd, als je emailadres mijnemail@gmail.com is, mijnemail+allekabels@gmail.com gebruiken. Je hoeft dat emailadres niet aan te maken, maar kunt zo in (wellicht sommige, wellicht vele) gevallen toch zien waar het gelekt is afhankelijk hoever de hackers in de data zijn gedoken om de bron te verbergen.

locke960 @pasop8erje • 16 april 2021 21:01

Dat trucje met "+blabla" in je email adres bied geen enkele veiligheid.
Het is algemeen bekent en elke half competente dataminer/dataheler/spammer draait in 10 seconden een query over zijn database die al die ongein er uit haalt en in mooie schone e-mailadressen veranderd.

Janusch @pasop8erje • 16 april 2021 16:17

Goede tip. Ik gebruik nog wel eens mijnemail+123@gmail.com. Wist niet dat het ook gewoon met tekst kon ipv getallen.

doctormetal @pasop8erje • 16 april 2021 17:15

Dit is zo algemeen bekend dat de "hackers" ook wel weten alles na een + gewoon weg te laten. Het heeft dan ook niet zoveel nut meer om dit te doen om spam te kunnen voorkomen, filteren of identificeren.

Infor40 @pasop8erje • 16 april 2021 18:01

Vrees dat die techniek toch inmiddels te bekend is. Hoe moeilijk is alles tussen + en @ geautomatiseerd te verwijderen. Een hacker snapt ook dat t dan beter te traceren is en eerder genegeerd wordt (na lek).

pasop8erje @Infor40 • 16 april 2021 18:36

Daarom zei ik inderdaad 'wellicht sommige'. Misschien maakt het sommige hackers ook niet uit waar het gelekt is, hun doelgroep checkt toch de emailheader niet. En anders... geen moeite geweest. Verder compleet eens met @doctormetal en @Infor40 uiteraard.

[Reactie gewijzigd door pasop8erje op 22 juli 2024 19:18]

ultimasnake @pasop8erje • 16 april 2021 22:31

Top tip maar er zijn zoveel partijen die de + nog steeds niet accepteren als valide karakter..

Nu begreep ik dat puntje ook uniek kunnen zijn dus bijv pas.op.8.erje@gmail.com of pasop.8erje zijn beiden valide voor jouw inbox maar dat maakt bijhouden lastiger

supermlt @laptopleon • 17 april 2021 09:29

De RDW zelf had geen datalek, het RDC had een datalek.

laptopleon @supermlt • 17 april 2021 15:30

Potato, potàto. Hoe dan ook is het jouw emailadres (etc) dat in handen van spammers (etc) terecht komt, of het RDW het nou uitbesteed heeft aan een andere club of niet.

Ro-Maniak2 @Anoniem: 57381 • 16 april 2021 13:43

Ik exact zelfde laatst bij de hack van het autodealersysteem (RDC?).

Bij Stern, waaronder ook Ford Ardea valt, had ik een uniek mailadres gebruikt. Paar maanden geleden aan ze laten weten dat het gelekt/gehackt was, want spam/phishing ineens. Andere oorzaak (dus) onmogelijk.

Lauwe, afhoudende reacties. Alles ok, niets aan de hand, loopt u door.

Terwijl ik het ze beleefd, uitgebreid en technisch onderbouwd het uitgelegd.

Fwd enige weken later: het blijkt een groot datalek.

Dus: bij de Stern Groep / Ford Ardea, is data niet veilig en wordt een laks en gebrekkig beleid gevoegd op het gebied van data privacy / security.

trab_78

@xoniq • 16 april 2021 20:20

Alle kritiek is natuurlijk terecht. Toch goed om je te realiseren hoe dit komt: die mensen runnen een winkel, geen IT-bedrijf. Op serieuze schaal, dat wel. Maar ik denk niet dat ze veel expertise in huis hebben als het over informatiebeveiliging gaat. Dat is alleen weggelegd voor de bol.com’s en zalando’s.

Met andere woorden: ze waren onbewust onbekwaam. En helaas geldt dat waarschijnlijk voor heel veel van die webshops. Waarschijnlijk hun handen vol gehad aan het bijbenen van hun eigen succes en daarbij vooral gefocust op de logistiek enzo.

Het moge duidelijk zijn dat dit een onhoudbare situatie is. Ik zie vooral ook een rol voor de overheid (strengere regels, beter handhaven), leveranciers van software (betere beveiliging, standaard zo min mogelijk data opslaan) en brancheorganisaties (best practices delen, advies geven).

xoniq @trab_78 • 16 april 2021 21:25

Daar zijn oplossingen voor, als het wat mag kosten. Audits. Er zijn bedrijven die volledig onafhankelijk opereren en een kopie op een aparte VPS helemaal proberen te slopen. Maar dan moet die stap wel genomen worden. Helemaal als je een serieuze shop draait met flinke omzet, dan een jaarlijkse audit er prima vanaf.

Het is dus onkunde, en tevens ook gelijk onwil dan wel om budget redenen niet willen.

trab_78

@xoniq • 17 april 2021 11:52

Onkunde is het zeker. Of het onwil is, kan je niet zo makkelijk zeggen. Zoals mensen in andere reacties ook al schreven: het is juist de trend om zoveel mogelijk data te verzamelen en bewaren. Er zijn ook allerlei dingen die je juist verplicht moet bewaren. En veel consumenten geven op dit moment niks om privacy en beveiliging, dus daar gaat bepaald geen “push” vanuit. Zou dus heel goed kunnen dat men oprecht geloofde hun zaakjes goed geregeld te hebben. Zoals ik zei: onbewust onbekwaam.

Dat gezegd hebbende: hopelijk is één van de effecten van al die recente datalekken dat consumenten beveiliging wél belangrijk gaan vinden. Dan kan je je als winkel daarop gaan onderscheiden.

Bierbal @xoniq • 16 april 2021 13:53

Ik heb mijn account aangemaakt voor de genoemde data (September 2018). Tot op heden ben ik nog steeds niet geinformeerd door deze partij op welke manier dan ook. Vind het ook vrij apart dat men een halfjaar na de hack pas naar buiten brengt dat ik gehacked ben (vermoedelijk). Lekker bedrijf is dit..

xoniq @Bierbal • 16 april 2021 14:02

Ik kreeg van een andere Tweaker - wiens naam ik buiten beschouwing laat - ook een PM dat deze persoon pas een account heeft sinds 2020, nooit zaken heeft gedaan met deze partij tot 2020, en ook deze Tweaker heeft een melding gekregen vanuit AK dat ook zijn wachtwoord eenvoudig te kraken is, en dus tot het 2018 gevalletje zou horen. Heel bijzonder en verwarrend.

Dus ik zou alles wat ze bij AK roepen, mailen en doen, met 3 kruiwagens zout nemen.

jannick63 @xoniq • 18 april 2021 13:00

Ik heb die melding ook gehad, maar mijn wachtwoord kan nooit van 2018 zijn geweest. Deze heb ik later nog gewijzigd vanwege weer andere datalekken... Het rammelt i.i.g. flink bij AlleKabels. Ondertussen gelooft de gemiddelde Nederlander alles wat ze zeggen en gaan ervan uit dat hun ww veilig is. Op deze manier hebben criminelen straks vrijspel met miljoenen wachtwoorden van Nederlanders.

doctormetal @Bierbal • 16 april 2021 17:18

Vanochtend kreeg ik een e-mail die, gezien wat er al bekend gemaakt is, vol met leugens staat. Er staat letterlijk in da de autoriteit persoonsgegevens direct geïnformeerd was in 2020, wat dus niet het geval was. Mijn vertrouwen zijn ze in ieder geval kwijt.

jimzz @captain007 • 16 april 2021 18:38

Wat treurig is is dat bedrijven de schuld krijgen. Dus als er bij jou thuis ingebroken wordt is dat dus ook eigen schuld, want ja had je maar gepantserd glas moeten hebben of geen ruiten die ingegooid kunnen worden.

We zijn echt de omgekeerde wereld in aan t gaan, waar de criminelen beloond worden en de bedrijven gestraft. Uiteraard zijn er ook fouten gemaakt bij het bedrijf, maar we vallen ze flink af terwijl alle grote bedrijven dit al eens hebben meegemaakt en we nog vrolijk allemaal FB, Whatsapp, Apple en Google blijven gebruiken. Hypocrisie van de bovenste plank echt....

Ik lees hier berichten dat mensen hopen dat allekabels echt flink gestraft wordt, maar niemand die hetzelfde zei over FB, Apple of Whatsapp. Sterker nog het zijn wss nog dezelfde mensen die dit roepen ook.

Maar goed omdat Allekabels maar eens in de zoveel keer gebruikt wordt door klanten maar Apple of Google niet is het dus "erger" als het om zo'n bedrijf gaat dan als het om de grote jongens gaat.

Dat er slecht gecommuniceerd is vanuit het bedrijf is inderdaad slecht, maar met de social media cultuur en het iedereen maar afvallen en meningen gooien geef ze dan eens ongelijk? Mensen kunnen alleen maar meningen gooien op het internet en niemand die daadwerkelijk actie onderneemt.

[Reactie gewijzigd door jimzz op 22 juli 2024 19:18]

billyjk @jimzz • 16 april 2021 19:25

Als je het wilt vergelijken met een inbraak.
Wat als jij waardevolle spullen aan mij toevertrouwd en ik die in mijn huis zet en vervolgens een raam open laat staan?
Vervolgens gaan ze er door het raam met jouw spullen vandoor.
Dan denk ik dat je behoorlijk pissig op mij wordt.
Zeker als ik het pas na maanden meld en eerst met allerlei verhalen kom die niet blijken te kloppen.

jimzz @billyjk • 16 april 2021 19:26

Mee eens. Maar toch, raam open of enkelglas. Wel een verschil lijkt me.

Maar idd de communicatie is om te huilen en ik denk dat we ze daar op af moeten vallen en niet om een datalek dat zelfs de grootste bedrijven overkomt.

Crypt0nn @captain007 • 16 april 2021 20:18

Ik ben het hier helemaal niet mee eens. Wat jimzz al aangeeft, die is vooral treurig voor het bedrijf dat de schuld krijgt.

Ik zit al zo’n 15 jaar professioneel in de infosec en kan je vertellen dat het heel moeilijk is om IT beveiliging goed te doen. Echt heel, heel, heel erg moeilijk. Ik heb zowel defensief (blue team) als offensief (red team) veel gedaan en ik kan je vertellen: red teaming is gewoon makkelijk. Toegang krijgen tot sensitieve data lukt bij een groot deel van de red team testen die je doet. Dit geldt dus ook voor criminelen. Er kan bijzonder veel misgaan als je een organisatie moet beschermen. Groot of klein.

Hebben ze dan alles goed gedaan bij allekabels? Nee
Hebben ze juist gecommuniceerd? Nee
Flinke inschattingsfouten gemaakt? Zeker
Ze hebben zeker steken laten vallen. De hashing methode was verouderd, de communicatie in de paniek bijzonder fout. Maar ze zijn vast niet opgestaan met parate kennis hoe ze om moeten gaan met deze crisis. En MD5, dat gebruikten HEEL veel bedrijven 4 jaar geleden nog (ja, was toen ook al fout, weet ik wel). Helaas hadden ze meer moeten investeren in security personeel en kennis, dat klopt. En een communicatieplan moeten hebben in geval van een incident, ook dat klopt. Maar als er een pompstation overvallen wordt zeg je toch ook niet: wat een slecht station, ze hadden beschermd glas moeten hebben. En een beveiliger. Daar heb je wel sympathie voor, toch?
Omdat het jou persoonlijk raakt (jouw gegevens), zou toch geen reden moeten zijn om dat anders te zien?

Ik hoop dat ze bij AK leren van hun fouten en deze situatie. En ik hoop andere bedrijven ook. Dat betekend oa investeren in security kennis en personeel. Niet dat er op dit moment genoeg security personeel is in NL om de problemen op te lossen trouwens, dus het is nog maar de vraag in hoeverre dat op korte en middenlange termijn zal lukken. Hier is nog een lange weg te gaan.

Maar laten we in ieder geval met zijn allen eens 1 ding doen: niet (alleen) jezelf zielig vinden als er zo’n breach is, maar ook de organisatie waar het mis ging. Die heeft hier echt niet om gevraagd en als ze vooraf wisten wat ze nu weten hadden ze het heus ook anders gedaan.

Zullen we nu gewoon weer ouderwets de boeven slecht vinden, en de slachtoffers zielig?

[Reactie gewijzigd door Crypt0nn op 22 juli 2024 19:18]

trab_78

@Crypt0nn • 17 april 2021 11:58

Dit is precies het gevoel dat ik er ook aan overhoud. Fijn om dat bevestigd te zien door iemand met relevante ervaring in de gegevensbeveiliging!

jeanj @Crypt0nn • 17 april 2021 13:19

Over je voorbeeld: Als een pompstation wordt overvallen en de bediende die achter kogelvrij glas zit, kan worden bedreigd omdat het hang en sluitwerk van de achterin gang verouderd/gammel is en de overvaller zo binnen komt, dan ja, de eigenaar van het pompstation valt dan iets te verwijten. (niet dat hij overvallen is, maar dat hij het hen (te) makkelijk heeft gemaakt)

Ik vind dat je makkelijk over de verantwoordelijkheid van AK heen stapt
1. Ze hebben een lek in het systeem
2. Ze hebben de wachtwoorden niet voldoende versleuteld
Ik vind onkunde geen goed excuus, met wat er de laatste paar jaren in de pers is geweest zou je beter moeten weten.

Het probleem meestal is de eigenaar van een systeem heeft er te weinig kennis van en wil er geen geld aan te besteden, om die kennis aan te trekken

Als ik dan nog hoor dat gebruikers aan de bel hebben getrokken en ze dus bewust de boel onder de pet hebben gehouden en daar boven op nog slecht communiceren, dan is een zware boete terecht. Idem voor dat auto bedrijf waar die gegevens zijn gelekt. Blijkbaar wegen de kosten (inclusief reputatie schade) van de boete niet op tegen de kosten van het wel goed op orde brengen.

Crypt0nn @jeanj • 17 april 2021 15:01

Ik ben het er mee eens dat hier, na onderzoek van het AP en afhankelijk van die resultaten, best een boete aan mag hangen. Verkijk je niet op de mate van onvolledige berichtgeving door media. Daarom hebben we rechters en toezichthouders, om tot de werkelijke oorzaak te komen en daar een goed onderbouwd vonnis op te geven. Ik wacht daar graag op.

Klanten moeten ook beschermd worden en helaas werkt het nu eenmaal zo dat je dan niet om compliance heen kan om dat te borgen. Ik zie mijn mening ook niet als een vrijbrief om dan maar niks te doen aan beveiliging, eerder het tegenovergestelde.

Maar dat gezegd hebbende: dit bedrijf (en de mensen die daar werken) gaat meer schade leiden hierdoor dan welke tweaker of klant van AK dan ook. Bol heeft ze ondertussen al afgesloten. De reputatieschade is gigantisch. De boete zal eerder extra zijn de grootste kostenpost. En om ze dan door onverstandig handelen zo aan de schandpaal te hangen is wat mij betreft niet nodig. Het zijn ook gewoon mensen die hier hun best hebben gedaan om een mooi product op te markt te zetten. Gaat bij jou altijd alles wat je doet goed? Ook in stresssituaties? Ik zou het knap vinden.

Het kan overal mis gaan. Ook bij alle grootste bedrijven zoals microsoft, google, amazon (etc. Etc. Etc.). Hier ging het wellicht te makkelijk mis (maar daarvoor is wmb nog steeds onderzoek nodig om tot de conclusie te komen HOE mis).

En als laatste: het is belangrijk om je te realiseren dat de meeste bedrijven, zeker zonder CISO (maar vaak ook met), maar beperkt zicht hebben op de schade van dit soort incidenten. En vaak het idee hebben, vaak gesteund door opmerkingen vanuit hun IT directeur, dat het allemaal wel OK is. Zonder grootschalig onafhankelijk onderzoek komen de meeste bedrijven niet tot een goede conclusie. En als we dat wel doen: vergelijk het met dat pompstation. Als we van een simpele overvaller met een mes uitgaan is een dik glas wellicht voldoende. Het verschil met dat pompstation is dat er wel 1000 (of meer) ramen zijn waar iemand naar binnen kan en je moet ze elke dag, elk seconde, dicht hebben. Dat gaat een stuk sneller mis dan bij dat pompstation waar je 1 of 2 hokjes moet beschermen.

Feit blijft: AK is het grootste slachtoffer hier, ondanks (en ja, ook mede door), hun eigen handelen. Maar de mensen die de data stelen en verkopen, dat zijn de boeven.

[Reactie gewijzigd door Crypt0nn op 22 juli 2024 19:18]

jeanj @Crypt0nn • 17 april 2021 17:55

Dat AK ook slachtoffer is dat ontken ik ook niet. En ze hebben het zeker niet bewust een lek gemaakt en niet bewust een slechte manier van encryptie gebruikt. Maar het negeren van de meldingen van klanten, en daarna het slecht of niet communiceren, in de tijd dat iedereen weet wat een data lek is en de consequenties daarvan, is wel schandalig. Zie de post van xoniq in deze draad met de historie daarvan
(men zal wel in paniek zijn geweest, maar juist dan moet je 1) zeker zijn van de feiten en impact 2) goed communiceren, dat heeft verder niets met ICT beveiliging te maken, gewoon gezond verstand en crisis management)

Ik werk zelf in een grote organisatie die recent nog een datadiefstal had (las ik op tweakers). Ik merk gewoon dat de mensen die verantwoordelijk zijn (data eigenaar, systeem eigenaar of hun gedelegeerde) en de mensen die met het systeem moeten werken of hebben gemaakt, niet over de juiste kennis beschikken om de (beveiligings)risico's juist te beoordelen. Nog erger, de organisatie waar ik werk heeft een ICT beveiligingsbeleid, wat niet bekend is bij deze mensen. Dus men zal er ook niet naar handelen.
Ik heb niet de illusie dat alle datalekken en andere beveiliging risico's worden voorkomen als men naar het beleid handelt, want het blijft mensen werk en mensen maken fouten, maar het risico hierop wordt door het handelen conform beleid wel verkleind (en je kan daarmee aantonen dat jij als verantwoordelijke er alles aan hebt gedaan)

Je wilt niet weten hoeveel mensen verantwoordelijk zijn voor ICT systemen, maar totaal niet over de juiste kennis beschikken om die verantwoordelijkheid in te vullen. Zelfs niet om de verantwoordelijkheid het te delegeren of mensen ervoor in te huren.... Er is geen Awareness om maar eens een mooi Engels woord te gebruiken.

Ik kwam zelf bijna 15 jaar geleden in een andere organisatie een twijfelachtig encryptie methode tegen in de code voor wachtwoorden die wel een goede functionele reden had. Ik heb toen de situatie maar eens vastgelegd in documentatie en dat binnen het project gedeeld. Op dat moment gingen de alarmbellen af bij de architecten. (Was dat niet gebeurd dan had ik zelf de alarmbellen laten afgaan.)
In dit geval wist de systeem eigenaar van te voren niet van het bestaan van dit issue, en wie dit zo had gemaakt en hoe lang dit er al in zit. Maar je kan o.a. audits en/of code review (laten) doen. En ik weet dat ze niet waterdicht (net als testen) zijn.

[Reactie gewijzigd door jeanj op 22 juli 2024 19:18]

Crypt0nn @jeanj • 17 april 2021 19:12

Daar ben ik het mee eens :-)

Nystran @Crypt0nn • 17 april 2021 13:42

@Crypt0nn goede punten, beveiliging is heel moeilijk, zeker omdat het op zoveel fronten mis kan gaan en het voor een gemiddeld MKB bedrijf lastig/duur is om het goed te doen. Dus ja, het kan mis gaan.

Maar 1 ding vind ik als techneut onvergefelijk: expres op zoek gaan naar de unieke email adressen in je adressenbestand, en alleen claimen dat deze gelekt zijn. Wees dan ook zo stoer om te zeggen, oeps, we hebben een groot lek gehad.

mjl @xoniq • 16 april 2021 11:56

Mijn wachtwoord is niet gelekt want mij account is van na 2018. FOUT, ik heb nog mails van bestellingen in 2017....

WaRSTeaM @mjl • 16 april 2021 12:38

Heb niet eens een mail gekregen van ze terwijl ik WEL een account heb van minimaal uit 2009 en het wachtwoord voor het laatst in 2014 is aangepast (gelukkig een wachtwoord waar 0,0 belang aan hangt dus die mogen ze hebben)
Ik ga mijn account daar in ieder geval opheven en zal hier zeker nooit meer bestellen!
Aug 2020 gehacked en na ruim een half jaar nog niet het fatsoen hebben om dit normaal naar je klanten te communiceren. WALCHELIJK!

Als dit de manier van zaken doen is mag w.m.b. de CEO/operations director een verbod krijgen runnen van een bedrijf.

Finraziel

@WaRSTeaM • 16 april 2021 12:47

Hier ook geen mail inderdaad en mijn account is uit 2013... Kan me ook niet voorstellen dat ik mijn wachtwoord daar in de afgelopen paar jaar gewijzigd heb.
Gelukkig is het een uniek wachtwoord waar je niks mee kunt behalve op die shop inloggen maar het is inderdaad wel erg fout.

pica @WaRSTeaM • 16 april 2021 14:06

Zelfde hier, geen mailtje, terwijl het wachtwoord voor het laatst in 2016 is aangepast volgens keepass.
Gelukkig wel een random gegenereerd wachtwoord.

Goed, inmiddels ben ik de afgelopen weken te pakken geweest in de autodealer hack, facebook hack (zonder dat ik een facebook account meer heb) en vermoedelijk deze hack, dus tsja.
Inmiddels is alles van mij wel openbaar.

Pieeeeeee @mjl • 16 april 2021 12:09

Zeker dat dat met een account was toen? Je kan bij allekabels ook bestellen zonder een account aan te maken.

JMatrix @Pieeeeeee • 16 april 2021 13:36

Ik heb ook een mail gekregen, maar heb een bestelling geplaatst zonder account. Ik vind trouwens ook geen paswoord terug in mijn paswoord manager. Lijkt me pure paniek en chaos...

detent

@JMatrix • 16 april 2021 14:13

Ik heb via BOL.com in 2013 een bestelling geplaatst en zie net in mail mailarchief dat de kabelshop zelf een account voor mij hadden aangemaakt om de bestelling te volgen. Heb dus geen idee wat er allemaal in dat account staat en ook geen toestemming gegeven dat zij mijn gegeven bewaarden/bewaren.
En ja ik heb net een mail van de hen gehad dat ook "mijn account" bij de gehackte gegevens zat.....

Pieeeeeee @detent • 16 april 2021 16:17

Zelfs onder GDPR mag (moet zelfs) een webshop jouw gegevens bewaren. Het zijn noodzakelijke gegevens voor de verwerking van de bestelling, en daar is geen opt-in voor nodig. Sterker nog, je kan als bedrijf juist een boete krijgen als je eerst toestemming vraagt, omdat er gevallen zijn waarbij de wet verplicht dat je de gegevens bijhoudt. Het is in die gevallen dus niet aan de gebruiker om te beslissen of zijn gegevens mogen bewaard worden.

Magic Power @JMatrix • 16 april 2021 15:29

Hetzelfde hier. Ik heb ook een email van hun gekregen, ik heb ook een bestelling bij hun geplaatst zonder account, en ik kan ook geen wachtwoord terugvinden in mijn lijst, die ik zorgvuldig bijhoudt. Dus grote kans dat ik geen wachtwoord heb gebruikt/aangemaakt aldaar.

[Reactie gewijzigd door Magic Power op 22 juli 2024 19:18]

CrocoDuck @JMatrix • 17 april 2021 08:53

Ik heb vannacht ook een mail gehad, 2x besteld zonder account maar bij de 1e bestelling confirmatie in 2012 zat een mail met daarin:

Bedankt voor uw bestelling, met behulp van de onderstaande gegevens kunt u op onze website inloggen om de status van uw order te bekijken :

Email : mijn-shopping-mailadres
Password : VPL6tP9b

U kunt inloggen door gebruik te maken van de volgende pagina:

http://www.allekabels.nl/member/account.php

We willen u hartelijk bedanken voor het kiezen van Allekabels.nl voor al uw kabels.

We willen u verzoeken niet te antwoorden op deze e-mail, maar eventuele vragen te stellen via onze website:

Denk dat ze dat “account” bedoelen die ik nooit zelf bewust heb aangemaakt. Beide keren met paypal betaald.

mjl @Pieeeeeee • 16 april 2021 12:45

Ja dat weet ik zeker, meerdere bestelling. Vanaf 2017 in mijn mailbox.

Sandwalker

@mjl • 16 april 2021 12:59

Nou ben ik niet bekend met hun shopsysteem, maar ik ga er vanuit dat een oud account wat een nieuw wachtwoord aanmaakt, het wachtwoord encrypt volgens de nieuwe standaard, anders kom je namelijk nooit van je oude standaard af. Dat gelinkt aan passwordage is natuurlijk een prima indicatie hoe veilig je wachtwoord nog is, al kan het veranderen van dat wachtwoord natuurlijk geen kwaad.

mjl @Sandwalker • 16 april 2021 13:06

Je zou het verwachten inderdaad, maar ik reken hier ergens meer op

sympa @mjl • 19 april 2021 20:27

Je kan (in principe) ook de oude wachtwoorden nog een keer extra encrypten. Niet alle software kan daar mee overweg, maar dat is geen excuus.

xoniq @mjl • 16 april 2021 11:57

Ik weet niet eens meer wat ik moet reageren

de hele zaak stinkt op elke statement vanuit deze shop.

Brummetje

@xoniq • 16 april 2021 12:06

Het gaat volgens mij niet zo zeer over of het account voor 2018 is maar af je wachtwoord voor 2018 is gewijzigd voor het laatst.

xoniq @Brummetje • 16 april 2021 12:07

Dan mogen ze ook daar de communicatie opschroeven. Dat is namelijk niet wat ze communiceren, en hun communicatie is waar klanten vanuit gaan.

mjl @Brummetje • 16 april 2021 12:44

Dan zou het kloppen, ik heb een nieuw wachtwoord gemaakt recentelijk maar geen idee of dat voor of na de hack was... zou me niks verbazen dat ze daar niet naar gekeken hebben.

Ik heb ze in ieder geval een dataverzoek gestuurd. Ik wil weten welke informatie gestolen is (laatste maanden best wat telefoontjes gehad die ik niet kon verklaren hoe ze aan dat nummer kwamen...)

Grrrrrene

@mjl • 16 april 2021 13:29

Ik ben na 2018 overgestapt op LastPass (en nu Bitwarden) om overal unieke wachtwoorden te gebruiken, zo ook voor Allekabels.nl. Na de melding van de hack gisteren heb ik direct mijn wachtwoord aangepast en vanochtend hebben ze dat wachtwoord weer gereset. Het lijkt mij dus te gaan om accounts (niet wachtwoorden) van voor 2018.

Dus ik had al een sterk wachtwoord dat na 2018 (13-6-2019 volgens mijn mail) ingesteld was, daarnaast verwijderen ze mijn wachtwoord nog eens en durven ze in de mail te zeggen dat ze vorig jaar al van de hack wisten en dat bij Autoriteit Persoonsgegevens hebben gemeld, maar ik als persoon achter de gelekte persoonsgegevens weet van niks. Waarom hebben ze mij niks gemeld? Dan had ik direct mijn ww aangepast (en als je overal hetzelfde wachtwoord hebt, doe je dat voor meerdere sites), waardoor je niet meer gevoelig bent voor hacks. Maar door dit geheim te houden en te ontkennen dat er wachtwoorden zijn buitgemaakt, denken klanten dat ze geen (minder?) gevaar lopen.

[Reactie gewijzigd door Grrrrrene op 22 juli 2024 19:18]

Durandal @Grrrrrene • 16 april 2021 17:06

Klinkt al dat ze dan aansprakelijk zijn voor eventuele (gevolg)schade die je er van hebt, i.i.g. vanaf het moment dat ze je niet inlichten maar wel er van af weten.

Grrrrrene

@Durandal • 18 april 2021 09:25

Ik heb het ze via de mail gevraagd en hun reactie is dat ze in augustus 2020 alleen gewezen zijn op een kwetsbaarheid in hun systeem, maar dat niets erop wees dat er ook data gelekt was. Ze hebben toen het lek gedicht en de AP ingelicht.

Gezien wat ik hierboven lees over mensen die n.a.v. spam op unieke e-mailadressen hebben gemeld dat ze gehackt zijn en dat dat ontkend werd, weet ik niet in hoeverre ik hun verklaring moet geloven, maar goed.

xoniq @mjl • 16 april 2021 14:03

De hack was eind vorig jaar, dus hangt er even af van hoe recentelijk dat was. Als het bijv. afgelopen maand of 3 maanden was, dan deugt het niet.

DjoeC @Brummetje • 16 april 2021 13:02

Ik begrijp niet precies wat je hiermee bedoelt. Mijn WW was van voor 2018 en pas dit jaar gewijzigd.

Ik vermoed dat het oude - en dus gelekte - wachtwoord wel degelijk te kraken is en daarmee overal onveilig is. Algemeen gebruik ik unieke wachtwoorden maar soms ook niet. Ik vertrouw de ontvangen mail dan ook niet en ben me bewust dat er zeker risico's zijn als je wachtwoord pas na de hack is gewijzigd.

Wat @xoniq hieronder zegt: De communicatie blijft warrig met verhullend taalgebruik.

nightraven79 @Brummetje • 16 april 2021 13:11

ik heb mijn wachtwoord in 2020 nog gewijzigd, en wanneer ik probeer in te loggen krijg ik melding dat het niet klopt en dat mijn wachtwoord vermoedelijk verwijdert is vanwege de hack..
dus lijkt me eerder toch accounts van voor 2018

IvarClemens @mjl • 16 april 2021 12:11

Het zou natuurlijk kunnen dat ze vanaf 2018 tijdens het inloggen je wachtwoord hash naar een ander algoritme gemigreerd hebben... Iets als Symfony doet dat standaard bijvoorbeeld. Aan de andere kant zijn de steeds veranderende statements van het bedrijf niet al te hoopgevend.

siepeltjuh @mjl • 16 april 2021 12:38

Zou het kunnen zijn dat je je wachtwoord na 2018 heb gewijzigd en daarom niet onder de hack valt?

TimKleintjens @mjl • 16 april 2021 13:11

Bij mij precies het zelfde verhaal. Account aangemaakt in 2015 waarvan ik nog een bevestiging heb op mail. Ik mag hopen dat de AP hier hard gaat optreden.

Janusch @mjl • 16 april 2021 16:17

Same here

NielsFL @xoniq • 16 april 2021 16:17

Zelf houd ik het voorlopig op incompetentie.

Als je ziet hoe weinig er in de loop der jaren aan de website verandert is denk ik niet dat ze zelf een ontwikkelaar ik dienst hebben of de site ergens hebben ondergebracht.

Het komt op mij echt over als een uit de hand gelopen hobby waar meneer de kabelverkoper door de jaren heen af en toe een student op zet om een paar kleine aanpassingen te doen.

Niets ten nadele van studenten overigens. Die zullen vast aan de bel getrokken hebben maar meneer de kabelverkoper kan zelf de urgentie niet inschatten en houd dus star aan z’n oude systeempje vast. Dat werkt immers en kost niks extra’s.

De verschillende e-mails die ik tot nu toe heb ontvangen passen wat mij betreft mooi in dat plaatje. Meneer leest wat in de media, belt in paniek random een van de studenten, krijgt een ELI5 uitleg die hij alsnog niet snapt en gooit er gehaast weer een mailtje uit. En dat staat momenteel op repeat.

Overigens vind ik dit soort dingen wel heel jammer. Niet alleen omdat de gegevens nu op straat liggen, maar omdat de volgende die droomt van het verkopen van kabeltjes nu misschien bang is om het zelf te doen en kiest om het via Amazon of Bol te doen.

xoniq @NielsFL • 16 april 2021 16:27

Die haastige mailtjes klopt wel. Spelfouten, vreemd hoofdletter gebruik, en dat met als handtekening de CEO.

Verder heb je gelijk, dat is ook mijn analyse na alles wat ik heb gelezen en begrepen. Gelukkig besteden wij als bedrijf audits uit aan volledig onafhankelijke partijen, en betalen daar een klein fortuin aan. Die doen er vervolgens alles aan om je site helemaal kapot te krijgen. En daar komt soms waardevolle informatie uit.

sympa @xoniq • 19 april 2021 20:29

Allekabels is geen klein bedrijfje. Maar goed, ze zagen het risico niet van al die oude data.
Beter om dat soort data maar te verwijderen.
Maar ja, ze zagen wel de waarde van "vaste klanten" denk ik...
(Jammer dat zo'n tent onder een andere naam gewoon opnieuw kan beginnen.)

WillySis

Privacy

@xoniq • 16 april 2021 16:04

Ik hoop van harte dat de AP een grondig onderzoek gaat instellen.
De dataset was volgens RTL al veel eerder te koop en dat was ook al aan AlleKabels gemeld. AlleKabels heeft hier niet op gereageerd en niets aan de AP gemeld. De dataset schijnt al vanaf september te koop te zijn. Hoeveel hiervan waar is weet ik niet, maar lijkt me voor de AP rede voldoende om het grondig te onderzoeken.
Als de melding van RTL klopt, dan is voor het optreden van AlleKabels de maximale boete eigenlijk nog niet voldoende. Zelfs nu neemt men het datalek nog niet echt serieus.

boolean @xoniq • 16 april 2021 16:53

Grootste gemelde/uitgekomen data hack zul je bedoelen

maxkranendijk @eilavid • 16 april 2021 11:01

Waarom krijg je als klant geen standaard compensatie (50-100-200e ofzo afhankelijk van het datalek)? Nu is te aantrekkelijk voor bedrijven om met goedkope / oude/ onveilig IT systemen te werken, omdat de boetes (relatief) laag zijn. Ook raar dat de boetes niet naar de slachttoffers gaan die nu een nieuwe nummer/email (of adres) moeten nemen. Maak de boetes hoger, zodat er meer personeel aangekomen kan worden om deze bedrijven aan te pakken en keer een gedeelte uit naar de slachttoffers. Hij lijkt zo logisch of mis ik iets?

The Third Man @maxkranendijk • 16 april 2021 11:10

Best kans dat dat zo snel in de miljoenen loopt dat ze dan de zaak failliet laten gaan, en dan kan je het geld vergeten. Een bedrijf staat eigenlijk altijd wel in de schuld en die gaat voor compensaties e.d. dus kleine kans dat er ook maar een cent overblijft.

[Reactie gewijzigd door The Third Man op 22 juli 2024 19:18]

Bartske @The Third Man • 16 april 2021 11:16

Prima, laat dat bedrijf maar failliet gaan, hier zou niemand meer zaken mee mogen doen.

The Third Man @Bartske • 16 april 2021 11:19

Maar daar benadeel je meer mee dan alleen de eigenaar/aandeelhouders. Zoals ik al zei, elk bedrijf heeft een schuld dus je treft de schuldeisers door het geforceerd te laten klappen. Makkelijk dus om te roepen als slechts een buitenstaander, maar niet echt eerlijk naar de betrokken partijen toe.

laptopleon @The Third Man • 16 april 2021 13:57

Maar daar benadeel je meer mee dan alleen de eigenaar/aandeelhouders. Zoals ik al zei, elk bedrijf heeft een schuld dus je treft de schuldeisers door het geforceerd te laten klappen. Makkelijk dus om te roepen als slechts een buitenstaander, maar niet echt eerlijk naar de betrokken partijen toe.

En werknemers die niet op de IT-afdeling werken en hier ook niets aan kunnen doen. De verhuurder van het pand. Leveranciers, etc.

latka @The Third Man • 16 april 2021 11:26

Als de kans bestaat dat je klant door het runnen van een slecht business model omvalt prijs je dat in. M.a.w. als het maar helder is wat de spelregels zijn is er geen echt probleem. Als je je zaken goed regelt (en je je leveranciers kan overtuigen dat het zo is) dan vervalt de opslag voor potentieel omvallen wegens slechte IT. Dat noemen we marktwerking.

The Third Man @latka • 16 april 2021 11:30

Prima, maar dat 'inprijzen' doet een leveranier nooit vanuit z'n eigen centen, dus dan worden jouw en mijn prijzen dus duurder. Nog duurder dan ze al zijn ten opzichte van het buitenland. Ergo krijg je een verschuiving naar buitenlandse retail en dat raakt onze economie en dus ook weer ons als geheel. Iets met neus en verder kijken dan dat.

[Reactie gewijzigd door The Third Man op 22 juli 2024 19:18]

latka @The Third Man • 16 april 2021 12:23

Correct. Ook dat heet marktwerking. Het zou wel helpen als we een 'level playing field' hebben waarbij dit systeem ook over de landsgrenzen heen werkt. Overigens is dit ook gewoon het systeem wat verzekeraars hanteren: een risico verzekeren kan en kost, afhankelijk van het risico, meer of minder. Dus heel revolutionair is het niet.

The Third Man @latka • 16 april 2021 12:30

Het is ook niet revolutionair, het probleem is dat alles geld kost. En een bedrijf zal er alles aan doen om die kosten door te schuiven naar andere partijen. Wat je wil is een maatregel die niet door te schuiven is, zoals een verplichte audit van je IT-omgeving. Niet alleen is dat goedkoper te realiseren (met dus minder prijsimpact), het is ook nog eens de probleem bij de bron aanpakken in plaats van in te calculeren dat het probleem wel eens plaats zou kunnen vinden, wat ook verzekeringen voor bedoeld zijn. Dat is dus slechts een redmiddel als je geen andere optie hebt, niet opeens een goed idee als aanpak van je probleem (sterker nog het is niet eens een aanpak, wie wordt er nou beter van verzekeringen behalve de verzekeringsmaatschappijen).

pepsiblik @latka • 16 april 2021 12:04

Ga dat maar uitleggen aan de mensen die ontslagen worden omdat AlleKabels zijn uitstaande facturen niet betaald.

Splitinfinitive @Bartske • 16 april 2021 11:18

de maand erop starten ze gewoon door of zetten ze een nieuw bedrijf op.

denk eerder dat je mensen op persoonlijke titel moet aansprakelijk stellen.

ot: waar kun je nu zien of je wachtwoord gelekt is of iets dergelijks?

[Reactie gewijzigd door Splitinfinitive op 22 juli 2024 19:18]

xoniq @Splitinfinitive • 16 april 2021 11:26

ot: waar kun je nu zien of je wachtwoord gelekt is of iets dergelijks?

Niet denk ik. Velen krijgen een mail van AK dat hun wachtwoord "NIET" gelekt is. En die moet je maar op hun blauwe(?) ogen geloven. (Wat ik na deze 2 dagen niet meer doe)

Bij FB was de data publiekelijk gereleased. Wellicht dat RTL nog een dealtje maakt met die hacker om een zoekmachine neer te zetten waar je een e-mailadres in kunt vullen, waar dan een ja/nee uit komt. Beetje zoals HaveIBeenPwned

Fly-guy

@xoniq • 16 april 2021 11:48

Ik heb twee emails gekregen vrij snel achter elkaar, de eerste dat mijn data niet gelekt was, de tweede dat het wel gelekt was.

Ik ga maar van de tweede uit (maakt op zich weinig uit, was toch een uniek wachtwoord), maar laat wel weer zien dat het niet duidelijk is bij deze toko.

xoniq @Fly-guy • 16 april 2021 11:50

Naja, dat unieke wachtwoord is niet perse het probleem (mensen verklaren mij voor gek dat ik honderden unieke wachtwoorden gebruik, en wel om deze reden), wel dat je volledige naam, adresgegevens, en IBAN ook gelekt zijn.

Tjark @Fly-guy • 16 april 2021 12:47

Nou, ik heb geen mail(s) gehad, en had een account in 2014....

eL_Jay @The Third Man • 16 april 2021 11:32

Bestuurders hoofdelijk aansprakelijk stellen wegens wanbeleid.
Niet zo zeer om geld te krijgen maar wel de daders te straffen en persoonlijk failliet te laten gaan, is voor mij zoeter dan een paar tientjes schadevergoeding.

The Third Man @eL_Jay • 16 april 2021 11:34

Inderdaad, dat lijkt mij ook een stuk nuttiger. En bijvoorbeeld het laten verplichten om je IT systeem te laten auditen/certificeren, omdat dit soort lekken vaak samenhangen van een combinatie aan fouten (geen updatebeleid, geen wachtwoordbeleid, alles-in-1-grote-database implementaties, onbeveiligde backups etc etc). Voorkomen is vaak nog beter dan genezen.

mjtdevries @The Third Man • 16 april 2021 12:13

allekabels heeft een certificaat van thuiswinkel waarborg.
https://www.thuiswinkel.org/leden/allekabels.nl
https://www.thuiswinkel.org/leden/allekabels.nl/certificaat
Wat is zo'n certificaat waard als blijkt de gegevens daar toch niet veilig zijn opgeslagen?

MrMonkE @mjtdevries • 16 april 2021 12:20

Zelfs in ISO trajecten sla je soms stijl achterover dat normen gehaald worden terwijl jij als persoon die de ins-en-outs kent weet dat dat gewoon onmogelijk zou moeten zijn.

Ik denk dat het als volgt is gegaan:

vraag: "Slaan jullie alle passwords veilig op?"
antwoord: "Jawel, wij slaan alle passwords veilig op."

"Hier is uw Keurmerk! Doe er uw voordeel mee."

Borland @MrMonkE • 16 april 2021 12:43

Een serieuze auditor wil bewijs zien. Daarom slaat zo’n Keurmerk nergens op.

Rojod @Borland • 16 april 2021 13:11

Zo'n keurmerk is sws een grap. Voor klanten wel mee gewerkt, en het gaat eigenlijk totaal niet om de eisen. Fair, een paar kleine dingen worden gecheckt (zoals optie tot betalen achteraf), maar daar draait het niet om. Krijgt zelfs precies een mail wat je zou moeten aanpassen indien nodig.

Het hele thuiswinkel keurmerk draait alleen maar om geld af tikken...

boolean @MrMonkE • 16 april 2021 17:00

Het hele thuiswinkel keurmerk is slechts een verkapt verdienmodel. Dat geldt overigens ook voor veel ISO certificeringen.

The Third Man @mjtdevries • 16 april 2021 12:26

Dat is een certificaat voor het fungeren als winkel (controleert op voorwaarden en procedures e.d.), dat staat los van het fungeren als datahouder.

mjtdevries @The Third Man • 16 april 2021 12:29

Nee, dat is niet waar. Als je even op de links had geklikt dan zie je dat thuiswinkel ook claimt te controleren op het veilig opslaan van persoonsgegevens en dat ook toetst.

The Third Man @mjtdevries • 16 april 2021 12:35

Hmm ja daar heb je een punt, men zegt:

Daarnaast worden leden getoetst op veiligheid van persoonsgegevens en gescreend op veel voorkomende kwetsbaarheden.

Maar hoe dit exact plaatsvindt vertellen ze niet. Is dit een soort enquete zoals MrMonkE grapt hierboven of kijken ze echt mee in het systeem zoals een auditor dat doet? Zonder concrete details is er weinig zinnigs over te zeggen. Je wilt eigenlijk weten waar een winkel exact aan moet voldoen om het waarborg te krijgen.

Arloid @mjtdevries • 16 april 2021 12:51

Dan wekt dat geen groot vertrouwen als gegevens opgeslagen in 2018 twee jaar na dato gelekt/opgemerkt worden.

Thuiswinkelwaarborg voegt mij niet zo veel toe, je hoort echt nooit in het nieuws dat zo'n webwinkel zijn raamstikker verliest.

pepsiblik @eL_Jay • 16 april 2021 12:01

Die hoofdelijke aansprakelijkheid wordt geïnitieerd door de curator en die zal dat vooral doen wanneer er nog geld gehaald kan worden. Wanneer er genoeg boedel in het faillissement zit, of wanneer er bij de hoofdrolspelers echt niets te halen valt, dan doet de curator niks.

Daarnaast is hoofdelijke aansprakelijkheid nog niet zo eenvoudig. Je kunt bijvoorbeeld de system admin niet hoofdelijk aansprakelijk stellen. Alleen de bedrijfsleiding. Dus wanneer de protocollen er zijn, maar die zijn laks uitgevoerd, dan kan er al niet zoveel meer.

Beter is gewoon om het in het strafrecht te betrekken zoals met Sarbannes-Oxley is gedaan.

laptopleon @eL_Jay • 16 april 2021 13:54

Bestuurders hoofdelijk aansprakelijk stellen wegens wanbeleid.
Niet zo zeer om geld te krijgen maar wel de daders te straffen en persoonlijk failliet te laten gaan, is voor mij zoeter dan een paar tientjes schadevergoeding.

En het maakt ook meer indruk op anderen, zodat de kans groter is dat er daadwerkelijk / beter preventief beveiligd wordt. Daar hebben we uiteindelijk ook nog echt wat aan.

Sinester @maxkranendijk • 16 april 2021 11:21

Een boete voor het bedrijf is wellicht op zijn plaats, maar waarom zou dat bedrijf geld moeten geven aan hun klanten? wat wordt daar precies mee gecompenseerd?

Dus dan zou AlleKabels volgens jouw even maximaal 520 miljoen neer moeten leggen om hun klanten te compenseren, dat lijkt me toch wat overdreven

Hebben klanten van AlleKabels financieel verlies geleden hierdoor? als dat zo is ja dan lijkt me het wel logisch om klanten te compenseren

[Reactie gewijzigd door Sinester op 22 juli 2024 19:18]

eL_Jay @Sinester • 16 april 2021 11:33

Waarom? Ik ondervind schade door hun wanbeleid. (Bij eerdere hack elders werden aankopen op mijn naam gedaan en kreeg ik incassobureaus achter me aan, met een sisser afgelopen maar de stress en tijd krijg ik niet vergoed)

pepsiblik @Sinester • 16 april 2021 12:08

Een dief steelt niet iets wat geen waarde heeft. Dus heeft de data een waarde en dus hebben de eigenaren van die data, c.q. de klanten, een verlies geleden hierdoor. De hoogte kan per klant verschillen, maar dat is een aparte discussie.

mr_evil08 @maxkranendijk • 16 april 2021 12:46

50 euro per klant is niet realistisch dan kan je gelijk de zaak sluiten, het is bedoelt om te straffen niet om je bedrijf bewust kapot te maken.

[Reactie gewijzigd door mr_evil08 op 22 juli 2024 19:18]

Sandwalker

@maxkranendijk • 16 april 2021 13:05

Omdat een bedrijf alleen schade hoeft te vergoeden die daadwerkelijk is geleden.
Bovendien als je een bedrijf bent als AH, en je moet in NL 17G€ aftikken in verband met een datalek, ben je failliet. Dat staat niet in verhouding tot de schade. Voor elk kleiner bedrijf geldt hetzelfde sommetje.
Dit levert je wat spam op en wat pogingen tot social engineering. De kans dat ze je bank weten te overtuigen dat ze toegang tot je rekening mogen hebben is niet reeel. Alleen als je hetzelfde wachtwoord voor AlleKabels gebruikt als voor Paypal, je credit card of zo dan is dat goud waard maar dan is er ook wel een stukje verwijtbaarheid richting jouzelf.

NielsFL @maxkranendijk • 16 april 2021 16:21

Als je dat verplicht moet je straks niet zeuren dat iedereen alleen nog maar via Bol en Amazon verkoopt.

Dan lekken je gegevens niet, maar worden ze verkocht. Jij geen 100 euro, en ook geen privacy.

K-aroq @eilavid • 16 april 2021 11:09

Zo'n reactie wordt vaak gegeven. Maar hoe hard moet een bedrijf dan worden aangepakt? Dat het omvalt? En hoe zou jij reageren als er een keer wat fout gaat bij jouw werkgever waardoor jouw baan door de strafmaatregelen in gevaar komt? Het is altijd heel makkelijk om te roepen dat er hard moet worden opgetreden maar in de praktijk zijn er te veel parameters waar je rekening mee moet houden.

Je kunt natuurlijk gewoon de directeur opsluiten maar dat zorgt er uiteindelijk alleen maar voor dat ieder bedrijf gemicromanaged gaat worden, want iedere directeur wil dan precies weten wat iedere medewerker doet. Zie je het al voor je dat je toestemming van de directie moet hebben om eenvoudige klus uit te voeren.

Bartske @K-aroq • 16 april 2021 11:19

Lees de andere reacties eens, dit gaat echt niet meer alleen over het lekken zelf, maar het inadequaat handelen van management na het bekend worden van het lek, het continue in de doofpot stoppen totdat het in het nieuws komt, en het zelfs dan nog bagatelliseren.

pepsiblik @Bartske • 16 april 2021 12:12

Inadequaat handelen is nog niet gelijk aan verwijtbaar handelen. Als ze eerst iets roepen, omdat na onderzoek feit A blijkt, en bij verder onderzoek blijkt B waar te zijn, dan kun je het warrig noemen, maar men doet wel zijn best.

eilavid @K-aroq • 16 april 2021 11:22

Je geeft interessante punten, ik weet ook eigenlijk niet zo goed wat een rechtmatige straf zou zijn. Ik denk dat er strengere eisen gesteld moeten worden aan bedrijven die persoonsgegevens verwerken. Net zoals dat er instanties zijn die kwaliteit van producten controleert, zou de autoriteit persoonsgegevens hier ook proactiever op moeten zijn. Straf/boete voor de eindverantwoordelijke als hij in gebreke wordt gesteld. Volgens mij doet de GDPR/AVG ook al hier iets mee, maar was het voor het management van allekabels.nl niet genoeg om hun zaken op orde te hebben. Die stopten het liever in de doofpot.

[Reactie gewijzigd door eilavid op 22 juli 2024 19:18]

Cobalt @eilavid • 16 april 2021 11:04

Beter gaan met zich richten om de mensen die gegevens gebruiken voor misbruik. NOS had daar laatst ook nog een onderzoek uitzending over op hun youtube kanaal. Men kwam achter pinpas fraude belde de Politie die als antwoord gaf dit heeft geen prioriteit kom volgende week maar naar het bureau.

Groningerkoek @Cobalt • 16 april 2021 11:21

Men dient iedereen in de keten aan te pakken, als ik mijn auto niet afsluit en dus voldoende laakbaar handel en daarmee gelegenheid verschaf en daarmee een strafbaar feit uitlok ben ik ook strafbaar volgens art 47. Ik zie niet waarom dit artikel niet wordt ingezet tegen bedrijven die duidelijk hun zaken niet op orde hebben.

Cobalt @Groningerkoek • 16 april 2021 11:42

Dat zou niet strafbaar moeten zijn want dan krijg je een hele fucked-up samenleving waarin je nergens meer op kan vertrouwen. Alleen de dief die instapt en wegrijdt met jouw auto die zou strafbaar moeten zijn. Anders zou de starbucks of de ah ook strafbaar zijn dat mensen koffie kunnen pakken zonder eerst het slot ontgrendelt te hebben met een betalingstransactie.

Groningerkoek @Cobalt • 16 april 2021 11:50

Het leid tot hogere verzekeringspremies en tot kosten/overlast voor de maatschappij wegens hogere criminaliteit. Een winkel wordt niet strafbaar geacht omdat het allemaal in redelijkheid gezien moet worden, zo kun je niet verwachten dat alle winkels voor het oude kijkshop systeem kiezen wegens de immense kosten die dit met zich meebrengt, daar is een bepaalde mate van toezicht en preventie dus afdoende. Net als dat het afsluiten van je auto hoewel geen garantie tot volledige preventie als afdoende wordt beschouwd, laat je echter de ramen open of sluit je de deuren niet af bied je gelegenheid die als zo laagdrempelig wordt gezien dat het gelegenheidsdiefstal in de hand werkt en dat wordt mijn inziens terecht strafbaar gesteld.

n4m3l355 @eilavid • 16 april 2021 11:01

Echter gaat de overheid ook naar zichzelf kijken wanneer dit weer eens voorkomt? En nu we toch bezig zijn, gaat de overheid naar de individuen die grove fouten begaan ook aanpakken zoals we recentelijk zagen met NCTV en tegelijk ook naar diens top die dit maar weer laat gebeuren? En gaan we de overheid ook aanspreken dat wanneer men de wet breekt, in plaats van de wet aan te passen nou gewoon passende maatregelen pakt?

Het zou mooi zijn als alles goed ging, helaas zien we maar wat vaak dat zowel in de publieke als in de private sfeer het gigantisch fout gaat en in beide gevallen de consequenties uit blijven. Ik zie dan ook niet hoe specifiek de autoriteiten die op diens beurt falen hier een bedrijf hard kunnen aanpakken. Ja dat kunnen ze wel maar moraal gezien is dit een totale flater.

Katsunami @eilavid • 16 april 2021 12:20

"Gemakzuchtig"... geldt niet enkel voor AlleKabels. Er zijn webshops waar ik soms jaren en jaren niet kom, maar als ik er dan om de een of andere reden weer bij uitkom, blijkt mijn account gewoon pleite te zijn. Nooit een mail gehad dat ze gaan overstappen van het ene systeem naar het andere en accounts niet meenemen of iets dergelijks. (Als ze dat via de nieuwsbrieven doen: tough luck. Daar ben ik zelden op geabonneerd.)

Sinds ik bij AlleKabels probeer in te loggen, lijkt het erop dat mijn account hier ook pleite is. "Mogelijk is uw wachtwoord door ons gewist in verband met een datalek. Gebruik "Wachtwoord vergeten"...." (etc). Dat heb ik ook geprobeerd, maar ik krijg geen mail binnen.

Ik ga er dus vanuit dat ze bij AlleKabels de hele account hebben gewist. De accountgegevens staan hier al 7 jaar in Keepass, dus ik ga er even niet van uit dat dit probleem aan mijn kant ligt. Het lijkt er dus op dat ik een nieuwe account moet aanmaken als ik daar weer zou willen bestellen. (Of ik dat nog ga doen is een tweede, want er zijn ondertussen meer leveranciers met websites waarop beter te zoeken valt.)

MoonRaven

@Johnny D • 16 april 2021 10:50

Wat is hiermee je punt? Dat dit nu opeens niet ernstig is?

Dat een partij erger is betekent niet dat deze partij er mee weg moet komen.

Anoniem: 352566 @MoonRaven • 16 april 2021 11:15

Nee, maar de autoriteiten hebben geen belang bij goede bescherming van (persoons)-gegevens van het gepeupel. Bij henzelf is het een kostenpost en een last bij het (al dan niet onwettig) onderling delen van informatie, bij derden is het een last bij het (al dan niet onrechtmatig) verzamelen van zoveel mogelijk informatie die de autoriteiten helpt bij het uitoefenen van hun taak. Dit is waarom er nooit een krachtige AP zal bestaan.

The Third Man @Johnny D • 16 april 2021 11:13

Dat is anders wel de realiteit, op elke handhavende instantie is wel wat aan te merken. Principes zijn leuk maar zijn niet automatisch realistisch in te vullen.

OmeJoyo

@xoniq • 16 april 2021 11:19

Bovendien, alleen wachtwoorden van voor 1 september 2018 zijn gelekt. Ik heb een mail dat ik daar niet bij hoor, mijn wachtwoord is van augustus 2017...

Dus wederom kloppen hun mails ook niet.

HansMij @OmeJoyo • 16 april 2021 11:36

Ik heb die mail ook gehad, ben in 2014 geregistreerd. In mijn mail zag ik dat ik een maand voor de hack toevallig mijn wachtwoord nog gewijzigd heb omdat ik hem waarschijnlijk niet kon terughalen voor een nieuwe bestelling. Waarschijnlijk is toen mijn wachtwoord wel enigzins fatsoenlijk gehashed. Ik hoop en vermoed dat die mail dus incorrect is opgesteld en dat het er niet om gaat wanneer jouw account aangemaakt is, maar wanneer je voor het laatst je wachtwoord gewijzigd hebt.

Overigens vind ik dat ze bij introductie van het nieuwe hash-algoritme (als die claim in de mail al waar is) alle wachtwoord-hashes opnieuw hadden moeten hashen, of alle oude hashes hadden moeten verwijderen (klant doet dan maar een wachtwoord-herstel).

OmeJoyo

@HansMij • 16 april 2021 11:38

Ik heb hem dan alleen nooit veranderd voor zover ik weet en terug kan zien

xoniq @OmeJoyo • 16 april 2021 11:19

Komt vast nog wel meer achter weg wat ze niet openbaar maken.

S95Sedan @OmeJoyo • 16 april 2021 12:02

Hier heb/had ik een account van 2016 en heb niet eens een email van ze gehad dat ze uberhaupt gehackt zijn... Het is dat ik regelmatig tech sites lees.

MonkeyJohn @OmeJoyo • 16 april 2021 12:40

Ik heb een account van 2016 met een laatste bestelling van begin 2018, ik heb überhaupt (nog) geen mail gehad

david-v

@xoniq • 16 april 2021 10:41

Ik heb om 2:56 AM een mail gehad met de informatie in dit artikel staat, dus ik denk eerder andersom. Dit is in de media gekomen naar aanleiding van die mail?

TheSiemNL @david-v • 16 april 2021 10:44

ik om 05:51.

Volgens mij wordt er overgewerkt.

david-v

@TheSiemNL • 16 april 2021 10:52

En terecht. Ik ben hier uiteraard ook niet blij mee. Gelukkig maak ik gebruik van een unieke email en bijbehorende ww voor allekabels (en dus ook voor alle andere webwinkels) maar fijn is anders. Voor mezelf maak ik me niet veel zorgen voor spam en phishing, maar vooral de mensen met weinig/geen IT kennis is het weer een domper.

Groningerkoek @TheSiemNL • 16 april 2021 11:14

Vrij normaal dat zulke hoeveelheden mails in meerdere kleinere bundels worden uitgestuurd.

MarkH NL @david-v • 16 april 2021 10:49

Ik heb uberhaupt nog geen mail gehad.

(inmiddels wel, 16e om 15:50 pas ontvangen)

[Reactie gewijzigd door MarkH NL op 22 juli 2024 19:18]

uray @MarkH NL • 16 april 2021 11:05

Ik ook niet...

Aapenootjes @uray • 16 april 2021 13:23

Ik ook niet, terwijl ik sinds 2013 ofzo een account heb. Ik heb wel gisterenmiddag nog mijn wachtwoord veranderd omdat ik ze niet echt op hun woord vertrouwde dat mijn wachtwoord veilig zou zijn.

Drunken_Bear @xoniq • 16 april 2021 12:01

Leugens die hoogstwaarschijnlijk voortkomen uit eigen slechte administratie of geen kennis van zaken. Hoe kan je tegen iemand zeggen dat zijn account na 2018 gemaakt is terwijl er bestellingen van 2017 aanwezig zijn. Is dat gewoon verkeerd gezien, of klopt er dan iets niet in de administratie? enorme puinhoop daar. Erg jammer want ik heb menig mens naar deze site verwezen vanwege het feit dat ze letterlijk zo'n beetje alle kabels hebben en de levertijd veelal goed was (zelf in ieder geval nooit gedoe mee gehad)

xoniq @Drunken_Bear • 16 april 2021 12:03

2 woorden; damage control. Ze doen al 2 dagen hun best om het lek zo klein mogelijk te laten lijken, maar door de respectabele RTL journalist Daniël Verlaan worden ze telkens weer onderuit gehaald.

Ik heb er ook de meest vreemde kabels besteld, van MIDI kabels tot aan een kabel om een SATA kabel te converten naar 6-pins voor mn GPU en dat soort dingen. Maar dit soort acties, klanten voorhouden dat het allemaal wel mee valt (daar komt het op neer), is gewoon not done.

M3m30 @xoniq • 16 april 2021 10:41

Zij melden dit pas nadat Rtl Nieuws het bekend heeft gemaakt.

xoniq @M3m30 • 16 april 2021 10:48

En dat is dus triest, even een geschiedenis les:

Data lek, eind 2020, hacker neemt contact op met Allekabels
Data lek online te koop aangeboden, februari 2021, RTL nieuws krijgt er lucht van
RTL nieuws doet onderzoek, komt in contact met hacker, hacker claimt dat Allekabels al sinds eind 2020 er van weet, Allekabels ontkent dat (strike 1)
"Er zijn 5000 klantgegevens gelekt"
Dat blijkt een moedwillige actie te zijn om het probleem te verkleinen, want dat waren alleen klanten die een speciaal e-mailadres hadden. Bleek namelijk 2,6 miljoen UNIEKE gegevens te zijn. (strike 2, en nog wel de meest kwalijke manier van verbergen)
"Gegevens zijn geen wachtwoorden bij betrokken."
Blijkt door onderzoek dus wél het geval te zijn. (strike 3)
"Gegevens zijn geen financiële data bij betrokken."
Blijkt door onderzoek dus wél het geval te zijn, keer 100.000. (strike 4)
"Wachtwoorden zijn wel gelekt, maar zijn gehashed en encrypted en onleesbaar en onbruikbaar !!11!"
Nope. 1 salt die ook gelekt was, en daarmee kon met een steekproef heel veel wachtwoorden hersteld worden in seconden (grotendeels MD5, wat al 15 jaar not done is). (strike 5)
"Oke, dat waren wachtwoorden van een bepaalde periode"
.... wordt vervolgd ...

Iemand die deze club nog snapt?

[Reactie gewijzigd door xoniq op 22 juli 2024 19:18]

ronn0 @xoniq • 16 april 2021 11:16

Ik krijg ook zojuist een mail

Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig is uw wachtwoord NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen.
Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld,
maar dat geldt dus niet voor u.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,
Constantijn Souren

Mijn account is uit 2017, chapeau Constantijn.

Blokker_1999

Datalek
Privacy

@ronn0 • 16 april 2021 11:30

Wanneer je de manier van het hashen van wachtwoorden aanpast kan je enkele dingen doen:

Je wist alle oude wachtwoorden onmiddelijk. Hoewel de meest veilige optie, betekend dit ook dat alle klanten een wachtwoordreset moeten uitvoeren. Niet de meest klantvriendelijke optie en wordt daarom niet vaak toegepast
Je kijkt bij de eerst volgende login na of klanten nog gebruik maken van een oude hash, zoja, dan hash je de input zowel met de oude als de nieuwe methode, verifieer je met de oude, sla je de nieuwe op en wis je de oude hash. Hier kan je na verloop van tijd (bijvoorbeeld 6 maanden) alsnog zeggen: klanten die nu nog niet hebben ingelogd, gaan we de hashes alsnog van wissen.
Je wacht af tot mensen zelf hun wachtwoord aanpassen om ze met het nieuwe algoritme op te slaan.

Je account mag dan wel van 2017 zijn, maar is je huidige wachtwoord dat ook? Want ik heb zo het vermoeden dat ze voor optie 3 gekozen hebben.

Nieknikey @Blokker_1999 • 16 april 2021 13:18

Ik heb gisteravond (na 21:00 uur) mijn wachtwoord bij allekabel gewijzigd, en kreeg vanmorgen om 09:00 uur het bekende mailtje dat "mijn wachtwoord" NIET gelekt is. Terwijl mijn "oude" wachtwoord van ver voor 2018 was en ik pas gisterenavond mijn wachtwoord heb gewijzigd. Mijn huidige wachtwoord is inderdaad niet gelekt nee, maar het mailtje van allekabels doet het blijken alsof er helemaal geen wachtwoord van mij is gelekt.

Het lijkt erop dat ze zelf zitten te beunen nu. In hun mailtje melden ze dat ze "de technologische beveiliging maximaal [hebben] opgeschroefd" en dat het ondanks dat "er wachtwoorden van klanten zijn gekraakt" dat het "uit intern onderzoek [...] komen vast te staan dat het om een minderheid van de klanten gaat." Ight, als je zelfs in dit stadium nog probeert om te bagatelliseren wat er gebeurd is, dan geef je echt geen reet om de persoonsgegevens van je klanten. Dus: met de billen bloot. Er is een lek geweest, alle wachtwoorden die op het moment van het lek bekend waren, zijn in gevaar (want sommigen kunnen gekraakt worden, en voor de overige neem je het zekere voor het onzekere dus die zijn OOK gelekt), en je persoonsgegevens liggen op straat. En dan alsjeblieft in een mailtje waar GEEN "ja, maar" in staat, gevolgd door een kutsmoes die de impact bagatelliseert.

SubSpace

@Nieknikey • 17 april 2021 12:06

Niet veel waarde hechten aan die e-mail

Mijn account is van 2012, mijn wachtwoord was van oktober 2020. Ik kreeg een mail dat mijn wachtwoord niet gelekt was, terwijl deze waarschijnlijk wel gelekt is maar gewoon beter gehashed. In ieder geval heeft AlleKabels ook de hash van mijn wachtwoord weggegooid, want ik moest alsnog de "wachtwoord vergeten"-functie gebruiken.

ronn0 @Blokker_1999 • 16 april 2021 11:31

Dat is nog hetzelfde wachtwoord inderdaad. Ik kan namelijk ook niet meer inloggen.

Dargazo @ronn0 • 16 april 2021 12:22

Ik heb de andere variant mogen ontvangen:

Beste klant van Allekabels,

Uw wachtwoord is gelekt bij een datalek en hebben wij om deze reden
gewist. Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden.

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat
geldt dus ook voor uw wachtwoord. U zult bij uw eerste bezoek aan onze
website een nieuw wachtwoord moeten kiezen.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is. Heeft u
hetzelfde wachtwoord elders gebruikt? Dan wordt dringend geadviseerd om
direct en overal een ander wachtwoord te kiezen.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.

Via de 'wachtwoord vergeten' knop is je wachtwoord te resetten, zet dat dan ook even in de mail Constantijn (/azijn modus

)

Calypso @Dargazo • 16 april 2021 12:51

Dezelfde variant bij mij in de mailbox. En dat was de eerste communicatie die ik van Allekabels over dit onderwerp ontving.

Wat hier al vaker gezegd is: van mij mogen ze deze toko heel heel heel hard op de vingers gaan tikken. Alles wijst erop dat ruim een half jaar na dato nog geen idee hebben van hoe en wat, en dat ze enkel maar reageren op informatie die bekend wordt via andere bronnen.

Ik zie in de mail ook helemaal niets aan tips terug met betrekking tot het meervoudig gebruik van wachtwoorden - iets wat ik niet doe, maar veel mensen wel. Vooral ook nog voor 2018. Zet dat er verdorie in elk geval bij: Alle accounts waar hetzelfde wachtwoord gebruikt wordt, linea recta aanpassen!

Overigens heb ik sterk het vermoeden dat het bestand al ergens eind september al redelijk wijd rond aan het zwerven was. Vanaf dat moment zie ik een sterke toename in spam op een bepaald mailadres, en dat mailadres gebruik ik voor een stuk of 5 webwinkels, waaronder AlleKabels.

[Reactie gewijzigd door Calypso op 22 juli 2024 19:18]

aikebah @Calypso • 16 april 2021 16:59

Ik zie in de mail ook helemaal niets aan tips terug met betrekking tot het meervoudig gebruik van wachtwoorden - iets wat ik niet doe, maar veel mensen wel. Vooral ook nog voor 2018. Zet dat er verdorie in elk geval bij: Alle accounts waar hetzelfde wachtwoord gebruikt wordt, linea recta aanpassen!

Doet hij wel een totaal niet geslaagde poging toe volgens mij (waar je veel te makkelijk overheen leest en ook onvoldoende helder wordt verteld dat iedere site een ander wachtwoord moet hebben):

Heeft u hetzelfde wachtwoord elders gebruikt? Dan wordt dringend geadviseerd om direct en overal een ander wachtwoord te kiezen.

Aiii @Dargazo • 16 april 2021 13:41

Ik stoor mij extreem aan het feit dat deze mail vol met spel- en grammaticafouten staat. Dat terwijl je mij (en ja, ik ben ook een van de "gelukkigen" uiteraard) ook nog eens kan toevoegen aan het lijstje met 100.000 gelekte IBAN nummers en daar in de e-mail met geen woord over gerept wordt neem ik ze nog meer kwalijk. Ze zeggen ook niet in welke tijdsperiode de laatste 100.000 bestellingen vallen, maar ik heb op 9 Augustus besteld dus ik zit daar zeker bij.

Ik heb even kort met mijn bank gebeld hierover, die zeggen dat dat in principe geen probleem hoeft te betekenen, zolang ik mijn rekening in de gaten houdt. Maar, ik ben toch uiterst verbolgen over het feit dat deze data schijnbaar onversleuteld of slecht versleuteld is opgeslagen. Of dat tijdelijk is of niet, dat is een zeer kwalijke zaak.

Clie @ronn0 • 16 april 2021 11:24

Ik heb dezelfde mail ontvangen en mijn account stamt uit 2014

martin_v_z @Clie • 16 april 2021 12:51

Ik snap het inderdaad ook niet. In de mail staat dat ze in aug 2020 gehacked zijn en dat mijn account van daarna is. Kijk ik in mijn maibox zie ik dat ik begin 2020 een bestelling via bol bij hun heb gedaan. Ik ga er maat gewoon van uit dat mijn gegevens op straat liggen.

xoniq @ronn0 • 16 april 2021 11:23

Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak

Dat is precies de grap.

Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld

En dan moet via de media bekend maken hoe hun eigen systeem werkt, waardoor ze met een intern onderzoek zelf erachter moeten komen wat er speelt.

Dan ben je toch een prutser?

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php.

En die FAQ is gebaseerd op onjuistheden. Wordt telkens aangevuld met wat de media vind, en niet wat zij zelf hebben ondervonden. Gister stond er nog hard in dat wachtwoorden volledig encrypted zijn en onleesbaar zijn voor criminelen. En daar is vanochtend een aanpassing in gedaan.

Toen dat stukje over financiële gegevens, is later ook pas toegevoegd nadat RTL vond dat er ook 100k IBAN gegevens zijn gelekt. Die FAQ is zowat een hoopje notulen van wat RTL heeft ondervonden en wordt real-time geupdate

latka @ronn0 • 16 april 2021 11:29

Mijn wachtwoord is gewist maar ik heb geen mail hierover gehad. Lijkt me een typisch potje paniekvoetbal en slechte communicatie daar bij Allekabels.

matty___ @ronn0 • 16 april 2021 11:53

heb daar op 3 sep 2018 een account aangemaakt. Ben er echt niet op gerust dat de mijne wel veilig is gezien de hoeveelheid bullshit bij AlleKabels vandaan komt

eYaTed @ronn0 • 16 april 2021 13:05

Ik vraag me toch af of mijn account al dan niet door de hacker ook is ontrafeld.
Ik wou op 3 december 2020 iets bestellen en maakte een account aan tijdens de bestelling. Maar toen liep er vanalles mis. Na contact met het bedrijf, kreeg ik een antwoord dat ze te storingen hadden (zonder extra info).
Dus indien de hacker in augustus al toegang had tot de gegevens, wat zegt ons dat die erna geen toegang meer had?

[Reactie gewijzigd door eYaTed op 22 juli 2024 19:18]

Groningerkoek @xoniq • 16 april 2021 11:15

Je mist:

"Er zijn geen financiële gegevens gestolen" terwijl al duidelijk was dat er meer dan 100.000 IBANs waren gestolen.

xoniq @Groningerkoek • 16 april 2021 11:16

Ah ja

naja ik heb mijn punt gemaakt

Kinger7 @xoniq • 16 april 2021 11:02

Ze hebben mij in ieder geval nog niet op de hoogte gesteld van dit. Mijn account is toch echt van voor 2018 en ik kan momenteel niet meer inloggen met dat wachtwoord, dus het is wel verwijderd.

Luco @Kinger7 • 16 april 2021 11:08

Heb jij ook een mail gehad dan? Mijn account stamt uit 2015 (eenmalige bestelling) en ik heb geen bericht van ze gekregen.

lucatoni @Luco • 16 april 2021 11:17

Weet je zeker dat je een account had. Ze bieden namelijk ook de mogelijkheid om te bestellen zonder account.

Luco @lucatoni • 16 april 2021 12:27

Dat wist ik dus niet meer zeker. Maar als ik aangeef mijn wachtwoord te zijn vergeten krijg ik wel een nieuwe link daarvoor. Dus mijn mailadres zit wel ergens in hun database.

MClaeys @Luco • 16 april 2021 11:19

Geen idee van wanneer men account is, maar hier nog steeds geen mail. Niet in inbox, niet in spam. Ze verwittigen dus niet eens dat je gegevens gelekt zijn, als je niet toevallig het op een nieuwssite leest weet je van niks...

EldraziKlap @Luco • 16 april 2021 11:19

Mij ook niet. Geen mail gezien, maar kan niet meer inloggen.
Fijn dat ze dat wachtwoord geforceerd wijzigen maargoed, een mailtje was netjes geweest. Nu moet ik het op het nieuws lezen.

Overigens vind ik allekabels een topsite voor de rest waar ik vaak gebruik van maak.

XanderL @Luco • 16 april 2021 11:35

Ook hier geen email en kan niet meer inloggen. Geen idee van wanneer mijn account is, maar zeker van voor 2018.

YdieresiS @Kinger7 • 16 april 2021 11:49

Ik heb wel een account, kan ook inloggen, maar ook geen mail ontvangen. De berichtgeving vanuit allekabels.nl is dus ook nog niet volledig. Ik zou toch minstens verwachten dat ze alle klanten op de hoogte brengen, als ze niet weten wie er precies is getroffen (al zouden die 2,6 miljoen best alle accounts kunnen zijn die daar staan).

Okars @xoniq • 16 april 2021 10:55

Ik snap ze donders goed, die zien de bui al hangen. Maar dat doet niets af aan de ernst van de situatie. Het geeft maar aan waarom de plicht tot het melden van datalekken zo belangrijk is.

Daarom is het zaak dat deze webwinkel een boete gaat krijgen. Niet omdat ik die webwinkel zo haat (doe ik niet), maar omdat anders de AVG niets voorstelt.

xoniq @Okars • 16 april 2021 11:00

Het melden is één, maar het in de lichtste vorm van interpretatie melden om de boel klein te houden, is een tweede, en dat neem ik ze kwalijk.

Ze hebben al sinds eind vorig jaar om dit goed te onderzoeken en eerlijk te zijn, en ze kiezen ervoor om het lek kleiner te laten lijken. Daarom blij dat de media tegenwoordig meer met zulke zaken bemoeid.

XyritZz @Okars • 16 april 2021 11:39

Persoonlijk snap ik het dus niet; dat dit gebeurt is gigantisch vervelend en echt een drama voor zo'n webwinkel. Maar als het dan gebeurt.... hou je bij de feiten. Als je iets niet zeker weet, presenteer het dan niet als een feit en vermeld alleen dat het nog in onderzoek is.

Ook al lek je gegevens van miljoenen mensen; de meesten snappen wel dat beveiliging bij ontzettend veel webshops onder de maat is en dat het bijna iedereen kan gebeuren. Door te liegen raak je de goodwill van je klanten kwijt; de reputatieschade die ze nu oplopen is groter dan een eventuele boete van AP.

Scriptkid @xoniq • 16 april 2021 10:44

Maar volgensmij klopt dat toch ook gewoon,

Je kunt een hash toch ook niet kraken dat is wat alle security mensen ten alle tijden roepen,

Je kunt een hash allen brute forces door de salt te nemen en dan chars toe te voegen en zo een "Rainbow" table te maken met alle know hashes en deze vergelijken en dan weet je dat bij een match welke ww hoort. Alleen duurt dit decenia als je de salt niet hebt,

nu duurt het Maanden / jaren omdat men de salt wel heeft tenzij je een 1 letter paswoord hebt maar bij 12+ zijn er al zo veel combinaties mogelijk.

Blokker_1999

Datalek
Privacy

@Scriptkid • 16 april 2021 11:35

Een hash kraken betekend dat je op zoek gaat naar een collision. Je kan dat op 2 manieren doen: bruteforcen, of opzoeken in rainbow tables.

Salt was net bedoeld om een zogenaamde rainbow table onmogelijk te maken door voor elke gebruiker een unieke waarde toe te voegen tijdens het hashen. Een rainbow table is pas interessant als er geen salt is.

Tot september 2018 werd er MD5 gebruikt voor het hashen van hun wachtwoorden, een algoritme dat al heel wat jaren als onveilig wordt beschouwd. Met een GPU kan je miljarden van die hashes per seconde genereren. Zelfs met een salt is het al jaren onveilig.

Kaoh

@Scriptkid • 16 april 2021 10:56

Een hash met salt gebruik je juist om het veilig op te slaan maar wel terug te kunnen converteren. Bijv je moet een basic wachtwoord opslaan omdat de DB of backend api die gebruikt (ja dat is dus slecht) dan gebruik je de hash en als je het iets beter doet met een salt en als jet het nog beter doet met een salt die uniek is per opgeslagen gegeven (bijv de hash waarde van een ander gegeven van de account). Maar zo is het altijd mogelijk om het wachtwoord ook weer terug te halen.
Er zijn ook methodes die dit alleen maar one way kunnen doen, die gebruik je als je vooral zelf wilt vergelijken, gebruiker voert iets in (wachtwoord) en jij hebt de oneway hash waarde opgeslagen en kan dus zo vergelijken door dezelfde methode te gebruiken op de ingevoerde waarde en als het resultaat het zelfde is zal de ingevoerde waarde wel goed zijn.
Hier kan je mooi zien hoe je met een md5 hash ook terug kan:
https://md5hashing.net/hash/md5

Blokker_1999

Datalek
Privacy

@Kaoh • 16 april 2021 11:43

Een hash is altijd enkele richting. Van plain text naar versleuteld. Je kan een hash nooit terughalen. Als dat mogelijk is spreken we niet meer over hashing maar over encryptie.

MD5 is een hashing algoritme. Het kan maar in 1 richting werken. Maar we hebben vandaag zulke krachtige processoren dat je miljarden van die hashes per seconde kunt berekenen. Het is dus heel eenvoudig op moderne hardware om een zogenaamde collision te vinden. Een string die dezelfde hash waarde genereerd als jouw encrypted wachtwoord. En tenzij je een heel lang wachtwoord hebt is de kans groot dat die 2 strings hetzelfde gaan zijn.

Daarom dat men het onvermijdbare heeft proberen uit te stellen met een salt. Voor elke gebruiker voeg je een unieke string toe aan het wachtwoord om de complexiteit van het wachtwoord te verhogen en het vinden van een collision moeilijker te maken omdat je wachtwoord van 7 of 8 tekens ineens tientallen of misschien wel honderden tekens lang is.

dcm360

@Kaoh • 16 april 2021 11:54

Die pagina demonstreert juist dat je niet terug kan, althans niet door een berekening. Er staat dat het terugzoeken gebeurt door de hash op te zoeken in een database, en daar dan een mogelijke invoer bij de opgegeven hash te kunnen vinden.

R4gnax

Datalek
Privacy

@Kaoh • 16 april 2021 11:48

Onzin. Hashing is eenrichtingsverkeer.
Hashes projecteren een breder brondomein op een smaller doeldomein en by design kunnen daarin collisies optreden. Dus zijn hashes nooit betrouwbaar terug te leiden tot de originele brontekst. (En laat dat nou juist één van de belangrijkste redenen zijn waarom je hashing gebruikt en niet bi-directionele encryption.

P_de_B @Scriptkid • 16 april 2021 12:50

Als je de salt weet en het is MD5 is het echt seconden.

mjtdevries @P_de_B • 16 april 2021 12:59

Als je een zwak wachtwoord hebt wat in een rainbow table staat ja.

BezurK @mjtdevries • 16 april 2021 14:20

Valt mee, hoor. Een beetje desktop GPU haalt met MD5 echt ranges in de vele gigahashes per seconde. En als je enigzins een cluster tot je beschikking hebt kun je met de juiste wordlists en wat rules echt tientallen hashes per uur kraken. MD5 is _NIET_ veilig.

toevoeging: voor het gros van de mensen. Als je gewoon een lang wachtwoord gebruikt met afwisselende karaktersets/digits en 10 karakters of langer, dan zit je vrij safe. Ook met MD5.

Maar helaas is het gemiddelde wachtwoord nog altijd maar 7 karakters en dat is peanuts om te bruteforcen. Zelfs met een simpele desktop GPU.

[Reactie gewijzigd door BezurK op 22 juli 2024 19:18]

Dick99999 @BezurK • 16 april 2021 16:59

Vergeet je bij die toevoeging niet dat elke gegenereerde Hash Guess op de hele database losgelaten kan worden vanwege slechts 1 salt?. En dat je daardoor veel meer en eerder hits krijgt dan wanneer je elk wachtwoord apart moet gaan kraken.

xoniq @Scriptkid • 16 april 2021 10:51

Ehm, dit was salt (een enkele, die dus bekend is, dus niet klant gebonden) + md5.

Het meest slechtst denkbare na plaintext wachtwoorden.....

https://twitter.com/danie.../1382731713495904256?s=21

david-v

@xoniq • 16 april 2021 11:03

Daar heeft duidelijk iemand zitten slapen wat betreft het hashen van wachtwoorden. Een salt die hetzelfde is voor alle klanten

xoniq @david-v • 16 april 2021 11:07

Dat, en het gebruik van MD5.

The Third Man @xoniq • 16 april 2021 11:14

Slechts denkbare na plaintext is slechts een hash, dus zonder salt.

Josk79 @The Third Man • 16 april 2021 20:28

Of rot13

david-v

@Scriptkid • 16 april 2021 11:01

Ik weet niet waarom je gemodereerd wordt (-1) dus ik heb je maar weer positief gemodereerd, want wat je zegt is relevant voor het artikel, al is je aanname niet helemaal correct.

Hashing is te kraken, maar het gebruikte hash algoritme bepaald in welke mate je wachtwoord terug te halen is uit een Hash. Een MD5 of SHA-1 hash zijn niet meer veilig om te gebruiken. Zie voor een eenvoudige uitleg dit artikel.

Scriptkid @david-v • 16 april 2021 16:48

brute force != kraken ,

Als ik dat ooit roep om het simple uit te leggen wordt ik hard de laan uit gestuurd

,

kraken is een reverse berekening gebruiken terwijl een hash maar 1 kant op kan en dus alleen door een database aan te leggen van uitgeprobeerde strings te vergelijken kun je het achterhalen maar dat valt niet onder kraken.

Daarnaast heb je nog een leuk fenomeen in MD5 omdat je een (2^128) kans hebt op een collision (wat dus vrij hoog is) wil het nog niet zeggen dat het het daadwerkeleijke paswoord is, het resulteerde alleen in de zelfde hash.

welke stuk van de aanname is niet juist dan?

[Reactie gewijzigd door Scriptkid op 22 juli 2024 19:18]

uNoTopia @xoniq • 16 april 2021 10:29

Er stond zelfs dat wachtwoorden NIET gelekt waren....

xoniq @uNoTopia • 16 april 2021 10:42

Oh, vannacht stond er nog "wel gelekt" maar nutteloos want onleesbaar encrypted en absoluut onbruikbaar voor criminelen. En dat stond in 3 van de FAQ items. Dus wellicht hebben ze daar al teruggekrabbeld met mooi weer, en is dat wederom onderuit geveegd.

Scriptkid @uNoTopia • 16 april 2021 10:45

ook dat klopt toch er zijn ook geen wachtwoorden gelekt,

Alleen de hashes van het wachtwoord Plus Salt,

media en mensen lezen niet goed omdat het 1 clickbait moet zijn en mensen per definitie aannamens doen.

Dat is ook een van de redenen waarom bedrijven heel voorzichtig zijn met wat ze melden naar de buiten wereld want 1 verkeerd geintrepeteerd woord word meteen aan de hoogst schandpaal gehangen.

[Reactie gewijzigd door Scriptkid op 22 juli 2024 19:18]

Crazy D @Scriptkid • 16 april 2021 10:48

Ja, dus effectief je wachtwoord

Ze moeten alleen een paar minuten meer moeite doen om het te kunnen misbruiken.

japie06 @Crazy D • 16 april 2021 11:35

Hangt er een beetje van af toch? MD5 kan je iets van 500 miljard hashes per seconde doen als je meerdere GPU's gebruikt. Als je een wachtwoord hebt van 16 tekens (alfanumeriek), duurt het dan nog 3 miljard jaar om te kraken. Bij een wachtwoord van 8 tekens binnen een uur.

Natuurlijk hebben de meeste mensen niet een wachtwoord van +16 tekens en is allekabels.nl hier zeer nalatig.

[Reactie gewijzigd door japie06 op 22 juli 2024 19:18]

mjtdevries @japie06 • 16 april 2021 12:18

Eigenlijk geeft Crazy D hier dus aan dat zijn/haar wachtwoord erg simpel is.

CrocoDuck @japie06 • 17 april 2021 09:38

In de tijd dat ik daar heb besteld in 2012 heef allekabels ongevraagd zelf een account voor me gemaakt om zogenaamd de status te kunnen tracken, en mij dus een wachtwoord gemaild. Dat was 7 gegenereerde karakters. Uiteraard heb ik nooit de moeite genomen om dat aan te passen.

Afgelopen nacht een mail van hun gekregen. Ik maak me niet zoveel zorgen. Ben verhuisd, dus adres klopt niet. Een mail adres welke ik voor shops gebruik / spam op verwacht en via Paypal betaald destijds.

mjtdevries @Scriptkid • 16 april 2021 11:42

Hiier in het tweakers artikel word gesteld dat de wachtwoorden makkelijk gekraakt kunnen worden omdat de salt gelekt is.

Wat ik me nu afvraag is in hoeverre dat klopt?
Doordat de salt gelekt is, kun je makkelijk rainbow tables gebruiken.
Maar als je een sterk wachtwoord hebt gebruikt, dan word die toch niet gevonden met een rainbow table?
En verder zie ik dat MD5 als zwak word gezien vanwege hash collisions. Maar daarbij word ook het originele wachtwoord niet ontcijferd.

Dus hoe groot is de kans dat het wachtwoord zelf op straat ligt als er een sterk wachtwoord is gebruikt?

(Los van de vraag hoe verwijtbaar het is dat ze nog MD5 hashes opgeslagen hadden)

Bergen @mjtdevries • 16 april 2021 12:11

Precies, je kunt dus niet simpelweg stellen dat de wachtwoorden eenvoudig te kraken zijn. Een eenvoudig wachtwoord van 8 tekens is snel gekraakt. Maar een random lang wachtwoord (20 karakters bijvoorbeeld) met allemaal rare karakters erin kraak je niet zomaar, ook al is het met MD5 zonder salt gehashed.

Het draait allemaal om het aantal mogelijke combinaties. Stel je wachtwoord bestaat uit grote en kleine letters, en cijfers. Dat zijn 26+26+10=62 karakters. En je wachtwoord is 10 karakters lang. Dan zijn er 62^10 verschillende mogelijkheden. Een systeem wat een miljard wachtwoorden per seconde kan testen heeft alsnog meer dan 25 jaar nodig om door alle mogelijkheden heen te gaan.

Helaas is uit eerdere leaks wel gebleken dat er enorm veel mensen zijn met hele simpele wachtwoorden. Dat geeft ook aan hoe belangrijk een fatsoenlijke password policy is. Je kunt wel een deftig hashing algoritme gebruiken, maar als mensen wachtwoorden als 123456 gebruiken ben je nog geen stap verder.

josipbroz @uNoTopia • 16 april 2021 10:42

Vaak is dit een leuk PR wordenspelletje.....wachtworden niet gelekt maar een kraakbare MD5 wel.
Technisch geen wachtwoord, maar net zo kwalijk.

Scriptkid @josipbroz • 16 april 2021 16:43

nee hoor want een ww kun je gebruiken, een hash mits voldoet aan de complexity van de moderne tijd duurt zoals bovenstaande ook al aangegeven tussen de 1 dag tot meer dan 25 jaar .

com2,1ghz @uNoTopia • 16 april 2021 10:54

Met die beredenatie is ROT13 ook een encryptie

Cybertinus994 @xoniq • 16 april 2021 11:25

In de mail die gestuurd is naar alle klanten staat dat de wachtwoorden van voor september 2018 te kraken zijn. Ik heb die mail iig in mijn mailbox staan, en ook in het artikel melden ze dat dit in de mail staat.
Dat de salt ook gelekt is staat niet expliciet in de mail, maar ik denk dat ze dat te technisch vonden worden.

xoniq @Cybertinus994 • 16 april 2021 11:30

Het probleem is, dat vannacht nog dit er stond, waarin ze hard zeggen dat er GEEN wachtwoorden buit zijn gemaakt, buiten 'onleesbare' hashes waar criminelen niks mee kunnen:

https://pbs.twimg.com/media/EzDXFP9XAAE_mMy.jpg

En nu is dat ineens aangepast vanochtend op aandringen van de media (RTL), die gisteravond op Twitter al bekend maakte dat de wachtwoorden kinderlijk eenvoudig te kraken waren.

En dat is kwalijk, ze moeten stoppen met dergelijke statements die in hun voordeel zijn, en gewoon eerlijk zijn. En als ze hun eigen systeem niet kennen, moeten ze niet zeggen dat er geen wachtwoorden buit zijn gemaakt, maar dat ze dat niet zeker weten en onderzoeken. Maar hun eigen FAQ vertelde vannacht dus wat anders.

hotabibber @xoniq • 16 april 2021 11:32

Kan je met deze screenshot geen aangifte doen ? Hoop het wel, ik heb weer geen e-mail van die gasten gehad.

Hoe ze hier mee om gaan lijkt me toch wel reden genoeg om die tent voor eens en altijd te sluiten via de juridische weg.

xoniq @hotabibber • 16 april 2021 11:36

Denk het niet. Dat wordt gewoon gegooid op 'wat ze op dat moment weten' en dus eigenlijk hun eigen systeem helemaal niet kennen.

Desbetreffende screenshot(s):

https://pbs.twimg.com/media/EzDXFP9XAAE_mMy.jpg
https://pbs.twimg.com/media/EzDXj9cWUAgHKg2.jpg
https://pbs.twimg.com/media/EzBZ1G5WQAMSkto.png
https://pbs.twimg.com/media/EzBbPqxWQAc5lbs.jpg

Risce @xoniq • 16 april 2021 12:10

De man die hier de woordvoering doet is zelf totaal niet ingelezen in de materie. Hij is dus niet in de staat de juiste vragen te stellen om het hele plaatje te krijgen of hij wordt moedwillig verkeerd voorgelicht door zijn collega's.

Die woordvoerder moet gewoon eens het databestand zelf openen en zien wat er aan dehand is.

xoniq @Risce • 16 april 2021 12:14

Mja, niet alleen de woordvoerder. Alle mailtjes die tot op heden hierover verstuurd zijn, selectief hoe de wind waait, komen allemaal van de eigenaar van de shop zelf (Constantijn Souren). Dus niet zomaar een woordvoerder. Als het nu puur een PR mannetje was die die berichten stuurt in opdracht, had ik je zeker gelijk gegeven.

[Reactie gewijzigd door xoniq op 22 juli 2024 19:18]

To_Tall

@xoniq • 16 april 2021 12:44

Account kan wel van voor 2018 zijn. Maar als het wachtwoord na 1 sep 2018 is aangepast kan de bewering wel juist zijn

xoniq @To_Tall • 16 april 2021 12:48

Maar dan is de communicatie ruk, want ze noemen het accounts en niet specifiek wachtwoorden van voor 2018. Maar goed, ik haal dat stukje dan wel even weg, wil geen onjuistheden plaatsen.

Ed Vertijsment @xoniq • 16 april 2021 14:32

Ook dit moest wéér via de media komen. Vannacht stond er nog op hun website een toelichting dat alle wachtwoorden veilig en onleesbaar zijn, en niet misbruikt kunnen worden. (Harde statement, heb een screenshot gemaakt)

Ik heb wel een mail gehad met daarin een uitleg dat ik jammer genoeg bij de groep hoor die wel te kraken is.

(...)

Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

(...)

[Reactie gewijzigd door Ed Vertijsment op 22 juli 2024 19:18]

xoniq @Ed Vertijsment • 16 april 2021 14:44

Klopt, nadat de media dit gevonden heeft. Die was vannacht namelijk nog hun statement:

https://pbs.twimg.com/media/EzDXFP9XAAE_mMy.jpg

En dat is het probleem ook. Telkens bijsturen als de media iets vind wat ze niet zelf hebben toegegeven. Zo gaat het al 2 dagen.

Zelfde met IBAN nummers. Hun statement gister:

https://pbs.twimg.com/media/EzBZ1G5WQAMSkto.png

Toen kwam het uit dat er IBANs gelekt zijn; en poef, ineens hun statement aangepast.

[Reactie gewijzigd door xoniq op 22 juli 2024 19:18]

Jonathan-458 @xoniq • 16 april 2021 16:22

Inmiddels staat er ook het volgende:

Het bedrijf is bijzonder geschrokken van dit datalek en heeft inmiddels een crisisteam geformeerd van experts die een uitvoerige analyse maken van de oorzaken en daadwerkelijke omvang.

Het komt er dus op neer dat ze daadwerkelijk geen enkel idee hebben van de omvang & impact.

Aangegeven dit is in sommige gevallen moeilijk te achterhalen maar wees hier eerlijk over en stap direct naar specialisten. Maak geen vage statements of statements waarin onwaarheden worden vermeld.

Bron:
https://www.allekabels.nl/faq-1504.php

[Reactie gewijzigd door Jonathan-458 op 22 juli 2024 19:18]

xoniq @Jonathan-458 • 16 april 2021 16:24

Wauw wat triest. Al 2 dagen lang halve statements, en nu ineens de omvang bepalen. Ze hebben zoals je al zegt; geen enkel benul...

commentator @xoniq • 16 april 2021 12:13

Ik heb vandaag deze mail gehad:

Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor eventuele overlast welke gepaard gaat met dit datalek en het feit dat dit nu pas duidelijk is geworden. Gelukkig zijn uw gegevens NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen en heeft daar meteen melding van gemaakt bij de Autoriteit Persoonsgegevens en de technologische beveiliging maximaal opgeschroefd. Aangezien u klant bent geworden bij Allekabels.nl na het datalek is het belangrijk om te weten dat het NIET om uw gegevens gaat.

Ondanks het feit dat de wachtwoorden van de klanten zijn versleuteld werd hedenmorgen in de media melding gemaakt dat er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van Allekabels is komen vast te staan dat het om een minderheid van de klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd hebben, kunnen worden gekraakt.

Om de belangen van de klanten maximaal te beschermen heeft Allekabels besloten om onmiddellijk de wachtwoorden van alle klanten die zich voor
1 januari 2018 geregistreerd hebben te wissen en te vernietigen. Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld, maar dat geldt dus niet voor u.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We stellen alles in het werk om de belangen van u als klant optimaal te beschermen.
--
Met vriendelijke groet,
Constantijn Souren

Anoniem: 562971 @xoniq • 16 april 2021 15:50

Het blijft maar strooien met mooi weer, wat even later weer vernietigd wordt.

Ik kreeg deze vanmorgen, en opvallende regels heb ik gearceerd:

Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig is uw wachtwoord NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen.
Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld,
maar dat geldt dus niet voor u.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,
Constantijn Souren

RogerDad @xoniq • 16 april 2021 16:14

Ik heb oo 4 februari een mail van ze gehad over het lek, zie onder. Standaard gebruik in een sterk wachtwoord per site (lastpass generated), e-mail adres per site en altijd fake geboortedatum als er om gevraagd wordt. Hoop alleen niet dat mijn IBAN erbij staat.

Beste,

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).

Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst.

We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.
Zodra de nieuwe encrypted e-mail database online is gegaan, zullen we u een bericht sturen.

Met vriendelijke groet,

Constantijn Souren

El_Bartholomew @xoniq • 16 april 2021 16:21

Wat mij stoort dat men het wel over de wachtwoorden heeft maar niet over alle andere data die eventueel is vrijgekomen zoals bank/adres,mail etc
Dat vind je uiteindelijk wel terug op de website in de link onderaan in de mail bij faq.
Alles is dus openbaar.

Kreeg vanochtend deze mail in mijn mailbox:

Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig is uw wachtwoord NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen.
Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld,
maar dat geldt dus niet voor u.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,

[Reactie gewijzigd door El_Bartholomew op 22 juli 2024 19:18]

nightraven79 @xoniq • 16 april 2021 16:26

indien ze beweren dat wachtwoorden die na 2018 zijn aangepast...
Ik verander jaarlijks AL mijn paswoorden op ALLE sites (staat letterlijk in mijn agenda) één voor één...
Dus ja, die van Allekabels werd vorig jaar nog verandert...
En toch kan ik met dat wachtwoord niet inloggen, omdat dat wachtwoord door Allekabels verwijdert werd en moest ik dus een "wachtwoord vergeten" procedure volgen.
Maw, het wachtwoord was van nà 2018, maar werd wél verwijdert door Allekabels, waarom een "veilig" wachtwoord dan verwijderen

moonlander @xoniq • 16 april 2021 10:55

Niks is veilig, ook niet sterk encrypte wachtwoorden.. Alles is te kraken als er tijd is

[Reactie gewijzigd door moonlander op 22 juli 2024 19:18]

xoniq @moonlander • 16 april 2021 11:01

Met die instelling kan je het dan gewoon plain text opslaan. Het punt is juist, om het dusdanig op te slaan, dat het dagen tot weken kost om 1 wachtwoord te kraken, dat maakt het minder interessant.

Tuurlijk. Alles wat is gemaakt, kan ook worden gesloopt. Maar je kan het ook moeilijker maken om de motivatie weg te halen. Dit is gewoon laksheid.

Jrz @xoniq • 17 april 2021 05:31

Het is achterlijk dat wachtwoorden worden opgeslagen... gaat tegen alle standaarden in. We leven niet meer in 1991.

Datalek, ok vervelend. Maar het is grof nalatig.

[Reactie gewijzigd door Jrz op 22 juli 2024 19:18]

TweakOverflow

@xoniq • 17 april 2021 16:58

Net weer een nieuwe mail.... IBAN gegevens ook gelekt.

Beste klant van Allekabels,

Helaas is ook uw IBAN-nummer gelekt bij ons datalek. Laten we beginnen
om onze welgemeende excuses aan te bieden voor eventuele overlast welke
gepaard gaat met dit datalek en het feit dat dit nu pas duidelijk is
geworden.

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Hierover heeft u eerder deze week per e-mail bericht
ontvangen maar helaas is ook uw IBAN-nummer gelekt bij dit datalek.

Door deze uiterst vervelende gebeurtenis is waakzaamheid van uw kant
geboden. Het is belangrijk dat u alle berichten wantrouwt, zelfs
berichten met daarin het juiste rekeningnummer. Bel in geval van twijfel
altijd zelf de bank op om te controleren of een bericht klopt, en
gebruik dan het telefoonnummer dat u vindt op de officiële website van
de bank.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/lek . Op een speciaal ingerichte
informatiepagina zullen wij onze websitebezoekers up-to-date houden
omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.

--
Met vriendelijke groet,

Rarz 16 april 2021 18:32

Beste klant van Allekabels,

Uw wachtwoord is gelekt bij een datalek en hebben wij om deze reden
gewist. Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden.

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat
geldt dus ook voor uw wachtwoord. U zult bij uw eerste bezoek aan onze
website een nieuw wachtwoord moeten kiezen.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is. Heeft u
hetzelfde wachtwoord elders gebruikt? Dan wordt dringend geadviseerd om
direct en overal een ander wachtwoord te kiezen.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,
Constantijn Souren

Acht maanden na dato. Wow, dat is wel lef hebben. o_O

graceful 16 april 2021 12:10

Kan tweakers geen petittie starten voor wetsvoorstel waarin alle klant/user gegevens die inactief zijn (bijv. 12 maanden geen activiteit), automatisch verwijderd dient te worden?

Dat je facturen bewaard met de gegeven van toen der tijd, helemaal fijn. Maar de enorme bak aan informatie die op elke database achterblijft is gewoon schrikbarend.

scsirob @graceful • 16 april 2021 20:39

Goed plan! Dat zou sowieso voor alle marketing databases moeten gelden. Alles standaard verwijderen na 1 of misschien 2 jaar tenzij via opt-in langer toegestaan door de klant. Het is van de zotte dat je jaren na dato nog lastig gevallen wordt met berichten omdat je ooit ergens contact gehad hebt. Ik krijg hier nog steeds fysieke marketing meuk voor de vorige bewoner van mijn huis, die is in 2005 vertrokken.

Alleen al om van die rommel verschoond te blijven bestel ik standaard alleen bij bedrijven die bestellen zonder account bieden.

RobertMe 16 april 2021 10:22

De webshop claimt verder 'tegenwoordig' privacygevoelige klantgegevens in een 'datakluissysteem' te plaatsen, waar data alleen kan worden opgeslagen of gewijzigd. Medewerkers en criminelen zouden deze data niet kunnen inzien, claimt het bedrijf.

Als medewerkers noch criminelen die data kunnen lezen, waarom doen ze die data dan opslaan?
Oftewel: natuurlijk kan die data gelezen worden, alleen wellicht door een slectere groep i.p.v. door bv elke medewerker. Dus ik zeg maar wat, dat vroeger ook een orderpikker in het magazijn "in het systeem" kon en vervolgens ook klantgegevens kon inzien, terwijl nu alleen "derdelijns klantenservice" dit kan inzien.
Maar "privacy gevoelige data opslaan en kan niet worden uitgelezen" is gewoon onzin, sla het dan niet op.

Sorcerer8472 @RobertMe • 16 april 2021 10:59

Ja, dit vroeg ik me ook meteen af, waarom sla je data op die niet bekeken kan worden? Enige dat ik kan bedenken is om belastingtechnische redenen, maar ook dat is niet helemaal logisch

RobertMe @Sorcerer8472 • 16 april 2021 11:06

Ook als je ze belastingtechnisch nodig zouden zijn moet de data gelezen kunnen worden

Dat is mijn punt. Ze geven aan dat niemand het kan lezen, maar waarom het dan opslaan? En als het wel gelezen kan worden, wie garandeert dan alsnog de veiligheid ervan? Ze zouden het bv met asymmetrische versleuteling kunnen opslaan waarbij de website alleen de publieke of private sleutel bevat en een select aantal medewerkers toegang heeft tot de andere sleutel hebben.

Maar zelfs dan vraag ik mij af om welke gegevens dit gaat. Adresgegevens moeten immers ook op de factuur staan, zullen aanpasbaar zijn via de website etc. Hetzelfde geldt voor de naam. Dus om welke gegevens gaat het dan? Ik kan mij echt niet bedenken welke privacygevoelige gegevens ze verwerken die niet inzichtelijk hoeven te zijn, want zelfs als klant kun je al al je privacygevoelige gegevens zien.

R4gnax

Datalek
Privacy

@RobertMe • 16 april 2021 11:55

Maar zelfs dan vraag ik mij af om welke gegevens dit gaat. Adresgegevens moeten immers ook op de factuur staan, zullen aanpasbaar zijn via de website etc. Hetzelfde geldt voor de naam. Dus om welke gegevens gaat het dan? Ik kan mij echt niet bedenken welke privacygevoelige gegevens ze verwerken die niet inzichtelijk hoeven te zijn, want zelfs als klant kun je al al je privacygevoelige gegevens zien.

Wss. historische factuurgegevens of factuurgegevens van klanten die geen account hebben.

Sorcerer8472 @RobertMe • 16 april 2021 12:02

Gelezen kan het dan vast wel, maar wellicht alleen door lokale access

Een beetje als een FTP waarop je alleen mag writen maar niet listen/readen.

Blokker_1999

Datalek
Privacy

@RobertMe • 16 april 2021 16:02

Wat ze hier waarschijnlijk bedoelen is dat de database waarin de gevoelige informatie staat zelf weer encrypted is. Als je dus een dump zou kunnen maken heb je nog altijd de sleutel nodig om de data te kunnen uitlezen. Je applicaties kunnen wel aan deze sleutel en, als je het goed hebt opgezet, kunnen beheerders er alleen maar aan nadat ze deze opvragen uit een wachtwoordkluis waarbij je een audit trail hebt van wie wanneer en waarom die sleutel heeft opgevraagd.

Jrz @RobertMe • 17 april 2021 05:36

Dat betekend gewoon een historie van al je changes... ze moeten nu gewoon ff nokken.

Voor mij nooit meer AK iig

ErikJanVens 16 april 2021 11:39

Ik hoor tot de groep met een uniek e-mailadres. En natuurlijk een uniek moeilijk wachtwoord. Vanwege dat unieke adres heb ik 4 februari al een mail van ze gehad. Een nieuwe mail, zoals die hier genoemd wordt, heb ik niet gehad. De mail van begin februari vond ik toen niet heel erg verontrustend klinken:
---------------------
Beste,

Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).

Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst.

We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.
Zodra de nieuwe encrypted e-mail database online is gegaan, zullen we u een bericht sturen.

Met vriendelijke groet,

Constantijn Souren
------------------------
Ik wil nu mijn account verwijderen maar ik mag niet meer inloggen omdat mijn wachtwoord door allekabels gewist zou zijn na het datalek. Dan maar eerst mijn wachtwoord resetten. Ik heb echter al enkele pogingen ondernomen maar ik krijg geen resetlink van ze toegestuurd. Komt dat bij anderen ook voor?

[Reactie gewijzigd door ErikJanVens op 22 juli 2024 19:18]

Eusebius @ErikJanVens • 16 april 2021 11:59

Moest ook 2 pogingen doen - na de 2e keer een nieuwe resetlink.

donviktor 16 april 2021 15:05

Volgens mij is het lek veel groter. Vanmorgen kreeg ik een mail dat met excuses maar dat mijn wachtwoord NIET is gelekt.

Zojuist (om 14.42 uur) krijg ik opnieuw een mail, dat mijn wachtwoord WEL is gelekt...
Ik heb ook even in de headers van de mail gekeken en zie:

Received: by splitter.allekabels.nl (Postfix, from userid 0)
id 4FLyxQ4qrDz3lkNG; Fri, 16 Apr 2021 03:15:18 +0200 (CEST)
Precendence: bulk
From: info@allekabels.nl
Reply-To: noreply@allekabels.nl
To: allekabels-klanten:;
Message-Id: <4FLxn85BDPz3kjJm@splitter.allekabels.nl>
Subject: Wij hebben onmiddellijk maatregelen genomen om u als klant te beschermen

Met name die TO zegt volgens mij genoeg...

NB... ik heb in 2013 voor t laatst een bestelling bij ze gedaan... dus...

NB2 valt me nu pas op dat de timestamp uit de header totaal niet matcht... bijzonder.

[Reactie gewijzigd door donviktor op 22 juli 2024 19:18]

Drardollan @donviktor • 16 april 2021 15:55

Die To: zegt niets. Mailinglist systeem waar ze alle adressen ingepompt hebben.

Ik vond het opvallender dat het lettertype van de 2e mail verschilde van de 1e. Maar aangezien er verder geen linkjes of andere troep inzit lijken het mij beiden legitieme berichten.

Jrz @donviktor • 17 april 2021 05:37

User id0 is root

CAPSLOCK2000

Privacy
Datalek

16 april 2021 10:31

De salt die gebruikt is voor het versleutelen van de MD5-wachtwoorden is ook gestolen, waarmee die wachtwoorden eenvoudig zijn te kraken.

Dat het salt ook gestolen wordt is op zich niet zo bijzonder, normaal wordt dat samen met het wachtwoord opgeslagen en is het gewoon uitleesbaar. salt is niet echt geheim en je kan er niks mee als je niet ook het versleutelde wachtwoord hebt
Salt is vooral een middel om te voorkomen dat aanvallers in één keer een groot woordenboek maken van alle mogelijke wachtwoorden. Daarom wordt salt gebruikt om de wachtwoorden langer te maken door er gewoon wat tekens aan te plakken. Daardoor wordt het woordenboek van alle mogelijke wachtwoorden onpraktisch groot en kan niet meer worden opgeslagen.

Maar als ik dat screenshot mag geloven dan gebruiken ze steeds hetzelfde zout. Dat haalt een groot deel van die beveiliging weg. Het is nog steeds beter dan helemaal geen salt gebruiken, maar deze aanpak kan al 20 jaar niet meer door de beugel.

daanodinot 16 april 2021 10:41

Huh? Welk is het:

- accounts ouder dan sep. 2018
- wachtwoorden ouder dan sep. 2018

Ik neem aan de tweede dan. Even de titel en artikel aanpassen om verwarring te voorkomen.

omit94 16 april 2021 12:46

Ik heb vannacht een mail van Allekabels gekregen waarin staat dat mijn wachtwoord niet is gelekt omdat mijn account van na 1 september 2018 zou zijn.

De eerste bestelling in mijn account is uit 2012(!)

tarnov 16 april 2021 14:24

Wanneer stoppen webwinkels nu eens met accounts met wachtwoorden? Ze zijn volmaakt overbodig. Als je dan toch met accounts wil werken is het uitermate simpel:
1. Koper voert email adres in op webshop
2. Webshop stuurt email met (short lived) link naar koper
3. Koper clickt op link en de bijbehorende NAW gegevens worden getoond in browser
4. De rest var het bestelproces...

How hard can it be...

Dit is overigens eenvoudig te emuleren door een altijd een random wachtwoord te maken en dit nooit op te slaan. Vervolgens daarna altijd op "wachtwoord vergeten" clicken als je weer iets wil bestellen.

Op dit item kan niet meer gereageerd worden.

Allekabels: wachtwoorden van accounts ouder dan september 2018 zijn te kraken

Lees meer

IT-banen

Reacties (542)

Sorteer op:

Weergave: