Allekabels-lek bevat ook data van 34 andere webshops

DutchDo, een bedrijf dat meerdere webshops als Adapters.nl, Externehardeschijf.nl en Speaker.nl beheert, zegt slachtoffer te zijn geweest van een hack. Daarbij zijn naw-gegevens en e-mailadressen buitgemaakt, van sommige klanten ook 'onherkenbare' wachtwoorden en IBAN's.

Het bedrijf heeft klanten ingelicht per mail; in die mail staat welke gegevens er bij een specifieke klant zijn buitgemaakt. Van sommige klanten zijn alleen naw-gegevens en e-mailadressen gestolen. In andere mails noemt DutchDo het ontvreemden van telefoonnummer, IBAN-nummer of 'ongewijzigde wachtwoorden sinds 2018'. Deze wachtwoorden zijn 'onherkenbaar' opgeslagen, zegt het bedrijf, zonder details te geven.

DutchDo zegt in de mail naar klanten het datalek te hebben gemeld bij de Autoriteit Persoonsgegevens. Daarnaast is de beveiliging van de webshops 'aangescherpt' om de kans op een volgende hack te kunnen minimaliseren. Het bedrijf waarschuwt klanten in de mail om waakzaam te zijn voor onder meer phishingmails. Klanten wordt daarnaast aangeraden hun wachtwoord aan te passen als deze door de criminelen is buitgemaakt.

Onder DutchDo vallen 33 niche-webshops, zoals Coaxkabel.nl, Condensators.nl en Draadlozedeurbel.nl. Kabeltje.com staat niet op DutchDo's overzichtspagina, maar deze webshop lijkt wel onderdeel te zijn van DutchDo. Ook klanten van Kabeltje.com hebben een mail ontvangen over de inbraak. Tweakers heeft DutchDo vragen gesteld over onder meer de omvang van het datalek.

Update, 10.28 uur: zoals tweaker Christoxz opmerkt zijn er sterke aanwijzingen dat DutchDo en Kabeltje.com beide onder Allekabels vallen. Volgens Drimble vallen de drie bedrijven onder dezelfde Allekabels Tussenholding B.V., daarnaast delen de drie sites hetzelfde postbusnummer in Kerkrade. Eerder bleken de gegevens van 3,6 miljoen Allekabels-klanten te zijn buitgemaakt bij een aanval. Bij dit datalek zouden de wachtwoorden die ouder dan september 2018 zijn te kraken zijn.

Update, 11.10 uur: een Allekabels-woordvoerder bevestigt tegen Tweakers dat het niet om een nieuw datalek gaat, maar dat de klanten van de DutchDo-webwinkels en van Kabeltje.com bij het datalek met de 3,6 miljoen klanten zitten. Volgens de woordvoerder wordt er sinds vorige week donderdag door interne werknemers en externe beveiligingsbedrijven onderzoek gedaan naar het datalek. Uit dat onderzoek zou zijn gebleken dat klantgegevens van de 34 webshops ook bij het datalek zaten.

IT-banen

Reacties (200)

Christoxz 23 april 2021 09:42

Onder DutchDo vallen 33 niche-webshops, zoals Coaxkabel.nl, Condensators.nl en Draadlozedeurbel.nl. Tweakers heeft DutchDo vragen gesteld over onder meer de omvang van het datalek.

En DutchDo valt gewoon weer onder AlleKabels, lijkt mij belangrijke info..
Deze lek is dus dan ook weer niet zo verassend.

https://drimble.nl/bedrij...els-tussenholding-bv.html
Of Google maar is op 'Postbus 1077'
Ze hebben echt heel veel shops..

[Reactie gewijzigd door Christoxz op 23 juli 2024 04:17]

supersnathan94

E-commerce
Datalek

@Christoxz • 23 april 2021 10:17

Hmm. Dan wordt er dus wel rijkelijk laat geïnformeerd.

Om overigens wel met een positieve noot af te sluiten:

Het bedrijf heeft klanten ingelicht per mail; in die mail staat welke gegevens er bij een specifieke klant zijn buitgemaakt

Goed dat ze dat zo specifiek maken en per klant de moeite nemen om te kijken wat er is. Het is niet veel moeite ws, maar wel belangrijke informatie voor jou als individu om mitigatie te kunnen doen.

GameNympho @supersnathan94 • 23 april 2021 15:55

ind laat, maar in ieder geval wel mails verstuurd naar diegenen (zoals ikzelf)

Beste klant van Allekabels,

Uw wachtwoord is gelekt bij een datalek en hebben wij om deze reden
gewist. Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden.

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat
geldt dus ook voor uw wachtwoord. U zult bij uw eerste bezoek aan onze
website een nieuw wachtwoord moeten kiezen.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is. Heeft u
hetzelfde wachtwoord elders gebruikt? Dan wordt dringend geadviseerd om
direct en overal een ander wachtwoord te kiezen.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php
Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.

THETCR @GameNympho • 23 april 2021 21:21

Ik heb dezelfde e-mail ontvangen en Ik vind het nogal moeilijk te geloven dat de wachtwoorden daadwerkelijk "onkraakbaar" zijn.

Volgens hun email hebben ze een check gehad om wachtwoorden van registraties voor 01/09/2018 met een ander encryptie algoritme te controleren, in plaats van ze netjes te updaten in de database.

Dat in combinatie met de lek geeft me niet een goed vertrouwen dat ze een zwaar algoritme hebben gebruikt met de nodige performance impediments.

Dan is het niet "onkraakbaar", maar realistisch gezien gewoon niet interessant om de moeite erin te steken.

Jerie

@THETCR • 24 april 2021 03:04

Onkraakbaar bestaat niet.

Frituurbaas @GameNympho • 25 april 2021 10:26

Ik heb al die communicatie gelezen en vond het tenenkrommend. Achteraf stel ik mijzelf de vraag "Communiceer je in jip-en-janneketaal" of gebruik je technisch jargon richting mensen met vragen? Ik ben er niet geheel over uit.

J3roen @Frituurbaas • 26 april 2021 08:00

Ik had exact hetzelfde. De mail die ik kreeg zat vol met grammaticale fouten.

Xfade @supersnathan94 • 23 april 2021 12:54

Dit was anders in het vorige bericht over dit lek al onderuit gehaald. Persoon kreeg ook een mail, met dat er niks mis was, omdat account van 2018 was. Maar er staan gewoon facturen in uit 2017.

psygarden @Xfade • 23 april 2021 14:59

Zoals ik het begreep is je account veiliger opgeslagen als ze recenter is aangemaakt OF je hebt je wachtwoord nog aangepast later (pw reset ofzo), omdat vanaf dan de nieuwe methode werd gebruikt

casberrypi @psygarden • 24 april 2021 14:06

Normaal gesproken re-hash je een password bij inloggen als er een nieuwe betere methode is.

Dus je controleert het password dat de gebruiker invoert, met de hash uit je password-database met de daarbij gebruikte methode. Is het password correct, en is de methode 'oud', dan gebruik je het password om een nieuwe hash te maken met een nieuwe methode en dat sla je vervolgens op.

Waarschijnlijk dus juli 2018 geregistreerd, maar na september 2018 nog ingelogd geweest.

supersnathan94

E-commerce
Datalek

@Xfade • 23 april 2021 13:21

Maar dat betekent niet dat die ook gelekt zijn en dat daar bepaalde gegevens bij zijn buitgemaakt. Misschien goed als die persoon dat even navraagt om te verifiëren.

b12e @Xfade • 23 april 2021 13:26

Ik kreeg deze: https://tweakers.net/nieu...ction=15940148#r_15940148

Daar kreeg ik recent een maitlje van waarvan ik dacht dat het door degenen die de database in handen had werd verzonden. Eerste reactie was, hoe is deze door mijn spamfilter heen gekomen.

In die mail staat volgende tekst (met de fouten 1:1 overgenomen uit de mail):

Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.

Ik heb me geregistreerd in juli 2018, maar het gaat dus niet om mij?

Dus, vind dat Codecov het best nog netjes aanpakt allemaal. Fouten maken we allemaal, er van leren (en er goed over communiceren) doen maar sommigen.

[Reactie gewijzigd door b12e op 24 juli 2024 04:08]

Ge Someone @supersnathan94 • 23 april 2021 14:15

Goed dat ze dat zo specifiek maken en per klant de moeite nemen om te kijken wat er is.

Maar dat doen ze niet echt, ze sturen een standaard mail, zo te zien. Ik heb ook een mail gehad over mijn account bij allekabels, alleen heb ik dat helemaal niet. Pas nu snap ik dat kabeltje.com dezelfde toko is.

Obbidobbi @Christoxz • 23 april 2021 11:01

Volgens Company.info (die haar informatie uit de Kamer van Koophandel haalt) vormen al die bedrijven samen een groep.

Allekabels B.V., Distri Labora B.V., Distri4You B.V. en DutchDo B.V. vallen onder Allekabels Tussenholding B.V.

Allekabels Tussenholding B.V., Kabeltje.com B.V., RPIP B.V. en RPOG B.V. vallen op hun beurt weer onder de R. Peters Holding B.V.

Formeel zijn al deze bedrijven dan ook van dezelfde eigenaar dus het verbaast me niks dat al die bedrijven eenzelfde administratie gebruiken en allemaal hun data zijn kwijtgeraakt in één datalek.

HakanX @Christoxz • 23 april 2021 09:44

Das idd heel belangrijk. Gaat dit dan om dezelfde lek of staan het los van elkaar?

Hooglander1 @HakanX • 23 april 2021 10:07

Dit is exact hetzelfde lek. Aangezien ik het emailadres dutchdo@domein.tld gebruik bij ze was ik maanden geleden al eens geïnformeerd. Toen stond er doodleuk dat mijn account bij allekabels gehackt was, waar ik geeneens een account had.

Zelfde bedrijf, zelfde accounts, geen nieuwe informatie.

biomass @Hooglander1 • 23 april 2021 12:38

Toen ik las dat kabeltje.com er ook onder viel ben ik even gaan zoeken in mijn archief.
In 2010 iets besteld bij kabeltje.com - Rapbid V.O.F Broek op Langedijk/Warmenhuizen
In 2016 begint kabeltje.com als onderdeel van de Easy2 groep Heerhugowaard nieuwsbrieven te sturen.
In augustus 2018 meld ik me af/ben ik afgemeld voor de nieuwsbrief bij Easy2.
Vandaag, april 2021, de huidige houder van kabeltje.com zegt mijn e-mail adres niet te kennen als ik probeer mijn account tot leven te wekken. Ik ben nog niet helemaal gerustgesteld...

Christoxz @HakanX • 23 april 2021 09:47

Dat weet ik niet, maar denk het wel.
AlleKabels gebruikt bijvoorbeeld DutchDo om op Bol te verkopen.

Bij AlleKabels waren de wachtwoorden ouder dan 2018 minder veilig.
Dat is toevallig bij DutchDo ook het geval:

in andere mails noemt DutchDo het ontvreemden van telefoonnummer, IBAN-nummer of 'ongewijzigde wachtwoorden sinds 2018'.

HakanX @Christoxz • 23 april 2021 09:58

Scherp. Kan haast niet anders dan.

@Hayte denk dat dit wel belangrijke info is voor het artikel.

Klaus_1250 @Christoxz • 23 april 2021 11:45

Bij AlleKabels waren de wachtwoorden ouder dan 2018 minder veilig.

Hun email zegt het iets anders. Daarin staat dat de wachtwoorden van "klanten geregistreerd voor September 2018" niet veilig waren. Het kan dus zijn dat de wachtwoorden van oudere klanten op een andere manier werden opgeslagen dan van nieuwe klanten - en dat het dus losstaat van wanneer je je wachtwoord hebt gewijzigd.

Moet eerlijk bekennen dat ik de communicatie hieromtrent erg slordig vind van AlleKabels. Sowieso, men wist van het lek op 23/08/2020 (volgens hun mail) maar heeft klanten er niet van op de hoogte gesteld. Alleen de Autoriteit Persoonsgegevens.

_JGC_ @Christoxz • 23 april 2021 12:03

Dan hebben ze kabeltje.com heel stilletjes overgenomen. Zat net even te kijken in mijn mailbox, ik heb daar bestellingen in 2011, 2016 en 2017 gedaan op 2 adressen, die adressen kennen ze niet.
In 2016 is Kabeltje.com verkocht aan Easy2Invest, daar heb ik facturen van. Blijkbaar zijn ze later weer overgenomen door Allekabels en is daarbij het klantenbestand niet meegekomen.

Woy Moderator PRG/SEA @_JGC_ • 23 april 2021 12:21

Ik heb in november 2018 nog wat bij kabeltje.com besteld, en daar staat in de mail inderdaad nog Easy2. Company BV. Echter heb ik op dat mail adres wel een melding gekregen dat de gegevens gelekt zijn, dus ook gegevens van voor de overname meegekomen, want dat mail adres heb ik daarna nooit meer gebruikt.

Auteur

Hayte Redacteur @Christoxz • 23 april 2021 10:31

Dank, hele interessante informatie inderdaad. Heb het artikel bijgewerkt

MetalfanBlackness @Christoxz • 23 april 2021 11:11

Zowel DutchDo en Allekabels zijn onderdeel van Stichting Administratiekantoor Peters. DutchDo heeft deze stichting als hoogste relatie bij de concern relaties en allekabels.nl heeft deze stichting ook als hoogste relatie bij de concern relaties.
Op dit moment heb ik geen tegoed meer bij Kvk anders had ik even gekeken hoe de relatie ligt, maar het lijken nu meer "zuster" bedrijven te zijn dan dat Allekabels Tussenholding B.V. eigenaar is van DutchDo.

Ondertussen bewijs gezien van DutchDo ook onder Allekabels Tussenholding B.V. valt (en alles dus nog steeds onder Stichting Administratiekantoor Peters. Allekabels B.V. en DutchDo zijn dus directe zuster bedrijven.

[Reactie gewijzigd door MetalfanBlackness op 24 juli 2024 04:08]

benno0o @MetalfanBlackness • 23 april 2021 11:58

Dank, ik heb deze verder uiteengezet.

x86dev @Christoxz • 23 april 2021 09:45

Klopt.

iAR @Christoxz • 23 april 2021 13:08

Is dat zo ja? Ik kreeg ook al een mail van DutchDo. Ik geloof dat ik het alleen ken van SodaStream.

Ik merk bij mijzelf veel weerstand. Waarom hebben al die webshops al die data nodig?
Ik ben een rondje gaan maken bij shops die in mijn iCloud Keychain staan met een wachtwoord. Een verzoek om mijn data te verwijderen. Je raad het al, bijna 0 reacties. Onder account settings is vaak ook geen optie om je data te verwijderen.

Weltschmerz @Christoxz • 23 april 2021 14:20

Mag ik vragen hoe je aan deze informatie bent gekomen? Niet voor mijzelf, maar is dit iets dat Tweakers.net ook had kunnen achterhalen? Dat is namelijk toch het hele punt van journalistiek? Dus ik vraag me af waarom jij, een gebruiker, deze info wel hebt maar zij niet?

Christoxz @Weltschmerz • 23 april 2021 14:28

"Google Skills".
Ik sta regelmatig verbaasd te kijken hoe mager de journalistiek soms is van T.net/HW.
Vaak komen er hele belangrijke details aan het licht via de reacties, waarvan een hoop gewoon openbaar te vinden is.

Weltschmerz @Christoxz • 23 april 2021 20:28

Daar was ik al bang voor. Wat jij hebt gedaan hier is wat in mijn ogen het minimale is dat je kunt doen dat onder journalistiek kan vallen. Jammer dat Tweakers dat initiatief aan de users overlaat, en jij bedankt voor het delen

Drardollan 23 april 2021 09:49

Ik kreeg deze mail ook, ik kon de naam niet plaatsen. Enig zoekwerk in mijn mailbox leverde op dat zij blijkbaar ook Sodastream cilinders regelen (of regelden, geen idee) voor Sodastream.nl. Heel lang geleden wel eens een cilinder besteld daar.

Wat ik veel opvallender vind is dat Gmail mij meldt: "info@dutchdo.nl via allekabels.nl". Allekabels?? Even de headers erbij gepakt:

Received: from splitter.allekabels.nl (splitter.allekabels.nl [212.125.129.182]) by aeneas.cuci.nl (Postfix) with ESMTP id B432F1CCD1; Fri, 23 Apr 2021 02:01:43 +0200 (CEST)
Received: by splitter.allekabels.nl (Postfix, from userid 0) id 4FRDwh662qz3nB21; Fri, 23 Apr 2021 02:01:40 +0200 (CEST)
Precendence: bulk
From: info@dutchdo.nl

Blijkbaar is dit dus eigenlijk een shop van AlleKabels?

Nog even verder gezocht, en dan vind ik bij Drimble de volgende gegevens voor DutchDo (https://drimble.nl/bedrij...1938159/dutchdo-bv.html):

2015-03-30: Nieuwe inschrijving: Per 27-3-2015 is Bestuurder 62243632 Allekabels Tussenholding B.V. in functie getreden.

Mijn enige conclusie is dat AlleKabels en DutchDo hetzelfde bedrijf zijn. En dat zou betekenen dat dit geen nieuwe hack/lek is maar een uitbreiding op het al eerder bekend geworden AlleKabels lek?

[Reactie gewijzigd door Drardollan op 24 juli 2024 04:08]

benno0o @Drardollan • 23 april 2021 11:05

Dat is enigszins correct. Een opzet van de structuur:

STAK Peters
- R. Peters Holding B.V.
-- Allekabels Tussenholding B.V.
allteq.nl
--- Allekabels B.V.
Allekabels.nl
bestthings.nl
bestthings.be
--- ALLTEQ B.V.
electronica-markt.nl
electronica-markt.be
electronico-gigant.nl
electronica-gigant.be
--- Distri Labora B.V.
Distrilabora.nl
--- Distri4You B.V.
distri4you.com
distriforyou.nl
giga-markt.nl
giga-markt.be
giga-markt.de
henzo.nl
--- DutchDo B.V.
Dutchdo.nl
Verkoper.nl
vakantiejager.nl
top-electronica.nl
top-electronica.be
actie-electronica.nl
actie-electronica.be
sodostreamstore.nl
-- Kabeltje.com B.V.
Kabeltje.com
-- RPIP B.V.
rpip.nl
-- RPOG B.V.
rpop.nl (waarschijnlijk rpog.nl)

Als iemand dit voor mij in een mooi lijstje kan zetten zou dat fijn zijn!

Edit: Ook de websites/handelsnamen van de betreffende entiteiten opgenomen.
Edit 2: Onder Dutchdo.nl vallen nog een additionele 31 nichewebsites.

[Reactie gewijzigd door benno0o op 24 juli 2024 04:08]

Odeklontje @benno0o • 23 april 2021 12:01

Ik probeer ook op 34 uit te komen. Het moeilijke is dat het merken/handelsnamen zijn en bedrijven.
Dit is het overzicht uit het handelsregister met Stichting Administratiekantoor Peters aan het hoofd van de paraplu.

Edit: De kerstboom van STAK Peters als afbeelding

@benno0o

[Reactie gewijzigd door Odeklontje op 24 juli 2024 04:08]

benno0o @Odeklontje • 23 april 2021 12:13

Dat is inderdaad waar ik ook tegenaan loop. In het overzicht ontbreekt ALLTEQ B.V.

Edit: Onder Dutchdo.nl vallen nog een additionele 31 nichewebsites.
Edit 2: ALLTEQ staat wel in het lijstje. Excuses!

[Reactie gewijzigd door benno0o op 24 juli 2024 04:08]

Odeklontje @benno0o • 23 april 2021 13:09

edit: Onder Dutchdo zijn er 1261 domeinen te vinden waarvan er een gedeelte wordt gebruikt als placeholder of voor SEO maar ook enkele webshops zoals: https://www.wifiversterken.nl/, https://www.wereldstekker.nl/, https://www.speaker.nl/.

RPIP BV (/Cubic Circle BV) lijkt inderdaad de hosting te doen van de webshops + linkbuilding voor SEO.

Distri Labora BV lijkt gebruikt te worden als uitzendbureau voor personeel die werkzaam zijn bij deze webshops. In het kader van de veiligheid van persoonsgegevens is het zeker belangrijk voor (voormalige) uitzendkrachten in hoeverre deze administratie betrokken is bij het lek.

Afgaande op de Name Servers "NS1.RPIP.NL" zijn er zeker 350+ domeinnamen:
3d-printergids.nl
3dprinter-verkoper.nl
3dprinterverkoper.nl
industrielamp.nu
gigasetstore.nu
allekabel.at
allekabel.ch
usbmicrokabel.dk
spillekonsolkabel.dk
allekabels.shop
ssdschijf-verkoper.nl
spelcomputer-verkoper.nl
gourmetstel-verkoper.nl
webcam-verkoper.nl
kersttrui-verkoper.nl
usbstick-verkoper.nl
displayport-kabel.nl
alle-kabel.org
ledstrips.nu
all-cables.co.uk
alle-kabel.nl
alle-kabel.net
wifiversterken.nl
kortingboek.be
ipadkabel.dk
alle-kabel.be
alle-kabel.eu
displayport-kabel.nl
ledstrips.nu
glaszekering.nl
wifiversterken.nl
displayport-kabels.com
sigarettenaanstekers.com
audiosplitters.nl
draadlozekoptelefoon.nl
optische-kabels.nl
avsplitter.nl
domecamera.nl
receptpannenkoeken.net
laptopkabels.nl
vakantiejager.be
industrielamp.nu
gigasetstore.nu
koudepastasalade.net
laptopkabel.com
sperziebonen.com
componentkabels.com
bluetoothzender.nl
bluetoothkeyboard.nl
pcnaartv.com
minidisplayport.nl
ghv41m.com
koptelefoonkabel.com
antennekabel.be
internet-kabels.com
audio-kabels.com
dutchdo.nl
auxkabel.nl
ssdschijf-verkoper.nl
spelcomputer-verkoper.nl
gourmetstel-verkoper.nl
webcam-verkoper.nl
kersttrui-verkoper.nl
usbstick-verkoper.nl
12voltadapter.nl
hotelschakeling.nl
midikabel.nl
toslinkkabels.nl
splitter.nl
cat5ekabel.nl
sftp-kabels.com
dinkabel.nl
scartkabel.nl
enz. enz. enz.

[Reactie gewijzigd door Odeklontje op 24 juli 2024 04:08]

RobbyTown

@Odeklontje • 23 april 2021 15:16

Lijst is beetje out of date?

Even 2 willekeurige domeinnamen gepakt van je genoemde lijst.

En bij SIDN.nl ingevoerd krijg de volgende output:

Goed nieuws, cat5ekabel.nl is beschikbaar

Goed nieuws, dinkabel.nl is beschikbaar

[Reactie gewijzigd door RobbyTown op 24 juli 2024 04:08]

djwice

@benno0o • 23 april 2021 11:44

Oei https://rpip.nl/ is een webhosting bedrijf...

Wellicht zijn de websites van de klanten van dat webhosting bedrijf ook getroffen...

In het kort lijkt het hosting bedrijf dezelfde aandacht gehad te hebben met betrekking tot beveiliging als andere servers van de holding.

Op het eerste gezicht worden niet alle verbeteringen tegelijk op alle servers toegepast, dit kan er op duiden dat het beheer in handen is van een klein team met beperkte automatisering.

rpop.nl lijkt de software bouwer.

Een Koreaanse website lijkt de servers van rpop te scrapen, dat is gek...

[Reactie gewijzigd door djwice op 24 juli 2024 04:08]

Drardollan @benno0o • 23 april 2021 11:17

Dank je wel voor deze verheldering.

fommes @benno0o • 23 april 2021 13:00

dat is aardig wat, ik heb al moeite om de boekhouding van 2 bedrijven en 3 webshops up to date te houden..

PetersNL 23 april 2021 10:01

Ik kreeg vanochtend ook onderstaande mail:

Beste klant,
Via deze mail willen wij u informeren dat er bij DutchDo een incident heeft plaatsgevonden met ongeoorloofde toegang tot uw gegevens. Na een intern onderzoek is gebleken dat wij slachtoffer zijn geworden van een hack op onze webshop. Derden hebben onrechtmatig toegang gehad tot onze database en waardoor het mogelijk is dat uw gegevens in verkeerde handen terecht zijn gekomen.

Het gaat hierbij om de volgende gegevens:
NAW-gegevens
E-mailadres
Wat moet ik nu doen?

Het is mogelijk dat uw gegevens gebruikt worden voor spam en/of phishing. De afzender doet zich dan voor als een bekende of vertrouwde instantie. Wees daarom altijd alert: controleer altijd de afzender en klik geen links aan in een bericht. Wilt u uw gegevens uit onze systemen laten verwijderen? Stuur ons dan een e-mail via info@dutchdo.nl en uw gegevens zullen volgens de AVG-richtlijnen verwijderd worden.

Welke acties hebben wij ondernomen?

Allereerst hebben wij gezorgd dat de beveiliging van onze webshop aangescherpt is om zo de kans op een incident in de toekomst te minimaliseren. Daarnaast hebben wij melding gemaakt bij de Autoriteit Persoonsgegevens.

Onze oprechte excuses voor dit ongemak. We vertrouwen erop u hiermee voldoende geïnformeerd te hebben.

Met vriendelijke groet,

Team DutchDo

Erg jammer, maar in mijn mail werd niet gerept over het lekken van een IBAN nummer. Ik heb in augustus van 2019 een bestelling bij ze gedaan en betaald via iDeal.

Heb Dutchdo daarom net even gebeld, en ze konden me vertellen dat er 6 varianten van de mail uitgestuurd zijn. Van mij hebben ze geen IBAN opgeslagen en daarom stond deze ook niet in de mail gemeld.

Misschien dat ze het IBAN nr opslaan bij een bankoverschrijving? Benieuwd of er Tweakers zijn die een andere variant hebben ontvangen.

ben2513 @PetersNL • 23 april 2021 10:07

Altijd betaald via iDeal en mijn IBAN staat erbij. Besteld via SodaStreamStore. Daar maken zij, bij het bestellen van ruilcilinders voor je SodaStream, gebruik van een extern bedrijf (Billink) om de ruilcilinders in rekening te brengen als je ze niet (op tijd) retourneert. Heeft daar misschien mee te maken?

Theodor @PetersNL • 23 april 2021 22:58

Ik kreeg vandaag pas de mail van Allekabels ook erg laat....

Sparkiee 23 april 2021 09:27

Ik dacht dat het opslaan van Iban nummers helemaal niet mocht ?

Caayn @Sparkiee • 23 april 2021 09:34

Hoe zit dit trouwens met ideal betalingen? Krijgt de winkelier daarbij ook het IBAN te zien of enkel dat de betaling is geslaagd met een kenmerk van de betaling binnen ideal?

JeroenB89 @Caayn • 23 april 2021 09:41

Webshops krijgen (als het goed is) niks mee van je IBAN als je met iDeal betaalt, dit gaat allemaal via een payment service provider (zie hier een lijstje).

De webshop krijgt alleen wat feedback terug, zoals of het geslaagd is.

Echter heeft een webshop natuurlijk wel een account bij zo'n payment service provider, en als je daar inlogt kun je wel details over de transacties zien, waaronder de IBAN.

Dus het is wel mogelijk voor een webshop om die informatie te achterhalen, maar bij normaal gebruik krijgen ze er niks van mee.

Edit: kleine correctie, je IBAN kan ook een onderdeel zijn van de feedback die je terugkrijgt, ik weet niet hoe gewoonlijk dit is.
Een webshop hoeft in ieder geval niet zelf de IBAN te verwerken om een iDeal transactie mogelijk te maken.

[Reactie gewijzigd door JeroenB89 op 24 juli 2024 04:08]

moonlander @JeroenB89 • 23 april 2021 09:51

Ik kan alle iban nummers zien van klanten die betalen via ideal (mollie).

HakanX @moonlander • 23 april 2021 10:02

Het belangrijke in dit geval is of dat dan op jouw server staat of bij Mollie. Als ze bij Mollie staan, dan lekken ze niet uit als jij gehackt wordt.

PommeFritz @HakanX • 23 april 2021 10:36

....tenzij ze de inloggegevens van Mollie buitmaken en gewoon kunnen doorloggen...

FireDrunk

@HakanX • 23 april 2021 10:34

Dat het bij Mollie staat betekend niet dat je het perse niet via een API op zou kunnen halen.
Je kan in je order workflow dus mogelijk wel het IBAN van Mollie ophalen, en in je eigen database zetten.
Of dat verstandig is, is natuurlijk een tweede. Wat @moonlander bedoelt, is dat het dus informatie is die 'eventueel' beschikbaar is.

Dat wil natuurlijk niet zeggen dat dat hier ook het geval is geweest, en die data in de gestolen gegevens zat, alleen dat het technisch zo had kunnen zijn.

dok33 @FireDrunk • 23 april 2021 11:27

Volgens mij gaat het bij privacy gevoelige data niet over of je het kan opslaan, maar of het wel mag.
Voor het functioneren van een webshop is het niet van belang om de IBAN op te slaan bij een iDeal transactie, en ze vragen ook niet expliciet om dergelijke data op te mogen slaan, dus mogen ze dat mijns inziens ook niet. Maar ik ga er niet over

Voor een incasso verwerking, misschien wel. Klinkt wel alsof je dat kan verantwoorden.

Bij een overschrijving is het misschien mogelijk wel nodig om te 'onthouden' waar het geld vandaan is gekomen, ivm belasting regels (tegen witwassen en voor fraudeonderzoeken). Maar ik ben geen jurist, dus.

CH4OS

Datalek

@dok33 • 23 april 2021 12:36

De IBAN lijkt me redelijk basisinformatie voor de factuur, grond voor de winkel om het op te slaan is er dus zeker wel.

dok33 @CH4OS • 23 april 2021 13:42

Bij bankbetaling na factuur wel, niet bij betaling vooraf via iDeal.
Dan volstaat "Betaald via iDeal" prima, op de factuur. En zo doen de meesten het ook.

moonlander @dok33 • 23 april 2021 12:44

Dat is wel zeker van belang, hoe wil je al je retouren terugbetalen dan? Daarvoor is toch echt een IBAN nummer voor nodig.

dok33 @moonlander • 23 april 2021 13:43

Je hebt die informatie pas nodig op het moment dat je een retour moet betalen, niet eerder.
Dus je hebt het transactie-ID nodig, om bij de aquirer de gegevens op te zoeken. Niet de gegevens zelf.

moonlander @dok33 • 23 april 2021 13:56

We leven niet in een ideale wereld, maar in een wereld waar tijd geld kost.. Dan is opslaan van iban vaak handig en sneller! Ik doe het zelf ook, maar dan voor fraudepreventie. Heeft mij al heel wat ellende bespaard. Maar ook retouren betalen, 1 druk op de knop en de batchlijst wordt ingeschoten bij de bank.

dok33 @moonlander • 23 april 2021 14:43

Volgens mij is "handig en sneller" niet echt een geldige reden om de AVG te overtreden, of ik moet ergens een wetswijziging hebben gemist...

moonlander @dok33 • 23 april 2021 14:46

Dat heeft niks met AVG te maken. Dit heb je nodig om als groot bedrijf snel te kunnen werken. Ik zou me eerder zorgen maken om de gegevens die de GGD gelekt heeft dan een banknummer.

En mocht je IBAN gelekt zijn, vraag je een nieuw rekeningnummer aan, alle automatische incasso's wijzigen en klaar is Kees.

WhiteDog @moonlander • 23 april 2021 20:08

Je kan het beter wel binnenhalen, als je ruzie hebt met je payment provider kan je niet meer aan die data en je hebt deze soms wel nodig. Klanten komen ook aanzetten met "ik heb betaald vanaf rekening nummer XYZ" en niet met een of andere transactie id.

Als je natuurlijk 3 miljoen klanten in je databank hebt moet je toch echt wel is stilstaan bij je beveiliging

Anoniem: 1576590 @HakanX • 23 april 2021 10:49

Tenzij de hackers iets als "wachtwoorden.xlsx" vinden met daarin o.a. de logingegevens voor Mollie.

Of een KeePass database en een keylogger hebben geïnstalleerd.

OMD @moonlander • 23 april 2021 10:01

Dit is waarschijnlijk in het account van Mollie en niet je website platform. Er vindt bij ons geen terugkoppeling plaats vanuit Mollie naar de webshop. Klanten die een account bij ons hebben zien daarom ook geen IBAN nummer.

rbr320 @JeroenB89 • 23 april 2021 09:47

De belangrijkste take-away in de context van dit nieuwsbericht is denk ik dat webshops dus op zich wel je IBAN nummer kunnen zien als ze willen, maar dat ze deze niet zelf hoeven op te slaan/te verwerken. Ik ben het met @Sparkiee eens dat Dutch Do wat mij betreft dus fout zit door dit wel te doen, in ieder geval in de gevallen waarin het niet de klant zelf was die deze gegevens bij ze heeft achtergelaten, bijvoorbeeld om in de toekomst sneller te kunnen bestellen.

[Reactie gewijzigd door rbr320 op 22 juli 2024 13:43]

kr4t0s @rbr320 • 23 april 2021 09:55

Misschien zijn IBAN's gelekt van mensen die handmatige overboeking deden. Kan me niet voorstellen dat ze bij bijvoorbeeld Mollie inloggen dan de IBANs van mensen kopiëren en plakken naar hun eigen omgeving.

rbr320 @kr4t0s • 23 april 2021 10:05

Ja dat vermoed ik ook en in die gevallen is er dus ook voldoende onderbouwing om de IBAN nummers op te slaan, men heeft ze tenslotte zelf ingevuld. Bij IBAN betalingen echter niet.

superbikkel @JeroenB89 • 23 april 2021 10:56

Via ING iDeal krijg je in de terugkoppeling wel degelijk de IBAN (en BIC) waarmee is betaald. Plus als bonus de tenaamstelling van de rekening.

arjan445 @Caayn • 23 april 2021 09:38

Ik heb een webshop (woocommerce i.c.m mollie) ik kan binnen mijn woocommerce omgeving geen IBAN nummer zien, log ik in bij Mollie dan kan ik wel het IBAN nummer zien van waaruit de betaling is gedaan.

CasEbb @Caayn • 23 april 2021 09:40

Ja, dat kan. En anders wel op hun bankafschrift.

Dit wordt o.a. gebruikt om een rekeningnummer te verifiëren (denk aan een iDEAL betaling van €0,01) voor automatische incasso’s.

Marcel-- @CasEbb • 23 april 2021 17:15

Dat is inderdaad gebruikelijk, maar niet correct: een iDEAL-betaling is géén goedkeuring voor automatische incasso (een vinkje zetten is evenmin rechtsgeldig). Hiervoor is digitaal incassomachtigen uitgevonden.

ddexp67 @Caayn • 23 april 2021 09:44

Ik weet niet of het bij alle acquirers zo werkt maar die ik gebruik kan je inloggen en alle transacties in zien. Daar zie je IBAN en naam van de rekeninghouder. Die data kan je downloaden en opslaan mocht je dat willen. Volgens mij doen grote bedrijven dit omdat ze het nodig achten. Via de e-mail krijg ik een melding van de gelukte of mislukte transactie daar staat alleen een transactie nummer op met naam van de klant en bestel nummer.

Lost in Time @Caayn • 23 april 2021 09:53

Niet per se. De winkelier krijgt simpelweg de auth binnen van de acquirer wanneer jij je betaling afrond.

Deze acquirer heeft toegang tot jouw iban.

De winkelier kan in de meeste gevallen relatief eenvoudig via het platform van de acquirer jouw iban opvragen. Wat erg handig is, wanneer zij een refund willen doen, gezien er geen refunds (of chargebacks) zijn ingebouwd in iDeal, dus een refund zal altijd een directe bankoverschrijving zijn.

Als je niet je bankgegevens wilt verspreiden bij online winkelen, is het gebruik van een creditcard veel beter. Geen webwinkel die je volledige kaartnummer/cvv op mag* slaan zonder PCI gecertificeerd te zijn, dus het merendeel gebruikt PSPs en getokeniseerde kaarten.

*Betekent niet dat een malafide website dit niet kan doen natuurlijk.

RobLemmens @Lost in Time • 23 april 2021 10:26

De meeste webshops gebruiken betaalproviders die allemaal een transactiecode gebruiken om creditering mogelijk te maken zonder gebruik van een iban. Enkel bij mensen die rechtstreeks via bank betalen heb je het nodig en zelfs dan kun je die info beter bij de bank laten tot wanneer nodig. Als je idd rechtstreeks met ideal werkt als webshop maar slecht beveiligd bent... dan mag je ook gestraft worden als je ibans lekt. Hetzelfde met creditcard data, enkel de hele grote zullen rechtstreeks met de card providers werken, dit gaat bijna altijd via betaalproviders zoals mollie.

Lost in Time @RobLemmens • 23 april 2021 11:23

Je kunt niet direct met Ideal integreren. Dit moet door een van hun acquirers gaan. En de meeste webshops zullen dit niet eens doen en simpelweg een PSP gebruiken die hun eigen integratie heeft of een acquirer voor Ideal is (e.g. Adyen)

RobLemmens @Lost in Time • 23 april 2021 13:35

Het gebeurde vroeger wel degelijk, dat dat nu niet meer standaard is ok maar dat wil niet zeggen dat het niet gewoon mogelijk was met een contract bij de bank. Het is echter veel meer werk dan aansluiten op een mollie en loont zich totaal niet.

Saven @Sparkiee • 23 april 2021 09:31

Jawel, alles mag, zolang je dat maar onderbouwt. De grootste misvatting van de AVG is dat bedrijven niks meer op zouden mogen slaan... Alleen een BSN-nummer mag bijvoorbeeld standaard niet, tenzij je een zorgverzekeraar oid bent.

[Reactie gewijzigd door Saven op 24 juli 2024 04:08]

Shivs @Saven • 23 april 2021 09:51

Nog even een nuance toevoegen, het BSN valt helemaal niet onder de AVG. We hebben een aparte wet voor het gebruik van het BSN. De Autoriteit Persoonsgegevens legt dat hier uit: https://autoriteitpersoon...e/burgerservicenummer-bsn

Daarnaast is het ook niet zo dat alles mag, er moet een wettelijke grondslag zijn waarop het verwerken van gegevens gebaseerd is. Eén van deze grondslagen is het verlenen van toestemming van de persoon waarvan deze data wordt verwerkt. Daarom lijkt het alsof alles mag, maar het moet wel duidelijk beschreven zijn en je geeft hier dus zelf toestemming voor.

Ter info nog de "Wet algemene bepalingen burgerservicenummer":
https://wetten.overheid.nl/BWBR0022428/2018-07-28

[Reactie gewijzigd door Shivs op 24 juli 2024 04:08]

ACM Software Architect @Shivs • 23 april 2021 10:07

BSN is toch een persoonsgegeven? Daarmee valt het per definitie onder de AVG; alleen zegt de AVG dat als er andere wetgeving nog zaken toevoegt of anders regelt, dat dat dan voor gaat op de AVG.

Cobalt @ACM • 23 april 2021 10:35

Het antwoord op de pagina van het eerste linkje naar https://autoriteitpersoon.../burgerservicenummer-bsn:
"Is het BSN een bijzonder persoonsgegeven onder de AVG?
Nee. Volgens de Algemene verordening gegevensbescherming (AVG) is het burgerservicenummer (BSN) geen bijzonder persoonsgegeven."

[Reactie gewijzigd door Cobalt op 24 juli 2024 04:08]

ACM Software Architect @Cobalt • 23 april 2021 10:44

Niet een bijzonder persoonsgegeven nee. Wel een persoonsgegeven.

Bijzondere persoonsgegevens zijn o.a. medische, raciale en politieke gegevens. Die hebben daarbij extra bescherming ("je mag ze niet verwerken, tenzij" vs "je mag ze verwerken als je een grondslag hebt").

BSN's hebben dus niet die extra bescherming.

En uit je eigen link:

In de Uitvoeringswet AVG (UAVG) wordt het BSN niet als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN.

Artikel 46 van de Uitvoeringswet AVG (UAVG) regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen bij de wet bepaald.

De (U)AVG (aka de Nederlandse implementatie van de AVG) heeft er blijkbaar ook zelf extra voorwaarden aan gesteld. En daarnaast is er natuurlijk nog die wet over BSN's die Shivs aanhaalt.

Shivs @ACM • 23 april 2021 10:57

Ik heb het uitvoeriger beschreven wat lager in de reacties, maar het is dus wel een persoonsgegeven. Het valt alleen door de bepaling uit het eerste lid van artikel 46 van de UAVG niet onder de AVG, maar onder de wet die het BSN behandeld.

ACM Software Architect @Shivs • 23 april 2021 10:59

Op zich valt het gewoon onder de AVG, want het is een persoonsgegeven, maar ze geven inderdaad in artikel 46 aan dat je het domweg niet mag verwerken tenzij je er een wettelijke reden voor hebt. Welke wetten dat zijn is verder niet meer zo relevant voor de AVG (en natuurlijk expres zo geformuleerd, zodat deze tekst redelijk tijdloos is).

Shivs @ACM • 23 april 2021 11:01

Een goede nuance!

doerakje @Cobalt • 23 april 2021 10:47

@ACM heeft het over een persoonsgegeven, jij over een bijzonder persoonsgegeven. Dat is toch een subcategorie?

Shivs @ACM • 23 april 2021 10:51

Dat klopt natuurlijk, de Uitvoeringswet AVG heeft er zelfs een speciaal artikel voor.

Artikel 46. Verwerking nationaal identificatienummer
1 Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald.

2 Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.

Het is dus zeker een persoonsgegeven, maar de uitvoering van AVG is niet van toepassing. Middels dit artikel, en specifiek het eerste lid, treedt de "Wet algemene bepalingen burgerservicenummer" in werking als we het over het BSN hebben.

Bron van de quote:
https://wetten.overheid.n...z=2020-01-01&g=2020-01-01

[Reactie gewijzigd door Shivs op 24 juli 2024 04:08]

honey @Shivs • 23 april 2021 10:51

Ook goed te realiseren dat in de zorg gebruik van BSN een wettelijke verplichting is.

bytemaster460 @Shivs • 23 april 2021 12:17

BSN valt zeker onder de AVG, maar er bestaan extra regels aan het gebruik van het BSN.

rik86 @Saven • 23 april 2021 09:35

Nou ja, ook voor BSN geldt dat als je 't goed onderbouwt dat het mag - waarbij een reden die niet wettelijke is toegestaan dus géén goede onderbouwing is

- . Elk persoonsgegevens mag je alleen opslaan als je daar een goede onderbouwing voor hebt.

mphilipp @Saven • 23 april 2021 09:42

Is het niet zo dat je een IBAN misschien wel mag opslaan, maar niet op het online systeem? Ik meen zoiets een keer gehoord te hebben mbt de eisen voor webshops enzo.

Eigenlijk is dit dus een hele goede reden voor een webshop om een externe payment provider te hebben, en zelf helemaal weg te blijven van iban's en cc nummers. Die payment providers hebben een veel betere infra daarvoor, staan onder actieve controle en zo hoef je zelf niet bang te zijn dat je het slachtoffer wordt.

Dan nog snap ik ook dit weer niet. Ze gebruiken zeker allemaal gewoon een hele simpele database waar het niet mogelijk is om data als iban, cc numers en bsn zodanig af te schermen dat zelfs mensen in het bedrijf er niet naar kunnen kijken zonder het juiste certificaat? Er is onderhand écht geen enkel excuus meer zou je zeggen, en toch is het zowat aan de orde van de dag dat er bij hacks dergelijke data buit wordt gemaakt.
Ook al bij Allekabels, waar ik nota bene niet eens een account had. Ook al bestelde ik er regelmatig, ik deed het steeds als 'gast'. En toch beweren zij dat mijn iban zou kunnen zijn buitgemaakt. Tenzij zij zich vergissen, vraag ik mij eigenlijk af waarom dat dan toch is opgeslagen.

CH4OS

Datalek

@mphilipp • 23 april 2021 12:32

BSN mag alleen opgeslagen worden als je daar een grondslag voor hebt. Een webshop mag dus niet een BSN opslaan bij een bestelling bijvoorbeeld. Het mag wel opgeslagen worden als je een aanvraag voor een vog indient, bijvoorbeeld.

mphilipp @CH4OS • 23 april 2021 12:36

een webshop doet natuurlijk niets met een bsn. Het ging om IBAN. En niet persé om het opslaan, maar om het opslaan op een online systeem dat dus van buitenaf gehackt kan worden. Dat zou niet moeten mogen. Zoiets zet je op een apart systeem dat je bijvoorbeeld alleen maar met een bepaalde API call moet kunnen benaderen.

bonus @Sparkiee • 23 april 2021 10:04

Ondertussen wil / durf je je gevens toch bijna nergens meer in te vullen. En al helemaal niet te laten opslaan, want als ze ze dan weten te hacken hoe zit het dan met de schuldvraag als mijn rekening leeggeplunderd wordt of misbruikt ?

supersnathan94

E-commerce
Datalek

@Sparkiee • 23 april 2021 10:21

Zal toch moeten om overboekingen te kunnen faciliteren bij retour bijvoorbeeld. Zelfde geldt voor betaling via bank. Dan moet er iets gelogd worden om die administratie te kunnen spiegelen tegen de bankrekening. Omschrijving alleen met factuurnummer is vaak niet voldoende doordat men dat nog wel eens verkeerd doet.

kodak

Datalek
Hack
Cybercrime
Privacy
E-commerce
Hackers

@Sparkiee • 23 april 2021 13:36

Waarom denk je dat het opslaan niet zou mogen?

Er zijn tal van redenen om herleidbare gegevens wel op te slaan, bijvoorbeeld omdat je nu eenmaal banktransacties ontvangt of als bedrijf hoort te bewaren voor mogelijke controle of je als bedrijf wel aan financiële wetten zou houden.

Op zich is een IBAN niet heel bijzonder. Je hoort er weinig mee te kunnen zonder extra controle van een verwerker. Al vrees ik dat je er nog steeds geld van kan laten afschrijven via incasso, omdat verwerkers te weinig vooraf controleren of daar wel recht op is.

Roefel76 23 april 2021 09:27

Grappig dat bedrijven tegenwoordig "slachtoffer zijn" terwijl ze zelf de boel niet op orde hebben!

-jacQues- @Roefel76 • 23 april 2021 09:34

Dus als er bij jou thuis ingebroken wordt, dan heb je de boel ook niet op orde? Onzin! Het is uberhaubt niet zo zwart/wit. Zonder verdere informatie kunnen wij niet bepalen waar in het spectrum tussen nalatig (de deur stond open) en slachtoffer (het was een medewerker) het in dit geval was. Ze lijken het zelf ontdekt te hebben. Dus het is een veilige aanname dat ze beveiliging serieus nemen. Per definitie vallen of staan dit soort bedrijven met goede beveiliging. Het blijft een kat en muis spelletje met criminelen.

Byron010 @-jacQues- • 23 april 2021 10:57

Ze lijken het zelf ontdekt te hebben. Dus het is een veilige aanname dat ze beveiliging serieus nemen. Per definitie vallen of staan dit soort bedrijven met goede beveiliging. Het blijft een kat en muis spelletje met criminelen.

Nou.. ik zou dat geen veilige aanname noemen

Een database met gegevens van 3,6 miljoen klanten van de Nederlandse webshop Allekabels is buitgemaakt en vermoedelijk verkocht aan criminelen. Dat concludeert RTL Nieuws na onderzoek. Allekabels waarschuwde eerder slechts 5000 mensen voor een datalek.

De webwinkel zei toen dat de data (van de 5000 mensen) waarschijnlijk gestolen was door een thuiswerkende ex-medewerker.

De anonieme hacker Chippy1337, die de database aanbood, zegt tegen RTL Nieuws dat hij in augustus vorig jaar de webwinkel heeft gehackt en dat die al sindsdien op de hoogte is. Volgens hem reageren ze niet op zijn mails. Allekabels ontkent op de hoogte te zijn geweest en zegt geprobeerd te hebben om contact op te nemen met de persoon die de database aanbood, maar dat zou niet zijn gelukt.

nieuws: Datalek bij Allekabels betrof niet 5000 maar 3,6 miljoen mensen

djwice

@Byron010 • 23 april 2021 12:56

Sterker nog, als je nu de websites die onder de holding vallen bekijkt hebben de meesten nog achterstallig onderhoud op het gebiedt van beveiliging.
En in veel gevallen blijft de set-up zelfs in gebreke m.b.t. adequate beveiliging.

Het is maar met welke bril je er naar kijkt.

Daarnaast lees ik berichten van meerdere mensen die aangeven dat ze een lek hebben geprobeerd te melden, maar een 'het ligt aan jou'-type reactie hebben ontvangen. Als die berichten kloppen, is het niet waarschijnlijk dat er intern als eerste een signaal kwam.

[Reactie gewijzigd door djwice op 24 juli 2024 04:08]

moonlander @Roefel76 • 23 april 2021 09:31

Beschrijf "niet op orde hebben". Niks is 100% veilig. Ook bij google, nasa, tweakers, of whatever bedrijf.
En aangezien de oorzaak nog niet bekend is kun je dus niet zeggen dat ze het niet op orde hadden.

BLACKfm @moonlander • 23 april 2021 11:01

Zelfde geouwehoer als alle gegevens die bij de GGD naar buiten zijn gekomen. Allemaal informatie opslaan welke je niet nodig hebt voor het uitvoeren van de functie.

Ik zie totaal niet in waarom een webshop(s) een rekeningnummer van de klant moet opslaan als alles met overschrijving of iDeal betaling gaat. Je krijgt die data wel, maar waarom opslaan?

Overbodige gegevens bewaren vind ik de zaakjes niet op orde hebben. Wachtwoorden 'onleesbaar' in een 'simpele' MD5 hash opslaan is tegenwoordig ook een beetje nalatig. Dat er 'ingebroken' wordt is nog niet eens het ergste, dat je vanuit gemakzucht (insert willekeurige reden) gegevens niet goed versleuteld vind ik nog veel erger.

moonlander @BLACKfm • 23 april 2021 12:43

Dat is onder andere nodig voor terugstorten van het geld, eventueel voor de boekhouding om facturen automatisch te koppelen etc.. En ook voor interne fraude onderzoeken.

Ik zie veel mogelijkheden voor het opslaan van die gegevens.

CH4OS

Datalek

@BLACKfm • 23 april 2021 12:42

IBAN lijkt me redelijk basisinformatie voor de factuur, dus dat het opgeslagen wordt, is écht zo raar niet.

AlphaRomeo FP PowerMod @Roefel76 • 23 april 2021 09:28

Als jouw autoruit ingetikt wordt omdat je een duur device op de bijrijdersstoel hebt liggen ben je toch ook 'slachtoffer', en als er een dief in jouw huis komt omdat je de voordeur niet op 12 knippen en een hangslot had zitten toch ook?

armageddon_2k1 @AlphaRomeo • 23 april 2021 09:33

Als jouw autoruit wordt ingetikt omdat jij het nodig vond de telefoons en laptops van mij, en 10 anderen, op de bank te leggen in het zicht, dan ben je slachtoffer en schuldig.

Edit: Volgens mij begrijpt men mij niet. Een winkel slaat je persoonsgegevens niet goed op en die worden gestolen. Jouw gegevens. Vervolgens wordt gesuggereerd dat de winkel het slachtoffer is. Maar ik bedoel juist dat het nalatig is en dus ook schuldig. Hetzelfde als dat iemand anders jouw spullen in het zicht in zijn auto legt en die gejat worden. Nalatig dus.

[Reactie gewijzigd door armageddon_2k1 op 24 juli 2024 04:08]

SuperDre

Hackers

@armageddon_2k1 • 23 april 2021 11:26

Hoezo eigenlijk? Het is toch van den zotte dat je niet gewoon spullen in jouw auto kunt laten liggen? Wat voor maatschappij leven we eigenlijk als we mensen gaan beschuldigen die eigenlijk niets fout doen? In feite zou je dan ook niet moeten zeuren als iemand je ineens zomaar je op je gezicht slaat, tja, het was zo verleidelijk, had je daar maar niet moeten lopen..

pepsiblik @armageddon_2k1 • 23 april 2021 09:43

Nee. Dan ben je slachtoffer en dom.

FreshMaker @pepsiblik • 23 april 2021 10:34

Totdat het jou overkomt, dan is de wereld te klein en iedereen tegen je ...

pepsiblik @FreshMaker • 23 april 2021 14:27

Kan best zijn, maar dat iemand data niet goed opslaat, maakt die partij nog niet schuldig aan diefstal. De hacker is de dader, niet de webwinkel.

Daarnaast gaan we er ook maar even vanuit dat goed opgeslagen data niet te hacken is? Als er één stelling is in de IT die steeds weer bewezen wordt, dan is het wel dat alles te kraken is.Het zou zomaar kunnen dat ze in dit geval alles netjes volgens het boekje gedaan hebben en toch zijn gehackt.

FreshMaker @pepsiblik • 23 april 2021 14:35

Je kan nog zo'n top tier beveiliging hebben, als je een medewerker hebt, die ergens een shortcut heeft gevonden, en gebruikt, ben je al weerloos.

Ik las een verhaal over een helpdeskmedewerker die voor het gemakt alle databases op een hdd had gezet, om thuis 'sneller' te kunnen reageren.
Hij had toch geen 'live' data nodig voor support, dus ging prima.

Tot hij ergens een keylogger had opgepikt, en ondanks dat hij als persoon niet eens een target was, kwam wel de gehele database inclusief wachtwoord in handen van zijn aanvaller.

pepsiblik @FreshMaker • 23 april 2021 21:26

Of er blijkt dat Microsoft, Apple en al die anderen toch wel eens een steekje laten vallen. En soms is de hacker er eerder achter dan de software maker. Heb je alles gepatcht, maar is het toch niet goed genoeg.

Roefel76 @AlphaRomeo • 23 april 2021 09:30

Hier hebben de webshops naar mijn mening wel de plicht om hun beveiliging up to date te hebben.
Je vergelijking met een autoruit is totaal niet in vergelijking.

BenVenNL @Roefel76 • 23 april 2021 09:37

Zeker wel.

De autodeur wagenwijd open zetten, en iets waardevols op de stoel hebben liggen, is gewoon uitlokking.

Maar bij de gegevens van een webshop komen,. ... dat is inderdaad een ruit intikken. Daar kun je niet zomaar toevallig even bij, daar moet je echt moeite voor doen en kennis voor hebben om dat te doen.

Dit is zeker geen gevalletje, "hee de browser toont mij ineens een lijst met gegevens waar ik niet om gevraagd heb, die kopieer ik ff".

ToolBee @BenVenNL • 24 april 2021 15:27

Vaker komt het van binnenuit. Of iemand die net buiten is gezet...

Thasaidon @BenVenNL • 24 april 2021 18:48

Dan nog is de autoruit vergelijking onzin.
De auto ruit is immers onderdeel van jou auto en dus jou verantwoordelijkheid.
Daarbij komt dat als jij iets op een stoel laat liggen in je auto, dit óók jou verantwoording is.

De database van een webshop, waar jou data in staat is niet jou verantwoording, maar die van de webshop.

Xavorius @Thasaidon • 4 mei 2021 19:03

Volgens begrijpen hier enkelen (jij en Roefel) de vergelijking met de auto toch niet zo goed. De website-eigenaar is in dit geval de auto-eigenaar. Degene die de autoruit in tikt is de hacker. Jouw gegevens is als het apparaat dat op de stoel lag.

Dus zowel auto-eigenaar (webshop) als het apparaat (jouw gegevens) zijn slachtoffer van de hack. Alleen had de auto-eigenaar misschien zijn auto beter in veilige buurt kunnen parkeren, veiligheidsglas kunnen nemen of een alarmsysteem. In dat geval was het raampje iets minder makkelijk in te tikken, was op tijd inzichtelijk dat er een inbraak was en wat er is gestolen (beveiliging op orde). Jij als apparaat hebt geen enkele invloed, want je moest daar zijn. Er was tenslotte geen optie om geen gegevens achter te laten, een account aanmaken was* bij allekabels helaas niet optioneel.

* misschien dat het nu inmiddels wel kan, om als gast iets te kopen zonder account.

Thasaidon @Xavorius • 5 mei 2021 09:50

Volgens begrijpen hier enkelen (jij en Roefel) de vergelijking met de auto toch niet zo goed. De website-eigenaar is in dit geval de auto-eigenaar. Degene die de autoruit in tikt is de hacker. Jouw gegevens is als het apparaat dat op de stoel lag.

Precies, dus de vergelijking gaat niet op.

Het is mijn laptop met mijn data op de achterbank van mijn auto.
Dus volledig mijn verantwoording.

In het geval van de webshop is het
De auto van de webshop, met de laptop van de webshop, waar dan mijn data op staat.
Dus de verantwoording van de webshop, waar jij niets aan kunt doen.

Jij bent dus niet verantwoordelijk voor jou data op de laptop van de webshop op de achterbank van de auto van de webshop...

Xavorius @Thasaidon • 6 mei 2021 00:37

Ik vind het nog steeds wat vreemd beschreven als je reactie op reactie van boven naar beneden leest, maar mogelijk bedoelen we toch precies hetzelfde. Vooral je laatste zin beschrijft wat ik ook bedoelde, dat de webshop verantwoordelijk is. Al zijn we beide slachtoffer van de hack. Maar laten we er maar mee stoppen haha. Alleen maar verwarrend deze beeldspraak.

SuperDre

Hackers

@Roefel76 • 23 april 2021 11:24

Nouja, het is wel een hele goeie vergelijking, immers is een autoruit ook bedoelt om de binnenkant te beschermen, maar het is verre van een degelijke bescherming omdat je deze zo in kunt slaan.

WokeBroke @AlphaRomeo • 23 april 2021 09:33

Maar als een laptop van iemand anders op de bijrijdersstoel hebt liggen, wie is dan het slachtoffer?

pepsiblik @WokeBroke • 23 april 2021 09:42

Beide. Je hebt alle twee schade.

T!mothy @pepsiblik • 23 april 2021 10:16

Dus als ik onvoorzichtig omga met jouw spullen dan betaal jij nog steeds zelf bij schade?

mjz2cool @T!mothy • 23 april 2021 10:30

Dat ligt eraan hoe je het met elkaar afhandelt. Maar jij hebt een kapotte ruit, en die ander is zijn/haar laptop kwijt, je hebt dus hoe dan ook beide schade.

FreshMaker @mjz2cool • 23 april 2021 10:33

En een potentieel datalek

mjz2cool @FreshMaker • 23 april 2021 10:35

Dat ook nog inderdaad.

T!mothy @mjz2cool • 23 april 2021 11:57

Nou, laat ik het anders stellen. Als iemand onvoorzichtig met mijn spullen omgaat en er ontstaat schade, dan verwacht ik dat de ander betaald, anders krijgt diegene geen toegang meer tot mijn spullen. Lijkt mij meer dan logisch.

Vulpecula @T!mothy • 23 april 2021 13:27

Ligt er nog aan wie hem op de bijrijdersstoel heeft neergelegd.

supersnathan94

E-commerce
Datalek

@AlphaRomeo • 23 april 2021 10:22

Als jouw autoruit ingetikt wordt omdat je een duur device op de bijrijdersstoel hebt liggen ben je toch ook 'slachtoffer'

Ja maar je hebt er niks aan, want verzekering ziet dat als nalatigheid. Dus je bent wel degelijk ook zelf schuldige.

AlphaRomeo FP PowerMod @supersnathan94 • 23 april 2021 11:19

Je bent misschien in sommige gevallen aansprakelijk, maar niet schuldig tenzij je zelf die ruit insloeg.

Lord Anubis @supersnathan94 • 23 april 2021 11:51

Nee hoor je bent dubbel slachtoffer, ook van de verzekerings maatschappijen. Die gaan vaak ook te willekeur te werk.

Revres @Roefel76 • 23 april 2021 09:30

Slachtoffer van de kwaadwilligheid van anderen inderdaad. Dat betekend niet dat zij geen voorzorgmaatregelen hebben genomen (op een goede of slechte manier).
Je blijft hoe dan ook slachtoffer.

Bender @Roefel76 • 23 april 2021 09:33

Op basis van de huidige informatie weet je helemaal niet of ze wel iets of niet op orde hebben

Cio @Bender • 23 april 2021 10:18

Toch wel een sterk vermoeden dat dit bedrijf gegevens voor verschillende doeleinden bij elkaar in één systeem bewaart, wat online toegankelijk is.

Wachtwoorden waarschijnlijk onveilig, IBAN na bestelling te lang in de klantendatabase (dus niet in archief voor belastingplicht), lek pas laat door en niet meteen iedereen informeren? Ze hebben de schijn tegen.

Bender @Cio • 23 april 2021 10:21

Het is een webshop, dat het online toegankelijk is vanzelfsprekend, zeker met remote werken tegenwoordig,

Maar de rest van je punten lijken me gewoon aannames?
Een thuiswerkende medewerker kan al voldoende zijn..

Cio @Bender • 23 april 2021 10:32

Dat je gegevens die je alleen nog bewaart om aan je belastingplicht te voldoen in dezelfde database als je dagelijkse administratie bewaart, is ook voor een webshop niet logisch.

Bender @Cio • 23 april 2021 11:42

Voor de meeste webshops is het helemaal niet logisch om voor de belastingdienst een gescheiden administratie te bouwen...
Dus ja, het is heel erg logisch dat het 1 platform is.

Anoniem: 696166 @Cio • 23 april 2021 10:27

Toch wel een sterk vermoeden dat dit bedrijf gegevens voor verschillende doeleinden bij elkaar in één systeem bewaart, wat online toegankelijk is.

Ik kan uit het artikel niet opmaken wat er wel en niet online toegankelijk was, maar moeten bedrijven dan verschillende systemen hebben?

Cio @Anoniem: 696166 • 23 april 2021 10:43

Hoeft niet, maar dagelijkse informatie over nieuwe bestellingen en je historische data voor marktonderzoek of belastingplicht is een vervelende combinatie om beveiliging en toegankelijkheid te balanceren.

maxboone @Roefel76 • 23 april 2021 09:32

Je kan prima slachtoffer zijn voor het ene misdrijf en daarmee schuldig zijn aan iets anders.

sygys @Roefel76 • 23 april 2021 12:21

Ik heb een mail gestuurd met het verzoek tot een schadevergoeding. Ik val ook onder de slachtoffers waarbij het wachtwoord te kraken was en IBAN gegevens, geboorte datum en anderen persoonlijke gegevens zijn buit gemaakt. Ik ga niet akkoord met een sorry we hebben er alles aan gedaan.

mikeyfire643 23 april 2021 09:28

Heeft Tweakers al een template in het CMS voor deze berichten.

Blasterxp @mikeyfire643 • 23 april 2021 10:31

Dat is inderdaad wel een goed idee... met wat kritische vragen graag..

Zo als welke 33 domeinen moet ik even checken? Want dat weet ik nog steeds niet.

NaN

@Blasterxp • 23 april 2021 11:24

https://www.dutchdo.nl/

Hier kan je de webshops zien staan (zijn er 31)

pookie79 @mikeyfire643 • 23 april 2021 10:55

Ik denk dat vroegâh er net zo veel (of zelfs meer) mis ging. Als je kijkt naar bv het aandeel spam in alle berichten 10 jaar terug.

Het verschil is dat men het moet melden (wat ook inhoud dat het beter gemonitord wordt). Langzaam maar zeker zie je de verbeteringen hiervan terug. Dus inderdaad meer nieuws hierover, maar ook minder spam. Het is ondanks alle technieken nl nog steeds lonend, versturen kost immers niets. Al is er nu meer fishing dan reclame te vinden in de spam folder.

ImNotnoa 23 april 2021 09:30

Valt kabeltje.com hier ook onder? Deze hebben een ander adres/kvk maar hebben vannacht rond dezelfde tijd een bijna identiek mailtje gestuurd naar hun klanten:

Kabeltje.com webshop gehacked

Christoxz @ImNotnoa • 23 april 2021 09:49

Kabeltje.com valt niet onder DutchDo, maar wel weer onder AlleKabels.
En DutchDo valt weer onder AlleKabels.
Google maar is op 'Postbus 1077'

[Reactie gewijzigd door Christoxz op 24 juli 2024 04:08]

willemd

23 april 2021 09:31

Vanochtend kreeg ik ook zo'n mail van kabeltje.com. Laatst ook al van allekabels.nl, en nu dan deze groep. Horen die allemaal bij elkaar of is toevallig deze branche massaal slachtoffer van hackers (en slechte beveiliging)?

Christoxz @willemd • 23 april 2021 09:45

Ja DutchDo is een onderneming van AlleKabels.
Kabeltje.com valt daar ook weer onder.

[Reactie gewijzigd door Christoxz op 24 juli 2024 04:08]

Crxtreem 23 april 2021 09:40

Gebruiken de webshops de zelfde software?

Het is momenteel zo vaak dat er een webshop slachtoffer is van een hack dat er toch ergens een lek moet zitten die actief wordt misbruikt.

Fouad1234 @Crxtreem • 23 april 2021 09:45

Ze vallen allemaal onder allekabels.nl

kgb545 23 april 2021 09:34

Ik heb zelf ook de mail gehad. En dan moet je gaan puzzelen welke webshop van hun ik heb gebruikt. Jammer dat ze dit niet aangeven in de mail.
Ik kan me ook voorstellen dat er mensen zijn die nog nooit van "dutchdo" hebben gehoord en daarom dus de mail weggooien zonder zich te beseffen dat er een keten van shops achter zit.

Op dit item kan niet meer gereageerd worden.

Allekabels-lek bevat ook data van 34 andere webshops

Lees meer

IT-banen

Reacties (200)

Sorteer op:

Weergave: