Mailchimp meldt derde hack in jaar waarbij hackers toegang kregen tot accounts

Mailchimp zegt dat hackers eerder deze maand toegang kregen tot zijn tools en Mailchimp-accounts van 133 klanten. Het is de derde aanval in een jaar tijd en ook de derde waarbij de criminelen social engineering gebruikten.

De hackers wisten middels social engineering toegang te krijgen tot de Mailchimp-accounts van een of meerdere Mailchimp-werknemers. Bij de aanval, die op 11 januari plaatsvond, kregen ze toegang tot de accounts van 113 Mailchimp-klanten. Toegang tot deze accounts werd na het ontdekken van de aanval tijdelijk geschorst en de klanten zijn op 12 januari ingelicht.

De e-mailmarketingdienst zegt niet wat voor data is gestolen en welke klanten getroffen zijn. WooCommerce, een open source e-commerce-WordPress-plug-in, zegt in een mail aan klanten getroffen te zijn door de aanval. De organisatie zegt dat namen, winkel-url's en e-mailadressen daarbij mogelijk in handen zijn gevallen van hackers. Wachtwoorden of betalingsinformatie is hierbij niet gestolen. Ook is er geen data van klanten van WooCommerce-winkels gestolen.

Het is niet voor het eerst dat hackers door social engineering toegang krijgen tot Mailchimp-accounts. Eerder gebeurde dit in april en augustus vorig jaar. Bij deze twee aanvallen waren de hackers gefocust op aanbieders van cryptovalutadiensten en kregen hackers toegang tot in totaal ruim driehonderd accounts.

Door Hayte Hugo

Redacteur

Feedback • 18-01-2023 19:5658

18-01-2023 • 19:56

58 Linkedin

Lees meer

Hackers kregen toegang tot Mailchimp-tools om maildata crypto-accounts te stelen Nieuws van 5 april 2022
Intuit neemt Mailchimp over voor twaalf miljard dollar Nieuws van 14 september 2021
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren Nieuws van 15 juni 2021
Beveiliging en antivirus E-mail Hack Hackers

Reacties (58)

-Moderatie-faq
58
58
36
1
0
12
Wijzig sortering
Echron
18 januari 2023 20:40
Uit de reacties hierboven neem ik aan dat het niet helemaal duidelijk is wat Mailchimp doet. Mailchimp is een SaaS platform die het versturen van marketing email verzorgt, denk aan nieuwsbrieven, campagnes, enz. Het is dus geen email provider maar een dienst om emails op te maken, die aan een lijst met ontvangers te koppelen en die dan gescheduled te versturen.

Mailchimp bied ondertussen ook integraties aan met webshops (bv WooCommerce) om bv een email te versturen naar klanten als ze een winkelmandje achtergelaten hebben.

Meestal autoriseer je Mailchimp om emails in jouw naam te versturen, of althans in naam van een adres binnen jouw domein, dus als iemand daar toegang tot krijgt kunnen ze naar een heleboel personen emails sturen, doen alsof dit een nieuwsbrief is van jouw bedrijf en dan leuke zaken proberen te verkopen aan die personen.
Littlemarc
@Echron18 januari 2023 20:48
Aanvulling: Je kan er ook semi-gepersonaliseerde mails mee maken.

Ipv Geachte Lezer heb je dan Geachte <Insert Roepnaam Ontvanger> etc en dan leest hij de naam uit een database af. Als je 10000 mails moet sturen zeker nuttig.

[Reactie gewijzigd door Littlemarc op 18 januari 2023 20:50]

DieMitchell
@Littlemarc19 januari 2023 10:46
zie de meerwaarde niet echt over "Geachte heer/mevrouw"
Slicey
@DieMitchell19 januari 2023 12:16
Geeft het gevoel dat het een meer persoonlijke mail is en vaak hogere kans dat de mail gelezen wordt / dat er geconverteerd wordt
Frame164
@DieMitchell19 januari 2023 14:18
Wel als er meer gepersonaliseerde informatie in de mail staat. Maar voor een simpele nieuwsbrief wellicht overbodig.

[Reactie gewijzigd door Frame164 op 19 januari 2023 14:18]

xFeverr
@Littlemarc18 januari 2023 22:17
Dit zou eigenlijk op elke website moeten staan waar je je inschrijft voor een nieuwsbrief en waarbij dit systeem op deze manier wordt gebruikt:
“Wij delen uw persoonlijke gegevens met een externe partij zodat we uw naam in de aanhef kunnen zetten.”

We denken er allemaal niet zo over na en doen het maar gewoon, zonder er echt bij stil te staan. En dat is eigenlijk heel erg gek.
Deleon78
@xFeverr18 januari 2023 23:01
Dat staat ook op elke website?
xFeverr
@Deleon7819 januari 2023 07:50
Vast wel. Ergens. In een privacy policy. En dan heb je nog geluk.

Nee, het zou daar bij het invoerveld van je e-mailadres moeten staan. Dus niet verborgen in een muur van tekst.
Bergen
@xFeverr19 januari 2023 09:57
Bij de invoervelden staat meestal wel een "Ik ga akkoord met de voorwaarden"-vinkje, en het zal vast in de voorwaarden staan. Bedrijven moeten zich immers juridisch indekken, dus ze kunnen het zich niet permitteren om zulke informatie achterwege te laten.

Maar dat weerhoudt men er niet van om zich te registeren. De dienst die een website levert, vindt men belangrijker dan de kans dat de website jouw data gaat delen met een derde partij. "Als ik de dienst van jullie website ontvang, dan krijgen jullie mijn data." Op die manier betaal je dus met je data.
batjes
@Bergen19 januari 2023 12:05
Enkel een "Ik ga akkoord met de voorwaarden" en misschien een linkje naar een ouderwetse privacy statement van tientallen pagina's aan juridische text... Is niet geldig voor de AVG/GDPR.

Het moet in jip en janneke taal, zo kort mogelijk, duidelijk zijn bij het registeren/invoeren van de gegevens.
Frame164
@batjes19 januari 2023 14:19
Zo kort mogelijk in jip en Janneke taal is de grootste reden voor misverstanden. Te simpele taal bevat te veel gaten.
batjes
@Frame16419 januari 2023 19:08
Je mag nog steeds een ouderwetse privacy statement met juridische tekst achter hangen om de gaten te vullen als aanvulling. Je kan prima in jip en janneke taal uitleggen wat je wel of niet met data doet en waarom.
Zoop
@xFeverr19 januari 2023 10:00
Dat is over het algemeen waar "ik accepteer de voorwaarden" vinkje voor dient, als je dat aanklikt zonder iets te lezen is dat je eigen probleem.

Ik snap je sentiment hoor, zo'n risico lopen met persoonsgegevens voor zo'n lullige functionaliteit, maar heden ten daags mag je er wel vanuit gaan dat je email in een of ander systeem belandt zodra je dat invult op een website. Dat dient netjes vermeld te zijn in de policy, ja, maar ik vind het wel onterecht om hier nu over te muggenziften.
Gubbel
@Deleon7819 januari 2023 00:31
Ik kan je verzekeren dat dat op heel veel "kleinere" websites, lokale verenigingen oid nergens gemeld staat. Een enkel veld zonder enige voorwaarden en je data hangt bij Mailchimp in t systeem.
Frame164
@Gubbel19 januari 2023 14:20
Volgens de heersende opinie op dit forum zal er dan gevangenisstraf voor het bestuur van die verenigingen moeten komen ;-)
RobbieB
@Echron18 januari 2023 22:54
Leuke zaken proberen te verkopen is nog het minst erge. Mailchimp staat op de allow-list van alle grote mail-diensten.

Een kwaadaardige aanvaller kan hiermee dus eenvoudig spam detectie mee om zeilen om phishing links uit te sturen om bv malware te deployen of ransomware te bemachtigen.
Delgul
@RobbieB19 januari 2023 09:38
En daarom staan ze bij ons ook op een soort van bijna-blacklist. Gemiddeld meer dan 70% wat van dat platform komt kan worden geclassificeerd als harde spam danwel reclame zonder opt-in. Er is nauwelijks controle op wat de uit mailen en soms gaat een duidelijke spam campagne dagen door. Wij werken met een soort van omgekeerde bewijslast als we mailtjes binnen krijgen van deze club… niet aan te raden om mee te werken als je wil dat je mailings netjes aankomen naar mijn mening. Zat clubs die het wel netjes doen maar deze raad ik mijn klanten altijd af.
Groningerkoek
@Echron18 januari 2023 21:50
Mailchimp is veel breder dan mailing alleen, Inmiddels kun je ook hele webshops binnen mailchimp inrichten en beheren, ook landing pages, websites etc.. behoort allemaal tot de mogelijkheden.
Sluuut
@Echron19 januari 2023 08:35
En SPF/DKIM/DMARC helpt hier helaas niets bij, als een valide account word gecompromitteerd dan is de mail zogenaamd legitiem.

Ik hoop dat Mallchimp MFA gaat afdwingen?
Gamebuster
@Echron19 januari 2023 09:59
Zo erg kunnen de reacties niet zijn toch?

*leest reacties*

Oh
Vliegenier04
18 januari 2023 20:11
Zoals ik 'm lees is het de 3e hack in dit jaar. Niet helemaal duidelijk in de titel 8)7

Maargoed, wat is precies het doel van deze laatste aanval vraag ik me precies af, echt "waardevolle" informatie is er niet buitgemaakt.
DarkForce
@Vliegenier0418 januari 2023 20:54
Maargoed, wat is precies het doel van deze laatste aanval vraag ik me precies af, echt "waardevolle" informatie is er niet buitgemaakt.
De organisatie zegt dat namen, winkel-url's en e-mailadressen daarbij mogelijk in handen zijn gevallen van hackers.
Daar zit toch best veel geld in, stel je voor dat Coolblue deze partij zou gebruiken. Voor een ellendeling zou het met die userbase (e-mail adressen) ineens makkelijk zijn om producten van CoolBlue met eigen affiliate link te versturen naar de e-mail adressen van mensen die zich aangemeld hebben voor de nieuwsbrief.

Nu zal je denken, lekker belangrijk maar door middel van affiliatelinks kunnen dit soort ellendelingen flink wat geld binnen harken door maar één mailing te versturen die hen hooguit een paar minuten kost. Vervolgens kunnen ze die e-mail adressen doorverkopen en kan iedere boerenlul er flink op los mailen.

Sure... lang leve de ACM die er o.a. is voor spambestrijding, alleen heeft het weinig zin als de spammer in het Buitenland zit en deze verstuurt vanuit het buitenland.

Dus... "informatie is niet relevant" is wel erg zwart/wit.

[Reactie gewijzigd door DarkForce op 18 januari 2023 20:54]

Automark
@DarkForce18 januari 2023 21:10
Dergelijke affiliates krijgen dan alleen meestal niet uitbetaald.
Waar wel geld is, is om hun account iedereen een mail te versturen van dat betrouwbare bedrijf om een bepaald -waardeloos- cryptomuntje te kopen. Als je een mail krijgt van een vertrouwde partij die zegt dat je nu kunt investeren en dat zij dat 100% vertrouwen en er achter staan, gaan duizenden mensen mee
DarkForce
@Automark18 januari 2023 21:59
Dergelijke affiliates krijgen dan alleen meestal niet uitbetaald.
Affiliates krijgen niet uitbetaald als kan worden aangetoond dat ze het tegoed onrechtmatig hebben verkregen. Daarvoor zullen toch echt meer dan genoeg meldingen voor binnen moeten komen, met een handjevol meldingen wordt alleen gevraagd om het e-mail adres van de ontvangers te verwijderen.

True dat er ook veel crypto shit gespamd wordt alleen heeft dat weinig zin als je jezelf uitgeeft voor CoolBlue. Vaak bevat de nieuwsbrief van spammers die zich voordoen als grote webwinkel iets omtrent producten of prijsvragen van dat zelfde bedrijf, dus niet een één of andere coin o.i.d.

-- Edit --
Een groot deel van de ontvangers doet geen melding want zoals vaak gedacht wordt, doet men er toch weinig aan en blijven spammers doorgaan. Als men dan toch een melding doet dan is dit vaak naar de partij waarnaar één of meerdere links verwijzen (redirect services) of de partij die de boel host, VPS of Dedicated Server levert.

Hoe vaak ik al niet gezien heb dat er redirect services gebruikt worden om te voorkomen dat een melding direct terecht komt bij het affiliate programma. Of te wel, de kans dat een webmaster (affiliate) niet uitbetaalt krijgt is vrij klein.

[Reactie gewijzigd door DarkForce op 18 januari 2023 23:05]

Christoxz
@Vliegenier0418 januari 2023 20:55
echt "waardevolle" informatie is er niet buitgemaakt.
Niet direct, maar wel eventueel waardevol voor volgende attacks. Er kunnen een hoop email adressen buitgemaakt zijn van zowel particuliere klanten maar ook zakelijke klanten. (Mailchimp wordt niet alleen gebruikt door winkels etc, maar ook B2B)
Ze kunnen nu bijvoorbeeld weten dat persoon/bedrijf X verbonden is aan de bedrijven waarbij toegang tot is geweest, wat weer verder gebruikt kan worden voor social engineering.

Zoals @DarkForce bijvoorbeeld al aan geeft, maar ook B2B wordt dit gebruikt.
Bedrijf X maakt gebruikt van de service van bedrijf Y, of Winkel X koopt in via distributeur Y.
Zo kan X 'aangevallen' worden door zich voor te doen als Y.

[Reactie gewijzigd door Christoxz op 18 januari 2023 21:00]

Darth TNT
@Vliegenier0418 januari 2023 21:25
Het was een heel druk jaar
Herko_ter_Horst
@Vliegenier0418 januari 2023 22:41
Dit jaar = 2023, "een jaar" = een periode van 12 maanden/365 dagen (teruggerekend vanaf nu). Er wordt wel degelijk bedoeld "een jaar": de vorige twee incidenten waren in april en augustus 2022.
sygys
@Vliegenier0419 januari 2023 09:35
Ik snap je punt wel. Email adressen buitmaken klinkt als erg maar als je spam krijgt dan is je emailadres allang buitgemaakt ergens ooit op internet. Ik denk dat zulke data alleen interessant is als je ook het wachtwoord hebt. Je kunt dan namelijk inloggen op bijvoorbeeld een cryptobeurs. Je drukt daar op wachtwoord vergeten en als je bij de mail kan dan kun je de link gebruiken om een wachtwoord aan te passen. Nu is dat tegenwoordig met crypto wel steeds moeilijker omdat je daar ook vaak je telefoonnummer moet verifiëren en een code moet invullen. Maar er zijn ook nog genoeg sites die dat niet hebben. Je kijkt in de geschiedenis van de mail waar deze persoon allemaal koopt en je kunt zo wat dingen aanpassen en op rekening kopen. Zonder dat je in de email kan komen van een persoon hecht ik er ook niet zoveel waarde aan. Ik denk dat er maar weinig mensen op aarde zijn die nooit spam krijgen. En daarmee bedoel ik zonder spamfilter. Als je spam krijgt dan sta je ergens in een database en is je email toch al bekend. Daarnaast gebruikt 95% van de mensen hun eigen naam in het mail adres en hoe stom kun je zijn maar vaak ook nog een deel van hun geboorte datum. Je hoeft vaak niet eens een hacker te zijn. Als je dan ook nog een email treft met eigen domein dan ga je naar TransIP en zoekt ook nog zo het adres erbij. Zonder enige hack heb je zo bijna alle info van deze persoon

[Reactie gewijzigd door sygys op 19 januari 2023 09:37]

Cyb
18 januari 2023 20:49
Ook als je geen klant bent bij Mailchimp, kan het zijn dat Mailchimp gegevens over je heeft, die ook buitgemaakt kunnen worden. Veel bedrijven maken namelijk gebruik van Mailchimp om nieuwsbrieven naar je te sturen, op basis van een contactenlijsten die bedrijven dan in Mailchimp importeren. Met een beetje pech zit daar niet alleen je emailadres in, maar ook naam, naw-gegevens, telnr.
willemb2
19 januari 2023 00:17
Leedvermaak. WooCommerce heeft (in 2021 meen ik) MailPoet overgenomen, een WordPress plugin met ongeveer dezelfde functionaliteit als Mailchimp. Via WooCommerce word je tot vervelens toe gemaand MailPoet te gebruiken en omgekeerd. Als je slechts één van de twee gebruikt worden integraties met de ander ongevraagd klaargezet.
John Duh
18 januari 2023 20:12
Zolang we nog "mailen", probeer ik dat bij partij onder te brengen die privacy hoog in het vaandel heeft. Na lang wikken en nog meer wegen, heb ik destijds gekozen voor het Zwitserse Proton. Daar hoor ik zelden tot nooit zorgelijke berichten over, waardoor ik daar inmiddels ook m'n cloud opslag en VPN onder heb gebracht. So far, so good, al besef ik natuurlijk ook dat dit geen garantie voor de toekomst biedt. En wellicht zijn er betere en/of veiligere oplossingen?
youri_ajax
@John Duh18 januari 2023 20:21
Mailchimp is een Saas oplossing om mail voor jou te versturen. Denk aan een mailcampagne vanuit een Saas platform. Niet echt te vergelijken dus met wat Proton doet.
John Duh
@youri_ajax18 januari 2023 20:31
Misschien een n00b vraag hoor, maar waarom zou je dat willen? Of is dat bedoeld om meerdere mailclients te bundelen?
eborn
@John Duh18 januari 2023 20:38
Meerdere redenen. Ten eerste om te voorkomen dat Anthon Administratie of Saar Socialmedia alle klanten gezellig via de CC gaat mailen. Daarnaast doen pakketten als Mailchimp aan gecontroleerde opt-in, waardoor je redelijk eenvoudig een valide mailinglijst houdt. Ook wordt je mailprovider er meestal niet heel blij van als je 100.000 mails in een korte tijd stuurt. En zo zijn er nog een aantal dingen te bedenken.
Christoxz
@eborn18 januari 2023 20:56
En zo zijn er nog een aantal dingen te bedenken.
Tracking! Hoe vaak is het geopend, geklikt etc. Dat is zeer waardevol voor marketing campaings.
DarkForce
@John Duh18 januari 2023 20:37
Misschien een n00b vraag hoor, maar waarom zou je dat willen? Of is dat bedoeld om meerdere mailclients te bundelen?
Het eerste wat je eigenlijk zou kunnen opmaken aan de informatie als je de website van Mailchimp bezoekt is dat het een dienst is die gericht is op het bedrijfsleven. Zie het als nieuwsbrieven die Coolblue, mediamarkt, bol.com etc. versturen om producten en/of diensten onder de aandacht te brengen en op basis daarvan meer cashflow te genereren.

Het is dus een marketting platform iets wat proton of welke dienst van Proton dan ook, dus niet is.
DigitalImplant
@John Duh18 januari 2023 20:37
Dat is bedoeld voor het geautomatiseerde versturen van een email naar een grote hoeveelheid ontvangers, denk aan een nieuwsbrief bijvoorbeeld.
De kracht vsn dit soort diensten is (onder andere) dat je kan werken met templates. Hiermee kun je de email bijvoorbeeld personaliseren: Hoi {Voornaam}.
Nemean
@John Duh18 januari 2023 20:37
Is ook niet voor een doorsnee consument. Maar voor marketing doeleinden. Denk bijvoorbeeld aan Nieuwsbrieven of klant gerichte updates. Mailerlite is een alternatief hiervan.
Raykee
@John Duh18 januari 2023 20:37
Als je je klanten een service of newsletter e-mail wilt sturen
Bazi
@John Duh18 januari 2023 20:42
Je gebruikt zo'n dienst om nieuwsbrieven en transactionele e-mails vanuit een website te versturen. Dat laatste is bijvoorbeeld een e-mail met een bestelbevestiging of een notificatie ergens over.

Als je dat vanuit je eigen server / e-mailaccount gaat versturen, zal dat al snel als spam worden gezien.
Stukfruit
@John Duh18 januari 2023 20:46
Als je een product wil verkopen dan kun je tegenwoordig niet meer zomaar naar 1000 mensen een email sturen omdat je dan in de spambak zal belanden.

Partijen zoals Mailchimp bestaan om dit mogelijk te maken door via eigen servers voor jou als opdrachtgever je mail te versturen.

Je kan het in principe ook allemaal zelf opzetten en beheren, maar zorgen dat je niet als spammer overkomt is tegenwoordig complex genoeg om dat uit te besteden en Mailchimp is zo'n partij.

Als enkele eindgebruiker met de door jou genoemde clients heb je hier niets mee te maken omdat je (hoop ik voor je ;)) geen mail rondstuurt op grote schaal.
Dorank
@John Duh18 januari 2023 21:01
Mailchimp geeft inzicht over het bereik van je spam, ehhh e-marketing. Dat is iets waar sales op geilt.
Verder krijg je dan zelf niet alle bounces omdat je "klanten" bestand niet meer up to date is of waar de spam, sorry ik bedoel e-marketing, als spam wordt gemarkeerd (volkomen onterecht natuurlijk).
Joseph
@John Duh18 januari 2023 20:30
De veiligste oplossing is een Proton-mail achtige setup zelf hosten. Dan werkt het gelijk decentraal. Er is alleen een probleem: zo'n oplossing bestaat niet, en al zeker niet out of the box. De crux zit 'm er bij Proton in dat alles end-to-end versleuteld is opgeslagen zodra het in de opslag terecht gekomt. Dus ook al zouden ze geforceerd worden data te overhandigen, hebben ze er niets aan zonder de private key van de gebruiker in kwestie.

Je zou zelf wat kunnen knutselen met een script dat PGP gebruikt om alle inkomende mails te versleutelen, maar dat helpt nog niet tegen mensen die dat niet gebruiken. Dat is ook de reden dat Proton een hele stack geschreven heeft, inclusief het protocol (het gebruikt geen IMAP, POP3 of SMTP voor client-servcer communicatie, laatstgenoemde uiteraard wel voor het afleveren van mails bij andere partijen). Proton geeft de broncode van de serverkant echter niet vrij, want dat conflicteert met de bedrijfsbelangen (al houden ze het zelf op veiligheid). Er was ooit Neutron, maar dat is al lang abandonware.

Zodra er een open source mailstack is die de veiligheid en het gebruikersgemak van Proton bied, zal ik zonder twijfel weer een eigen server inrichten. Maar voor nu is het - helaas - de enige optie.
blorf
@Joseph18 januari 2023 20:57
Hoezo is er geen oplossing waarbij je het zelf doet? Met een domeinnaam naar je eigen ip, gratis SSL-certificaat, NAT-settings naar je lokale mailserver... Wat heb je nog meer nodig?
bvdbos
@blorf18 januari 2023 21:57
Een trusted ip-adres om maar iets te noemen... Vanuit thuis mailen geeft vaak een rode vlag bij ontvangende mailservers...
blorf
@bvdbos18 januari 2023 22:33
Sja, iedereen kan een traceroute doen en selectief dingen blokkeren. Maar dat zou betekenen dat voor uitgaande mail via providers die niet van een thuisserver komen weer een uitzondering gemaakt moet worden want dat zijn dezelfde ip's. De ontvangende partij moet dan een poging doen om te achterhalen wat er draait en op basis daarvan adressen weigeren...
Zelf gebruik ik al jaren geen provider-mail meer vanwege andere nadelen. Je moet er een computer voor aan hebben staan en als die down is werkt je mail dus niet.

[Reactie gewijzigd door blorf op 18 januari 2023 22:38]

devilkin
@John Duh18 januari 2023 20:29
Terwijl een goede partij kiezen nooit slecht is, is de meerwaarde van protonmail in deze zeer laag.

- Je mail is versleuteld op disk opgeslagen, goed voor als er ooit iemand aan de servers geraakt en er mee gaat lopen, maar voorts...
- Mail in transit is meestal versleuteld, maar geen garantie
- GPG is vrij lastig in dagdagelijks gebruik (als je verder gaat dan alleen signing)
- Weinig mensen hebben ook Protonmail, dus weinig kans dat er end-to-end encryptie op blijft.

Als Protonmail een geldige verzoek krijgt van rechtswege gaan ze daar ook gewoon op moeten ingaan.

Ongetwijfeld hebben ze hun zaakje wel op orde, maar totop heden zie ik nog altijd zeer weinig effectieve meerwaarde in hun of Tutanota. Leuk, maar tenzij je een zeer hoge threat-level hebt meer een gimmick. Ben je beter af bij een lokalere mailhoster in de EU (er zijn er wel wat) in mijn ogen.
Joseph
@devilkin18 januari 2023 20:40
Je mail is versleuteld op disk opgeslagen, goed voor als er ooit iemand aan de servers geraakt en er mee gaat lopen, maar voorts...
Protonmail gebruikt assymetrische encryptie. Alleen de gebruiker in kwestie heeft de private key van diens opslag (zero knowledge encryption). Voorlopig zit je daarmee dus veilig.
Mail in transit is meestal versleuteld, maar geen garantie
Zul je altijd houden, maar dat is geen excuus om het niet goed aan te pakken.
GPG is vrij lastig in dagdagelijks gebruik (als je verder gaat dan alleen signing)
Niet mee eens. Ze hebben zelfs een handleiding in hoe het werkt en naar mijn bescheiden mening is het best gebruiksvriendelijk.
Weinig mensen hebben ook Protonmail, dus weinig kans dat er end-to-end encryptie op blijft.
Daar hebben ze encrypted mails voor, wat je kan aanvinken in de composer. De ontvanger krijgt dan een link naar een omgeving waar met een wachtwoord (wat je uiteraard via veiligere methodes dan POTS of sms aan de ontvanger hebt gegeven) de mail ontsleuteld kan worden. Ideaal is het niet, maar het is beter dan niets.
Leuk, maar tenzij je een zeer hoge threat-level hebt meer een gimmick.
In tijden waarin wetgeving tegen 'de gebruikelijke excuzen' (criminaliteit, witwassen, ongewenst beeldmateriaal, etc.) steeds grilliger wordt is privacy heel erg belangrijk. Ik ga je niet proberen te overtuigen, maar kan je het boek 'Je hebt wél iets te verbergen' wel aanraden.
devilkin
@Joseph18 januari 2023 20:46
Sure, ieder z'n ding. Ik bekijk het met enige regelmaat, maar totop heden zijn er meer barrieres dan dat het iets toevoegt voor me.
Niet mee eens. Ze hebben zelfs een handleiding in hoe het werkt en naar mijn bescheiden mening is het best gebruiksvriendelijk.
En hoe vaak gebruik je het ook? Hoeveel mensen die je dagdagelijks mailt gebruiken GPG?

Ik heb het jaren zelf gebruikt, maar gezien ik de enige was (allez, nee, er was mss nog 1 persoon) ook mee gestopt.
Daar hebben ze encrypted mails voor, wat je kan aanvinken in de composer. De ontvanger krijgt dan een link naar een omgeving waar met een wachtwoord (wat je uiteraard via veiligere methodes dan POTS of sms aan de ontvanger hebt gegeven) de mail ontsleuteld kan worden. Ideaal is het niet, maar het is beter dan niets.
Wederom dezelfde vraag - hoe vaak is het ook effectief nuttig in gebruik?

Ieder gebruikt wat ie wilt ;) de mailhoster die ik gebruik is eentje met een goed trackrecord, betrouwbaar, data is encrypted at rest, en standaard protocollen gebruikt kunnen worden.
DarkForce
@devilkin18 januari 2023 20:46
Als Protonmail een geldige verzoek krijgt van rechtswege gaan ze daar ook gewoon op moeten ingaan.
Tenzij de wetgeving in Zwitserland het niet toestaat voor bedrijven om op directe verzoeken in te gaan, helaas is dit ook het geval in Zwitserland... en dus zal in geval van een strafbaar feit de Nederlandse justitie met die van Zwitserland moeten samenwerken en dan nog... als het geen wat in Nederland strafbaar is maar niet in Zwitserland dan zal justitie in Zwitserland hier niet aan meewerken.

From time to time, Proton may be legally compelled to disclose certain user information to Swiss authorities, as detailed in our Privacy Policy. This can happen if Swiss law is broken. As stated in our Privacy Policy, all emails, files and invites are encrypted and we have no means to decrypt them.

Under Article 271 of the Swiss Criminal Code, Proton may not transmit any data to foreign authorities directly, and we therefore reject all requests from foreign authorities. Swiss authorities may from time to time assist foreign authorities with requests, provided that they are valid under international legal assistance procedures and determined to be in compliance with Swiss law. In these cases, the standard of legality is again based on Swiss law. In general, Swiss authorities do not assist foreign authorities from countries with a history of human rights abuses.
bron

Vergis je niet, Zwitserland is zekers geen gemakkelijk land voor buitenlandse justitie om bepaalde zaken aan te pakken - doet me aan de Zwitserse bankrekeningen vroeger denken... zodra ze onderdeel zijn van de EU zullen ze echter wel moeten maar tot die tijd hebben ze op dat vlak echt een ongelofelijk sterke wetgeving.

Tenminste... zo is mij uitgelegd door een aantal familieleden en kennissen die er wonen.
Groningerkoek
@DarkForce18 januari 2023 21:53
Zodra ze onderdeel zijn van de EU zullen ze echter wel moeten maar tot die tijd hebben ze op dat vlak echt een ongelofelijk sterke wetgeving.
Je laat het klinken alsof ze binnenkort bij de EU komen, ik kan je verzekeren dat dit niet gaat gebeuren omdat een overgrote meerderheid van de bevolking dit absoluut niet wil. Daarbij, ze doen het economisch geweldig en dat zal alleen maar afnemen als ze toetreden omdat de grenzen dan volledig open moeten voor EU mensen en producten.

[Reactie gewijzigd door Groningerkoek op 18 januari 2023 22:00]

Bellinkx
18 januari 2023 20:29
Ik bescherm mijn primaire alias tegen zulke hacks d.m.v. https://simplelogin.io/. Ik kan de dienst enkel aanraden. Prima service en onderdeel van Proton.
beerse
@Bellinkx18 januari 2023 23:29
Gezien mailchimp een mail versturende organisatie is, hebben ze best veel gevallideerde en werkende mail adressen in hun databases zijn. Daarmee lijkt het mij dat de hackers het op dat 'goud' gemunt hebben: Heel veel werkende email adressen.

Als er bij deze inbraak gegevens zijn buit gemaakt, dan zijn het ongetwijfeld de email adressen. Er zal in de nabije toekomst wel het een en ander aan ongewenste mail de wereld rond gestuurd worden.

Zelf zie ik mij beschermd door het gebruik van een eigen sub-domein (bedankt Freedom.nl) en daarbij een catch-al mailbox. Als er te veel mailtjes aan <organisatie>@mijn.catchal.domein worden gestuurd, zal ik bij <organisatie> mijn mail adres aanpassen en het oude mail adres op de zwarte lijst zetten. 2 acties en geen last meer van die spam.
Snowfall
18 januari 2023 21:12
Gebruik Mailchimp echt nooit. Je ziet oplossingen zoals Mailchimp steeds vaker voorbij komen als oplossing zodat je je eigen mail service en dergelijke niet meer hoeft te schrijven. Leuk voor mensen die t zelf niet willen of kunnen maar verder lekker bij uit de buurt blijven.

Ik vind sowieso zonde dat steeds meer websites of bedrijven zo vreselijk afhankelijk zijn of worden van third party systemen of services. Mailchimp, Netlify, AirTable, Firebase etc etc.

Merk het ook als freelancer steeds vaker dat clients denken dat het een stuk goedkoper is op de korte termijn om alles bij third party services op te slaan en te laten draaien. maar later janken als er iets niet goed werkt of janken als er data is gelekt. Maarja misschien ben ik gewoon bitter :+)
telenut
@Snowfall19 januari 2023 13:28
Je hebt er ook die denken alles zelf te kunnen doen en dan janken dat ze helemaal geen tijd hebben om alles up to date te houden....
Snowfall
@telenut19 januari 2023 22:18
Is onzin. Tijd is er altijd. Het gaat om geld.
ouweklimgeit
@Snowfall20 januari 2023 09:21
Email is een van de lastigste zaken om goed op orde te houden. Voor je het weet staat jouw server in een range bij Spamhaus en komen je wachtwoord-reset of welkomstemails niet meer aan. Dat is de reden om een grote partij in te zetten zoals Mailchimp, Sendinblue of Sendgrid.

Met dat 'zelf willen of kunnen' doel je misschien op iemand die handmatig elke week een nieuwsbrief verstuurt, maar wil je e.e.a. automatiseren dan ben je veel beter af bij een partij die goede smtp api's heeft.
John Duh
18 januari 2023 20:55
Bedankt voor de toelichting allen. Weer wat geleerd. :-)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee