Gegevens van zeven miljoen mensen zijn gestolen bij Robinhood-hack

Een hacker heeft van zeven miljoen klanten op de beleggingsapp Robinhood gegevens gestolen. Van vijf miljoen mensen zijn er e-mailadressen openbaar gemaakt en van nog eens twee miljoen de volledige namen. Er zouden geen bankgegevens of burgerservicenummers gelekt zijn.

Uit onderzoek van Robinhood zelf bleek dat naast de zeven miljoen klanten, er van een kleinere groep aanvullende data is gelekt. Bij 310 personen zijn er volledige namen, geboortedata en postcodes gelekt. Van zo'n tien gebruikers is er nog meer data gelekt, al geeft Robinhood hier geen details over. Het bedrijf geeft wel aan dat er van niemand bankrekeningnummers, bankpasnummers of bsn's zijn blootgelegd. Ook zou niemand financieel leed hebben ervaren ten gevolge van de hack. Het bedrijf zegt momenteel bezig te zijn met het op de hoogte stellen van de slachtoffers.

Volgens Robinhood wist de hacker een medewerker van de klantenservice te manipuleren en zo toegang te krijgen tot 'bepaalde klantenservicesystemen' en daarmee de gegevens van gebruikers. Ook zou de hacker losgeld eisen van de beleggingsapp. Om welk bedrag het gaat, en of de app heeft betaald, wordt niet genoemd. Robinhood meldt de aanval gestopt te hebben en de politie te hebben geïnformeerd. Ook zegt de beleggingsapp samen met beveiligingsbedrijf Mandiant de hack verder te gaan onderzoeken.

Door Kevin Krikhaar

Redacteur

Feedback • 09-11-2021 10:1977

09-11-2021 • 10:19

77 Linkedin

Lees meer

Google neemt cybersecuritybedrijf Mandiant over voor 5,4 miljard dollar - update Nieuws van 8 maart 2022
Inbrekers stelen in Brussel computer met data van gevaccineerden Nieuws van 27 december 2021
Panasonic maakt melding van datalek na hack op intern netwerk Nieuws van 29 november 2021
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord Nieuws van 16 november 2021
Twitch benadrukt dat er bij recente datalek geen gebruikersgegevens gelekt zijn Nieuws van 15 oktober 2021
Belgische toezichthouder onderzoekt mogelijk beveiligingslek in CovidScan-app Nieuws van 13 oktober 2021
Google verwijdert negatieve beoordelingen Robinhood-app na stop GameStop-handel Nieuws van 29 januari 2021
Meer producten en artikelen
Networking en security Datalek Hack

Reacties (77)

-Moderatie-faq
77
76
29
1
0
14
Wijzig sortering
Justin013
9 november 2021 10:31
Volgens Robinhood wist de hacker een medewerker van de klantenservice te manipuleren en zo toegang te krijgen tot 'bepaalde klantenservicesystemen' en daarmee de gegevens van gebruikers.
Dus eigenlijk is er helemaal niets gehackt, maar heeft iemand gewoon de deur open gezet? Sterk staaltje overtuigingskracht van die 'hacker' dan.
Kars
@Justin0139 november 2021 10:34
Dat heet 'social engineering' en is wel degelijk een vorm van hacken.
dycell
@Kars9 november 2021 12:00
Het is zelfs de meest succesvolle vorm van hacken. Klik hier om een prijs te winnen!
Oeroeg
@dycell9 november 2021 13:46
Ah, cQ op 't eind. Daar trap ik niet in.
dycell
@Oeroeg9 november 2021 13:57
Ik zat nog te denken om een URL verkorter te gebruiken zoals 'echte hackers' dat doen maar ik wil mensen wel een kans geven :+
andries98
@Oeroeg9 november 2021 14:27
Cq aan het einde, wat doet dat dan? Snelle google geeft me niet zoveel?
(Verkorters is juist makkelijk te herkennen)

[Reactie gewijzigd door andries98 op 9 november 2021 14:29]

kever678
@andries989 november 2021 15:03
You've been Rick Rolled.
Oeroeg
@andries989 november 2021 15:58
?v=dQw4w9WgXcQ
fuse.core
@andries989 november 2021 17:34
cQ op het einde van de URL is de meest gebruikte youtube rickroll link
electricretard
@Oeroeg9 november 2021 15:35
Haha we hebben een kenner :D
Anoniem: 100047
@dycell9 november 2021 12:21
* @Anoniem: 100047 pakt zijn werktelefoon om de link aan te klikken, de baas heeft VPN en dat zal dan wel goed gaan *

Hmz, of toch niet :)

[Reactie gewijzigd door Anoniem: 100047 op 9 november 2021 12:23]

gimbal
@Kars9 november 2021 16:50
Best wel de kern van de film "Takedown". Niet een geheel onaardige film als ik eerlijk ben, het is maar 50% onzin.
Martinez-
@Justin0139 november 2021 10:38
Ik vraag me oprecht af hoe dat gesprek gelopen is waardoor deze medewerker 'de deur heeft opengezet'. Vrijgeven van dergelijke informatie (of het gehele gesprek met behoud van privacy voor de medewerker) zou medewerkers natuurlijk wel kunnen helpen om het te herkennen.
Wailing_Banshee
@Martinez-9 november 2021 10:44
Ik weet dat er cursussen zijn om dit soort dingen te herkennen, maar het blijft vreselijk moeilijk. Genoeg voorbeelden te vinden van mensen die weten van het bestaan, en bezig zijn met security voor hun dagelijks werk, die er toch in trappen...
Martinez-
@Wailing_Banshee9 november 2021 14:49
Een cursus is natuurlijk iets anders dan 'the real thing'. Dergelijke praktijkvoorbeelden zijn er imo veel te weinig.
wmca
@Wailing_Banshee9 november 2021 18:17
Eén van onze IT'ers heeft (lang geleden voor de term fishing bestond) zijn broer naar onze secretaresses laten telefoneren met het verhaal dat de zekering van hun mailbox afgesprongen was en hij hun wachtwoord nodig had om te herstarten. Ze waren stuk voor stuk heel behulpzaam.
YopY
@Justin0139 november 2021 10:35
Inbreken als je de sleutel krijgt is nog steeds inbreken.
Anoniem: 1367312
@YopY9 november 2021 10:42
Men noemt het dan insluiping en niet inbraak.
r03n_d
@Anoniem: 13673129 november 2021 10:48
Dat social engineering onder hacken valt heeft echter dan weer helemaal niks te maken met het verschil tussen inbraak/insluiping.
whiner
@r03n_d9 november 2021 12:00
social engineering is voor een hacker de aller moeilijkste manier van hacken. Hij moet hiervoor sociaal zijn en communiceren :+
core_dump
@whiner9 november 2021 13:17
Eigenlijk de makkelijkste manier van hacken. Gebruikers geven vaak heel makkelijk en vol vertrouwen cruciale gegevens weg.
De nadruk bij beveiligen ligt meestal op firewalls, patches ed maar een behoorlijke training of social engineering experiments wordt vaak vergeten.
kozue
@whiner9 november 2021 20:26
Als je je voordoet als iemand van de IT afdeling vind ineens niemand het raar meer als je niet zo sociaal onderlegt bent. En het hoeft ook niet perse via de telefoon, je kunt ook de tijd nemen om een tactisch bewoorde email samen te stellen.
trisje
@kozue10 november 2021 10:48
Een goede training van je gebruikers is dan ook dit soort e-mails als test naar je gebruikers sturen. en als een van hen op een link klikt een pagina laten zien dat hij of zij is gevallen voor een fishing e-mail met een verdere uitleg. Na een paar van deze e-mailtjes zie je het percentage geklikte links flink naar beneden gaan. Al zijn er altijd wel een paar die het als nog doen. Deze diensten worden veel al aangeboden door security bedrijven.
Asjemenou
@Anoniem: 13673129 november 2021 10:45
Nee, dat noemen we inbraak met valse sleutel. Insluipen is als er helemaal niets open gemaakt/gebroken hoeft te worden, maar bijvoorbeeld een deur of raam niet is afgesloten en de dief zo binnen komt.
Anoniem: 1367312
@Asjemenou9 november 2021 10:52
Sorry erg off topic, moet er niet bij definitie bij inbraak, braaksporen zijn?
adje123
@Anoniem: 13673129 november 2021 10:55
Braaksporen hoeven geen onderdeel te zijn van een inbraak.
Heidistein
@adje1239 november 2021 11:00
Zieke dief al 'ie braaksporen achterlaat...
Hobbit13
@Heidistein9 november 2021 11:13
lol
Tintel
@Heidistein9 november 2021 11:29
Da's dus een inbraker of een uitbraker? :+
jimzz
@adje1239 november 2021 15:43
Als er geen braaksporen aanwezig zijn bij een "inbraak" dan wens ik je veel succes met de verzekering en hoewel verzekeraars dit over t algemeen wel dekken, is het niet de vraag of t gedekt wordt, maar de vraag of er uitgekeerd gaat worden.

Als de "inbreker" een sleutel had (al dan niet een kopie) dan wordt er waarschijnlijk eerder gekeken naar nalatigheid en dan kun je denk ik fluiten naar je centen.

Dus hoewel braaksporen geen onderdeel hoeven te zijn van inbraak, zal het je case zeker sterker maken.
Mathi159
@Justin0139 november 2021 11:22
En wat voor deur, elke jojo van de klantenservice kan dus het hele klantenbestand binnenhalen zonder dat er ergens een lampje gaat branden.
litebyte
@Justin0139 november 2021 10:45
Geen hacken, wel diefstal.

Frappant overigens, Al vier berichten vandaag (op Tweakers) die gaan over cybercriminaliteit - hacking/ransomware of het stelen van privacgevoelige gegevens.
berchtold
@litebyte9 november 2021 11:07
Gaan er alleen maar meer worden met die bedrijven die allemaal managers hebben die alleen cijfertjes met geld willen zien zonder te investeren in goeie beveiliging. Ze kiezen er liever voor om schade te herstellen dan te voorkomen
Dorank
@litebyte9 november 2021 11:10
Nee het is geen diefstal. Dat is immers het wegnemen van enig goed dat geheel of ten dele aan een ander toebehoort. Robinhood heeft de gegevens nog, de gegevens zijn onrechtmatig gedupliceerd.

https://wetten.overheid.n..._TiteldeelXXII_Artikel310
Titel XXII. Diefstal en stroperij
Artikel 310
Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.
Tintel
@Dorank9 november 2021 11:42
Tja - dat is bij software vrijwel altijd het geval. Als niet de fysieke dragers worden gestolen dan spreken we toch nog van 'gestolen data'. Ook al heeft de 'eigenaar' diezelfde data ook nog steeds.

Games worden ook onrechtmatig gedupliceerd maar als je zelf het origineel in het bezit hebt dan is dat toch weer van een ander orde dan eerst ergens binnenkomen en dan data dupliceren.

Die game wordt dan niet beschreven als gestolen - wel als illegale kopie.
Dorank
@Tintel9 november 2021 14:56
Als niet de fysieke dragers worden gestolen dan spreken we toch nog van 'gestolen data'.
Er wordt, zoals je zelf al aangeeft met de aanhalingstekens, onterecht gesproken over gestolen data. Laten we het gewoon correct benoemen, geen diefstal of inbraak maar: computervredebreuk.

https://wetten.overheid.n...z=2016-01-01&g=2016-01-01
138 ab
1 Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
..
2 Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
..
Games worden ook onrechtmatig gedupliceerd maar als je zelf het origineel in het bezit hebt dan is dat toch weer van een ander orde dan eerst ergens binnenkomen en dan data dupliceren.
Het onrechtmatig dupliceren van een spel, ook al heb je een orgineel, is een inbreuk op de auteusrechten van de eigenaren van het spel. De strafmaat is overigens een stukje lager dan computervredebreuk zoals je beschrijft met binnen dringen en dupliceren.

https://wetten.overheid.n...z=2021-06-07&g=2021-06-07 artikelen 31 t/m 34.
Tintel
@Dorank9 november 2021 16:39
Je hebt gelijk dat het zo is gedefinieerd. Maar toch spreken we in de omgang van gegevensdiefstal omdat dit dus duidelijk aangeeft wat heeft plaatsgevonden. De daders hebben iets genomen waar ze geen recht op hadden: diefstal.

En juists die warboel van uitzonderingen maakt dat het niet meer te volgen is. Ooit wel eens gelezen dat de enige wet die je nodig hebt: diefstal is verboden (en wordt bestraft). Diefstal is ook moord = afnemen van een leven. Verwonden is ook diefstal = afnemen van levensgeluk.
Want op die manier los je ook het vraagstuk op van ethische hackers. Die dringen wel binnen maar nemen niets mee.
Maar dit is meer filosofisch. :Y)
RobWu
@Justin0139 november 2021 12:28
Doe eens Googlen op Kevin Mitnick.

Die is hier ?wereldberoemd? mee geworden.
ilPazzo
9 november 2021 10:36
Het is niet meer bij te houden... Uiteindelijk zijn iedereen z'n gegevens érgens wel eens gelekt, als het zo doorgaat.

Bij mij zijn de phishing-mails van bol.com sinds enkele weken ook met de correcte voor- en achternaam... Wordt steeds moeilijker om een leek uit te leggen hoe je kan herkennen dat de mail legit is zo...
litebyte
@ilPazzo9 november 2021 10:57
Schat ook de identiteitsfraude niet uit wat vooral in west EUropese landen enorme stijging heeft. Vaak door een combinatie van het stelen van fysieke data (copie/inzage paspoort) en digitale/online.

Ik weiger sowieso in Nederland (behalve aan een opsporingsambtenaar) om mijn ID te tonen bij de aankoop van iets/ of om ergens naar binnen te mogen gaan. .
batjes
@litebyte9 november 2021 12:50
Tonen prima, uit handen geven of dat men gegevens van mijn ID noteert absoluut niet.
litebyte
@batjes9 november 2021 13:00
Nee! Tonen is helemaal niet prima (in Nederland). Zo is er ID fraude gepleegd bij een familielid van mij (mogelijk bij een horeca locatie) waar de controleur mogelijk met de telefoon die hij in zijn hand had gegevens heeft zitten scannen. Heeft haar enkele weken later heel veel moeite gekost (bij een gemeente) om duidelijk te maken dat zij iets niet had aangevraagd.

Je hoeft wettelijk ook helemaal niet je paspoort/rijbewijs af te geven of te tonen, zolang dit niet gedaan wordt (op wettelijke grond van) door een bevoegd opsporingsambtenaar.
batjes
@litebyte9 november 2021 18:43
Als de ID kaart gescanned wordt, worden er dus gegevens genoteerd.

Met tonen an sich is niets aan de hand. Overheid, politie etc mogen best even kijken of ik, ik ben. Maar daarvoor hebben ze alleen de voorkant nodig. Daar staat je BSN nummer niet op.

Die kaart scannen, er foto's van maken, kopiëren of wat dan ook, daar pas ik zelf ook voor. In mijn geval hebben alleen werkgevers dat nodig. In elk ander geval houd ik die kaart zelf mooi vast.
litebyte
@batjes9 november 2021 22:07
Klopt, en dat scannen/foto maken van gegevens dat kan ook prima zonder dat je het doorhebt.. Bijvoorbeeld door een telefoon of een specifiek scanaspparaat in dezelfde hand te houden als uw paspoort of rijbewijs (zoals dus hoogstwaarschijnlijk is gebeurd bij een familielid van mij.).

Wat ik dus aangaf, als een bevoegd opsporingsambtenaar (politie/BOA) op gegronde redenen om een ID vraagt dan toon ik dat zonder probleem, dat moet ik sowieso al regelmatig voor mijn werk. Maar dat zal nooit gebeuren aan iemand van een horecagelegenheid, ik raad ook iederen af om dat te doen, alleen al op gronden van privacy


.

[Reactie gewijzigd door litebyte op 9 november 2021 22:07]

Bozebeer38
@ilPazzo9 november 2021 11:11
Nou ja bij mij voor het eerst na jaren na de “pretpark / dierentuin” lek, telefoontjes van willekeurige gespoofde 06 nummers, zo’n bandje in het Engels over je BSN en dat soort domme pogingen waar geen mens in zou moeten trappen.

Paar keer per maand, heel irritant want ik moet opnemen vanwege regelmatig niet-contacten die mij moeten bereiken.

Hoewel volgens fraudehelpdesk websites, dit vooral sinds augustus dit jaar te zijn begonnen, wat kan kloppen want voor mij begon het sinds eind september.
thibaultvdb
@ilPazzo9 november 2021 11:00
Er is maar 1 oplossing. Kijk eens naar life after google op youtube.
TheProf82
@thibaultvdb10 november 2021 08:15
Op YouTube. That's ironic lol
The Zep Man
9 november 2021 10:24
Van vijf miljoen mensen zijn er e-mailadressen openbaar gemaakt en van nog eens twee miljoen de volledige namen.
Dat zijn veel gegevens die misbruikt kunnen worden in phishingcampagnes, in combinatie met het gegeven dat het Robinhood gebruikers zijn. In de aanname dat 0,1% van de gebruikers daarin trapt, zijn dat best wel veel slachtoffers.

[Reactie gewijzigd door The Zep Man op 9 november 2021 10:35]

CAPSLOCK2000
@The Zep Man9 november 2021 11:37
Dat zijn veel gegevens die misbruikt kunnen worden in phishingcampagnes, in combinatie met het gegeven dat het Robinhood gebruikers zijn. In de aanname dat 0,1% van de gebruikers daarin trapt, zijn dat best wel veel slachtoffers.
En het is een aantrekkelijke doelgroep. Wie zich bezig houdt met beleggen heeft meestal geld "over".
iiMilan
9 november 2021 10:30
De laatste paar werken zijn de hacker wel echt weer actief. Jammer dat ook kleinere bedrijven worden "gegijzeld".

Kleinere bedrijven hebben het al zwaar genoeg in deze periode. Gaan ze ook nog eens een geld bedrag eisen. 8)7

EDIT: Ik wist niet dat RobinHood een grote onderneming was, Dan moet je even mijn comment buiten het feit van RobinHood bekijken. Ook kleine ondernemen worden aangevallen van dit soort praktijken.

[Reactie gewijzigd door iiMilan op 9 november 2021 14:00]

jochem4207
@iiMilan9 november 2021 10:42
RobinHood heeft echt een gigantisch target op zijn rug getekend met alles rond om gamestop en de rest. Ik zou het eerder uit die hoek zoeken.
Iblies
@jochem42079 november 2021 11:59
Tijdens Gamestop heeft Robinhood gigantisch moeten uitbreiden op meest slechte moment dat je kunt bedenken.

En uitbreiden icm thuiswerken,
dan komt veiligheid op een lager niveau.

[Reactie gewijzigd door Iblies op 9 november 2021 12:00]

Seditiar
@Iblies9 november 2021 12:16
Ik denk dat jochem4207 eerder doelt op het feit dat Robinhood vrolijk Gamestop stocks trades stopzette voor iedere simpele burger. Sowieso dat een hoop mensen het niet meer zo hebben op dat bagger bedrijf.
dutchgio
@iiMilan9 november 2021 10:33
Robinhood heeft ruim 1200 medewerkers en minstens 7 miljoen klanten, dat zou ik geen klein bedrijf noemen.
Superstoned
@dutchgio9 november 2021 11:34
Valt nog in de 'SMB' markt denk ik, maar het is al een stukkie groter dan 'klein' ja.
gimbal
@dutchgio9 november 2021 16:52
"Klein" is dan ook een relatieve term. In vergelijking met een bedrijf als Google is het vrij klein. In vergelijking met je plaatselijke slager is het een megabedrijf.
Tweekzor
@iiMilan9 november 2021 13:31
RobinHood is een dochteronderneming van een gigantisch investeringsbedrijf, met zeer dubieuze ethische keuzes de afgelopen jaren. Als je ergens geen traan om hoeft te laten is het dit bedrijf wel.
juiced01
9 november 2021 10:22
Pfoe het is wel raak zeg...
litebyte
@juiced019 november 2021 11:04
Mogelijk nog maar het topje van de ijsberg, tal van (echt) kleinere bedrijven merken vaak niet eens dat ze gehacked zijn of dat gegevens zijn gestolen (beter gezegd buitgemaakt)
juiced01
@litebyte9 november 2021 11:07
Jep... dat denk ik ook. Één server die al jaren draait en geen aandacht meer krijgt, hop, het kwaad is al geschied...
FairPCsPlease
@juiced019 november 2021 10:50
Het geeft inderdaad een erg moedeloos onveilig gevoel. Klimaatverandering en milieuschade geven reeds een moedeloos onveilig gevoel. Met al het nieuws van hacks en afpersing er nog bij, hou ik steeds minder zin om te leven over, zo ik dat al had.
juiced01
@FairPCsPlease9 november 2021 11:06
Gelukkig zijn er genoeg mooie dingen! Laat je niet kisten door dit soort criminelen! :) Zoek de leuke dingen, hobbies, familie/vrienden op, en zoek alsjeblieft hulp wanneer je dit nodig hebt!
Tozz
@FairPCsPlease9 november 2021 11:10
Als je geen zin meer hebt om te leven omwille van een datalek van een derde partij.. Dan moet je hulp zoeken.
FairPCsPlease
@Tozz9 november 2021 11:24
Goede tip om hulp te zoeken. Ik ben inderdaad chronisch in behandeling bij de GGz, maar heb zojuist bedacht dat het een goed idee is - en heb ik net gedaan - mijn behandelaar te bellen om weer een afspraak in te plannen. Dank @juiced01 ook, voor de vinger wijzen naar de mooie dingen. Die zijn er gelukkig ook (zelf ben ik actief in het Truck Simulator topic hier bijvoorbeeld).
whiner
@Tozz9 november 2021 12:03
Er was een datalek in Amerika op 1 of andere datingsite. Een hoop mensen hebben hierdoor zelfmoord gepleegd.
Bas_f
@whiner9 november 2021 13:20
Ja, dat kwam omdat de gegevens van mensen die overspel pleegden mogelijk op straat zouden komen te liggen. Hier gaat het om een relatief eenvoudig datalek waar niemand direct hinder en/of schade van ondervindt. Als je als buitenstaander daar depressieve gevoelens van krijgt is het goed even hulp te zoeken.
deneys
9 november 2021 11:31
Robbin da hood komt de laatste niet meer positief in het nieuws, hopelijk zorgt deze hack voor een nieuwe exodus. Dit is een crimineel bedrijf dat niet beter verdient.
Xavorius
@deneys9 november 2021 13:14
Het bedrijf kan het misschien niet beter verdienen (blijft een mening en geen feit), maar dat wil nog niet zeggen dat je dan klantdata moet stelen. Wat kunnen die klanten eraan doen tenslotte? Bedoel ze hadden de boel ook een week lang kunnen DDoS-en om zo flinke schade te veroorzaken. Enkel klanten in trades hadden dan schade geleden (en ws aanspraak kunnen maken op vergoeding) ipv nu voor altijd te zijn blootgesteld aan criminaliteit.
monojack
9 november 2021 10:39
En dit is weer zo'n mooi voorbeeld waarom je geen side loading moet verplichten want dat lijdt dus tot dit soort situaties. Overal je geven moeten achterlaten met allerhande bedrijven waarvan je niet weet of ze hun veiligheid op orde hebben
Hobbit13
@monojack9 november 2021 11:21
Wat bedoel je met side-loading?

Hoe kan een bedrijf als Robinhood hun diensten leveren zonder contactgegevens van hun klanten te hebben?

Via social engineering kom je letterlijk overal binnen, puur afhankelijk van de hoeveelheid effort die je er in kunt steken. Er zijn verhalen bekend van de namaakindustrie die een volledige fabrieksfacade van Panasonic nagemaakt hadden zodat ze de klanten in een vergelijkbare vergaderruimte enzo konden uitnodigen. De klanten dachten dus in persoon een contract met Panasonic te hebben afgesloten, maar bleken bij een illegaal bedrijf op bezoek te zijn. (de ploffende elco's van 15-20 jaar terug hebben hier mee te maken)
monojack
@Hobbit139 november 2021 12:30
Sign In with Apple als voorbeeld. Met elke ontwikkelaar waar ik nu zaken mee doe stuur ik een generiek mail adres en hou de rest van mijn gegevens verborgen.

Ik sta echt versteld van het aantal mails dat ik al heb gekregen van bedrijven waar ik ooit eens een account bij heb aangemaakt dat een database gehackt is. Het gros van die bedrijven heeft mijn gegevens uit de tijd toen het nog normaal was dat je een account aanmaakte zonder Apple Sign in.

Wanneer je sideloaden gaat toelaten, dus verschillende stores, dan kom je terug in die situatie terecht waar je informatie wordt beheerd door eender welk bedrijf.
Niosus
@monojack9 november 2021 13:43
Ja, want Apple is heilig en kan zelf ook niets mis doen. Het is ondertussen al even geleden, maar herinner je je nog "the fappening" waarbij een beveiligingsprobleem bij Apple ervoor heeft gezorgd dat er naaktfoto's op straat zijn gekomen?

Apple doet het zeker beter dan veel andere bedrijven, maar hoe meer je via Apple doet, hoe meer het een single point of failure is. Je kan risico's nooit volledig wegnemen. Jij hebt de afweging gemaakt dat je alles via Apple wilt doen. Goed, maar andere mensen maken andere keuzes.

Ik heb bijvoorbeeld een servertje in de kelder staan waar ik alles mee synchroniseer. Mijn strategie is een kleine target te zijn waarbij het meer moeite kost om binnen te geraken dan de data waard is. Er vallen geen foto's of andere gevoelige informatie te hacken bij de grote bedrijven, als ik alles gewoon lokaal heb staan. Meer privacy dan dat kan je toch niet hebben, right? Maar als ik zelf een kleine app zou willen schrijven om wat zaken makkelijker te maken, dan mag ik Apple lekker 100 euro per jaar gaan betalen puur voor het privilege van mijn eigen code op mijn eigen toestel te draaien. Ah ja, en ik moet natuurlijk ook een Mac kopen.

Al die Apple policies zijn tof en handig als je toevallig binnen de lijntjes kleurt die Apple voor je heeft getekend. Maar wil je eens iets anders doen dat niet in hun visie past? Verboden! Apple beschermt je wel tegen jezelf! Je kan toch onmogelijk beter weten wat je wil dan Apple zelf? Apple beschermt je privacy misschien wel, maar daar betaal je een andere grote kost voor. Die kost noemt vendor lock-in. Dat lijkt allemaal niet erg zolang je de visie van een bedrijf volgt. Maar ik wens je veel succes als het in de toekomst even minder goed gaat met Apple, en je liever wat andere platformen of services zou willen gebruiken.

[Reactie gewijzigd door Niosus op 9 november 2021 13:48]

monojack
@Niosus9 november 2021 14:05
De flappening was nog steeds geen hack bij Apple. Ik moet wel echt zeggen dat Apple het beter doet omdat tussen al die mails die ik heb gekregen echt wel wat grote namen zaten zoals Adobe. Maar ik zeg zeker niet dat het Apple nooit zou kunnen over komen maar ze doen wel goed hun best om het probleem in te dijken zoals bijvoorbeeld met Apple sign in wat de flappening onmogelijk zouden moeten maken.

En ik snap je punt als je zegt ik ben daar niet mee akkoord met al die policies. Je redenen daarvoor zijn valide daar is geen discussie over mogelijk maar de consument moet ook de keuze kunnen hebben om te zeggen ik wil één sterke IT-partner. Ik wil niet beroep moeten doen op allerhande partijen om mijn IT zaken te beheren. Want dat is uiteindelijk wat Apple is: Het is mijn IT partner.
Niosus
@monojack9 november 2021 15:41
De flappening was nog steeds geen hack bij Apple.
Een hack was het niet echt, maar wel een gebrek aan rate-limiting en een manier om 2FA te omzeilen (als ik het me goed herinner). De aanvallers hebben duizenden login pogingen kunnen doen zonder dat de gebruiker of Apple zelf wisten dat er iets mis was. Er zat ook inderdaad wat nalatigheid bij de slachtoffers van het lek, maar Apple had dit proactief op deze schaal onmogelijk kunnen maken. Ze hebben hun policies daarna ook aangescherpt, waarmee ze indirect dus toegeven dat ze de zaak niet perfect hebben afgehandeld.

Dit is natuurlijk een uitzonderlijk geval, dat geef ik doe. Apple doet het over het algemeen goed. Maar hun regels zijn echt draconisch, en ik vind het vreemd dat je die zomaar verdedigt. Als jij volledig op Apple wil vertrouwen, dan mag je dat doen. Op macOS kan je standaard ook geen niet-appstore software installeren. Maar wat je wel kan doen is een vinkje aanzetten waardoor je het wel kan doen. Dat is wat mensen willen voor dat sideloaden. Het hoeft niet de default te zijn, gewoon een optie. Het kan jouw IT partner blijven en exact even veilig blijven. Je geeft _andere_ mensen gewoon de optie om _zelf_ te bepalen hoeveel risico ze wel of niet willen nemen.
monojack
@Niosus9 november 2021 17:11
De reden dat ik het verdedig is omdat er een verschil is in use cases voor desktop vs mobile. Wie een desktop gebruikt heeft over het algemeen meer digitale kennis. Mobiel is iets dat echt iedereen is opgedrongen en daar zitten zeer veel digibeten bij. iPhones zijn zo goed ontworpen dat zelfs een kleuter ermee overweg kan. Kijk hoeveel kleuters er een tablet in hun handen gestopt krijgen en probleemloos hun weg vinden. Voor de iPhone waren er best veel mensen die konden leven zonder een computer, de iPhone heeft echt iedereen richting de digitale wereld gestuurd en veel mensen dienen beschermd te worden tegen een onzichtbare wereld waar ze geen bal van begrijpen en die ze ook niet willen begrijpen waaronder bijvoorbeeld dus kleuters en iedereen die zich niet regelmatig informeert over wat de stand van zaken is op het vlak van IT.
Seal64
@monojack9 november 2021 11:26
?

Does not compute?

Wat heeft het buiten een appstore om installeren van een app op je telefoon (sideloaden) wat momenteel niet verplicht is (Apple doet het niet, Android kán het maar hoeft het niet) te maken met het achterlaten van je gegevens bij een bedrijf waar je actief klant van bent geworden en waar ze met gebruik van het account van een medewerker gegevens hebben buitgemaakt?

Dat eerste staat hier helemaal buiten. Robinhood heeft zijn app gewoon in de Apple App store en de Google Playstore staan.
Als je klant bij een bedrijf wordt is het logisch dat dat bedrijf gegevens van je opslaat. Dat is dus ook niets bijzonders.
Als jij een medewerker van de klantenservice omkoopt, chanteert of op een andere manier tot medewerking dwingt, dan helpt daar geen enkele beveiliging tegen. Ze komen dan immers via een min-of-meer legitieme route binnen, ook al is de manier waarop ze dat doen niet legitiem.

Dan zou Robinhood hooguit kunnen zorgen dat de klantenservice enkel gedoseerd toegang heeft tot klantgegevens en geen dumps kunnen maken uit die database, maar ik weet natuurlijk niet hoe zij die toegang geregeld hebben.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee