Gepersonaliseerde kledingwebwinkel Spreadshirt waarschuwt voor datalek

Spreadshirt, een bedrijf dat gepersonaliseerde kleding verkoopt, waarschuwt voor een datalek. Adres-, bank- en PayPal-gegevens van particuliere en zakelijke klanten en partners zijn door criminelen gestolen. Ook wachtwoordhashes die voor 2014 zijn opgeslagen, zijn gekopieerd.

Spreadshirt stelt het doelwit te zijn geweest van een 'georganiseerde cyberaanval'. Criminelen kregen hierbij toegang tot interne gegevens. Het gaat om adres- en contractgegevens van klanten, partners, medewerkers en externe dienstverleners. Ook zijn de 'betalingsgegevens geschaad van een klein deel van de klanten die via een overschrijving bij Spreadshirt, Spreadshop of TeamShirts hebben betaald of een terugbetaling hebben ontvangen'. Van andere klanten zouden er geen rekeninggegevens zijn opgeslagen op de gehackte servers.

Het bedrijf laat verder via een mail aan klanten weten dat er gehashte wachtwoorden en bank- of PayPal-gegevens zijn gestolen. Tweakers heeft deze mail ingezien. Spreadshirt zegt niet hoe de wachtwoorden zijn gehasht, maar alleen dat wachtwoorden die voor 2014 zijn opgeslagen, gekopieerd zijn. In de mail wordt klanten aangeraden hun PayPal- en Spreadshirt-wachtwoorden te wijzigen.

Spreadshirt zegt samen te werken met cyberbeveiligingsexperts en 'opsporingsinstanties' te hebben ingelicht. Over een melding bij de Autoriteit Persoonsgegevens wordt niet gesproken.

Spreadshop en TeamShirts zijn onderdeel van hetzelfde bedrijf als Spreadshirt. De laatste twee bedrijven laten klanten eigen kleding personaliseren en laten ontwerpers kleding aanbieden voor verkoop. Kopen klanten kleren van een ontwerper, dan ontvangt de ontwerper commissie. Spreadshop laat mensen weer merchandise ontwikkelen en verkopen.

De websites zijn van oorsprong Duits en zijn behalve in België, Duitsland en Nederland ook in onder meer Italië en de Verenigde Staten actief. Ook deze klanten worden gewaarschuwd voor het datalek.

Reacties (101)

Yzord 12 juli 2021 19:47

Ook mail gehad en mja, weet je...ik ben niet meer verbaasd ofzo. En de manier hoe het mailtje is geschreven lijkt wel alsof een film director er de hand in heeft gehad. Ik quote:

"we willen je graag informeren dat we het doelwit zijn geworden van een georganiseerde cyberaanval. Met veel criminele inzet zijn onbekende daders erin geslaagd om toegang te krijgen tot onze servers en tot de gegevens die daar zijn opgeslagen, met de mogelijkheid om deze te publiceren."

I mean, come on...zeg gewoon dat je gehackt bent ofzo

met je "georganiseerde cyberaanval" en "veel criminele inzet". Het lijkt haast wel een script ofzo lol.

Drunken_Bear @Yzord • 12 juli 2021 21:02

Wat ik ook vervelend vind is dat ze in die mail niet direct een link naar een wachtwoord wijzigings pagina hebben geplaatst. Je moet echt zelf naar de site of naar die "FAQ" link die ze er wel in zetten. Daarnaast heb ik helemaal geen account bij ze, zowel op mijn oude mailadres als mijn huidige, dus ik denk dat dit bedrijf onderdeel is van een groep andere online shop en dat ze allemaal een klantenbestand delen, of je nu wel of geen account heb aangemaakt. Deze site kwam mij namelijk niet bekend voor. Vraag me af of dat wel mag...

[Reactie gewijzigd door Drunken_Bear op 26 juli 2024 11:58]

Auredium @Drunken_Bear • 12 juli 2021 23:05

van hun linkedin pagina:

personalized clothing and apparel, print on demand, no minimum order, free merchandising shop, bulk and group orders, over 150 shipping countries, create your own, drop shipping, 100,000 creative partners worldwide, licensed content, available in 12 languages and 11 currencies en make money with selling your ideas on products and self expression

https://nl.linkedin.com/company/spreadshirt

Het is dus een groot lek. Een gokje is dat als je direct met Spreadshirt hebt gehandeld je N.A.W. en wss je bankgegevens zijn gelekt. Heb je met een partner gehandeld wss je N.A.W. gegevens en zo te lezen niet je bankgegevens (omdat de partner die niet zal sturen normaal). Spreadshirt doet het drukken en verzenden uit naam voor hun partners maar niet de financien van die partners. (zou ook wat raar zijn)

charevian @Auredium • 13 juli 2021 06:17

Daar zou je nog wel eens flink de mist in kunnen gaan.
Voor zover k weet hebben veel streamers/online platformen een spreadsheet shop. Deze is volledig te integreren in een Wordpress of ander cms.

De totale bestelling word gedaan via spreadshirts, vanaf stap 1 het uitzoeken van het product, als het invullen van naw gegevens en de betaling van het product.

Spreadshirts keert uiteindelijk een gedeelte van de winst uit naar de maker van de shop.

Auredium @charevian • 13 juli 2021 06:32

Mogelijk, Maar van wat ik hier lees op tweakers zijn er twee mails. 1 waarbij staat dat mogelijk je betaalgegevens zijn gelekt (of je PP wachtwoord moet worden aangepast) en 1 waarbij staat dat deze waarschijnlijk niet zijn gelekt. Maar ik denk dat het voor ons beide koffiedik kijken is van bbbuitenaf.

charevian @Auredium • 13 juli 2021 14:37

Wij moesten het PayPal wachtwoord aanpassen

Ruud2001 @Drunken_Bear • 12 juli 2021 21:26

Idem hierzo. Ik heb de mail ook ontvangen en de naam kwam me ook totaal niet bekend voor. Vond nog een mail terug uit 2015 waarin ik blijkbaar een shirtje via de webshop van Evert Kwok heb besteld: Spreadshirt zal de verdere afhandeling van deze bestelling verzorgen voor Tshirttoko by Evert Kwok.. Zo te zien heb ik verder geen account bij spreadshirt want m'n mailadres is niet bekend als ik klik op "wachtwoord vergeten".

Vicje @Ruud2001 • 12 juli 2021 21:44

Voor mij geldt precies hetzelfde. Ook ik heb daar geen account, maar kom wel in het klantenbestand voor. Dat ik er geen account blijk te hebben, oké, maar ik vrees dat ze in dat geval dus wel je adresgegevens hebben, vanwege de afhandeling van een bestelling.

ocrammarco @Ruud2001 • 12 juli 2021 22:23

Ik heb ook geen account, het rare was ook dat ik heel goed moest zoeken naar bestelling dat ik op dat email adres had gedaan. Recentere bestellingen zijn namelijk met speciaal eigen domein gedaan. Voor beide heb ik geen account. Vind het vooral irritant dat ze niet vertellen wat er gelekt is. Ik heb geen idee wat je daar moest invullen, minimaal NAW voor afhandeling in ieder geval.

draadloos @Ruud2001 • 12 juli 2021 23:55

Dito. Ooit iets besteld bij Altena Merchandise... komt ook spreadshirt in voor. Lijkt dus wel een white label webshop

DaaNMageDDoN @Ruud2001 • 13 juli 2021 16:11

En ja same here, wel mail gehad, maar geen account bij spreadshirt.net nog spreadshirt.nl. En inderdaad ook geen account bij een van die sites, wel verschillende bestellingen in de email bij shops die gebruik gemaakt hebben van het platform.
Dus wel een waarschuwing, geen account en dus ook geen mogelijkheid die te resetten, erg vaag.

Drunken_Bear @Ruud2001 • 13 juli 2021 16:22

Ahhh, bedankt voor je tip!

"Spreadshirt zal de verdere afhandeling van deze bestelling verzorgen voor sjeurt."

Dit is echter een site waar je geen account hoeft aan te maken. Alleen verouderde NAW gegevens zijn dus buitgemaakt

Sidenote, een vriend van mij heeft Hoff in de naam. Ik heb toen van hem een shirt van Don't hassel the hoff met David Hasslehoff er op voor hem gekocht :-P

efari @Drunken_Bear • 12 juli 2021 21:52

Wachtwoorden wijzigen hoor je dan ook alleen maar te doen door zelf naar de website te surfen;
Als jij een mail krijgt van een scammer zogezegd in naam van bedrijf X, die de website ervan heeft nagemaakt, en daarvan een link in z’n e-mail zet, ga jij dus op de verkeerde site je wachtwoord opnieuw instellen.

[Reactie gewijzigd door efari op 26 juli 2024 11:58]

Majin Buu @Yzord • 13 juli 2021 07:34

Ja maar eigenlijk heeft Truus van de boekhouding op een foute link geklik uit een foute email....

jwillemsen 12 juli 2021 19:20

Krijg hier ook een email op een van onze algemene accounts, had geen idee dat er ooit een spreadshirt account was gemaakt. Als ik nu wachtwoord vergeten kies en dat email adres invul krijg ik de foutmelding dat ze dat email adres nog niet kennen, erg raar, lijkt dat ze er op meer punten een zooitje van maken.

Auredium @jwillemsen • 12 juli 2021 19:33

Dit dus. Ik denk dat heel veel mensen nu e-mails gaan krijgen zonder dat ze een account bij Spreadshirt (of Spreadshop of Teamshirts) hebbben. Waarschijnlijk is er ooit een keer bij een partner van Spreadshirt een bestelling geplaatst en is die informatie doorgestuurd naar Spreadshirt. Dit zal waarschijnlijk niet alle informatie zijn (want waarom zou die partner zaken zoals account en betalingsgegevens doorzetten alhoewel dat natuurlijk wel zou kunnen) maar wel andere informatie die Spreadshirt dan weer gebruikt. Althans ik vermoed dit.

Het zal alleen erg lastig worden om te achterhalen wie die partner dan was en dat wordt echt gokwerk. De e-mail lezende staat er op ' indien u een account heeft' dus ik denk dat de graad waarop je als individu geraakt bent afhankelijk is van hoe je besteld hebt. Als je een account bij hun hebt zal je wss het hardst zijn geraakt. Heb je besteld via een zakelijke partner van hun zijn wss e-mail adres en adresgegevens van je woning van voor 2014 gelekt. Dat is erg...maar gezien de hoeveelheid veel recentere lekken niet zo erg als het Linkdin lek van 2016 of lekken van 2019/2020 van Facebbook of Ticketmaster.

[Reactie gewijzigd door Auredium op 26 juli 2024 11:58]

grizzlywilde @Auredium • 13 juli 2021 10:44

Daar gebruik ik een catch-all adres voor, dus de e-mailadressen bij mij beginnen altijd met de bedrijfsnaam waar ik zaken mee doe. Als ik dan spam/phishing shit krijg weet ik vanuit welke bron mijn gegevens zijn gehaald.

keverjeroen @Auredium • 12 juli 2021 20:49

Je hebt het recht op inzage in je gegevens. Dus gewoon je gegevens bij ze opvragen. Dan weet je wat ze allemaal van je hebben..

Mangu429 @keverjeroen • 12 juli 2021 21:01

Je hebt het recht op inzage in je gegevens. Dus gewoon je gegevens bij ze opvragen. Dan weet je wat ze allemaal van je hebben..

Nou niets meer. Alles is gejat.

Het.Draakje @Mangu429 • 13 juli 2021 05:14

Ah. Vandaar dat Yzord indruk dat het om een Hollywood script gaat. De hackers zijn met vrachtwagens gekomen en hebben alle computers ingeladen. Waarschijnlijk waren ze ook nog gewapend met uzi's.

Of zouden de hackers misschien alleen maar de boel gedownload hebben en is het origineel nog gewoon in bezit van Spreadshirt. Die kunnen dus nog steeds inzage geven in welke gegevens ze van hun klanten hebben.

ppeterr @jwillemsen • 12 juli 2021 19:27

Ik kreeg hem inderdaad ook die mail, ik ken het hele bedrijf niet. Die site
is mij totaal onbekend. Verder dus ook even wachtwoord vergeten gedaan,
en ik krijg ook "onbekend" terug.....erg apart.

dasiro @jwillemsen • 12 juli 2021 20:05

van veel dingen weet je het x aantal jaar later niet meer, daarom dat ik ook gewoon al mijn legitieme mailverkeer bij hou, makkelijk om achteraf te zien of zulke mails terecht zijn of phishing

Auredium @dasiro • 12 juli 2021 20:41

Het probbleem hier is meer dat veel mensen bij ' een' zakenpartner hebbben gekocht en dat die info voor een deel is doorgestuurd naar Spreadshirt terwijl jij daar als klant nooit wat hebt gekocht. Dit is zoiets als bij Bol.com een artikel bestellen wat uiteindelijk van XYZ.com af komt zonder dat je dat zou kunnen inzien.

dasiro @Auredium • 12 juli 2021 21:04

tja, als je ergens iets koopt waar je gegevens achter laat weet je nooit waar die terecht zullen komen. Bedrijven worden constant overgenomen, subbedrijfjes zijn opgericht of bestellingen worden via postbusadressen doorgestuurd, ... dat is jammer genoeg eigen aan zowat elk modern bedrijf

Auredium @dasiro • 12 juli 2021 22:54

Wordt toch nog wel een grote. Van de Linkedin pagina van spreadshirt:

personalized clothing and apparel, print on demand, no minimum order, free merchandising shop, bulk and group orders, over 150 shipping countries, create your own, drop shipping, 100,000 creative partners worldwide, licensed content, available in 12 languages and 11 currencies en make money with selling your ideas on products and self expression

https://nl.linkedin.com/company/spreadshirt

Je kan dus in principe ooit een keer een T-shirt van een podcast ooit hebben gekocht om ze te steunen en zo kunnen je N.A.W. gegevens op straat zijn komen te liggen? belangrijk? Hangt er vanaf of ze al op straat liggen ja of nee. Dit zijn zo te lezen in veel gevallen oude N.A.W. gegevens waarschijnlijk nog correct maar het is ook wss dat diezelfde gegevens uit recentere databases zijn gelekt inmiddels.

Maakt het niet leuker natuurlijk.

/Edit; Overigens weer een supply chain hack wat vaker voor komt. In plaats van kleine webshopjes de onderliggende verbindende factor aanvallen.

[Reactie gewijzigd door Auredium op 26 juli 2024 11:58]

renevanh @jwillemsen • 12 juli 2021 22:53

Ik heb de mail op zowel m'n prive adres als zakelijke adres gekregen. Uit de archieven is te halen dat ik in 2011 en 2012 reclamemailtjes kreeg.

Mijn password manager kent de site en bijbehorende login. Die werkt alleen niet en het mailadres is ook onbekend volgens de 'wachtwoord vergeten' optie.
Het wachtwoord wat mijn password manager kent is er eentje die 6 jaar terug al is uitgelekt, dus lekker belangrijk...

lasharor 12 juli 2021 19:01

Ik krijg dus ook zo’n mail. Eigenlijk krijg ik die wel vaker de laatste tijd. Prima natuurlijk.

Wat ik een beetje mis in de mails van verschillende bedrijven is wat ze nu gaan doen om er voor te zorgen dat criminelen niets met mijn data gaan doen. Ze melden het lek, krijgen dan misschien een boete maar uiteindelijk bellen ze mij plat met allemaal random telefoontjes over zaken waar ik niets mee te maken wil hebben.

dasiro @lasharor • 12 juli 2021 20:02

ze zijn het wettelijk verplicht om te melden, maar kunnen daarna niets meer doen tegen misbruik ervan, want eens gestolen heb je geen controle meer over de data

stackhacK @dasiro • 12 juli 2021 20:36

Misschien tijd dat slachtoffers gecompenseerd worden, minimaal 100 euro als je slachtoffer bent en waarschijnlijk krijgt het dan wel de nodige aandacht. Nu schrijven ze een mailtje en hopen ze maar dat men het wel vergeet.

MSteverink @stackhacK • 12 juli 2021 21:24

Tenzij je vergaande stommiteit of slordigheid kunt bewijzen is spreadshirt het slachtoffer in deze zaak.
Misschien kun je beter de daders aansprakelijk stellen.

[Reactie gewijzigd door MSteverink op 26 juli 2024 11:58]

stackhacK @MSteverink • 12 juli 2021 21:40

9 op de 10 keer is het een slordigheid en anders is het vaak van binnenuit.

MSteverink @stackhacK • 12 juli 2021 21:44

En is het hier die ene van de 10?

dasiro @stackhacK • 12 juli 2021 20:45

het staat je altijd vrij om ze aan te klagen en compensatie te vragen ALS je geleden schade door hun nalatigheid kan bewijzen, zomaar een random bedrag plakken op iets waar ze zelf ook al heel veel last en kosten aan gaan hebben om van te recoveren is wel heel voortvarend en de perfecte manier om zowat de volledige digitale economie plat te leggen en de maatschappij terug te catapulteren naar het cash-geld tijdperk

stackhacK @dasiro • 12 juli 2021 21:10

Nee niet aanklagen, gewoon wetgeving dus standaard een vergoeding afhankelijk van het type informatie wat gestolen is. Minimaal 100, maximaal 50k ofzo.

Dan maar wat minder webshops, van mij mag het allemaal.

dasiro @stackhacK • 12 juli 2021 21:15

als je auto gestolen wordt uit je garage, ga jij dan ook de nabestaanden van de hit&run vergoeden omdat je niet een nog zwaarder slot er op had zitten? In de eerste plaats is het bedrijf slachtoffer en niet jij

stackhacK @dasiro • 12 juli 2021 21:37

Eerste plaats? Nee bij lange na niet.

dasiro @stackhacK • 12 juli 2021 21:41

Zij zijn gehackt, zij zijn slachtoffer, jij bent hoogstens collateral damage

Yggdrasil

@dasiro • 13 juli 2021 09:17

Het is de hackers anders te doen om mijn persoonsgegevens, niet die van het bedrijf.

dasiro @Yggdrasil • 13 juli 2021 16:50

het gaat hen om geld en gebruiken daar oa gegevens voor die in het bezit zijn van dat bedrijf.

Mangu429 @dasiro • 12 juli 2021 20:59

Duidelijk waar volgens jou de prioriteit ligt. Bij het welvaren van het bedrijf en niet die van de klant.

Laat bedrijven maar bewijzen dat ze hun beveiliging goed op orde hadden. Kunnen ze dat niet, dan betalen ze maar per klant. Anders leert men het nooit.

dasiro @Mangu429 • 12 juli 2021 21:11

ik kan als klant niet beweren dat het lekken van mijn data mij 100€ schade heeft veroorzaakt. Je vergeet dat dit bedrijf ook slachtoffer is en jij beschouwt ze al direct als dader zonder bewijs, zo werkt de rechtstaat echter niet.

Voor elk legitiem bedrijf dat braaf melding maakt en de regeltjes volgt zijn er een onbekend aantal die dat NIET door of nooit door heeft dat ze data zijn afhandig gemaakt, laat staan een hoop schaamteloze scammers aan de andere kant van de wereld die de échte schade veroorzaken.

Wanneer is het volgens jou voldoende? Ik kan met een redelijke zekerheid zeggen dat er nog wel wat mogelijk lekken te vinden zijn, waar iets van jouw data potentieel kan worden gehaald, al is het maar in een of andere third-party beveiligingscamera met een verouderde java-plugin waarvan je niet tot op de laatste letter de broncode hebt uitgeplozen.

stackhacK @dasiro • 13 juli 2021 12:45

Probleem is dat het niet altijd of vaak nooit te bewijzen valt. Waarom moet er overigens perse schade zijn? Het idee dat mijn gegevens op straat liggen zorgt voor emotionele stress, waarom zou dit niet gecompenseerd moeten worden? Dit soort situaties zijn 99.9% te wijten aan nalatigheid of onkunde, mag van mij hard bestraft worden. En dat hele cash geld tijdperk vond ik niet eens zo erg, dus wat mij betreft prima!

dasiro @stackhacK • 13 juli 2021 16:51

je mag gerust een schadevergoeding eisen voor emotionele schade als jij er effectief onder lijdt en dan zijn er geijkte wegen voor om de hoogte ervan te bepalen.

charevian @stackhacK • 13 juli 2021 06:19

Als dit uit komt is iedereen binnen no time rijk, en de bedrijven welke gehackt worden failliet. Zou erg zonde zijn.

Al hoe wel, maandelijks 100 extra is best leuk.

stackhacK @charevian • 13 juli 2021 12:38

Het is helemaal niet zo lastig om een veilige dienst te leveren, de "het overkomt ons toch niet" mentaliteit zorgt ervoor dat men geen moeite doet. Laat maar lekker failliet gaan, desnoods gevangenisstraf voor nalatigheid.

sfc1971 @stackhacK • 13 juli 2021 11:27

Dus als je auto gestolen wordt en gebruikt bij een ramkraak dan ben jij verantwoordelijk voor de ramkraak? Had je je auto maar beter moeten beveiligen.

stackhacK @sfc1971 • 13 juli 2021 12:47

Als ik de deuren wagenwijd open zet met sleutels in contact, ja.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@lasharor • 12 juli 2021 19:13

Wat ik een beetje mis in de mails van verschillende bedrijven is wat ze nu gaan doen om er voor te zorgen dat criminelen niets met mijn data gaan doen.

Heel plat gezegd gaan ze op dat vlak niets doen doorgaans. Gelekt is gelekt. Zodra de informatie beschikbaar is is er geen weg meer terug. Hooguit doet men aangifte en stuurt men waarschuwingen naast het verbeteren van processen en systemen.

Anoniem: 1322 @lasharor • 12 juli 2021 19:59

Tja, dat is natuurlijk het grote probleem met dit soort lekken: jouw informatie is nu publiek op het internet (verhandeld). Je kunt er niets meer aan doen...

Daarom is identiteit en privacy zo belangrijk. Als je eenmaal 'gelekt' bent dan is er geen weg terug en daarom houd het bedrijf zich ook stil. Maar ze zijn wel verantwoordelijk en wanneer je hierdoor schade loopt dan kan je een rechtszaak aanspannen. Het is echter heel moeilijk te bewijzen dat je schade leidt door dit specifieke lek.

Nas T @lasharor • 13 juli 2021 06:40

Wat ik een beetje mis in de mails van verschillende bedrijven is wat ze nu gaan doen om er voor te zorgen dat criminelen niets met mijn data gaan doen.

Waarom zou je de aanname doen dat een bedrijf jouw gegevens gaat beschermen, als het niet in hun eigen belang is?

Misschien klinkt het als een flauwe reactie, maar ik ben bang dat het de realiteit is.
Bedrijven willen zoveel mogelijk data vergaren. Data is geld.
Ze hebben er geen belang bij om die data goed op te slaan, want dat kóst geld.
Het is dat ze verplicht zijn datalekken te vermelden, anders zouden ze dat misschien niet eens doen.

Uiteindelijk is de rode draad: er is geen verantwoordelijkheidsgevoel voor jouw gevoelige data.
Let op het woordje "jouw", want volgens mij zou je de data kunnen zien als intellectueel eigendom. Zonder jou -> geen data.
Nou wil Grapperhaus dat het delen van privégegevens met als doel intimidatie, dat dat strafbaar wordt.
Dan zouden we ook de stap kunnen zetten dat het niet meer toegestaan wordt winst te maken met privégegevens.

Het verzamelen van data is niet goed voor de maatschappij. Ik denk dat er op Tweakers meermaals per week een lek gemeld wordt, er worden miljarden winst mee gemaakt maar dat is niet in het belang van degenen van wie die data komt (integendeel --> meer winst --> meer achtervolgen).

angerfist-yentl 12 juli 2021 19:35

Vandaag ook een email gekregen ik weet alleen niet meer hoelang het wel niet geleden is dat ik daar iets besteld had dus wilde inloggen, lukte niet, email resetten "email onbekend" terwijl ik op dat email adres de email ontving. Dus mijn account zal al wel weg zijn.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@angerfist-yentl • 12 juli 2021 19:43

Gezien het gelukt is jou de notificatie te sturen heeft het bedrijf tenminste persoonsgegevens van jou. Ik zou niet zo maar uitgaan van 'zal wel weg zijn'.

Bergen @Bor • 12 juli 2021 20:13

Ik heb hetzelfde. Het emailadres waar de Spreadshirt-mail naartoe is gestuurd, is volgens wachtwoord-reset-pagina onbekend. Zo nu en dan ontvang ik wel marketing-email, dus het adres lijkt wel op de mailinglist te staan, maar ook als ik op de afmelden-link in de email klik zie ik "geen abo's gevonden". Vreemd. Alsof ze aan het snoeien zijn geweest in het klantenbestand.

preske @Bergen • 12 juli 2021 20:34

Ik had de "geen abo gevonden" indertijd ook met allekabels. rare dingen dit...

SteefOne @angerfist-yentl • 12 juli 2021 20:51

Datzelfde geeft het bij mij ook aan. Wellicht eens besteld zonder een account aan te maken? Ik weet het niet meer, maar wel vreemd.

Amarius 12 juli 2021 19:35

Vreemd dat ik van Tweakers te horen krijgt om (ook) mijn PayPal wachtwoord te wijzigen maar dit wordt niet benoemd in de e-mail van Spreadshirt.

Arosa @Amarius • 12 juli 2021 22:25

In het mailtje wat ik kreeg wel:

Het betreft adresgegevens, wachtwoord-hashes die vóór 2014 zijn opgeslagen en bankgegevens of PayPal-adressen.
We raden je aan om zowel je PayPal-wachtwoord maar ook uit voorzorg het wachtwoord dat in je account is opgeslagen te wijzigen.

Tweekzor @Amarius • 13 juli 2021 09:14

Ik heb vandaag een email gekregen en daar staat inderdaad specifiek vermeld dat betaalgegevens niet zijn uitgelekt. Wellicht zit hier nog verschil in tussen de uiteindelijke verkoper die de opdracht heeft gegeven aan spreadshirt.

The data accessed includes address information and password hashes saved before 2014. According to our most recent information, your payment data has not been compromised.

hydex 12 juli 2021 19:17

Hier nog iemand die vandaag pas mailtje kreeg. Wat mij verbaast is dat ze niet direct mijn wachtwoord resetten en het aan mij overlaten.

Kontsnorretje @hydex • 12 juli 2021 19:42

Ze kunnen je wachtwoord op de shop wel wijzigen, maar je PayPal wachtwoord niet. Zo ben je verplicht om minstens 1 actie uit te voeren om je wachtwoord aan te passen, en pas je ook makkelijker direct je PayPal wachtwoord aan.

Als ze jouw wachtwoord al resetten, dan laat je ook makkelijker het PayPal staan. "Oh, dat doe ik wel een keer als weer eens in moet loggen". En daarna vergeet je je PayPal wachtwoord.

MarcelG 12 juli 2021 20:37

Welke rationale is er voor het wijzigen van je wachtwoord van PayPal? Of je moet bij Spreadshirt en PayPal dezelfde wachtwoorden gebruiken....maar het lijkt me bijzonder stug dat iemand zo slordig met z'n belangrijke accounts om gaat.

Maar goed, als dat de enige rationale zou zijn: benoem dat dan.
Maar goed, Spreadshirt noemt het ook niet in de mail, dus ik verwacht dat dat erbij verzonnen is door een overijverige redacteur.

[Reactie gewijzigd door MarcelG op 26 juli 2024 11:58]

Tweakez 12 juli 2021 18:50

Dit is trouwens al bekend sinds 8 juli en inmiddels is er in mijn geval vandaag een update hierop gekomen met de betreffende informatie die gelekt zou kunnen zijn.

Bericht van 8 juli:
We are writing to inform you that we recently had a security incident where an unauthorised third party attempted to access our platform. We are currently investigating this incident and which data might have been affected.

Data security is of the highest importance and our top priority is to investigate what happened while continuing to provide maximal protection to our platform.
You can find all relevant information on a dedicated help page which will be updated as soon as more information is available.

Bericht van 12 juli:
we willen je graag een update geven over het IT-beveiligingsincident. Intussen weten we dat onbekende daders met veel criminele inzet erin zijn geslaagd om toegang te krijgen tot onze servers en de gegevens die daar zijn opgeslagen, met de mogelijkheid om deze te publiceren. Hieronder vallen ook gegevens van onze partners.
Het betreft adresgegevens, wachtwoord-hashes die vóór 2014 zijn opgeslagen en bankgegevens of PayPal-adressen.
We raden je aan om zowel je PayPal-wachtwoord maar ook uit voorzorg het wachtwoord dat in je account is opgeslagen te wijzigen.
We betreuren het ten zeerste dat persoonsgegevens zijn getroffen door de cyberaanval. We werken nauw samen met externe cyberbeveiligingsexperts om ervoor te zorgen dat een dergelijk voorval zich niet kan herhalen. De opsporingsinstanties zijn reeds ingeschakeld. Gegevensbeveiliging heeft voor ons de hoogste prioriteit.
Als je vragen hebt, stuur dan een e-mail naar ons serviceteam: ....@....
Bedankt voor je begrip. We houden je op de hoogte in het helpgedeelte.

offtopic:
Vervolgens heb je de helden die minnetjes geven

[Reactie gewijzigd door Tweakez op 26 juli 2024 11:58]

Vicje @Tweakez • 12 juli 2021 18:53

Nou nou.

Ik heb zelf zojuist de e-mail ontvangen waarin ze mij op de hoogte brengen. Ik wist dit nog niet. Dat zal vast de trigger geweest zijn voor publicatie.

Tweakez @Vicje • 12 juli 2021 18:54

Op 8 juli heeft iedereen al een e-mail ontvangen dat er een securitybreach heeft plaatsgevonden. Zie mijn bericht die inmiddels -1 heeft gekregen

PC3-17000 @Tweakez • 12 juli 2021 18:58

Niet iedereen. Ik kreeg zelf vandaag pas de mail binnen. De inhoud van mijn e-mail:

we willen je graag informeren dat we het doelwit zijn geworden van een georganiseerde cyberaanval. Met veel criminele inzet zijn onbekende daders erin geslaagd om toegang te krijgen tot onze servers en tot de gegevens die daar zijn opgeslagen, met de mogelijkheid om deze te publiceren. Aangezien er ook klantgegevens zijn geschaad, willen we je op de hoogte brengen van dit voorval.

Het betreft de adresgegevens alsmede de wachtwoord-hashes die vóór 2014 zijn opgeslagen. Volgens onze meest recente informatie zijn uw betalingsgegevens niet gecompromitteerd.

Als je een account bij ons hebt, raden wij je aan om uit voorzorg je wachtwoord te wijzigen.

We betreuren het ten zeerste dat persoonsgegevens zijn getroffen door de cyberaanval.

We werken nauw samen met externe cyberbeveiligingsexperts om ervoor te zorgen dat een dergelijk voorval zich niet kan herhalen. De opsporingsinstanties zijn reeds ingeschakeld. Gegevensbeveiliging heeft voor ons de hoogste prioriteit.

Als je vragen hebt, stuur dan een e-mail naar ons serviceteam: customersupport@spreadshirt.net

Bedankt voor je begrip. We hebben een helppagina opgezet die we zullen actualiseren zodra er nieuwe informatie beschikbaar is:

Anoniem: 696166 @Tweakez • 12 juli 2021 18:59

knap dat je dat voor iedereen weet, ik heb net als anderen pas vandaag een eerste mail gekregen

ShellGhost @Tweakez • 12 juli 2021 19:01

Dus niet. Ik kreeg 'm ook pas vandaag.

sampoo @Tweakez • 12 juli 2021 18:59

Ik heb net als @Vicje niets gehad op 8 juli, dus je stelling dat iedereen al een e-mail heeft ontvangen is onjuist. Nee, die e-mail is ook niet in mijn junkbox terecht gekomen.

Typhone

@Tweakez • 12 juli 2021 19:08

Blijkbaar dus niet. Uw punt verder is?

MonkeyJohn @Tweakez • 12 juli 2021 18:57

Maar dat is dus niet waar.
Persoonlijk heb ik alleen het bericht van vandaag ontvangen.

juiced01 @Tweakez • 12 juli 2021 19:01

Jij wellicht. Dat betekent niet dat *iedereen* e-mail heeft ontvangen.

MonkeyJohn @Tweakez • 12 juli 2021 19:06

Tja, dan moet je niet gelijk beginnen te tieren dat "iedereen" die eerste mail zou hebben gehad. Maar als je dit nou zoveel te laat vind qua nieuwswaarde had je natuurlijk ook zelf de redactie kunnen tippen na de eerste mail..

Ethnic @Tweakez • 12 juli 2021 18:54

Rustig aan kerel, denk aan je gezondheid. Voor mij is het nieuws, dus ook relevant imo.

Martinspire @Tweakez • 12 juli 2021 22:27

Vaag dat ze Paypal ook aanraden om te wijzigen. Dat is toch alleen als die hetzelfde was als bij Spreadshirt. Tenminste, als ook die gelekt zijn, dan hebben ze wel een hele brakke infrastructuur en data bewaard die ze niet nodig hebben.

PTish @Tweakez • 12 juli 2021 18:55

Ik was eerlijk gezegd nog niet op de hoogte. Pas vandaag hebben ze mij persoonlijk per email ingelicht. Je zou dus eerder kunnen stellen dat Spreadshirt het 4 dagen heeft verzuimd ons te informeren

PTish @Tweakez • 12 juli 2021 19:01

Op 8 juli heeft iedereen al een e-mail ontvangen dat er een securitybreach heeft plaatsgevonden.

Nogmaals, ze stellen mij pas vandaag voor het eerst op de hoogte. Blijkbaar hebben ze niet naar iedereen op 8 juli een bericht gestuurd.

Overigens meld de mail van vandaag aan mij ook niet dat het een update is. Klaarblijkelijk heb jij andere emails gehad en behoor je wellicht tot een select groepje.

[Reactie gewijzigd door PTish op 26 juli 2024 11:58]

CorbataGames

@PTish • 12 juli 2021 19:32

Same here, vandaag voor het eerst een melding ontvangen.

screenager 12 juli 2021 19:10

Ik heb sinds 2019 een eigen protocol voor internet bestellingen.
Ik heb een los email adres waar geen privé e-mails op staan, en als ik er niet als "gast" kan bestellen dus zonder account kijk ik elders.

me2001 @screenager • 12 juli 2021 19:22

En de pakketjes laat je bezorgen op niet bestaand adres(of iets comfortabeler een postbus, pakketkast of pickup point)? Is natuurlijk mooi dat je geen account aanmaakt en niet je standaard mailadres gebruikt, maar dat beschermt je volgens mij niet tegen uitlekken van persoonsgegevens.

Laatst ook een bestelling gedaan online, waarbij ik geen account hoefde aan te maken, maar wel al mijn gegevens verplicht moest invullen, zoals voornaam, achternaam, email, telefoonnummer en huisadres, terwijl ik het product bij de winkel ging afhalen. Na een klacht hierover ingediend te hebben bij de winkel was de response dat dit noodzakelijk was voor de facturering. Nu ik de wetgeving hierover niet exact weet, kan ik er denk ik ook wel vanuit gaan dat ze de gegevens nog wel even in het systeem hebben en ik 'gewoon' kwetsbaar ben in het geval het bedrijf een datalek heeft...

Rerebobo @me2001 • 12 juli 2021 19:49

Telefoonnummer is absoluut niet nodig voor de factuur. Je volledige naam evenmin.
Nooit je echte voornaam geven zorg altijd dat de eerste letter van je voornaam anders is. Telefoonnummer ook iets van 0123456789 opgegeven. Hun hebben daar niets mee te maken dat is prive. Persoonlijk doe ik vaak ook een spelfoutje in de achternaam. Oeps.

Zie het zo. Als je bij een fysieke winkel als Mediamarkt als particulier iets koopt staan er helemaal geen gegevens op de kassabon. Hun hebben die gegevens niet nodig. Alleen voor verzendingen is het vaak handig een achternaam en adres te hebben maar meer echt niet.
Ben je zakelijke klant dan hebben zij maar ook jij kiest iets meer nodig dan een kassabon Ivm omzetbelasting maar ook dan voldoet een kassabon prima zolang er het btw bedrag maar op staat.

Anoniem: 454358 @Rerebobo • 12 juli 2021 20:42

Andere naam opgeven, handig zeg. En dan staat de bezorger voor de deur en krijg je het pakket niet. Of als het op het postkant9r ligt, krijg je het ook niet mee.

Mangu429 @Anoniem: 454358 • 12 juli 2021 21:09

Bezorgers vragen ook niet om identificatie. Ze kijken enkel naar het adres. Weten zij veel wie er allemaal op dat adres wonen. Boeit ze ook echt niet. Afgeven en snel weer door.

Rerebobo @Mangu429 • 12 juli 2021 21:22

Exact. Je hoeft niet eens meer te tekenen tegenwoordig.

Rerebobo @Anoniem: 454358 • 12 juli 2021 21:23

Nog nooit meegemaakt dat ik een pakket niet mee krijg. Een bezorger kijkt alleen naar het adres zelfs tekenen voor ontvangst is verleden tijd.

Je moet jezelf wel indekken tegenwoordig met al die cybercriminelen.

Timo002 @screenager • 12 juli 2021 19:33

En wat is volgens jou precies het verschil tussen wel of geen account?

Volgens mij is dat namelijk enkel en alleen een wachtwoord ingevuld. Voor elke bestelling worden alsnog je NAW gegevens opgeslagen. Je factuur moet 7 jaar lang beschikbaar zijn voor de fiscus. Dus of je nou wel of geen account aanmaakt, je NAW gegevens worden hoe dan ook bewaard en kunnen dus door een datalek op straat komen te liggen.

AmigaPower

12 juli 2021 19:12

Aangezien er zoveel nieuws is over datalekken, is het tijd voor een nieuwe, gespecialiseerde site: Leakers.net

IrBaboon79 @AmigaPower • 13 juli 2021 00:36

Of anders een .nu?

Op dit item kan niet meer gereageerd worden.

Gepersonaliseerde kledingwebwinkel Spreadshirt waarschuwt voor datalek

Lees meer

Reacties (101)

Sorteer op:

Weergave: