Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Kortingsapp Scoupy waarschuwt 2 miljoen gebruikers voor datalek na aanval

Scoupy is woensdagavond slachtoffer geworden van een aanval waarbij klantgegevens zijn gestolen. Het gaat onder andere om persoonlijke gegevens en wachtwoorden, maar vooralsnog heeft Scoupy de wachtwoorden geen reset gegeven.

Gebruikers van Scoupy hebben donderdagavond een e-mail gekregen met de melding dat het bedrijf woensdagavond doelwit was van een aanval. Daarbij wisten de daders toegang te krijgen tot de persoonsgegevens van gebruikers van de kortingsapp. Scoupy heeft een faq over het datalek online gezet, waarin overigens dezelfde informatie als in de mail staat. Het bedrijf heeft naar eigen zeggen meer dan 2,2 miljoen gebruikers.

De gestolen gegevens betreffen de naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum en kassabonnen. Ook de wachtwoorden en bankrekeningnummers zijn in handen van de criminelen. Deze zijn versleuteld maar Scoupy meldt geen details over de gebruikte versleuteling. "Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen", meldt het bedrijf wel. Ook adviseert Scoupy gebruikers hun wachtwoord regelmatig te wijzigen.

Het bedrijf heeft niet uit voorzorg de wachtwoorden zelf een reset gegeven en als gebruikers dit zelf wilden doen, lukte dat niet altijd omdat Scoupy's platform verminderd bereikbaar was. Op Gathering of Tweakers klagen sommige gebruikers ook dat het hen niet lukte hun account te verwijderen.

Scoupy meldt verder een beveiligingsbedrijf ingehuurd te hebben en het incident gemeld te hebben bij de Autoriteit Persoonsgegevens. Ook is aangifte gedaan bij de politie. Het lek is gevonden en gedicht. Het bedrijf waarschuwt klanten alert te zijn op phishingpogingen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

17-09-2021 • 07:43

96 Linkedin

Submitter: ben2513

Reacties (96)

Wijzig sortering
Beste Gebruiker,

Scoupy heeft de veiligheid van klantgegevens hoog in het vaandel staan. We doen er alles aan om onze databases en technologie maximaal te beveiligen. Toch hebben we gisteravond helaas geconstateerd dat we het slachtoffer zijn geworden van een cyberaanval met een datalek. Het lek is gevonden en meteen gedicht en we willen je met deze email informeren over het voorval en de mogelijke gevolgen voor jou.

Wat is er gebeurd?
Cyber criminelen hebben zich toegang verschaft tot persoonsgegevens op onze systemen. Er is een kans dat dit ook jouw gegevens betreft. Het betreft de volgende gegevens: naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum, kassabonnen en versleuteld wachtwoord en versleuteld bankrekeningnummer (IBAN). Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen.

Wat doen wij hieraan?
We hebben onmiddellijk een gespecialiseerd cybersecurity bedrijf ingehuurd om ons te helpen het lek te vinden en te dichten. Er is uitgebreid advies ingewonnen om correct en adequaat op deze situatie te reageren en de juiste stappen te zetten. Dit incident is gemeld bij de Autoriteit Persoonsgegevens en ook hebben we aangifte gedaan bij de politie. Het lek is gevonden en gedicht.

Wat voor gevolgen heeft dit voor jou?
Het kan zijn dat er contact met je wordt opgenomen via buitgemaakte contactgegevens om te proberen je op te lichten. Iemand kan zich bijvoorbeeld voordoen als een bankmedewerker en proberen om pincodes en/of wachtwoorden te verzamelen of je te verleiden om op een link te klikken. Ook bestaat de kans dat je ongewenste berichten via e-mail, sms of whatsapp ontvangt.

Wat kun je doen?
Wij adviseren je om de komende tijd extra alert te zijn voor pogingen tot oplichting. Zoals aangegeven is je Scoupy-wachtwoord door ons versleuteld opgeslagen. Dat betekent dat eventueel buitgemaakte wachtwoorden zeer waarschijnlijk niet te gebruiken zijn. Desondanks is het belangrijk je wachtwoord regelmatig te wijzigen.

En nu?
Helaas is gebleken dat dit soort incidenten ook met de grootste zorg voor een goede beveiliging niet altijd te voorkomen zijn. Daar balen we enorm van. Op basis van gedane bevindingen zijn we keihard bezig onze systeembeveiliging nog verder aan te scherpen. Dat zullen we de komende tijd blijven doen. Daardoor kan het voorkomen dat de beschikbaarheid van de app en de website minder is dan je gewend bent. Onze oprechte excuses voor eventueel ongemak dat je als gevolg hiervan ondervindt.

Meer informatie?
We hebben een speciale pagina op onze website gezet met vragen en antwoorden over dit incident. Mochten er nieuwe feiten aan het licht komen, dan zetten we die in ieder geval op deze FAQ. De FAQ kan je vinden op deze pagina.

Met vriendelijke groet,
Team Scoupy
Zijn de mensen die hun account hebben verwijderd een tig jaar geleden ook daadwerkelijk verwijderd uit de database? (Zoals AVG voorschrijft) Heb nl geen mail ontvangen maar zou het wel kwalijk vinden als mijn gegevens nu ook op straat liggen.
Sommige data zijn ze wettelijk verplicht te bewaren, zoals bepaalde transactiedata. Je email zullen ze waarschijnlijk wel verwijderen. De vraag is of ze alle transacties hebben of een gebruikersdatabase gevonden hebben. Of natuurlijk beiden.
Je maar eigenlijk mag je die niet meer bewaren in operationele databanken (in een operationele databank kunnen typisch een pak meer mensen zoals support in terwijl die geen nood hebben aan klanten die vertrokken zijn en zo voorkom je "ongelukjes" met massamailing naar oud klanten). Wij behandelen ook transactie data en zijn ook uiteraard verplicht om GDPR te volgen. Echter omdat we ook de wettelijke bewaartermijn van 10 jaar moeten respecteren wordt die data in het legaal archief bijgehouden en niet meer in operationele databanken.
Er zijn bijgevolg maar amper een handvol mensen die toegang krijgen tot het legaal archief. Hier zit wel voldoende informatie in om personen uniek te kunnen identificeren (we praten hier overigens over transacties die vaak hoger zijn dan een paar miljarden) gezien er bij een dispuut in een rechtbank geen twijfel mag zijn wie de betaling heeft laten uitvoeren.
best bizar, die wildgroei van wettelijke bewaar termijnen. 10 jaar kan ik echter nergens terugvinden, alleen minimaal 7 jaar voor klant/transactie gegevens. Dit leidt dus tot rare situaties. Een bedrijf is verplicht gegevens over b.v. bedrijfsarts/werknemer interacties te wissen na twee jaar, maar de factuur met diezelfde bedrijfsarts of ingeschakelde hulpverlener (waar gewoon de werknemer wordt genoemd) moet 7 jaar bewaard worden. De laatste zou natuurlijk alleen op personeelsnummer moeten, maar 7 jaar geleden dacht men daar nog anders over.

Nog gekker, als ondernemer moet je minimaal 7 jaar je administratie bewaren, dus ook salaris transacties, maar b.v. loonbelasting verklaringen van diezelfde werknemer hoef je maar 5 jaar te bewaren.
In de praktijk wordt natuurlijk alles oneindig bewaard...totdat je iets nodig hebt van een bedrijf dat failliet is. Dat is pas echt een hel als je aan de controlerende kant zit.
Ik heb het over België (sorry dat ik dit niet had vermeld), daar is de bewaartermijn 10 jaar voor de data (bankafschriften, handtekeningen,...) die wij bezitten.
https://www.vlaanderen.be...oet-ik-documenten-bewaren
https://www.nbb.be/nl/fin...g-van-terrorisme/bewari-0
Sommige data zijn ze wettelijk verplicht te bewaren, zoals bepaalde transactiedata.
Vziw hoef je historische factuurgegevens maar 15 jaar te bewaren.
(En sowieso horen die niet langer aan het internet te hangen.)
(( In Nederland is het 7 of 10 jaar ))
(En sowieso horen die niet langer aan het internet te hangen.)
Daar is denk ik weinig generieks over te zeggen. Het is voor je klanten natuurlijk heel handig als zij via een portal oude facturen kunnen ophalen. Of dat ook vaak nodig zal zijn voor facturen van laten we zeggen meer dan 5 jaar oud, is natuurlijk een ander verhaal.
Transactions van 10 jaar terug is nog nodig ?
"Nodig" in de zin dat er een wettelijke verplichting kan zijn om de gegevens zo lang te bewaren. Zoals in een paar andere reacties al gemeld is het goed gebruik om gegevens die wettelijk gezien nog bewaard moeten worden maar die niet meer nodig zijn in de operatie, bijvoorbeeld omdat de klant inmiddels bij het bedrijf weg is, te bewaren in een aparte database in een beter afgeschermde omgeving, of helemaal offline. Deze gegevens in de productie database laten staan is vragen om problemen.
die kunnen ze natuurlijk ook uitprinten en opslaan in een ouderwetse archiefkast, maar de kans dat dat zo gebeurd zal wel heel klein zijn.
Ik weet niet of ik een account had. Ik heb wel een aantal keren producten gratis uitgeprobeerd waarbij ik een cashback kreeg via scoupy. Daarvoor hadden ze wel mijn mail en iban nodig natuurlijk.

Dit was in 2018 voor het laatst en ik heb geen mail gehad.
Scoupy heeft de veiligheid van klantgegevens hoog in het vaandel staan. We doen er alles aan om onze databases en technologie maximaal te beveiligen.

(...)

Op basis van gedane bevindingen zijn we keihard bezig onze systeembeveiliging nog verder aan te scherpen.
Als het marketingverhaal echt klopt, dan zou dit een bevinding zijn die enkel door de aanvallers was gevonden. Zonder technische details is hier echter niets over te zeggen.

[Reactie gewijzigd door The Zep Man op 17 september 2021 08:10]

Idd. Wat een loze woorden.
Uit het interne onderzoek naar de hack en het bijbehorende datalek komen natuurlijk nieuwe bevindingen, waarschijnlijk is dat waar ze op doelen. Feit blijft natuurlijk dat de beveiliging in eerste instantie blijkbaar niet op orde was.
Helaas is gebleken dat dit soort incidenten ook met de grootste zorg voor een goede beveiliging niet altijd te voorkomen zijn.
En
Het lek is gevonden en meteen gedicht
Het zou interessant zijn om te weten welk lek dit was en hoezo dit niet voorkomen had kunnen worden. Ik wil niet zeggen dat bovenstaande elkaar tegenspreekt, maar het klinkt een beetje alsof iemand z'n software/firmware niet up to date heeft gehouden als het lek in een handomdraai gedicht is. Anyway, verschrikkelijk balen voor alle gedupeerden.
Als je met (goede) logging bijvoorbeeld het pad kan volgen wat er is gebeurd, is het ook eenvoudiger om dat pad dicht te maken. Dat wil niet zeggen dat het pad simpel te vinden hoeft te zijn en met de standaard procedures gevonden kan worden.
Woonplaats, adres, geboortedatum, 06 nummer. Misschien moeten dergelijke apps ook eens stoppen met verzamelen van zoveel mogelijk gegevens.
Of moeten gebruikers beseffen dat sites als scoupy data honger hebben in ruil voor wat korting, voor niets gaat de zon op. Maar om een hack heeft niemand gevraagd.
Of moeten gebruikers beseffen dat
Dit valt toch een beetje in de categorie 'meisje draagt een kort rokje en loopt door een gure steeg', met andere woorden: slachtoffers de schuld in de schoenen schuiven.

Moeten dat meisje/de gebruikers beter weten? Wellicht zijn daar argumenten voor te bedenken in een discussie (preventieve acties in een imperfecte wereld, ook al zouden die acties eigenlijk niet nodig moeten zijn). Maakt dat ze minder slachtoffer? Zeker niet. De oorzaak en schuld liggen niet bij het meisje/de gebruikers.

Zonder bij nalatigheid beslissende personen strafrechtelijk te vervolgen gaat hier nooit iets aan veranderen. Datalekken worden gewoon ingecalculeerd in kosten-batenanalyses. Zolang de data zelf meer oplevert dan het lekken ervan kost, is het winst.

[Reactie gewijzigd door The Zep Man op 17 september 2021 08:41]

@no_way_today stelt dat de gebruikers mede verantwoordelijk zijn voor mogelijkheden. Dat is niet het zelfde als schuldig zijn aan het gedrag van de crimineel die gebruik maakt van de mogelijkheden. De wet legt niet zomaar recht om zelf te beslissen bij de gebruiker. Dat is ook dat je goed na kan denken waarom je je persoonsgegevens ruilt voor iets wat je wil en waarom je de ander met die gegevens kan vertrouwen. Ik lees zelden dat slachtoffers moeite doen om te beseffen wat er werkelijk met hun gegevens gaat gebeuren, kennelijk liever leunen op de verwachting dat het wel goed zit, terwijl dat weggeven grote gevolgen kan hebben en zelden terug te draaien is als het toch mis gaat. Ik lees dit bedrijf niet duidelijk zijn dat je er als gebruiker verstandig aan doet om niet door te vragen wat ze bedoelen met beweringen over beveiliging.
@no_way_today stelt dat de gebruikers mede verantwoordelijk zijn voor mogelijkheden. Dat is niet het zelfde als schuldig zijn aan het gedrag van de crimineel die gebruik maakt van de mogelijkheden. De wet legt niet zomaar recht om zelf te beslissen bij de gebruiker. Dat is ook dat je goed na kan denken waarom je je persoonsgegevens ruilt voor iets wat je wil en waarom je de ander met die gegevens kan vertrouwen. Ik lees zelden dat slachtoffers moeite doen om te beseffen wat er werkelijk met hun gegevens gaat gebeuren, kennelijk liever leunen op de verwachting dat het wel goed zit, terwijl dat weggeven grote gevolgen kan hebben en zelden terug te draaien is als het toch mis gaat. Ik lees dit bedrijf niet duidelijk zijn dat je er als gebruiker verstandig aan doet om niet door te vragen wat ze bedoelen met beweringen over beveiliging.
De realiteit is dat de meeste mensen niet in staat zijn om het probleem echt te overzien en er mee om te gaan. De details zijn verstopt in lange teksten waar niemand de tijd voor heeft om te lezen. Nu zou je kunnen zeggen dat je met "gezond verstand" zou moeten weten dat het foute boel is, maar de dagelijkse praktijk laat zien dat mensen zo niet denken. En het is ook niet makkelijk wat de schade is meestal indirect en achteraf. Mensen hebben de verwachting dat ze door de overheid beschermd wordt tegen oplichters en misbruik en de meeste misstanden. Natuurlijk blijft daar een mate van eigen verantwoordelijkheid bij maar die kan niet meer dan beperkt zijn. Niemand kan alles weten. Ik zie bijvoorbeeld nooit iemand voor vertrek controleren of de trein aan alle veiligheidsvoorschriften voldoet. Je gaat er van uit dat het goed is.

Onze maatschappij staat bol van de situaties waarin mensen er van uit gaan dat ze een zekere mate van bescherming hebben. Ik denk dat de meeste gebruikers van Scoopy wel beseft hebben dat ze hun gegevens afstaan maar dat ze niet overzien wat er allemaal mee kan gebeuren.

Nog een vergelijking. Als er ergens een gevaarlijk afgrond is dan is het je eigen schuld als je daar invalt. Ook als er een pad vlak langs de afgrond loopt. Maar als er iedere week iemand in de afgrond valt dan gaat de bevolking eisen dat de gemeente/eigenaar een hek plaatst of het pad verlegt. De overheid heeft een plicht om voor de bevolking te zorgen en te beschermen tegen gevaren die mensen zelf niet aan kunnen. We kunnen het natuurlijk lang hebben over hoe ver die plicht gaat, maar naar mijn mening is er op het gebied van databescherming wel wat meer nodig.
Ik adviseer mijn dochter om niet met een kort rokje door een gure steeg te lopen, dat heeft niks met schuld te maken als het misgaat, het is gewoon erg dom om te doen.
Heb regelmatig scoupy gebruikt. Zijn met name acties van nieuwe producten. Als leverancier heb je middels Scoupy de mogelijkheid om je product voor een zelfgekozen prijs in de schappen te krijgen of zelfs gratis aan te bieden. Tuurlijk zullen ze van Scoupy data ontvangen van wie/waar/wanneer wat heeft gekocht. Maar denk dat Scoupy niet direct bestaat door de data. Leveranciers betalen scoupy voor promotie van artikelen.
Mogelijk zijn zij wettelijk verplicht om die data te verwerken als zij hun dienst mogen aanbieden. Ze maken tenslotte geld over naar mensen. Het geldt in principe voor een hele boel diensten. Mobiele providers die je adresgegevens willen hebben als je alleen maar een e-sim wilt afnemen, enz.

Misschien is het onzin hoor, maar ik kan me zomaar voorstellen dat die gegevens verplicht zijn. (al kan ik me het telefoonnummer niet voorstellen)
Dat is hun verdien model, mensen worden steeds gieriger en willen korting korting korting. Er moet natuurlijk wel iets tegenover staan en dat is dus je gegevens aanleveren, dat is dus een bewuste keuze. Natuurlijk is het niet goed dat er een hack gepleegd is maar dit begint wel steeds meer een eigen risico te worden als je je overal voor opgeeft.
Waarom zijn adresgegevens voor dit soort bedrijven belangrijk? Als het alleen gaat om korting geven vanuit de website.

Want als SCOUPY ook levert aan jou, dan begrijp ik ze wel.
Mogelijk zijn ze het wettelijk verplicht om te verwerken. Ze maken ten slotte geld over naar mensen als onderdeel van hun dienst. (zover ik weet moet op een factuur altijd een adres staan)
https://www.belastingdien...turen_maken/factuureisen/

Bekijk ook een KPN/Vodafone die bij een e-sim-only abonnement ook perse NAW gegevens nodig heeft. Zover ik weet zijn ze dit wettelijk verplicht.
Vind het al opvallend dat ze zoveel gebruikers hebben. Dacht niemand doet dat toch?
Precies de gegevens die je nodig hebt om sommige banken telefonisch om informatie etc te kunnen benaderen.
zijn er mensen die daadwerkelijk de juiste gegevens opgeven bij zo een kortingsites?
het juiste bankrekeningnummer is wel handig als je die korting ook daadwerkelijk wilt krijgen.
Scoupy werkt met terugbetaling. Jij koopt de boodschappen, levert het bewijs (boodschappen briefje) in en zij keren de korting uit op je rekening.
ahzo... gebruik de dienst niet :-)
Snap wel dat ze veel gegevens willen (en verkopen/verhandelen) als ze er ook gewoon voor betalen blijkbaar.
Maar voor de doorsnee mens zijn die gegevens al amper privé... Vroeger had je telefoonboeken waar dat allemaal (behalve rekeningnr) in stond.
idk. Ik ben voorzichtiger geworden idd.
Maar toch vind ik het vervelend om verkeerde gegevens in te vullen.

Ze zouden het gewoon niet moeten vragen. Of alleen maar initieel vragen en vervolgens niet opslaan oid.
Dan toch maar de meisjesnaam van je moeder bij de bank laten registreren ;-)
bij de bank? dan wordt het wel heel gecompliceerd als je moeder komt te overlijden.
Ik bedoel als 'controlevraag'.
Eh, je woonplaats is nodig omdat ze moeten controleren waar je een aankoop hebt gedaan. Je geboortedatum is nodig omdat er ook alcohol tussenzit. Bovendien gaat het ook om het aanbod. Als jij bijv. op Netflix aangeeft dat je 16 bent, dan krijg je geen 18+-films te zien. Zo ook op Scoupy met alcohol. Toegegeven: dat zouden ze ook via een eenmalige controle kunnen doen, maar toch.

cc @no_way_today

[Reactie gewijzigd door TheVivaldi op 17 september 2021 17:37]

Maar zij verkopen geen alcohol, regelen enkel de cashback.De geboortedatum is eerder interessant om preciezer te bepalen hoe de klant eruit ziet. Dan kan je daar later rekening mee houden als je gaat adverteren.

[Reactie gewijzigd door neurotweak op 17 september 2021 17:10]

Maar zij verkopen geen alcohol, regelen enkel de cashback.
Klopt, maar ze zijn wettelijk verplicht om dat alsnog te controleren, zover ik heb begrepen.

Bovendien gaat het ook om het aanbod. Als jij bijv. op Netflix aangeeft dat je 16 bent, dan krijg je geen 18+-films te zien. Zo ook op Scoupy met alcohol.

[Reactie gewijzigd door TheVivaldi op 17 september 2021 17:37]

Volgens de algemene voorwaarden moet je je geboortedatum opgeven om in aanmerking te komen voor een cashback, daar staat niet bij dat dat alleen voor alcohol zou zijn. Het zou kunnen dat daar regels voor zijn, maar dan is de controledwang wel erg doorgeschoten.
Netflix is een andere zaak, die verkoopt een product. Dat is toch wat anders dan de dienst die Scoupy levert, de alcohol of welk ander product dan ook koop je bij een winkel..
Eens, maar wie dacht daar 10/15 jaar geleden aan, ik heb ooit ook meerdere openbare profielen gehad waarin ik vanalles deelde, net zoals iedereen. Daar sta ik pas sinds een paar jaar heel anders in. Want inderdaad waarom hebben bedrijven zoals een scoupy of een facebook mijn 06 of adres nodig.

Maar toen was volgens mij niemand bezig met privacy en alles staat openbaar.
Dat wordt een leuke zaak voor de AP.
Volgens de AVG mag men alleen noodzakelijke gegevens vragen. Helaas zie je nog steeds veel web formulieren die meer vragen dan noodzakelijk. Soms (maar lang niet altijd) zijn een aantal velden niet meer verplicht.
Mensen zullen ook bij zichzelf te rade moeten gaan en na moeten denken welke gegevens wel of niet noodzakelijk zijn. Voor gegevens die je toch verplicht in moet vullen ben je niet verplicht om daar ook de juiste gegevens in te vullen. Een geboortedatum dient meestal alleen om te kijken of je boven de 13 of 18 bent. Telefoonnummer is zelden echt noodzakelijk. Als dat wel zo is zet men het er meestal bij waarvoor het wordt gebruikt.
Helaas is data verzamelen voor de verkoop nog steeds niet uitgebannen en zolang daar niet hard tegenop getreden wordt zal het ook blijven bestaan.
Begrijp niet dat bedrijven niet dezelfde procedure hanteren als op bedrijfsnetwerken en omgevingen. Iedere x dagen (30/60/90) moet je gewoon je wachtwoord aanpassen en kan je met policy's zorgen dat wachtwoorden niet worden hergebruikt (er een cijfer hoger achter zetten bijvoorbeeld). Dit wachtwoord lijkt teveel op eerder gebruikte wachtwoorden etc..

Dit soort datalekken kosten veel geld en tijd, ben je 30 dagen ergens niet geweest met je inlog, jammer joh, password verlopen, gebruik de password reset maar. Daarmee haal je volgens mij al veel weg, niet alles, maar je gaat als bedrijven wel langzaam je gebruikers/klanten opvoeden. En ja dat kan klanten kosten, maar dit kost veel meer naar mijn idee....

Meeste operating systemen bieden voldoende password managers die een goed veilig wachtwoord kunnen voorstellen en beheren voor de gebruiker..
En precies hoe gaat elke 30 dagen je wachtwoord veranderen dit helpen? Als we dat allemaal zouden doen, dan zou die database niet uitlekken? Dan zouden bedrijven geen plaintext opslaan? Dan komen er geen gegevens op straat?

En wat gaan we doen als complete wachtwoordmanagers leeg getrokken worden? Goeie spyware/trojan heeft daar maar paar minuten voor nodig, en dan? Mensen die blind leunen op de auto-fill optie en vergeten dat er ook nog MITM's bestaan? Vervang het 1 zwakke niet door het andere zwakke.
Meeste operating systemen bieden voldoende password managers die een goed veilig wachtwoord kunnen voorstellen en beheren voor de gebruiker..
Ieder beleid wat je probeert om 'handigheidjes' te voorkomen, zorgt er wel voor dat mensen met briefjes gaan werken, of andere handigheidjes verzinnen om eromheen te werken. Je bent dan bezig met een illusie, in plaats van de praktijk.

Maar ook NIST raadt dat bijvoorbeeld af.
2. Eliminate Periodic Resets
Many companies ask their users to reset their passwords every few months, thinking that any unauthorized person who obtained a user’s password will soon be locked out. However, frequent password changes can actually make security worse.

It’s difficult enough to remember one good password a year. And since users often have numerous passwords to remember already, they often resort to changing their passwords in predictable patterns, such as adding a single character to the end of their last password or replacing a letter with a symbol that looks like it (such as $ instead of S).

So if an attacker already knows a user’s previous password, it won’t be difficult to crack the new one. The NIST guidelines state that periodic password-change requirements should be removed for this reason.

[Reactie gewijzigd door gorgi_19 op 17 september 2021 09:29]

- Periodiek wachtwoord vervangen is achterhaald (komt uit een document uit 2003), zelfde als de 0bFuscat!e die veel bedrijven uitlokken (kleine letters, hoofdletters, speciale tekens, cijfers, geen herhalingen). De bedenker heeft dit een tijdje geleden toegegeven: https://www.bbc.com/news/technology-40875534

- Het updaten van een password met een ophoognummer, of lijkende passwords detecteren kan niet tegengegaan worden als mensen cyclen tussen twee wachtwoorden met ophoognummer of een wijziging doen en direct terugwijzigen naar een lijkend password (ja, dat soort "slimmigheden" doen mensen en vertellen het ook door omdat iedereen op kantoor aan het klagen is over de irritante password policies).
In theorie heb je gelijk.
Maar er zijn heel veel mensen die niet weten hoe een passwordmanager werkt. Of niet vertrouwen ("als ze die database stelen…").
Daarnaast willen bedrijven zo klantvriendelijk als mogelijk zijn. Als een klant iedere twee maanden een wachtwoord moet wijzigen zullen ze na de derde keer het product wel bestellen bij de concurrent in China die het niet zo nauw neemt met dat "moeilijke wachtwoord-gedoe". Trade-off is inderdaad dat er nagenoeg nooit een wachtwoord gewijzigd hoeft te worden.
Hoe weet het systeem dat een wachtwoord te veel lijkt op een eerder gebruikt wachtwoord? Denk daar maar even over na :)
De crimineel kan hier net zo goed gegevens verkregen hebben zonder ooit een wachtwoord nodig te hebben gehad, of zelfs een medewerker zijn geweest. Je onbegrip lijkt zonder onderbouwing dus niet zomaar relevant te zijn, en is ook niet zomaar een oplossing. Je kan je dus beter eerst afvragen wat hier nu echt de oorzaken zijn, in plaats van willekeurig wat te noemen als oplossing. Bijvoorbeeld om als klant af te vragen waarom de crimineel bij de gegevens kon komen.
Dit heeft toch niks nergens mee te maken?
Ze hebben nu:
- NAW-gegevens
- Telefoonnummers
- Versleutelde wachtwoorden
- Versleutelde bankrekeningnummers

Ze hebben effectief dus allen 'maar' NAW-gegevens en telefoonnummers. Het enige waar periodiek wachtwoorden veranderen goed voor is, is dat als iemand anders, zonder dat jij het weet, je wachtwoord heeft voor de betreffende dienst.

Idealiter stappen we helemaal af van wachtwoorden op internet (FIDO2, WebAuthN, enz.)

Maar al zouden we met z'n allen geen wachtwoorden meer hebben op internet, dan nog zullen diezelfde NAW-gegevens gestolen worden.
En waar sla je al die wachtwoorden op dan die je elke maand veranderd?

In zo'n kluisdienst? Waar sla je dat wachtwoord op dan? Je kan niet alles onthouden.
bijvoorbeeld een Keypass of andere password manager, nu moet je het toch ook onthouden of opslaan? Je password hergebruiken is stomste wat je kan doen..
Ja ik wijs altijd weer naar bijvoorbeeld mijn ouders die alle wachtwoorden opschrijven, want ze kunnen het niet meer onthouden al die wachtwoorden.
Logisch, het is ook een echt probleem, maar beter dat men de password reset moet gaan gebruiken na 30 dagen dan 1 wachtwoord waarmee een crimineel overal kan inloggen..
Met password reset kan een crimineel met 1 wachtwoord ook overal in, het wachtwoord van je e-mail.
Ikzelf hergebruik wel wachtwoorden voor bepaalde websites.
Waarom? Omdat op die bepaalde websites waarover ik het heb niet echt waardevolle informatie staat als in digitale goederen die de inbreker direct zou kunnen doorverkopen.
Dat zou een site als Scoupy kunnen zijn, maar ook een webwinkel account bijvoorbeeld.
Je hebt dan wel data als naam en adres die deze inbrekers dan ook buit maken, maar in de praktijk zie je dat zij er vrijwel nooit wat mee doen.
Wél zie je dat ze jouw mailadres laten volspammen, maar dat is helaas wel een gegeven bij zo'n hack als de website hierop geen encryptie heeft toegepast.
Heb overigens wel eens gedacht om een systeem te bedenken, vast wachtwoord en dan de eerste letters van de site waar het voor is en dan het jaar achterstevoren ofzo. Maar dat werkt weer niet als je na jaren ergens moet inloggen en de bedrijfsnaam of de URL is veranderd.

Nog niet echt een waterdicht systeem kunnen bedenken.

Flexwebhosting -> ww2012fwh_nl&nogiets
Belastingdienst -> ww2015bd_nl&nogiets

Maar dat is ook altijd weer hetzelfde uiteindelijk als je 1 code hebt.

[Reactie gewijzigd door JDx op 17 september 2021 08:50]

Gewoon een wachtwoord manager gebruiken, dan hoef je nergens over na te denken. Keepass is gratis, werkt en synchroniseerd via een clouddrive (Google Microsoft etc) op verschillende platformen maar is voor nieuwe (minder digitaal onderlegde gebruikers) een beetje moeilijk.
Bitwarden, betaald, is makkelijk in gebruik, wachtwoorden zijn direct gesynchroniseerd over het verschillende devices.
Maar ik begrijp dus niet hoe dat werkt en ik heb zelf in C# geprogrammeerd :') als je het wachtwoord hebt voor KeePass kan je meteen overal bij toch? Wat is dan het verschil met 1 wachtwoord voor al je zaken?

Ik heb dit al heel vaak gevraagd, maar krijg er nooit antwoord op.

[Reactie gewijzigd door JDx op 17 september 2021 22:17]

Je hebt bij keepass 1 master wachtwoord die je eventueel kan combineren met een sleutel bestand. Net als bij een ouderwetse kluis heb je een code en een sleutel nodig. Het sleutel bestand kan je bijvoorbeeld op een USB stick plaatsen.

Je hoeft maar 1 wachtwoord te onthouden, voor alle overige zaken heb je unieke wachtwoorden waar je alleen bij kan wanneer je het master wachtwoord en het sleutel bestand hebt. Ik gebruik voor mijn master een wachtwoord die ik nergens anders voor gebruik. Daarnaast is het voor mijn naasten overzichtelijk wanneer ik er niet ben wat ik allemaal heb lopen, ik heb voorzorgsmaatregelen getroffen mocht mij iets overkomen.
als je het wachtwoord hebt voor KeePass kan je meteen overal bij toch? Wat is dan het verschil met 1 wachtwoord voor al je zaken?
Inleiding
Het primaire doel van "inloggen" (authenticeren) op elk van jouw accounts is het voorkómen dat anderen (d.w.z. kwaadwillenden) dan jij dat kunnen. Dat wil je niet omdat anderen, namens jou, dan dingen kunnen doen die in jouw nadeel zijn (direct of indirect).

Een kwaadwillende kan dat ook als hij of zij het device (PC, phone etc.) waarvanaf jij inlogt heeft gehacked. Je moet dus sowieso uitsluitend inloggen vanaf devices die je kunt vertrouwen.

Als je dat doet, kun je op die devices ook een wachtwoordmanager zoals KeePass gebruiken. Maar het klopt dat het "game over" is als een hacker het master password + database van jouw KeePass in handen krijgt.

Nb. de database van KeePass is versleuteld, o.a. voor het geval dat een back-up daarvan in verkeerde handen valt. Als dat in jouw situatie een risico is (bijv. omdat deze op een laptop zonder schijfversleuteling staat, die gestolen wordt) moet je een lang en complex wachtwoord voor KeePass zelf gebruiken. Immers, zo'n versleutelde database kan zich niet verdedigen met een "account lockout" na X foute pogingen.

Waarom andere ww
Stel je studeert (of studeerde) bij de HAN en gebruikt hetzelfde wachtwoord voor gmail: dan ligt nu mogelijk ook jouw gmail wachtwoord op straat.

Als je overal jouw gmail adres als "user-ID" bij inloggen gebruikt, en een aanvaller krijgt toegang tot jouw inbox, dan kan die aanvaller op de meeste van jouw accounts een "password reset" uitvoeren en zo toegang krijgen tot die accounts. Wees dus altijd extra zorgvuldig met de beveiliging van toegang tot jouw e-mail account(s).

Het probleem met servers van derden waar jij een wachtwoord op invoert, is dat jij meestal niet weet hoe goed die server beveiligd is, wie er sowieso beheerrechten op hebben en of, en zo ja op welke wijze, een één-richting afgeleide van jouw wachtwoord op die server is opgeslagen.

Waarom een ww-mgr
Door een wachtwoordmanager te gebruiken, die je per account een uniek lang random (willekeurig) wachtwoord laat genereren, maakt het niet uit of jouw wachtwoord plain text op die server wordt opgeslagen, of een afgeleide daarvan: als het gestolen wordt of de afgeleide kraakbaar blijkt, heeft een aanvaller daar niets aan voor jouw andere accounts. En hoe langer het wachtwoord, hoe kleiner de kans dat een externe aanvaller kan inloggen met brute force, terwijl randomness helpt tegen dictionary attacks.

Een wachtwoordmanager heeft nog meer voordelen. Bijv. als je ooit jouw e-mail adres wilt wijzigen, weet je waar je dat allemaal gebruikt hebt (mits je dat per account in de wachtwoordmanager hebt opgenomen). En mocht jou iets overkomen en je vooraf iemand die jij vertrouwt toegang hebt gegeven, kan dat die persoon helpen om al jouw accounts af te sluiten (misbruik voorkomen en evt. betalingen stoppen).
Het idee van periodiek wachtwoorden vervangen is echt al jaren achterhaald en wordt ook door Microsoft al jaren afgeraden. Het is slecht voor de veiligheid en onhandig.

Dit verhaal gaat natuurlijk niet helemaal op als je willekeurig gegenereerde wachtwoorden gebruikt in combinatie met een wachtwoordmanager, maar daar heb je op het inlogscherm van je besturingssysteem niet zo veel aan.
Goede reden om mijn account te verwijderen.

Te laat voor deze inbraak, maar oude accounts die je niet meer gebruikt kun je net zo goed weggooien.

Ik ben blij dat ik voor sites als deze altijd een random gegenereerd wachtwoord gebruik wat ik nergens anders gebruik.
Hier ben ik toevallig de laatste twee weken mee bezig geweest. Ik heb zo'n 50 accounts verwijderd. Voor sommige websites/services hoef je alleen op een knop "delete account" te klikken in je account settings, voor andere moet je zoeken door het helpcentrum of via een search engine voor een speciale verwijderpagina en voor anderen moet je een email sturen waar ze vervolgens allerlei data vragen.
Ik zou voor het verwijderen eerst zoveel mogelijk data overschrijven met onzin, aangezien "verwijderen" vaak niet meer is dan "deleted" op 1 zetten in de database. Het verwijderen van data uit een database is moeilijk (foreign keys enzo) en privacy is voor veel bedrijven niet echt belangrijk.

Gelukkig is het bijhouden van een change log ook moeilijk en kun je vaak dus je gegevens eenmalig overschrijven voor je je account verwijdert waardoor zo'n hack minimale invloed zou moeten hebben.
Ja ik ga het toch ook maar eens even bekijken allemaal, waar ik nog een account heb enzo.
Alleen lastig want ja kom er maar eens achter, zullen genoeg websites zijn waarvan je al lang niet meer weet dat je een account heb.
Precies ik ook direct maar even mijn account verwijderd, kreeg zo nu en dan nog steeds emails.
Ik heb het eens gedaan maar vond uiteindelijk gedoe, al die producten ja leuk gratis moet je wel willen gebruiken(Vaak ook dingen niks aan heb).

Nou dan betaal ik maar eens wat meer voor een product, ben niet zo korting gierig perse moet hebben.
Te laat voor deze inbraak, maar oude accounts die je niet meer gebruikt kun je net zo goed weggooien.
Dit is sowieso een goed idee om verschillende redenen. Echter zie je dat er best een boel plaatsen zijn waar ze je account niet 'kunnen' verwijderen. Hooguit anonimiseren. Wat an sich ook goed kan zijn denk ik?

Ook op Tweakers schijnt het problematisch te zijn om je account te laten verwijderen:
https://tweakers.net/info...waarden/#opheffen_account
Tweakers verwijdert account niet conform voorwaarden

Ook op generieke forumsoftware als Discourse kan je accounts niet verwijderen in de praktijk. Wel laten anonimiseren. Technisch gezien kan het wel, maar in de praktijk gebeurd het niet)
Ik kreeg hier gisteren ook een mail over, maar ik heb me daar nooit geregistreerd. In mijn mailbox is ook totaal niets te vinden van "Scoupy". Hebben meer mensen hier last van? Waar komen die gegevens vandaan?

Als ik inlog met mijn email zie ik als voornaam ook alleen staan "voornaam.achternaam" afkomstig van het emailadres.

Heel vreemd allemaal.

[Reactie gewijzigd door psy op 17 september 2021 08:32]

Ik heb deze mail ook gekregen. Ik kan me eigenlijk niet herinneren dat ik daar ooit een account heb aangemaakt. Lastpass kan ook geen gegevens vinden.
Hier ook mail ontvangen zonder account. Denk dat ik ooit gratis product via de supermarkt Jan Linders heb aangeschaft. Cashback via de site van Jan Linders, waarbij Scoupy op de achtergrond de cashback regelde. Zoiets.
T-Mobile heeft ook een samenwerking met Scoupy (gehad) dus mogelijk komen ook een deel van de gegevens daar vandaan.
Hier ook
Kan mij ook niet herrineren dat ik ooit wat met ze gedaan hebt maar ook hier kwam de mail binnen
Geen idee wat voor toko het is maar kan zijn dat ze het beheer deden voor iemand anders?
Hier ook een mail gehad. Eigenlijk al jaren niet gebruikt maar toch vergeten mijn account te verwijderen. Hopelijk blijft alle belangrijke informatie geheim.
Heb geen mail gezien maar goed misschien per ongeluk verwijderd al, want scoupy ging bij mij zonder na te kijken iedere keer zo hup weg ermee haha.
Gelijk een reden om direct mijn account eens te verwijderen, vond die emails altijd al zo irritant scheelt weer reclame.

Ga dit weekend denk ik maar eens brainstormen waar ik allemaal een account op heb, en deze wijzigen allemaal.
Eerst eens de websites die ik nog echt gebruik die weet ik wel, maar ja dan komen de website waar je eens een keer iets besteld heb dat gaat lastig worden haha.
Tegenwoordig gebruik ik ook wachtwoordmanager zodat ik in ieder geval nooit dezelfde wachtwoord heb bij alle sites. Alleen was mijn account bij Scoupy volgens mij eerder aangemaakt.
Ja ik ga het nu ook maar eens doen had dit nog niet, alles in de iCloud Keychain opslaan.
En gewoon even alle reclame mails die voorbij komen in de gaten houden, even kijken heb ik hier nog een account zo ja gelijk verwijderen of aanpassen

[Reactie gewijzigd door Carlos0_0 op 17 september 2021 17:36]

Ik heb gisterenavond inderdaad een mail ontvangen van Scoupy. Het lukte mij ook nog niet om mijn wachtwoord te wijzigen. Straks nog maar eens proberen.
Lukte mij ook niet. Maar als je kiest voor wachtwoord vergeten dan lukt het wel.
Krijg zo nu en dan nog steeds mails die constant weg gooi, gelijk eens kijken en eventueel mijn account wissen als die er is.
Van een reclame app verwacht ik dat dit allang door hunzelf doorverkocht was aan de halve wereld. Zal waarschijnlijk niet een gigantisch verschil maken in de hoeveelheid spam.
Voor degene die het wachtwoord willen wijzigen. Bij het opslaan krijg je waarschijnlijk een foutmelding dat er iets mis is gegaan 'op de servers'. Het nieuwe wachtwoord is echter wel opgeslagen. Ik heb dit gisteravond gehad en zojuist weer. Ondanks de foutmelding wordt het wachtwoord dus wel aangepast. Je moet met het nieuwe wachtwoord inloggen.

Dit geldt voor zowel het wijzigen via de app danwel via de website.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True