Gegevens gebruikers Sitedeals.nl buitgemaakt door onbevoegd persoon

Sitedeals.nl, dat een forum en marktplaats voor webmasters biedt, heeft te maken met een datalek. De 'vermoedelijke wijze waarop toegang is verkregen', is onmogelijk gemaakt, aldus de webmaster. Het lek bevat gegevens die voor spam en phishing gebruikt kunnen worden.

Volgens eigenaar Job Schneider gaat het om gebruikersnamen, geboortedata, wachtwoorden, e-mailadressen en IP-adressen. Sitedeals.nl is een oude website, waardoor getroffen gebruikers soms meer dan tien jaar niet op de site geweest zijn. Hij draait op vBulletin 4.2.5, dat uit 2017 komt. Inmiddels is die software end of life.

Sitedeals.nl raadt zijn gebruikers aan hun wachtwoord te veranderen. Ook heeft de voorman van het forum melding gemaakt van het datalek bij de Autoriteit Persoonsgegevens. De leden van de website zijn per e-mail op de hoogte gebracht van de situatie en daarnaast is er een forumtopic waar de zaak besproken wordt en de eigenaar van de site ook actief is.

Reacties (78)

keverjeroen 2 februari 2023 21:14

De mail van sitedeals bevat zoveel typfouten dat ik dacht dat juist dit phishing was. Ik heb alleen mijn voor- en achternaam er uitgehaald, verder is het een kopie:

--
Beste [voornaam + achternaam],

Het kan zijn dat u deze mail reeds heeft gekregen. In dat geval kunt u deze negeren.

Helaas hebben wij moeten vaststellen dat uw persoonsgegevens in handen zijn
gekomen van onbevoegde personen. Dit is de reden dat wij het belangrijk
vinden u te informeren.

De gegevens betreffen:
- Gebruikersnamen
- Geboortedatum
- wachtwoord
- IP adres

De mogelijke gevolgen van dit lek kunnen onder andere zijn:
- Spam
- Phishing
- Indien hetzelfde wachtwoord op andere websites is gebruikt, mogelijk
toegang tot accounts.

We raden dringend aan uw wachtwoord te wijzigen.op andere website waarbij hetzelfde wachtwoord is gebruikt. Om misbruik van accoutns te voorkomen is het huidige wachtwoord alleen geschikt om een nieuw wachtwoord te generen. Dit gebeurt automatisch als u inlogd op de website.

De vermoedelijke wijze waarop toegang is verkregen is onmogelijk gemaakt,
echter het onderzoek loopt nog. Het voorval is gemeld bij de authoriteit
persoonsgegevens.

We betreuren dit voorval zeer. Indien u vragen heeft kunt u hier
https://www.sitedeals.nl/...-datalek.html#post1300110 terecht.
Mocht er nieuws te melden zijun doen we dat ook in dit topic.

Job Schneider
--

the_stickie @keverjeroen • 2 februari 2023 22:32

Omg die hebben blijkbaar ook geen toegang (meer?) tot spellingcontrole of enige kennis om een html link te maken

Dat, naast het gebruik van vbulitin, en dan nog zo’n oude versie riekt gewoon naar amateurisme.
En dat voor een site die pretendeert zich te richten op webmasters

himlims_ @the_stickie • 2 februari 2023 23:09

Amateurisme [..] betwijfel het, denk dat meer een hobby / prestige projectje is, wetende “zolang t goed gaat, prima maar eens ben je de lul” gewoon laks en nalatigheid

sypie @keverjeroen • 2 februari 2023 22:25

Zoveel tikfouten? Ik zie alleen ergens een halve zin die er dubbel in staat, waarschijnlijk vergeten weg te halen bij het schrappen van tekst. Verder is het een nette e-mail zonder gekke dingen.

Patrick_Wolf @sypie • 2 februari 2023 22:55

Grapje toch?
zijun
authoriteit
inlogd
accoutns
wijzigen.op

Zo zijn er vast nog meer

barbarbar @Patrick_Wolf • 2 februari 2023 23:02

Generen

Koffie-Verkeerd @barbarbar • 2 februari 2023 23:45

Mwoah, dat is nog wel van toepassing.....
Niet dat ie dat bedoelde, maar toch.

ericpronkcom @keverjeroen • 3 februari 2023 07:26

Wacht "Om misbruik van accoutns te voorkomen is het huidige wachtwoord alleen geschikt om een nieuw wachtwoord te generen."

Hebben ze eerst de wachtwoorden gereset of is het "huidige wachtwoord" hetzelfde wachtwoord wat gelekt is

Ariejan @ericpronkcom • 3 februari 2023 09:03

Zo te horen dat laatste. Ik verwacht dat je inlogt en dan 'n mail met 'n nieuw wachtwoord gaat krijgen ofzo waarmee je "echt" kan inloggen.

Forte 2 februari 2023 20:38

Zat hier helaas ook bij, ruim 10 jaar geleden voor het laatst ingelogd en nooit meer iets mee gedaan. Wonderlijk dat ze mijn gegevens nog hebben.

Begrijp dat wachtwoorden ook plaintext opgeslagen zijn. Eén grote AVG nachtmerrie..

ViezeVis @Forte • 2 februari 2023 20:48

Wachtwoorden zijn met MD5+salt opgeslagen volgens de eigenaar. In mei 2022 heb ik gelukkig mijn Sitedeals account kunnen laten verwijderen. Het heeft me wat moeite gekost omdat de eigenaar lastig te bereiken was, maar hij heeft het keurig opgepakt. Ik heb ook verder geen e-mail gehad, dus ik verwacht dat dat verzoek goed is uitgevoerd.

Forte @ViezeVis • 2 februari 2023 21:00

Begrijp van meerdere dat passwords plaintext gemaild worden bij wachtwoord reset en wachtwoord vergeten (waar ik zelf überhaupt geen mail ontving). Misschien dan toch encryptie, maar van hashing lijkt me dan geen sprake.

WhatsappHack

Networking en security
Datalek

@Forte • 2 februari 2023 21:54

Als een wachtwoord in een herrinering plain-text gemaild kan worden en er is sprake van encryptie, dan staat een eventuele encryptiesleutel dus ergens toegankelijk voor de forum software opgeslagen; anders kan de software het ook niet plain-text naar je mailen. Dat is een beetje als een sleutel onder je deurmat leggen en dan moet je er van uitgaan dat een aanvaller die sleutel dus ook heeft en het wachtwoord plain-text accessible is.

Als het gaat om dat je nieuwe wachtwoord plain-text verstuurd wordt per e-mail na wijziging, dan hoeft dat niet perse zo te zijn; dan zou het eerst plain-text verstuurd kunnen worden en vervolgens versleuteld of gehasht opgeslagen kunnen worden. Al is dat ehh... een beetje raar en zou ik het niet helemaal vertrouwen noch fijn vinden. Wachtwoorden moeten nooit plain-text verzonden worden.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

Bender @Forte • 2 februari 2023 23:18

De wachtwoorden per email betreffen password resets, dus niet bestaande wachtwoorden.
Verdiend uiteraard ook geen schoonheidsprijs, maar ze staan niet zomaar plaintext bij de usernames (de vraag is alleen, is er een email log..)

JorzoR @Forte • 3 februari 2023 08:11

Begrijp van meerdere dat passwords plaintext gemaild worden bij wachtwoord reset en wachtwoord vergeten (waar ik zelf überhaupt geen mail ontving). Misschien dan toch encryptie, maar van hashing lijkt me dan geen sprake.

Ik heb in het verleden veel met zulke forum software gewerkt. Waarschijnlijk wordt het wachtwoord in een mail gepropt voordat het de database bereikt en voordat het dus versleuteld wordt.

Dit is eigenlijk net zo veilig als een reset linkje zonder wachtwoord, mits deze na een X aantal minuten niet meer werkt. Kortom, veilig zolang je direct je wachtwoord gaat wijzigen en het oude wachtwoord (of reset linkje) daarna niet meer werkt.

[Reactie gewijzigd door JorzoR op 22 juli 2024 14:49]

Demonitzu @JorzoR • 3 februari 2023 10:17

Ik heb in het verleden veel met zulke forum software gewerkt. Waarschijnlijk wordt het wachtwoord in een mail gepropt voordat het de database bereikt en voordat het dus versleuteld wordt.

Dit is eigenlijk net zo veilig als een reset linkje zonder wachtwoord, mits deze na een X aantal minuten niet meer werkt. Kortom, veilig zolang je direct je wachtwoord gaat wijzigen en het oude wachtwoord (of reset linkje) daarna niet meer werkt.

Bij vBulletin werkt dat inderdaad zo, het automatisch gegenereerde wachtwoord wordt in de mail gepropt voordat het in de database gehashed wordt. Ieder wachtwoord krijgt z'n eigen salt en die staat in dezelfde database tabel opgeslagen als het wachtwoord, dus ga er maar vanuit dat die ook gelekt is. De reset link werkt 24 uur voordat deze verloopt.

Horatius @Forte • 2 februari 2023 20:49

Begrijp dat wachtwoorden ook plaintext opgeslagen zijn. Eén grote AVG nachtmerrie..

MD5 encryptie, dus niet plaintext. Alleen is MD5 vrij makkelijk te bruteforcen, dus als je een normaal woord had is dat zo gedaan.

Stroopwafels @Horatius • 2 februari 2023 20:54

Hashing, niet encryptie. Er zit een groot verschil tussen. Hashing = one way (bruteforcen mogelijk). Met encryption kan je het decrypten naar plain text met de key.

joost00719 @Stroopwafels • 2 februari 2023 21:23

Helaas is MD5 hashing flawed en zijn er vele rainbow tables voor.
Gelukkig is het gesalt, maar ik ben benieuwd hoe lang dat vol houdt met md5.

friggler 2 februari 2023 20:37

Ben vroeger actief geweest op die site, maar ik heb geen mail ontvangen. Kan zijn dat het inmiddels langer dan 10 jaar geleden is dat ik daar actief was.

Luchtbakker @friggler • 2 februari 2023 20:40

Ben vroeger actief geweest op die site, maar ik heb geen mail ontvangen. Kan zijn dat het inmiddels langer dan 10 jaar geleden is dat ik daar actief was.

Je bent niet de enige. Ik heb pas de 2e reminder mail gekregen vandaag. De 1e heb ik ook niet gehad.

zap8 @Luchtbakker • 2 februari 2023 20:46

Ik kreeg vanavond een eerste melding met in het onderwerp: Datalek (herhaling

Ja het laatste haakje na het woord herhaling miste. Erg slordig en dan denk je dus meteen aan een phising mail. Nu het nieuws op tweakers staat ben ik toch maar eens wezen kijken.

In de email die ik kreeg staat oa
De gegevens betreffen:
- Gebruikersnamen
- Geboortedatum
- wachtwoord
- IP adres

Toen ik naar de website ging stond er een melding van je hebt 38.000 en nog wat dagen voor het laatst ingelogd, zo uit m'n hoofd stond er password verlopen en maak een nieuw password aan.
Ik ben denk ik zo'n 15 jaar geleden voor het laatst op de site geweest. En aan vormgeving lijkt er ook weinig verandert. Moet eerlijk zeggen dat ik de site totaal vergeten was. Maar zo te zien is er nog steeds activiteit.

[Reactie gewijzigd door zap8 op 22 juli 2024 14:49]

dunpealhunter @zap8 • 2 februari 2023 23:51

Ik zag de mail ook voorbij komen, maar omdat hij vol met spelfouten zat ging ik er eigenlijk vanuit dat het zelf een phishingmail was die mijn filter over het hoofd had gezien....

Een deel van de email:

We raden dringend aan uw wachtwoord te wijzigen.op andere website waarbij hetzelfde wachtwoord is gebruikt. Om misbruik van accoutns te voorkomen is het huidige wachtwoord alleen geschikt om een nieuw wachtwoord te generen. Dit gebeurt automatisch als u inlogd op de website.

De vermoedelijke wijze waarop toegang is verkregen is onmogelijk gemaakt,
echter het onderzoek loopt nog. Het voorval is gemeld bij de authoriteit
persoonsgegevens.

We betreuren dit voorval zeer. Indien u vragen heeft kunt u hier
https://www.sitedeals.nl/...-datalek.html#post1300110 terecht.
Mocht er nieuws te melden zijun doen we dat ook in dit topic.

Dit is gewoon tenenkrommend slecht Nederlands.....

AW_Bos

@zap8 • 2 februari 2023 21:38

38.000 dagen? Dat is bijna 104 jaar? Respect!

[Reactie gewijzigd door AW_Bos op 22 juli 2024 14:49]

Kecin

2 februari 2023 20:36

Met zulke oude software is het geen wonder en vragen om problemen. Wist ook niet dat het nog bestond. In het verleden wel eens lucratieve deals kunnen doen. Maar dat is minstens 10 jaar terug.

Stroopwafels @Kecin • 2 februari 2023 20:52

Ik ben in het verleden enorm actief in de vBulletin modding community geweest en zover ik weet zijn er geen exploits voor vBulletin 4.2.5 (met de meest recente patch) te vinden... echter... het kan natuurlijk een 0-day zijn, of er draaien mods/plugins die kwetsbaar zijn, of andere software wat kwetsbaar is.

Volgens de eigenaar van sitedeals.nl: "De vermoedelijke wijze waarop toegang is verkregen is onmogelijk gemaakt" dus die zal het antwoord wel weten betreft hoe dit is gebeurd.

Zelfs een gehijackte admin account zou genoeg zijn (in vBulletin 3 en 4 tenminste) om een backdoor te uploaden om vervolgens een database dump te doen.

[Reactie gewijzigd door Stroopwafels op 22 juli 2024 14:49]

Cyb @Kecin • 2 februari 2023 21:00

De nieuwere versie 5 is overigens nog veel gevaarlijker (diverse remote code executions die op kinderlijke wijze konden worden uitgevoerd), die is ontstaan nadat de lead developers vertrokken en XenForo hebben opgezet.

ZpAz

2 februari 2023 21:47

Had zelf het gevoel dat de website al jaren dood was. Er veranderde helemaal niets, en het aantal posts ging ook omlaag.

Fora zijn sowieso volgens mij niet zo populair meer. GoT lijkt één van de weinige die nog goed loopt. Vroeger was er ook nog een e-programmeur.nl voor programmeer gerelateerde onderwerpen. Maar die bestaat al jaren niet meer.

WokeBroke @ZpAz • 2 februari 2023 22:01

Naar mijn idee ging het achteruit sinds WordPress en zijn plugins kwamen. Iedereen kon opeens een website met een paar kliks maken, en een layout downloaden. WmCity was ook een leuke website. Maar die was ook verlaten na de komt van WordPress.

AW_Bos

@WokeBroke • 3 februari 2023 00:15

En vergeet Webfanaat en Webmensen niet ;-)
Dat waren ook veel bezochte sites over programmeren.

[Reactie gewijzigd door AW_Bos op 22 juli 2024 14:49]

WhatsappHack

Networking en security
Datalek

@ZpAz • 2 februari 2023 22:13

Er zijn nog zat actieve fora, al zijn er zeker een aantal gesneuveld door Reddit & Facebook (Groups). Zeker specifieke fora doen het goed. De laatste jaren zijn ze zelfs weer iets in opkomst qua populariteit vanwege teveel gezeik op Facebook omtrent privacy, willekeur met regels, slechte functies en onoverzichtelijk als het druk wordt in een groep, etc.

Sizzla 2 februari 2023 20:44

Zelfs als je nu jouw wachtwoord wijzigt, krijg je deze gewoon in plain text in je mailbox. Lijkt dus nog steeds niet gehashed te zijn.

[Reactie gewijzigd door Sizzla op 22 juli 2024 14:49]

Rub3s @Sizzla • 2 februari 2023 21:19

Het kan zijn dat de ongehashte waarde gemaild wordt na het hashen. En dat als het script klaar is, de ongehashte waarde foetsie is.

Gubbel @Rub3s • 2 februari 2023 21:55

Theoretisch ka, in dit geval durf ik mn er voor handen in t vuur te steken, dat dat niet het geval is.

Bender @Gubbel • 2 februari 2023 23:39

Ik hoop dat je vuurvaste handen hebt..

Rub3s @Gubbel • 3 februari 2023 09:42

Zelfs Microsoft doet het zo bij Office365. Mailt plaintext wachtwoord bij maken nieuw account. Betekend niet dat het wachtwoord plaintext in de database staat.

Gubbel @Rub3s • 3 februari 2023 16:47

Ik heb het over Sitedeals specifiek, niet over of het wel of niet mogelijk is. De wachtwoorden zijn overigens MD5+salt opgeslagen.

the_stickie @Rub3s • 2 februari 2023 22:38

Ja tof
Kan je alleen maar hopen dat de hackers geen toegang hebben tot (het equivalent van) de ’Sent items’ of tracing tools van de mailserver

Een mailtje met ’je wachtwoord werd met succes veranderd’ zou meer dan voldoende moeten zijn.

[Reactie gewijzigd door the_stickie op 22 juli 2024 14:49]

Booz @Sizzla • 2 februari 2023 21:44

Je hebt volgens mij alleen een punt als je je wachtwoord kan opvragen per email.

Bij wijzigen kan heel goed een email worden gemaakt en ww daarin worden weergegeven. Enige is dat je ww dan via een email server is verstuurd en aangekomen. Voor de rest geen indicatie van wel of niet encryptie.

Triblade_8472 2 februari 2023 21:02

Ik hoop op een dikke boete van de AVG. Zo eentje die in het nieuws komt en vele directeuren te lezen krijgen.

Waarom? Omdat je als website geen gegevens moet hebben van mensen die 10-15 jaar lang niet meer ingelogd zijn.

Verwijder dan minimaal het wachtwoord, maar liever alles. Stuur een e-mail met de vraag of je je account nog wil behouden. Geen antwoord = verwijdering.

WhatsappHack

Networking en security
Datalek

@Triblade_8472 • 2 februari 2023 22:10

Bij een forum, wat ook als archief geldt (ook binnen de AVG, daarom eea aan uitzonderingen), is het juist wel zo handig als accounts bewaard blijven waarmee de posts geassocieerd zijn en werkt andersom handiger: bewaren, tenzij de user het account wil loskoppelen van de posts & verwijderen.

Anoniem: 454358 @WhatsappHack • 2 februari 2023 22:33

Kun je alsnog de gegevens anonimiseren. Of de wachtwoorden verwijderen oid. Dan blijft de info van de posts etc intact, maar niet meer (direct) te herleiden naar de poster

WhatsappHack

Networking en security
Datalek

@Anoniem: 454358 • 2 februari 2023 23:08

Waarom zou je dat doen...? Misschien wil de originele poster dat helemaal niet en je hebt ook geen wettelijke verplichting om dat te doen.

De wachtwoorden verwijderen kan ik me afhankelijk van de situatie wel in vinden, al zou ik dat ook pas als probleem gaan zien als het wachtwoorden zijn van vóór een goede hashing + salt of plain-text. Dan idd verwijderen en forceren. Na x jaar niet ingelogd verwijderen en reset afdwingen... Mja, dat is een optie, I guess.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

Groningerkoek @WhatsappHack • 2 februari 2023 23:30

Dat doe je om je leden te beschermen, om je database schoon te houden en om aan de wet te voldoen.

En aangaande de wettelijke verplichting, je mag gegevens als bijvoorbeeld BSN alleen zo lang bewaren als dat nodig is en ook alleen innemen als daar een wettelijke uitzondering voor is gemaakt en die ontbreekt hier. En we zijn het er allemaal toch wel over eens dat als iemand al jaren niet meer ingelogd heeft dat de noodzaak om wat voor gegevens van iemand dan ook te bewaren is verdwenen.

WhatsappHack

Networking en security
Datalek

@Groningerkoek • 3 februari 2023 01:46

Qua BSN, als dat bewaard was, kan ik daar wel inkomen. Maar algemeen user accounts? Nee. Daar is ook geen wettelijke verplichting toe om die periodiek weg te knikkeren (op arbitraire basis als x tijd niet ingelogd). De database schoonhouden...? Die paar bytes? Volstrekt niet boeiend op grote fora. Het neemt nauwelijks ruimte in (echt compleet verwaarloosbaar op wat posts, DM's, etc. innemen in de database), het levert met moderne databases geen (merkbare) snelheidswinst op, etc. Als het je daarom gaat moet je eigenlijk ook zeker geen archief bijhouden, want why stop at the users? Knikker dan ook meteen alle posts ouder dan 2 jaar weg, dan kan je spreken van nuttig schoonmaken als het om ruimte en dergelijken gaat.

Naja, als je een hekel hebt aan retentie en gebruiksgemak dan snap ik de insteek; maar ik ben het daar niet mee eens en vind ook zeker niet dat dit een of andere verplichting zou moeten zijn.

En we zijn het er allemaal toch wel over eens dat als iemand al jaren niet meer ingelogd heeft dat de noodzaak om wat voor gegevens van iemand dan ook te bewaren is verdwenen.

Nee, daar ben ik het dus niet mee eens.

Het user account in de basis kan gewoon bewaard blijven. Het is uiteraard aan de admins om dat wel of niet te doen. Jij zou het liever anders inrichten: doen!

Nogmaals ten overvloede: uiterwaard wel verantwoordelijk. Als bijvoorbeeld wachtwoorden in een eerdere versie slecht of niet gehasht waren, dan knikker je alle wachtwoorden weg (heck, zelfs als het account nog maar een dag oud is.

) en dwing je iedereen een nieuwe aan te maken, die ga je niet bewaren. Maar dat is een ander verhaal dan in algemene zin elk jaar alle accounts weg te knikkeren ofzo.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

Groningerkoek @WhatsappHack • 2 februari 2023 22:34

Je kun prima en je structuur in de posts/topics behouden en gebruikeraccounts verwijderen. Daar zijn voldoende simpele en werkbare oplossingen voor.

WhatsappHack

Networking en security
Datalek

@Groningerkoek • 2 februari 2023 23:11

Ja dat kan prima en forum software biedt er vaak zelfs default een optie voor, maar waarom zou je dat in vredesnaam doen als het volstrekt onnodig is en de users dat wellicht ook juist helemaal niet willen? Kost alleen maar moeite, zeker als een lid toch weer eens wil inloggen en dan allemaal gedoe met bewijzen, reassociation en blabla. Het vervult geen enkel nut om gebruikersaccounts op fora zomaar te verwijderen en is allemaal moeite doen voor niets.

Waar wel wat voor valt te zeggen is als leden al X jaar lid zijn en nog een wachtwoord in de database hebben staan dat plain-text is of een zwakke hash, dat je dan het wachtwoord verwijderd en de gebruiker dus dwingt een nieuwe aan te maken als ze willen inloggen.

Groningerkoek @WhatsappHack • 2 februari 2023 23:22

Juist met die methode krijg je allemaal gedoe met bewijzen e.d. want dat mensen jarenlang dezelfde email-adressen behouden is maar al te vaak niet het geval. En IP's wisselen ook regelmatig. Dus dan is er geen wachtwoord, geen e-mailadres, geen IP en dan?

Als beheerder moet je gewoon je verantwoordelijk nemen en actief aan bescherming doen, maar ook actief zijn in het verwijderen van gegevens die niet meer nodig zijn. Gewoon na een periode van in-activiteit een mail sturen dat ze binnen een maand in moeten loggen en dat anders de account wordt verwijderd. Zeker een site als deze welke ook gegevens als Echte namen, geboortedata en BSN-nummers opsloeg moet daar actief mee bezig zijn en kan niet tot het einde der dagen die zooi bewaren als gebruikers niet meer langs komen.

Als. er al een gebruiker is die na jaren terug wil komen dan kan die gewoon een nieuwe account aanmaken. (Iets wat velen toch al doen omdat ze geen idee meer hebben van de oude gegevens, dit is ook niet mijn 1e account bij Tweakers, maar als je je email niet meer hebt en je weet je wachtwoord niet meer, tsja, dan gewoon een nieuwe.)

WhatsappHack

Networking en security
Datalek

@Groningerkoek • 3 februari 2023 01:44

Juist met die methode krijg je allemaal gedoe met bewijzen e.d. want dat mensen jarenlang dezelfde email-adressen behouden is maar al te vaak niet het geval.

Dat is echt bijna nooit het geval. Ik heb over de jaren heel veel fora gemanaged, sommige met tienduizenden actieve gebruikers (over een maand bekeken); de keren dat het voorkwam dat iemand geen toegang meer had tot het e-mailadres zijn relatief echt heel heel erg zeldzaam. Op een paar honderdduizend geregistreerde gebruikers een paar tientallen verzoeken over de jaren heen vind ik niet "maar al te vaak".

Uiteraard zullen er ook een paar zijn die simpelweg een nieuw account registreren (vnl mensen met 0 (die kan je overigens wel wegknikkeren, sure.) of slechts 1 a 2 posts). Maar over het algemeen behouden mensen heel lang hetzelfde e-mailadres óf behouden toegang tot hun oude e-mailadres. Ik bedoel er is een reden dat, afhankelijk van je generatie, nog een behoorlijk aantal een @hotmail.com adres heeft.

(Al zijn er veel destijds overgegaan naar GMail.

)

En IP's wisselen ook regelmatig. Dus dan is er geen wachtwoord, geen e-mailadres, geen IP en dan?

Op basis van profieldata opzoeken. Als het niet bewezen kan worden, is het pech. Als het account echter al helemaal weg is, dan heb je helemaal geen referentiemateriaal meer. Dat is vervelend en dan moet je toevallig iemand kennen bijvoorbeeld of iets anders hebben om te controleren. Kost allemaal meer tijd. Je kan het ook policy maken "doen we niet, weg is weg" - maar dat is ook gebruiksonvriendelijk.

Als beheerder moet je gewoon je verantwoordelijk nemen en actief aan bescherming doen, maar ook actief zijn in het verwijderen van gegevens die niet meer nodig zijn. Gewoon na een periode van in-activiteit een mail sturen dat ze binnen een maand in moeten loggen en dat anders de account wordt verwijderd.

Nah ik vind niet dat je actief data moet verwijderen op fora, geen noodzaak voor en dus "moet" niets. Je kan het zeker zo inregelen zoals je voorstelt als jij dat graag wil, sure. Maar het niet doen is ook helemaal prima. Als iemand het account niet meer wil of niet meer wil gebruiken, dan kunnen ze het zelf verwijderen.

Ik kan me best vinden in iets als zeer gevoelige data na x jaar geen login weggooien of misschien zelfs bijvoorbeeld na x jaar inactiviteit het wachtwoord wegknikkeren en forceren dat het gereset wordt (maarja, als ze dán het e-mailadres kwijtraken komen ze er idd niet meer in...) - maar zomaar preventief alles verwijderen: ik zie daar bij fora dus juist veel meer nadelen dan voordelen in; zeker omdat iemand die z'n account echt wil verwijderen dat veelal prima kan doen. (Op sommige sites mag dat niet of wordt het account hoogstens suspend en geanonimiseerd.)

Zeker een site als deze welke ook gegevens als Echte namen, geboortedata en BSN-nummers opsloeg moet daar actief mee bezig zijn en kan niet tot het einde der dagen die zooi bewaren als gebruikers niet meer langs komen.

Sure, voor bepaalde data kan je best een bepaalde retentie behouden en het daarna wegknikkeren tot het weer nodig is. Soms kan dat overigens ook niet, zoals bijvoorbeeld X jaar moeten bewaren van factureren. Maar zeker: dat kan en dat zou ik ook een goed idee vinden. Maar alle accounts geheel wegknikkeren vind ik een ander verhaal en zeker niet iets dat verplicht zou moeten zijn o.i.d.. Zeker niet als je netjes alles vermeld in de privacy policy en voorwaarden.

Als. er al een gebruiker is die na jaren terug wil komen dan kan die gewoon een nieuwe account aanmaken. (Iets wat velen toch al doen omdat ze geen idee meer hebben van de oude gegevens, dit is ook niet mijn 1e account bij Tweakers, maar als je je email niet meer hebt en je weet je wachtwoord niet meer, tsja, dan gewoon een nieuwe.)

Of ze kunnen gewoon heel fijn inloggen naar hun bestaande account en hebben daar dezelfde rechten, toegang tot hun DM's, posts (incl. in verborgen boards), et cetera. Inloggen met hun username of e-mailadres.

Heel simpel.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:49]

Gubbel @WhatsappHack • 3 februari 2023 01:00

Nou dat zou je doen omdat je anders zoals nu in mij geval de sjaak bent vanwege een datalek op een forum waar je al 10 jaar niet bent geweest en er geen optie is om je gegevens te verwijderen.

Ik heb van dit lek behoorlijk last qua phishing attempts

aadje93 @Groningerkoek • 3 februari 2023 00:53

als ik even simpel denk ->

user id -> random nummer
Wachtwoord en alle andere date -> delete.

"fixed"

Triblade_8472 @WhatsappHack • 2 februari 2023 23:03

Maar wat heeft dat te maken met md5 encrypted (niet hashed) wachtwoorden, namen en e-mail adressen?

Als je de database van dat alles schoont en er 'opgeruimde gebruiker' als username neerzet, dan is dat toch werkbaar?

WhatsappHack

Networking en security
Datalek

@Triblade_8472 • 2 februari 2023 23:16

Maar wat heeft dat te maken met md5 encrypted (niet hashed) wachtwoorden, namen en e-mail adressen?

Geen idee, ik reageer simpelweg op jouw post...

Als je de database van dat alles schoont en er 'opgeruimde gebruiker' als username neerzet, dan is dat toch werkbaar?

Als een user dat wil staat het ze uiteraard vrij om dat te vragen. (Of je daar gehoor aan geeft is een tweede en zal situatieafhankelijk zijn.) Ik zou in een forum zeker niet zomaar posts losmaken van een user en/of zomaar hun account verwijderen. Je ziet vaak zat dat users na jaaaaren opeens weer terugkomen en actief worden. Dan heb je ze ook voor jan-lul verwijderd en mag je weer gaan klooien om de posts opnieuw toe te wijzen aan het account of heeft de user die associaties niet meer. En waarvoor...? Vanwege een opschoning die niet noodzakelijk is.

Uiteraard moet iedereen zijn/haar fora draaien zoals ze willen, dus als je dat wel wilt doen: go for it. Ik ben het er simpelweg niet mee eens dat je geen users zou mogen bewaren langer dan 10 jaar zoals jij stelt.

Anoniem: 454358 2 februari 2023 20:46

Tja was te verwachten met 5 jaar oude forum software, dergelijke php scripts stonden nooit echt bekend als het meest veilige volgens mij, en dan een dergelijk oude versie draaien.

Je was ook verplicht je eigen naam en bedrijfsnaam op te geven. Dat icm wachtwoorden in plaintext zal een leuke bak ellende geven.

Vroeger <2010 veel leuke deals gemaakt daar (en tb forum) als beginnend web pionier. Maar de laatste tien jaar lijkt die site wel dood.a

Triblade_8472 @Anoniem: 454358 • 2 februari 2023 21:03

Ik begreep dat de wachtwoorden met md5 waren beveiligd. Dus niks plain-text. Althans, volgens de +2 posts hierboven.

Groningerkoek @Triblade_8472 • 2 februari 2023 22:55

MD5 is van 32 jaar geleden en wordt al 27 jaar afgeraden, als je dat nu nog gebruikt als site-beheerder zelfs al is het salted dan moet je je gewoon de ogen uit de kop schamen.

[Reactie gewijzigd door Groningerkoek op 22 juli 2024 14:49]

Triblade_8472 @Groningerkoek • 2 februari 2023 23:01

Klopt helemaal!

En toch is het niet plain-text.

Anoniem: 58485 @Triblade_8472 • 3 februari 2023 06:43

MD5 + salt.

Maar dat is nog relatief eenvoudig te bruteforcen. MD5 is niet gekraakt, maar cryptografisch faalt het.

Anoniem: 221563 @Triblade_8472 • 3 februari 2023 11:06

De md5 beveiliging is zo enorm lek, dan heb je tegenwoordig nagenoeg hetzelfde als plaintext wachtwoorden.

Gubbel 2 februari 2023 21:58

Ik ben na 10 jaar maar eens ingelogd, allerlei gevoelige data in mn priveberichten.
Verplicht destijds echte naam op moeten geven en mn BTW nummer (wat dus mn BSN is) kan ik niet wijzigen want het moet een valide nummer zijn waarvan ik de validatie niet ken.

Ik kan geen enkele gegevens aanpassen of verwijderen en kan mn profiel zelf niet verwijderen.

Een groot drama dit, ik hoop op een heftige boete.

sypie @Gubbel • 2 februari 2023 22:28

Op je BSN is de 11-proef van toepassing: https://nl.wikipedia.org/wiki/Elfproef

Gubbel @sypie • 2 februari 2023 23:07

Dank!

lasharor 2 februari 2023 20:39

Sitedeals heeft ook nog een policy om echte namen te gebruiken.

Lijkt mij een slechte zaak als slachtoffer van een datalek.

Om die reden heb ik ook een aantal jaar geleden mijn account laten verwijderen van die site

AW_Bos

@lasharor • 2 februari 2023 21:36

Oh, dat gedoe. Ik had destijds (spreek 12 jaar terug ofzo) die moderators overtuigd dat ik met een grondige reden gewoon mijn nickname wou. Na lang zeuren gingen ze overstag. Nu in deze tijd wil iedereen overal wel een nickname.

Op dit item kan niet meer gereageerd worden.

Gegevens gebruikers Sitedeals.nl buitgemaakt door onbevoegd persoon

Lees meer

Reacties (78)

Sorteer op:

Weergave: