NS reset wachtwoorden van 2100 accounts na credential stuffing-aanval

De Nederlandse Spoorwegen hebben de accounts van 2100 reizigers geblokkeerd nadat aanvallers daar waren binnengedrongen. Dat gebeurde volgens de vervoersmaatschappij door middel van credential stuffing, waarbij eerder uitgelekte credentials worden gebruikt.

Aanvallers zijn met die methode bij 2100 klanten binnengedrongen, zegt de NS tegen Tweakers. Het is niet bekend welke informatie ze daar hebben verzameld. Volgens een woordvoerder verschilt dat per account. De NS vermoedt dat het gaat om een aanval met credential stuffing of password spraying. Daarbij gebruiken aanvallers bestaande lijsten met inloggegevens die bij eerdere datalekken naar buiten zijn gekomen.

"Wij vermoeden dat de dader probeert om met deze gegevens ook bij NS in te loggen, ervan uitgaande dat mensen bij veel websites hetzelfde wachtwoord gebruiken", zegt de vervoerder. Wel gaat het om een 'sterk vermoeden' en doet de NS nog verder onderzoek met behulp van externe experts. "Door de wijze waarop is ingelogd, nemen wij aan dat dit niet de klant zelf is geweest", zegt het bedrijf.

De NS heeft de accounts geblokkeerd en de wachtwoorden gereset. Klanten moeten een nieuw wachtwoord invoeren om weer toegang te krijgen tot de accounts. Ook is er een melding gemaakt bij de Autoriteit Persoonsgegevens en het bedrijf gaat later nog aangifte doen bij de politie. Een jaar geleden blokkeerde de NS ook al de accounts van 2200 klanten, nadat het een soortgelijke aanval zag.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-05-2021 11:59 70

20-05-2021 • 11:59

70

Lees meer

Man krijgt taakstraf van 50 uur voor hackpogingen op Tweakers-accounts in 2018
Man krijgt taakstraf van 50 uur voor hackpogingen op Tweakers-accounts in 2018 Nieuws van 1 augustus 2022
NS zet treinsimulator op stations om nieuw personeel te werven
NS zet treinsimulator op stations om nieuw personeel te werven .Geek van 2 juni 2022
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren Nieuws van 15 juni 2021
Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek
Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek Nieuws van 13 juni 2021
AP stuurt brief naar 46 bedrijven die na ticketverkooplek niemand informeerden
AP stuurt brief naar 46 bedrijven die na ticketverkooplek niemand informeerden Nieuws van 11 juni 2021
Treinverkeer in Nederland ligt stil door landelijke telefoniestoring - update
Treinverkeer in Nederland ligt stil door landelijke telefoniestoring - update Nieuws van 31 mei 2021
Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand
Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand Nieuws van 23 mei 2021
NS-reizigers hoeven na online bestellen van ov-saldo niet meer langs automaat
NS-reizigers hoeven na online bestellen van ov-saldo niet meer langs automaat Nieuws van 10 mei 2021
NS meldt dat inbrekers bij 2200 accounts mogelijk privégegevens hebben ingezien
NS meldt dat inbrekers bij 2200 accounts mogelijk privégegevens hebben ingezien Nieuws van 17 juli 2020
NS, GVB en RET mogen samen reisplatform starten als ze andere partijen toelaten
NS, GVB en RET mogen samen reisplatform starten als ze andere partijen toelaten Nieuws van 9 juli 2020
NS verlengt test registratiesysteem voor treinreizen en wil het uitbreiden
NS verlengt test registratiesysteem voor treinreizen en wil het uitbreiden Nieuws van 16 juni 2020
NS begint met pilot voor registratiesysteem treinreizen
NS begint met pilot voor registratiesysteem treinreizen Nieuws van 9 mei 2020
NS voert dienst om WhatsApp-bericht te sturen bij onveilig gevoel landelijk in
NS voert dienst om WhatsApp-bericht te sturen bij onveilig gevoel landelijk in Nieuws van 29 april 2020
Meer producten en artikelen
Beveiliging en antivirus Datalek Spoorwegen

Reacties (70)

-Moderatie-faq
70
70
59
11
2
5
Wijzig sortering
RobinF 20 mei 2021 12:03
Dit is de mail die NS verstuurde op 15 mei
Beste heer xxxxxx,

Het wachtwoord van uw NS-account is uit voorzorg geblokkeerd, omdat er een aantal keren tevergeefs geprobeerd is in te loggen. Het kan zijn dat iemand toegang heeft proberen te krijgen tot uw account.

U kunt via onderstaande link uw wachtwoord herstellen.
Herstellen wachtwoord

Wij raden u aan om een nieuw wachtwoord te kiezen. Gebruik het oude wachtwoord niet.

Heeft u nog vragen?
We helpen u graag verder. Kijk op www.ns.nl of stel uw vraag op de NS Community (www.ns.nl/community). U kunt ook contact opnemen met NS Klantenservice (www.ns.nl/klantenservice). We staan dag en nacht voor u klaar.

Met vriendelijke groet,

Lieneke Bouma
Hoofd NS Klantenservice

[Reactie gewijzigd door RobinF op 3 augustus 2024 06:55]

dixet @RobinF20 mei 2021 13:30
Vreemd dat ze een mail sturen met een wachtwoord-reset link. Ik zou dat direct als phishing zien en de mail weggooien.

Beter zou zijn dat ze - zonder - link vragen om in te loggen op website om het wachtwoord te wijzigen
A4553 @dixet20 mei 2021 15:02
Eens, alleen is het oude wachtwoord uit voorzorg geblokkeerd. Daarmee is inloggen sowieso niet meer mogelijk :)
joeri1 @A455320 mei 2021 15:57
Dus log je in met het oude wachtwoord en krijg je daarna een reset link toegestuurd waarmee je het wachtwoord kunt wijzigen.
teek2 @joeri120 mei 2021 17:10
gestuurd van www.ns.mijnnsnl.org ;)
teek2 @dixet20 mei 2021 16:11
Idd, dit is ook gelijk een reden om een password manager te gebruiken, het is de bron van login URLs die je kunt vertrouwen. Password/URL manager zou een betere term zijn om die reden.
Maarten21 @teek220 mei 2021 17:40
Ik mis nog een password manager waarbij ik passwords kan delen met mijn partner voor accounts die we samen gebruiken.
Zou ideaal zijn voor dingen als streamingdiensten, winkels, accounts van kids, etc.
mike.d.hoore @Maarten2120 mei 2021 19:24
Dan moet je voor bitwarden gaan :)
Heeft een online gratis en betalende formule.
Ook kan je zelf hosten :)
Gebruik het nu ca 5 maand en wil niet meer terug.
teek2 @mike.d.hoore20 mei 2021 19:45
+1 voor Bitwarden. Ik host bitwarden_rs ook zelf en vind het echt goed werken. Abos zijn ook schappelijk geprijsd.
Anoniem: 470811 @mike.d.hoore21 mei 2021 00:08
Online wordt Bitwarden in de VS gehost. Als je Bitwarden in EU wilt, moet je zelf hosten.

1Password kan ook. Canadees bedrijf met ook een EU opslag locatie.

LastPass kan ook in EU, maar is wel een VS bedrijf.

Andere SaaS oplossingen mbt Password Managers zijn allemaal niet met EU opslagmogelijkheden.

Dan zou je ook nog kunnen uitwijken naar lokaal opererende apps als KeePass natuurlijk.

[Reactie gewijzigd door Anoniem: 470811 op 3 augustus 2024 06:55]

Maarten21 @mike.d.hoore20 mei 2021 19:48
Thanks! Ik ga het eens bekijken
Raan7 @teek223 mei 2021 10:54
Het wordt uiterst afgeraden door de FBI om uberhaupt password managers te gebruiken op elk apparaat, ongeacht je beveiligingsinstellingen van desbetreffende en bijkomstige generatie hardware & updates!
teek2 @Raan723 mei 2021 23:03
Maar wat raden ze dan aan is de vraag natuurlijk. En de FBI wil bij mijn data kunnen als je me verdenken van iets fouts, dus vanwaar dit advies?

Alles (wellicht behalve 30 char random strings onthouden) heeft zijn nadelen. Maar het gaat er om wat werkbaar voor mensen is en zo veilig mogelijk.

[Reactie gewijzigd door teek2 op 3 augustus 2024 06:55]

kodak
@RobinF20 mei 2021 12:13
Ik hoop dan maar dat klanten van de NS dan beseffen dat ze hun hergebruikte wachtwoorden ook bij andere online bedrijven maar beter kunnen kunnen wijzigen.
GeoBeo @kodak20 mei 2021 14:48
Ik hoop dan maar dat klanten van de NS dan beseffen dat ze hun hergebruikte wachtwoorden ook bij andere online bedrijven maar beter kunnen kunnen wijzigen.
*zet pet op van gemiddelde gebruiker*

Oh, geen probleem. Ik ga even door de lijst (die ik niet heb bijgehouden) van de 100'en websites waar ik ooit al m'n privégegevens moest achterlaten, waarvan ik niet eens meer weet welk wachtwoord ik daar gebruikt heb m'n wachtwoord wijzigen.

Gaat dus niet gebeuren. Dit gaat steeds grotere gevolgen hebben.
kodak
@GeoBeo20 mei 2021 15:18
Of ze nu waarschuwen of niet, de kans dat klanten hun wachtwoorden waar dan ook waar gelekt kan worden blijven hergebruiken is duidelijk aanwezig en verander je niet door de logica te volgen dat men niet gaat veranderen. Dan liggen de prioriteiten kennelijk niet bij het risico op extra kosten of tijd echt willen besparen.
Keiichi @kodak20 mei 2021 13:43
Er zitten klanten tussen die het niet willen of kunnen snappen. Heb een tijdje aan een groot mailplatform gewerkt, waar er ook abuse gepleegd werd met wachtwoorden die uit andere datalekken voortkwamen.

Anti-abuse op het mailplatform blokkeerde deze accounts waarna men eerst een wachtwoordreset moest uitvoeren. (Geen controle op herbruik eerdere wachtwoorden). Een heel aantal bleef geblokkeerd worden, 1ste lijns gaf ook bij die klanten duidelijk aan, kies een nieuw wachtwoord. Ik had zelf een deel van de wachtwoorden ook door die datalekken waardoor ik met een simpele test kon zien dat ze keer op keer hetzelfde wachtwoord bleven instellen, ondanks verteld dat ze dit niet moesten doen.

Voor management redenen zijn controles zoals herbruik of dictionary gevoelige wachtwoorden, nooit geimplementeerd (mailplatform bestaat ook niet)
kodak
@Keiichi20 mei 2021 13:55
Klanten gaan het toch ook niet snappen als je het niet eens uitlegt?

En dat bepaalde klanten het zelfs na uitleg niet kunnen of willen snappen lijkt me op miljoenen klanten niet zomaar belangrijker dan klanten die het met uitleg tenmiste kunnen weten en wel snappen en je als bedrijf en klanten tijd en geld kan besparen. Ik zie dus niet hoe een aantal klanten die het nooit zullen of willen snappen dan relevanter is om dan maar alleen te waarschuwen als NS weet van hergebruik bij het aanmaken. Als ondernemer ben je toch op zoek naar kansen om je kosten van een probleem te beperken, niet om dat pas te doen als het te laat is of de sterren goed staan.

[Reactie gewijzigd door kodak op 3 augustus 2024 06:55]

Oet @RobinF20 mei 2021 12:59
Ergens denk ik dat het niet zo slim is om dit soort kopieën van legitieme mails publiek te maken. Natuurlijk is het fijn dat iedereen nu een beeld heeft bij hoe ze het gedaan hebben enz.
Maar de keerzijde is wel dat een scammer/phisher nu precies weet hoe ze de mail moeten maken om de legitieme versie zoveel mogelijk na te bootsen...

Wel een beetje offtopic, maar ook weer niet.
Euronitwit @Oet20 mei 2021 13:53
En jij denkt, dat een spammer niet genoeg bruikbare voorbeelden kan krijgen?
kodak
@Oet20 mei 2021 14:15
Laten zien hoe een organisatie reageert heeft altijd risico. Dan kan je zelfs de berichten over rekeningen of aanbiedingen al als risico zien. Een crimineel kan tekst of schrijfstijl wel gaan hergebruiken, maar uiteindelijk gaat phishing voorkomen ook om controleren van verschillende kenmerken zoals noemen van (unieke) klantgegevens, betrouwbaarheid afzender, links enz. Als het vooral om de manier van schrijven gaat om te vertrouwen lijkt er hoe dan ook al iets mis.
dutchgio @Oet20 mei 2021 14:17
Je kunt ook zelf een NS account aanmaken en daarna voor de 'wachtwoord vergeten' optie kiezen, dan heb je ook de inhoud van de mail.
De tijd van phishing mails met overduidelijke spelfouten of Google Translate teksten is wel voorbij.
comecme @RobinF20 mei 2021 19:50
Als er tevergeefs is geprobeerd in te loggen, hoe komt dat dan? Klinkt alsof het wachtwoord niet klopte. Maar dan hoef je toch ook je wachtwoord niet te veranderen lijkt me.

Ik vind het een wazige uitleg.
SPee @RobinF20 mei 2021 12:27
Wel vreemd dat de link naar "Herstellen wachtwoord" niet zichtbaar is.
Dat zou bij mij de Phising alarmbellen laten rinkelen.
dasiro @SPee20 mei 2021 12:30
ik denk dat RobinF niet wil dat jij z'n paswoord gaat resetten ;)
RobinF @dasiro20 mei 2021 12:37
Link stond inderdaad niet los in de tekst. De links die onder de knop zat is er natuurlijk uit om die reden ;)
CyBeR @SPee20 mei 2021 12:42
Wel vreemd dat de link naar "Herstellen wachtwoord" niet zichtbaar is.
Dat is over het algemeen een hele lange url met ingebouwde tokens, die wordt eigenlijk altijd in een link gezet om die reden in de html versie van een mail.
supersnathan94
20 mei 2021 12:04
Oke maar eigenlijk is dit dan maar deels een probleem van NS. Mensen die wachtwoorden hergebruiken kunnen ze niet veel aan doen.

Wel lijkt het me ook een factor van limitaties op inlogpogingen per client te zijn. Als iemand 3000 keer met andere creds probeert in te loggen in korte tijd zou er een alarmbelletje af moeten gaan. Zeker als het al eerder is gebeurt.
Kees BOFH @supersnathan9420 mei 2021 12:18
Ik heb ook wel wat ervaring met dit soort incidenten, en het is eigenlijk geen probleem van de NS. Dit soort aanvallen word over het algemeen gedaan door middel van "residential proxies". Dat zijn normale gebruikers die hun thuisverbinding ter beschikking stellen aan derden (al dan niet bewust, bijvoorbeeld in de kleine lettertjes van een 'gratis' vpn verbinding, of tegen betaling) om daarmee requests uit te voeren zodat het dus lijkt alsof een normale ziggo verbinding probeert in te loggen.

De grootste aanbieders van dit soort proxies hebben miljoenen verbindingen tot hun beschikking en dan heb je het ook al snel over honderduizenden in Nederland alleen al. Ze verkopen toegang tot deze proxies aan dit soort partijen (er staat in het algemeen wel in de voorwaarden dat je er geen misbruik van mag maken, maar dat is hetzelfde als een ddos-stresser die zegt dat je alleen je eigen IP's mag aanvallen; daar is geen controle verder op).

De website die dan op deze manier word aangevallen ziet dan heel veel inlogpogingen die hit & run zijn. Het is dus niet zo dat ze op 1 account 1000 keer proberen in te loggen; ze hebben namelijk gewoon lijsten met emailadressen en wachwoorden, en elke combinatie word 1 keer geprobeert, werkt dat niet dan gaan ze niet brute-forcen maar pakken ze gewoon de volgende entry. En als er een limitatie op IP is dan zorgen ze ervoor dat ze in het algemeen daar onder blijven.

En als aangevallen website zie je dan tienduizenden requests binnenkomen, allemaal vanaf een ander ip-adres die elk een paar keer proberen in te loggen. Afhankelijk van hoe slim de aanvaller is en hoeveel jij logt kun je vaak de verschillende requests wel aan elkaar koppelen en op die manier een patroon herkennen (en er iets aan doen), maar voorkomen is lastiger zonder legitieme gebruikers in de weg te zitten.

Edit: Even de laatste poging op Tweakers bekeken van een paar dagen geleden. Daar werden in 9 minuten tijd 33k inlogpogingen gedaan vanaf 22k verschillende ipadressen (0 zijn er gelukt)

[Reactie gewijzigd door Kees op 3 augustus 2024 06:55]

The Zep Man
@Kees20 mei 2021 12:40
En als aangevallen website zie je dan tienduizenden requests binnenkomen, allemaal vanaf een ander ip-adres die elk een paar keer proberen in te loggen. Afhankelijk van hoe slim de aanvaller is en hoeveel jij logt kun je vaak de verschillende requests wel aan elkaar koppelen en op die manier een patroon herkennen (en er iets aan doen), maar voorkomen is lastiger zonder legitieme gebruikers in de weg te zitten.
Verplichte 2FA implementeren is een goed begin. Dat zit gebruikers initieel wat in de weg (bij de eerste keer inloggen op een vertrouwd apparaat), maar maakt dit soort aanvallen nutteloos. Doe het via TOTP, en gebruikers zijn alsnog vrij om hun eigen sleutelbeheer in te richten.

[Reactie gewijzigd door The Zep Man op 3 augustus 2024 06:55]

Anoniem: 26306 @The Zep Man20 mei 2021 14:37
Vanuit beveiligingsperspectief is dit altijd makkelijk te roepen. Als je enige ervaring hebt met hoe dit in praktijk bij een bedrijf werkt, is het ineens niet zo makkelijk meer.
IStealYourGun @The Zep Man20 mei 2021 14:37
Met mfa verhoog je de drempel naar je website wel een stuk meer. Niet iedereen staat daar voor open.
hermanbanken @Kees20 mei 2021 13:11
Interessante statistieken Kees, en uit het feit dat je het zo kan opzoeken blijkt wel dat dit goed geregeld is.

Het is lastig om dit soort data te bewaren soms. Denk aan de GDPR: je slaat wel ip adressen en login poging resultaat op. Vanuit security is er een gerechtvaardigd belang, maar alleen als je er iets mee doet. Kip en ei probleem: als je er nog niets mee doet (wat is iets er mee doen? Bewaren voor later zodat je kan analyseren of het voorkomt?) dan mag het niet.

Vanwege dit soort gedoe ben ik blij dat we Auth0 gebruiken. Heeft ook nadelen, maar dit soort dingen hebben ze goed op orde.
Kees BOFH @hermanbanken20 mei 2021 13:29
Bewaren voor later zodat je kan analyseren of het voorkomt?) dan mag het niet.
Dan doet zelfs de AP het verkeerd en ik denk dat die wel weten wat wel en niet mag. De AP bewaard de logfiles van hun servers ook 90 dagen. Bij tweakers bewaren we ze iets langer (~30 dagen 'hot' en 180 dagen 'cold'). Maar het is inderdaad vanuit security heel handig om deze gegevens te bewaren en daar hebben wij ook gewoon een gerechtvaardigd eigen belang (en dat is niet alleen ons belang, maar ook in het belang van onze bezoekers)
kodak
@supersnathan9420 mei 2021 12:26
Misschien zou het al helpen als je bij het kiezen van een wachtwoord de waarschuwing krijgt wat de gevolgen zijn van wachtwoorden hergebruiken, of op zijn minst duidelijk gemaakt krijgt dat het niet de bedoeling is en wachtwoord her te gebruiken.

De NS heeft waarschijnlijk miljoenen klanten. Dan is 2100 klanten die last hebben van de gevolgen nog niet veel, maar dat zijn mogelijk nog lang niet alle klanten die hun wachtwoord hergebruikt hebben. Ik zou het nog redelijk vinden als de NS al haar klanten gaat waarschuwen, om alvast problemen voor de klanten maar ook zichzelf te voorkomen. Want alleen hopen een crimineel te kunnen detecteren lijkt me op zich te weinig effectief, die zoeken ook manieren om het lucratief te houden en dus niet op te vallen.
azortje @kodak20 mei 2021 12:49
Dat doen ze ook: bij het aanmaken van een account doen ze een check of het wachtwoord eerder gelekt is:
Je krijgt de volgende melding wanneer je " Welkom123!" zou gebruiken.

"Uw wachtwoord is teruggevonden openbaar bekend datalek. Voor de veiligheid van uw account vragen we u een ander wachtwoord te kiezen."
kodak
@azortje20 mei 2021 13:14
Bij het aanmaken van een wachtwoord krijg je standaard geen waarschuwing dat je een wachtwoord maar beter niet kan hergebruiken. Alleen als je wachtwoord dus door NS is terug te vinden. Kennelijk ziet NS er niet genoeg risico in dat wachtwoorden hergebruikt worden, tenzij NS weet dat ze al gelekt zijn?
Het lijkt me toch dat het hergebruik hoe dan ook te veel risico is als je bij zo veel klanten alsnog wachtwoord moet resetten?
azortje @kodak20 mei 2021 14:33
Tuurlijk kan het geen kwaad om klanten er voor te waarschuwen, ik denk alleen dat het daadwerkelijk checken effectiever is.

Je wordt immers overal en nergens gewaarschuwd voor het hergebruik van wachtwoorden, dat weerhoudt mensen er echter niet van om het niet te doen.
kodak
@azortje20 mei 2021 14:59
Hoe is alleen een check met wat je niet weet effectiever dan waarschuwen? Als jou gegevens gelekt zijn maar de NS dat niet weet krijg je geen waarschuwing. Er is dan geen gewenst effect, eerder het omgekeerde.

En dat overal en nergens waarschuwen lijkt vooral te zijn als het de waarschuwer uit komt, niet als het voor de maker van een account en bedrijf het relevant is. Dat je in het nieuws wel eens kan horen dat klanten weer een wachtwoord moeten resetten is niet zomaar effectief om als bedrijf te voorkomen tijd en geld kwijt te zijn aan achteraf duizenden accounts te resetten. Als je het echt wil voorkomen, dan doe je toch juist moeite in plaats van een beetje moeite als er toevallig iets te bewijzen is?
azortje @kodak20 mei 2021 15:46
Again, eens dat je als bedrijf beter wat meer tijd kan steken in preventie dan achteraf de scherven opruimen.

Ik blijf er echter bij dat een check bij HaveIBeenPowned effectiever is dan een waarschuwing aan een klant welke deze klant al talloze keren eerder heeft genegeerd.
kodak
@azortje20 mei 2021 17:16
Maar kan je dan op zijn minst aangeven waarom dat effectiever zou zijn in plaats van daarnaast standaard te waarschuwen? De NS moet hier een reset van 2100 accounts doen, kennelijk is dat op basis van HIBP waarschuwen dus niet genoeg.
azortje @kodak20 mei 2021 17:34
Uiteraard is beide maatregelen samen het meest effectief :)
SinergyX @supersnathan9420 mei 2021 12:06
Dat lijkt ook het geval te zijn als ik het mailtje zo lees (collega had hem zojuist ontvangen), waarin stond dat het account uit voorzorg was geblokkeerd wegen meerdere foutieve pogingen om in te loggen.

Maar het zal echt geen 3000 pogingen vanuit 1 client/IP zijn, dat zal allemaal wel distributed worden gedaan via diverse botnetjes.

edit, zie hierboven @RobinF met de mail zelf.

[Reactie gewijzigd door SinergyX op 3 augustus 2024 06:55]

thof @supersnathan9420 mei 2021 17:41
Je kunt je inderdaad afvragen of dit een probleem is en zo ja wiens probleem dit dan is.
Het is natuurlijk de fout van de gebruiker om zijn/haar wachtwoorden te hergebruiken over websites heen. Aan de andere kant, moeten we de gebruiker soms ook tegen zichzelf in bescherming nemen.

Als het password spraying betreft, ja dan valt er wel iets voor te zeggen dat NS dat had moeten detecteren en blokkeren. Maar als dat steeds vanaf verschillende IP's op verschillende accounts op langzaam tempo gebeurd, dan is dat nog best lastig om goed te doen. Accounts blokkeren bij x aantal foutieve pogingen is namelijk ook te misbruiken, voor dat je het weet kan je bewust iemand anders zijn/haar account blokkeren waardoor deze niet meer kan inloggen... Vaker zie je daarna exponential backoff bij foutieve pogingen, maar meestel geen volledige blokkades op publieke accounts.

Als we even terug komen op password reuse als probleem. Dan is er wel een standaard die daar wat over zegt, namelijk de OWASP Application Security Verification Standard 4.0.
PDF: https://owasp.org/www-pdf...ation_Standard_4.0-en.pdf
Als je uitgaat van level 2 'Most applications', waaronder ik de app van NS ook zou laten vallen, dan wordt er eigenlijk verwacht dat het authenticatie systeem bepaalde wachtwoorden blokkeert. Dat kan zijn op basis van een lijst met veelvoorkomende wachtwoorden of door een externe API te gebruiken.
2.1.7 Verify that passwords submitted during account registration, login, and password change are checked against a set of breached passwords either locally (such as the top 1,000 or 10,000 most common passwords which match the system's password policy) or using an external API. If using an API a zero knowledge proof or other mechanism should be used to ensure that the plain text password is not sent or used in verifying the breach status of the password. If the password is breached, the application must require the user to set a new nonbreached password. (C6)
Je zou dit soort aanvallen dus kunnen beperken door de gelekte lijst van Have I Been Powned op te nemen in je identity oplossing. Of als het wat meer realtime moet werken, de API van Have I Been Powned kunnen aansluiten. Dekt dat alles af? Zeker niet, niet alle lekken staan meteen in de database maar kan wel helpen.

Een betere oplossing is wat mij betreft het inzetten van MFA / 2FA. Is meestal niet heel toegankelijk of gebruiksvriendelijk, maar het zal zeker helpen de accounts beter af te schermen omdat de partij die misbruik maakt van een account door een gelekt wachtwoord meestal geen toegang heeft tot de tweede factor. Aandachtspuntje is dan wel het kanaal waarover de 2e factor OTP verzonden wordt, als dat een SMS of e-mail box is die toegankelijk is met een gebruikersnaam/wachtwoord combinatie zonder MFA loop je daar mogelijk weer op vast als daar ook hetzelfde wachtwoord is gebruikt.

De gebruiker blijft altijd de zwakste schakel, maar we kunnen vanuit technisch oogpunt wel wat maatregelen nemen om de kans op het voordoen van het risico te verkleinen. Laten we de gebruikers vooral verleiden om MFA in te zetten door het ze zo eenvoudig mogelijk te maken.
spnw 20 mei 2021 12:02
Het zou mooi zijn als je daar 2factor kunt instellen, al vraag ik me af of mensen die hun wachtwoord hergebruiken dat zouden doen ofwel snappen ...
Blokker_1999
@spnw20 mei 2021 12:22
Zelfs op deze site, waar vele bezoekers technisch toch net iets sterker staan, zag je al veel comments van mensen die niet begrepen waarom je MFA zou aanzetten en sommige die dachten dat het verplicht ging worden en daarom al uitspraken deden dat ze de site niet meer zouden bezoeken.

Als je het hier al zo slecht verkocht krijgt, vraag ik me echt af hoe je het verkocht gaat krijgen op meer algemene sites zoals deze van NS
The Zep Man
@Blokker_199920 mei 2021 12:44
Als je het hier al zo slecht verkocht krijgt, vraag ik me echt af hoe je het verkocht gaat krijgen op meer algemene sites zoals deze van NS
Beter, want veel mensen moeten reizen, en hebben geen keus anders dan het OV. Andersom hoeft niemand op T.net in te loggen.

[Reactie gewijzigd door The Zep Man op 3 augustus 2024 06:55]

grahampje @spnw20 mei 2021 12:35
Je doet alleen wel een verkeerde aanname, dat het alleen zou gaan om snappen. Snappen kun je namelijk wel zeker stellen dat veel mensen dat niet doen, puur omdat hun interesse er niet in ligt. Hetzelfde waarom een IT'er soms niet snapt waarom Marketing belangrijk is, omdat ze zelf het nut er niet van in zien.

Maar waar het natuurlijk wel om draait is gemak. 2FA is veilig, maar voegt wel weer een extra barriere toe. Wil je inloggen en heb je je telefoon net even ergens anders liggen, toch weer irritatie. Dat soort kleine dingen kunnen mensen er vrij snel toe dwingen om iets niet meer te gebruiken.

Het is niets meer dan hetzelfde concept als het olifantenpaadje Je kunt nog zo je best doen om iets goed te maken vanuit 1 specifiek oogpunt, in dit geval beveiliging, maar als er veel eenvoudigere opties zijn dan gaat de keuze daar naar uit.
The Zep Man
@grahampje20 mei 2021 12:45
Maar waar het natuurlijk wel om draait is gemak. 2FA is veilig, maar voegt wel weer een extra barriere toe. Wil je inloggen en heb je je telefoon net even ergens anders liggen, toch weer irritatie. Dat soort kleine dingen kunnen mensen er vrij snel toe dwingen om iets niet meer te gebruiken.
Waar loggen de meeste mensen tegenwoordig mee in? Met hun smartphones. Verder hoeft een tweede factor niet exclusief te zijn tot de smartphone. Zo kan je in Bitwarden(_RS) ook TOTP sleutels opslaan en codes laten genereren. Dat werkt ook gewoon op de desktop/in de browser.

[Reactie gewijzigd door The Zep Man op 3 augustus 2024 06:55]

grahampje @The Zep Man20 mei 2021 12:52
Ik zeg ook nergens dat het niet kan, maar het zijn allemaal extra stappen die een extra barriere vormen. Ik heb zelf overal wel 2FA aan staan, maar vind het persoonlijk ook niet ideaal, eigenlijk juist als ik op mijn smartphone inlog.
Dashlane vult namelijk soms de code wel in, maar soms ook niet. Eindstand is dan: je moet naar dashlane, daar inloggen --> zoeken naar het juist account en dan kopieeren. En dan ga je er nog vanuit dat de code gekopieerd kan worden.

Dus ja, technisch kan het allemaal, maar het gaat om letterlijk wat ik eerder al zei: mensen kiezen het pad wat het eenvoudigste is. Dat doet niks af aan dat er miljoenen apps zijn die het goed doen, als het een extra stap is is het per definitie meer moeite dan niks doen.
The Zep Man
@grahampje20 mei 2021 12:59
Ik zeg ook nergens dat het niet kan, maar het zijn allemaal extra stappen die een extra barriere vormen.

(...)

Dus ja, technisch kan het allemaal, maar het gaat om letterlijk wat ik eerder al zei: mensen kiezen het pad wat het eenvoudigste is.
Dus?

Zoals ik in een andere reactie noem, wat is het alternatief dat mensen hebben als het verplicht wordt gesteld? Als er geen ander pad is... Wat dan?

[Reactie gewijzigd door The Zep Man op 3 augustus 2024 06:55]

Reptile209 @The Zep Man20 mei 2021 14:09
Vergeet niet dat 2FA meteen ook een hele kerstboom aan mogelijke extra support-problemen oplevert. SMS-storing, authenticator koppeling valt er uit, maar ook: telefoon gestolen/vervangen/SIM kwijt/iksnapputniet... Dus je moet het niet alleen technisch implementeren, maar ook een hele support-structuur voor opbouwen, scripts maken, medewerkers trainen, enz. Kan allemaal wel, maar kost veel meer moeite, dus geld. En dan is er niet gelijk een economische stimulans om dat te doen, want het levert geen kwartje extra op.

Nu zit je aan de iets onveiligere kant van de balans tussen: snel en eenvoudig, en robuust en veilig. En alles wat een klant al zelf online kan regelen, daar hoef je geen dure medewerker voor te hebben. ;)

[Reactie gewijzigd door Reptile209 op 3 augustus 2024 06:55]

The Third Man @Reptile20920 mei 2021 14:20
2FA kan toch ook gewoon bijvoorbeeld een mail aan de accounthouder zijn om te accepteren dat een nieuwe login wordt uitgevoerd :? zo moeilijk is dat helemaal niet, en dat gaat hooguit wat probleemgevallen opleveren van mensen die geen toegang tot hun mail hebben (en dat is al verdacht op zich).

2FA is niet een synoniem voor een Authenticator of een SMS-code, dat zijn alleen twee 'serieuzere' opties van een tweede factor gebruiken, wat logisch is bij serieuzere aanmeldingen maar hier een beetje overkill is zoals je zelf aangeeft. Je hoeft je alleen niet blind te staren op die twee opties alsof er geen eenvouderige alternatieven zijn.
grahampje @The Zep Man20 mei 2021 13:06
Je kunt zo reageren op mij, maar waarom ga je er vanuit dat ik al jouw reacties onder een bericht lees?

Ja je kunt het verplichten, maar is dat echt de manier? Ik ben persoonlijk tegen allerlei verplichtingen opwerpen, zeker als het gaat over dingen die openbaar moeten zijn. De drempel om met het OV te reizen moet niet zo groot zijn dat mijn oma het niet kan doen, omdat ze niet weet hoe 2FA werkt.
The Zep Man
@grahampje20 mei 2021 13:10
Je kunt zo reageren op mij, maar waarom ga je er vanuit dat ik al jouw reacties onder een bericht lees?
Daar ga ik niet vanuit, en het is jammer dat je dat aanneemt. Ik geef het enkel aan dat voor eventueel meer achtergrondinformatie de andere reactie erbij gepakt hoeft te worden, zodat ik niet te veel zaken dubbel hoef op te schrijven.
Ja je kunt het verplichten, maar is dat echt de manier?
Ja. Zie de bankwereld, DigiD, ...
Ik ben persoonlijk tegen allerlei verplichtingen opwerpen, zeker als het gaat over dingen die openbaar moeten zijn. De drempel om met het OV te reizen moet niet zo groot zijn dat mijn oma het niet kan doen, omdat ze niet weet hoe 2FA werkt.
Je oma kan ook een kaartje kopen bij een machine of (voor een kleine meerprijs) bij het loket.

[Reactie gewijzigd door The Zep Man op 3 augustus 2024 06:55]

grahampje @The Zep Man20 mei 2021 13:27
Ja. Zie de bankwereld, DigiD, ...
Maar bankgegevens vind ik toch wel net iets anders dan je NS reisgegevens. Ja er zitten ook stukken informatie bij die scahde kunnen doen, maar wel op een ander niveau.
Je oma kan ook een kaartje kopen bij een machine of (voor een kleine meerprijs) bij het loket.
Prima, en een abonnement? Stel je wilt een keer op een OV fiets om wat voor reden dan ook.


Dus voer lekker 2FA in, maar optioneel. Dan heb je de mensen die het echt graag willen blij gemaakt, maar doet dat niet af aan de ervaring van de rest (al is de IT daar wel goed in, lekker admin rechten wegnemen in een bedrijf en daarna 3 weken over tickets doen)
The Zep Man
@grahampje20 mei 2021 13:31
Prima, en een abonnement? Stel je wilt een keer op een OV fiets om wat voor reden dan ook.
Abonnement kan ook afgesloten worden bij een balie. Dan krijg je een pas (thuisbezorgd).

Wat doet jouw oma op een OV fiets? Als ze daar fit genoeg voor is, dan is ze ook fit genoeg om andere zaken onder de knie te krijgen.
Dus voer lekker 2FA in, maar optioneel. Dan heb je de mensen die het echt graag willen blij gemaakt,
Onwaar, want dat zijn dezelfde mensen die huilen als hun gegevens op straat liggen.

DigiD is ook verplicht, en dat moet je oma ook begrijpen voor haar zaken met de overheid, of ze moet het iemand voor haar laten doen. Hetzelfde als met de NS.
MaffeMaarten 20 mei 2021 12:12
Wat kan je met toegang tot iemand z'n NS account? Waarom is dit voor hackers interresant?

Zover ik weet kan je geen aankopen doen met iemand anders z'n geld. En al zou dat kunnen, niks dat ik dan makkelijk en op enige schaal door kan verkopen. Of zie ik iets over het hoofd?

--
Of het gaat puur over persoonsgegevens, natuurlijk, maar zijn dit dan de aantallen waar je goed mee kan verdienen? 2000 man?

--
Ook als je kijkt naar de reactie van Kees bijvoorbeeld, lijkt het erop dat deze aanval voor aanvallers ook niet gratis was. Hoe wordt dit dan rendabel vraag ik me af.

[Reactie gewijzigd door MaffeMaarten op 3 augustus 2024 06:55]

Fruitvlieg @MaffeMaarten20 mei 2021 12:51
Ik heb even naar mijn oude bijna vergeten MijnNS account gekeken en daar zit best waardevolle informatie in. Ten eerste naam en adres gegevens en ook nog mijn mobiele nummer (en geboortedatum!). Daarnaast zie je hoe iemand reist. Stel je zoekt met die gegevens mijn LinkedIn op, weet je ook waar ik werk. Stel ik had facebook, wist ie ook wie mijn familie en vrienden waren. Stel dat ik altijd naar mijn werk reis met de trein, weet je ook wanneer ik onderweg ben of juist thuis.

Dat is allemaal uitzoekwerk en de simpelste gebruik die ik me kan bedenken met die data is: WhatsApp/helpdesk scams. Er trappen nog steeds mensen in. Dan is ~2000 telefoonummer+adres+naam (en geboortedatum!) voor weinig/geen pakkans (tenzij je het als boefje stom hebt aangepakt) is dan geen slechte buit.

Verder hoeft je maar een paar interessante targets te hebben et voila, laat de spearphishing en dergelijke maar beginnen. Lukt het dan ook nog om malware te plaatsen op devices met een succesvolle phishingpoging, dan is de keuze aan lol reuze.

En dan de geboortedatum... Die was waarschijnlijk voor de abbo, maar dit betekent dat je best wel ver kan komen met identiteitsdiefstal. Denk maar even terug waar je zoals informatie kon krijgen met je naam, adres en geboortedatum en vertrouwen in je stem.

Om het helemaal leuk te maken, kan je optioneel ook nog invullen wat je huishouden uit bestaat en wat je interesses zijn en hoe vaak je gemiddeld met de trein reist

Tot slot ga ik even wat gegevens aanpassen en het wachtwoord resetten naar nog wat langers...
_Eend_ @Fruitvlieg20 mei 2021 13:11
Daar zitten bijna zeker wel hele interessante 'targets' tussen, ambtenaren, managers. Ik kwam ze dagelijks tegen in de trein. Als je de gegevens van de juiste mensen hebt kun je ze heel gericht een spearphishing mail sturen, al was het maar een stomme enquete oid. "U heeft op 19-5-2021 om 17:43 de trein naar Jipsingboermussel genomen, hoe was uw rit?"
grahampje @MaffeMaarten20 mei 2021 12:16
Nouja als ik er even over 'fantaseer'. Stel jij bent een inbreker, dan is toegang tot je NS account best wel een waardevolle bron.

Je weet direct waar iemand woont en met de reisgeschiedenis zie je waar iemand is uitgecheckt. Stel je woont in de buurt van Amsterdam maar je ziet dat iemand is uitgecheckt in Tilburg 10 minuten geleden, dan weet je dat dit een prima moment is om dat huis even leeg te halen.
MaffeMaarten @grahampje20 mei 2021 12:25
Oja, die is wel interessant ja.

Ik vraag me wel af of dit echt al op die manier gebeurd. Zijn er inbrekers die op silkroad (of wat de huidige variant dan ook is), of op rare Telegram groepen, dit soort accounts op gaan zoeken om hun slachtoffers uit te zoeken?

Ik zeg niet dat dit niet zo is he, ik ben alleen oprecht benieuwd, dáár zou ik nou wel eens een Tweakers-Plus artikel over willen lezen.
Bor Coördinator Frontpage Admins / FP Powermod
@grahampje20 mei 2021 12:39
Als je de reisgeschiedenis kan inzien is het ook eenvoudig om patronen te herkennen en zo te bepalen wanneer iemand waarschijnlijk niet thuis is. Er zijn meerdere opties inderdaad los van het mogelijke misbruik van persoonsgegevens.
n9iels 20 mei 2021 12:18
Waarom moet de NS dan hiervan aangifte doen bij de AP? Bedoel, zij ook een soort slachtoffer hoef, ze veroorzaken dit datalek niet zelf.
grahampje @n9iels20 mei 2021 12:27
Die melding gaat er niet perse om wie er schuld heeft, maar over het in kaart brengen van een datalek. De AP kan dan bepalen of de NS hier schuld heeft en juist heeft gehandeld, hebben ze dat wel dan is de zaak daarmee af.

In dit geval zou je kunnen stellen dat de NS hier inderdaad niks aan kan doen, maar het is niet aan het bedrijf zelf om dat te bepalen en daarom is die meldplicht er juist.
Remmilou @n9iels20 mei 2021 12:29
Datalek = aangifte doen bij de AP. Doet er niet toe of ze "zelf ook een soort slachtoffer" zijn. Ze hebben een datalek. Klaar uit.
The Third Man @n9iels20 mei 2021 14:26
Het is altijd aan de autoriteit om te bepalen wie het daadwerkelijk veroorzaakt. Als dat aan de verantwoordelijke zou liggen kan die dus eigenhandig beslissen 'wij veroorzaken het niet' en het vervolgens niet melden. In plaats daarvan wordt het omgedraaid: je hebt een meldplicht en dan wordt later wel uitgezocht door wie het kwam (en wie er wellicht wat aan moet passen, wat bij NS ook het geval kan zijn).
jugger naut 20 mei 2021 13:21
Ik heb deze e-mail ontvangen, het vreemde is dat ik een uniek wachtwoord gebruik (gemaakt met password manager).

Dus het zou mij verbazen als er ook daadwerkelijk is ingelogd. Mocht er wel zijn ingelogd is het is mijn geval alleen mogelijk indien er een lek is bij de NS zelf :X

[Reactie gewijzigd door jugger naut op 3 augustus 2024 06:55]

BillyTheClit 21 mei 2021 08:15
<sarcasme>
Je mag nooit ophouden met de gebruiker een geweten te schoppen, want de gebruiker is dom. De gebruiker mag worden opgezadeld met de lasten die worden veroorzaakt door slordige websitebouwers.
</sarcasme>

Blijkbaar zijn er dus nog altijd websites die paswoorden opslaan in plaats van hashes, als er daar nu eens een kwaliteitslabel voor zou bestaan. Als je een woordje informatie te veel opslaat over iemand dan krijg je een boete voor het overtreden van de AVG-wetgeving, maar paswoorden in plain tekst dat is gewoon helemaal ok blijkbaar.
Anoniem: 470811 21 mei 2021 14:38
In Tweakers artikel:
"De Nederlandse Spoorwegen hebben de accounts van 2100 reizigers geblokkeerd nadat aanvallers daar waren binnengedrongen."
Wat NS zegt:
"Door de wijze waarop is ingelogd, nemen wij aan dat dit niet de klant zelf is geweest", zegt het bedrijf.
In de mail naar klanten:
"Het wachtwoord van uw NS-account is uit voorzorg geblokkeerd, omdat er een aantal keren tevergeefs geprobeerd is in te loggen. Het kan zijn dat iemand toegang heeft proberen te krijgen tot uw account."
Is er nu wel of niet ingelogd? En zo ja, op hoeveel dan wel en hoeveel dan niet?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq