Data gebruikers grootste Belgische prostitutiesite dreigt op darkweb te komen

De data van gebruikers en adverteerders van de grootste prostitutiesite van België dreigt op het darkweb te komen. Een of meer kwaadwillenden kregen de data van Redlights.be te pakken en nu gesprekken zijn vastgelopen, dreigen zij de data te openbaren.

Het gaat om 415.000 accounts. Daarvan zijn er 128.000 nog actief, terwijl er 41.000 adverteerders tussen zitten. Dat zijn mensen die hun diensten op de site hebben aangeboden. De site waarschuwt gebruikers om per direct gebruikersnaam en wachtwoord te veranderen om te voorkomen dat anderen kunnen inloggen met behulp van de data als die op het darkweb gaan verschijnen.

Dat kan gaan gebeuren, omdat de gesprekken tussen de site en de kwaadwillenden zijn vastgelopen. Redlights.be, dat ook actief als quartier-rouge.be, bevestigt de hack op de eigen site. "De websites zijn van nature al erg beveiligd, maar door een manuele fout in de codering is een hacker erin geslaagd om privégegevens en berichtenverkeer te bemachtigen."

De impact is beperkt door diverse factoren, zo claimt het bedrijf achter de site, Link Media. "In februari van dit jaar heeft Link Media al een extra laag beveiliging aangebracht, die ervoor zorgt dat alle privégegevens en berichten extra versleuteld en gecodeerd zijn. Zo zijn adverteerders en bezoekers die actief geworden zijn op de website vanaf februari 2023 sowieso geen betrokken partij en hoeven ze zich dus geen zorgen te maken. Daarnaast gebruiken zowel de sekswerkers als de websitebezoekers veelal schuilnamen en schuil-e-mailadressen, wat hun herkenbaarheid in het openbaar een stuk moeilijker maakt."

IT-banen

Reacties (114)

Oon

9 oktober 2023 09:03

De websites zijn van nature al erg beveiligd, maar door een manuele fout in de codering

Los van dat ik een hekel heb aan de term 'codering' als het over programmeren gaat, is dit natuurlijk ook gewoon een stukje bullshit van iemand die duidelijk geen kaas gegeten heeft van IT..

Als het goed beveiligd was dan was er geen ingang, maar die was er wel, dus het is per definitie niet goed beveiligd

Dat is een beetje zoals een hele dure stalen voordeur met 4 sloten hebben en dan de achterdeur open laten staan.

Teun_2 @Oon • 9 oktober 2023 09:18

Reacties zoals de jouwe tonen een van de grootste problemen met cyber security aan. Victim blaming. Daar moeten we echt eens van af stappen. Het creëert een vals gevoel van veiligheid voor de bedrijven die hun security in orde hebben (nergens is die 100%).

nst6ldr @Teun_2 • 9 oktober 2023 10:10

Reacties zoals de jouwe tonen een van de grootste problemen met cyber security aan.

De ironie is juist dat dit beeld het grootste probleem met cybersecurity is. Je stelt dat door victim blaming bedrijven denken dat ze veilig zijn terwijl dat niet het geval is, terwijl het gros van de bedrijven (en in verlengde ook slachtoffers) überhaubt niks doet met informatiebeveiliging. Dat telt dus niet op.

Ook is dat gedachtengoed vanuit een verkeerde insteek: niemand die serieus met infosec bezig is gaat uit van security. Het is een gelaagde lappendeken van CIA: confidentiality, integrity en availability. Oftewel: je richt je IT (én bedrijfsprocessen!) zo in dat niemand ziet wat ze niet horen te zien (alleen dit onderdeel is security), alles wat je ziet betrouwbaar is, en dat het beschikbaar is binnen de tijd dat je het nodig acht. En dat binnen de parameters die de directie van het bedrijf stelt (geld, tijd, FTE's).

Juist dát is de valkuil van IT beheerders die denken dat informatiebeveiliging een technische aangelegenheid is en zomaar begint aan het optuigen van maatregelen. Daar zitten risico's aan, niet alleen een vals gevoel van veiligheid maar ook security fatigue.

FreezeXJ @nst6ldr • 9 oktober 2023 13:32

Die beheerders doen dan vooral aan CYA, Cover Your Behind... want dat is uiteindelijk waar er net voldoende budget voor is. Een volledige policy opzetten is veel werk, en de eindgebruikers zouden er weinig van mogen merken, dus dan wordt het al snel als 'nutteloos' weggezet. Alleen goed management herkent de noodzaak (al dan niet na uitleg van IT) , en daar gaat het vaak al mis.

bigbadbull @FreezeXJ • 10 oktober 2023 10:30

Tuurlijk CYA is heel belangrijk en de enigste manier van werken.
Maken dat jij niet in de fout bent en als je fouten vind, moet je die melden.
Dat is hoe de hele CyberSecurity wereld werkt !
onze CS-afdeling vind een oude Apache versie in een van de Duizenden applicaties die hier gebruikt worden en meld dat deze upgedate moet worden aan het verantwoordelijke team binnen ons bedrijf.
CYA-CS = ok
dat team neemt contact op met hun leverancier en zegt dat zij moeten updaten
CYA-team = ok
de schuld ligt nu volledig bij de leverancier. (leverancier kan ook intern zijn bij volledig maatwerk)
en ja het lijkt verantwoordelijk ontlopen, maar dat is nu eenmaal de manier.
Beter zou zijn indien het vanuit de leverancier komt, dat gebeurd ook, maar daar mag je als bedrijf niet van uitgaan.
de CS-afdeling kan ook een externe partij zijn.
Je kan het ook over de pot gooien zoals ik ergens bij een Duits bedrijf meegemaakt heb, daar was er echt sprake van ZeroTrust en werd je als werknemer als crimineel beschouwd, omdat je aan data wil kunnen om te werken. Zo ver zelfs dat ze de applicatie-DB-user blokkeerden om op de DB server te kunnen

Ook geen gezonde werk omgeving.

dasiro @nst6ldr • 9 oktober 2023 22:16

En dat binnen de parameters die de directie van het bedrijf stelt (geld, tijd, FTE's).

Juist dát is de valkuil van IT beheerders die denken dat informatiebeveiliging een technische aangelegenheid is en zomaar begint aan het optuigen van maatregelen. Daar zitten risico's aan, niet alleen een vals gevoel van veiligheid maar ook security fatigue.

je wil niet weten hoe beperkend die 1e regel is voor de laatste alinea. Je roeit met de riemen die je hebt. Bij het ene bedrijf is dat een halve bamboestok, bij het andere is dat een Romeins galjoen met een set reserve-roeiers. Dat wil daarom niet zeggen dat er zomaar wat in het water wordt geslagen om toch maar wat opspattend water te hebben, want daarmee doe je de inzet en expertise van velen oneer aan.

Stijnvi @Teun_2 • 9 oktober 2023 09:34

Nou uiteindelijk zijn de gebruikers hier de slachtoffers, en die kunnen hier niks aan doen, dus echt victimblaming is dit niet. Het is juist goed dat bedrijven de schuld krijgen als ze zelf hun beveiliging niet op orde hebben. Als jij je juwelen in een deposit box bij de bank hebt liggen, en de bank vergeet de kluis dicht te doen, dan geef je de bank toch ook de schuld? Tuurlijk, als iedereen eerlijk zou zijn is er niks aan de hand. Maar je weet dat men niet eerlijk is, dus moet je in ieder geval er alles aan doen om diefstal zo lastig mogelijk te maken.

Teun_2 @Stijnvi • 9 oktober 2023 09:52

Ook voor het bedrijf is het altijd schadelijk. Ook als je je IT op orde hebt, ben je niet immuun. Dat is al meermaals aangetoond. Je creëert een situatie waarbij bedrijven lekken niet naar buiten durven brengen, wat uiteindelijk schadelijk is voor iedereen

Zyppora @Teun_2 • 9 oktober 2023 10:06

Maar wat is dan de oplossing? Bedrijven de hand boven het hoofd houden in dit soort situaties gaat helemaal een verkeerd signaal geven en zal ervoor zorgen dat er geen cent meer naar IT security gaat. Je hebt als (prive)gegevensverwerker simpelweg een bepaalde verantwoordelijkheid, en als de privegegevens van een ander via jouw site gelekt worden, ben jij toch echt degene die die verantwoordelijkheid hebt laten liggen. Of het lek nu wel of niet voorkomen had kunnen worden is dan een tweede vraag.

Enige dat ik kan verzinnen is helemaal geen privegegevens meer opslaan/verwerken, maar dat kan in de meeste gevallen juridisch weer niet. In dat geval blijft dit dus ondernemersrisico.

CAPSLOCK2000

Privacy
Datalek
België

@Zyppora • 9 oktober 2023 13:21

Misschien moeten we het vergelijken met een brand.
Brand is niet helemaal te voorkomen, of het nu per ongeluk is of een kwestie van brandstichting.
Als bedrijf hoor je er rekening mee te houden dat er brand uit kan breken.
Daarom moet je rookmelders en brandblussers ophangen, bedrijfshulpverlening opzetten en oefenen met ontruimen.

Als je dat goed hebt gedaan en er breekt toch een brand uit waarbij slachtoffers vallen dan is

Darksequence @CAPSLOCK2000 • 9 oktober 2023 16:02

Goeie ik zie het altijd als een fort. Als je genoeg tijd en middelen hebt is geen vesting onkraakbaar want alles wat je kan bouwen kun je ook afbreken. Dus dat de barbaren soms winnen is onoverkomelijk maar je mag verwachten dat een bedrijf/forten-bouwer zijn best doet dit te voorkomen.

gitaarwerk @Darksequence • 9 oktober 2023 17:24

Mee eens. En vooral proberen de schade te beperken. Alle security lagen toepassen. Maar daar is heel veel tijd en energie voor nodig. Dat is ook echt niet voor iedereen weggelegd. Soms denk ik dat je het enkel als vermogend bedrijf de mogelijkheid hebt on het zover mogelijk goed te doen. Lees “ Zover mogelijk “ dan dus niet in context van de mogelijke middelen van willekeurig bedrijfsvoering. Er zijn ook simpelweg te weinig specialisten, en zonder bestaan op internet is er ook weinig bestaansrecht over. Dat doen we met ons allen ook zelf. Als ITer zie ik een hoop dingen. Soms kun je niet anders dan je best doen, en dat zal in zake als security bijna nooit goed genoeg zijn. Je kan je vaak niet weren tegen zero-day kwetsbaarheden i.c.m. een vizier op je/bedrijf. En al zeker niet als dit een zogenaamde “nation state actor” zou zijn. Niet in dit geval gok ik.

Ik heb verder niets tegen blaming, zolang het een terechte blame is. En meestal dan in vorm van rechtspraak. (Dus wanneer ze een risico bewezen niet serieus hebben genomen, en bewust hebben verzaakt). Maar ik hoef er niet over te oordelen. Daar zijn rechters en juristen voor.

Stpan @CAPSLOCK2000 • 10 oktober 2023 12:46

Ik wilde iets vergelijkbaars schrijven. Maar dan met een fietsslot.

Als je een goedgekeurd slot hebt, en je fiets wordt alsnog gestolen - betaalt de verzekering uit.
Als je een slecht slot, of geen slot had, dan niet.

Zolang je de procedures volgt die een zekere mate van veiligheid zouden moeten garanderen, zou je in principe niet 'te blamen' moeten zijn. Soms heb je gewoon pech.

Maar ik wil er toch een klein detail aan toevoegen. Sommige fietsen, en sommige data, is nu eenmaal interessanter om te stelen dan anderen. Dus voor sommige fietsen, of in sommige risico gebieden, heb je meer sloten nodig. Moet je aan de verzekering 2 sleuteltjes opgeven, ipv 1.

Ik kan me zo voorstellen dat data van sexwerkers meer aantrekkingskracht heeft dan het register van gecertificeerde schoorsteenvegers. Of de website in kwestie dan ook 'extra' zijn best heeft gedaan om gegevens te beschermen kan ik niet beoordelen.

'Extra zijn best doen' - daar bedoel ik niet alleen puur technische zaken. Maar bijvoorbeeld ook extra procedures om menselijke fouten te voorkomen. Aftekenen op wijzigingen in de configuratie, het admin password in een vault die alleen door een andere persoon kan worden geopend etc.

En dan nog is dat geen 100% garantie natuurlijk. Juweliers worden bestolen. Data zal worden bestolen. De Titanic zonk.

[Reactie gewijzigd door Stpan op 22 juli 2024 22:38]

BruT@LysT @keejoz • 9 oktober 2023 15:03

Wat verschrikkelijk overdreven. Het bedrijf heeft zelf de gegevens niet moedwillig op straat gegooid. Als ik een peperdure kluis aanschaf en deze wordt toch op een kwade dag gekraakt dan ben ik de sjaak, maar ligt de schuld dan volledig bij mij? De kraker wordt volledig buiten beschouwing gelaten? Het is wel erg makkelijk stellen dat gegevens op internet beveiligd moeten zijn, dus regel het maar. Weet jij alle ins en outs van hoe je dat aan zou moeten pakken? En hoe garandeer jij dat er nooit wat fout gaat want jij bent zo goed in het beveiligen toch? Als jij je eens even zou verplaatsen in de situatie van zo'n bedrijf dan begrijp je best dat kwaadwillenden altijd de boel weten te verzieken, hoe goed je ook bezig bent. Het maakt werkelijk niet meer uit om wat voor bedrijf het gaat, ook Sony was totaal de sjaak toen Anonymous zich ging bemoeien met die playstation hacks. Ik wil dit specifieke bedrijf niet zozeer een hand boven het hoofd houden, ze kunnen ook grove fouten hebben gemaakt, maar jij neemt de boel wel heel kort door de bocht. Zo simpel is het natuurlijk niet.

Ik vermoed dat de meeste attacks zoals deze ontstaan wegens conflicten tussen partijen en dat de mate van veiligheid er helemaal niet meer toe doet. Je moet ook niet vergeten dat de gegevens helemaal nog niet openbaar zijn gemaakt, de gegevens worden nu gebruikt als leverage.

[Reactie gewijzigd door BruT@LysT op 22 juli 2024 22:38]

m_snel @BruT@LysT • 9 oktober 2023 16:51

Ik denk ook dat een boze klant was , niet iemand die andere bedoelingen had.

d3burt

@m_snel • 9 oktober 2023 17:31

If it looks like a duck, and it quacks like a duck, it's probably a duck.

Er zijn tientallen ransomware gangs actief, sommige zelfs georganiseerd als franchise. Omdat slachtoffers steeds vaker de backup op order hebben leggen veel ransomware gangs zich tegenwoordig vooral toe op afpersing met gestolen data.

Ik hoop voor de bezoekers van deze website dat credit card info en telefoonnummer niet in de database zat, want dan helpt een valse naam ook niet meer.

Oon

@Teun_2 • 9 oktober 2023 10:59

Hoezo victim blaming? Wat is dat nou weer voor onzin

Ik zeg gewoon dat het dus niet goed beveiligd was terwijl ze dat wel claimen, hun claim klopt gewoon niet. Ik geef niemand de schuld, ik zeg alleen dat dit duidelijk laat merken dat de persoon die die uitspraak heeft gedaan geen kaas heeft gegeten van IT, anders hadden ze die uitspraak niet gedaan

GertMenkel @Teun_2 • 9 oktober 2023 11:36

Het bedrijf is hier niet het enige slachtoffer natuurlijk. Vele duizenden mensen hebben hun gegevens aan dit bedrijf toevertrouwd, maar het bedrijf heeft er niet veilig mee overweg gekund. Je kunt een individu nooit de schuld geven van zo'n incident (tenzij het opzettelijk was), maar een organisatie of bedrijf heeft toch wel een verantwoordelijkheid tegenover de mensen van wie ze data opslaat.

Wat typerend is, is dat er gesteld wordt dat de gegevens sindsdien zijn versleuteld. Die gegevens hadden al lang versleuteld moeten zijn volgens de AVG. Nu blijft de vraag of die versleuteling zou hebben geholpen (hackers zouden net zo goed toegang tot de sleutels kunnen hebben krijgen) maar in mijn ogen staat dit bedrijf toch al 0-1 achter. Dat ze hun versleuteling op orde hebben is goed, maar dat hebben ze dan toch vijf jaar te laat voor elkaar gekregen.

Tot duidelijk is wat het lek precies geweest was, kun je weinig zeggen over of dit een geraffineerde aanval met een 0day is geweest of dat iemand zijn phpMyAdmin aan het internet heeft gehangen zonder wachtwoord. Een "manuele fout in de codering" klinkt als een slechte vertaling van een nietszeggende, algemene menselijke fout.

De hackers blijven de dader, maar met zo'n grootschalige hack en klaarblijkelijke tekortkoming tot februari dit jaar moet ik me toch ook afvragen of het bedrijf zijn zaken wel op orde had.

mjtdevries @GertMenkel • 9 oktober 2023 17:22

extra versleuteld en gecodeerd

Daar staat dus helemaal niet dat het daarvoor niet versleuteld was.

Verwijderd @Teun_2 • 9 oktober 2023 15:20

Dit is gewoon omdraaien van de situatie. Degene die de fout heeft gemaakt moet gewoon zeggen "ik heb een fout gemaakt"; als je het gaat lopen verbloemen met mooie woorden dan ontloop je gewoon je verantwoordelijkheid.

litebyte @Teun_2 • 9 oktober 2023 09:48

Victim blaming - en een schuldgevoel aanpraten is helaas niet alleen bij cyber security in veel westerse landen.

[Reactie gewijzigd door litebyte op 22 juli 2024 22:38]

amx @Teun_2 • 10 oktober 2023 22:01

even wakker worden: NIS2 gaat exact dit doen.
Ben je nalatig als je gehackt bent? Dan ben je schatplichtig (te vertalen in boetes)

michelr @Oon • 9 oktober 2023 09:08

Taalkundig niets mis mee; programmeren omvat coderen. Het zal vast niet in het proces rondom coderen liggen, dus prima.

codekloppertje @michelr • 9 oktober 2023 10:45

Zoals de code review, door twee personen? ... of de test die hier niet op test ...

WebHawk @Oon • 9 oktober 2023 09:30

Dit is gewoon Vlaams, waar ze dingen af en toe net wat anders schrijven als in Nederland. In Nederland zouden we sneller iets schrijven als "door een handmatige fout in de code".

VincentvdBergh @WebHawk • 9 oktober 2023 09:58

*anders dan*

latka @WebHawk • 9 oktober 2023 11:07

Dit in tegenstelling tot een geautomatiseerde fout in de code? Die krijgen we vanaf volgende week erbij als mensen massaal chatgpt snippets copy-pasten?

FalconerHG @Oon • 9 oktober 2023 09:34

Denk dat dit gewoon een gevalletje Belgisch-Nederlands is. In de meeste gevallen vind ik, als Nederlander, het Vlaams wat 'leuker'.

Cybergamer @FalconerHG • 9 oktober 2023 14:12

Het is idd wat leuker, maar we zitten hier wel op een Nederlandse site. Gebruik dus gewoon correct nederlands. Maar mischien dat Arnoud hier wel een leuke bedoeling mee had?

[Reactie gewijzigd door Cybergamer op 22 juli 2024 22:38]

FalconerHG @Cybergamer • 9 oktober 2023 22:37

Echt? De intolerantie soms hier...

Verwijderd @Cybergamer • 10 oktober 2023 17:18

Maar mischien dat Arnoud hier wel een leuke bedoeling mee had?

Arnoud heeft die Vlaamse uitspraak 1:1 overgenomen (zie de "" ).
Wat jij zegt is dat Arnoud die uitspraak dus eerst had moeten "vernederlandsen" voordat het hier gepost werd...

dura @Oon • 9 oktober 2023 11:45

Het is een Belgisch bericht met Belgisch taalgebruik, ik als niet-Belg had het ook anders geformuleerd, maar het is niet fout en om nou te gaan klagen dat ze in het buitenland buitenlands spreken en schrijven…

Aldy @Oon • 9 oktober 2023 13:42

Begrijp dat je iets tegen het woord coderen hebt, maar de kans dat dit een heel normaal woord is in Vlaanderen voor programmeren is heel groot. Je moet bedenken dat dit verhaal uit België komt.
Uit het verhaal krijg ik meer de indruk dat ze de stalen voordeur met vier sloten hebben open laten staan.

mjtdevries @Aldy • 9 oktober 2023 17:25

Ik krijg juist de indruk dat de stalen voordeur met vier sloten dicht zat, maar dat een medewerker vergeten was de keukendeur aan de achterkant op slot te draaien.

Aldy @mjtdevries • 9 oktober 2023 17:31

Als we beiden gelijk hebben zal het flink getocht hebben. Het was in ieder geval een open huis, voor of achter.

kodak

Datalek
Privacy

@Oon • 9 oktober 2023 14:05

Ik begrijp niet waar je nu een probleem van maakt. Software is in de meeste gevallen mensenwerk: een ontwikkelaar schrijft de code (hier verwoord als codering) en zorgt voor de implementatie. Er valt dus juist prima te stellen dat een menselijke fout de oorzaak is.
Tenzij je ingewikkeld gaat doen over wanneer mensen of machines iets gedaan hebben, maar dat is juist een vaagheid waar verantwoordelijken zicht achter proberen te verschuilen: door bijvoorbeeld erg makkelijk te stellen dat het door een fout in de software kwam, niet om wie allemaal de fout veroorzaakt hebben.
Ik zou zeggen, wees juist blij dat ze duidelijker zijn dat het een menselijke fout was en waar zich dat voor deed.

DeCo @Oon • 9 oktober 2023 09:26

Linksom of rechtsom is er altijd een ingang. Geen ingang is een utopie.

Genosha @DeCo • 9 oktober 2023 09:52

Linksom of rechtsom is er altijd een ingang.

Grappige woordkeuze bij een bericht m.b.t. website over prostitutie.

sfc1971 @Oon • 9 oktober 2023 11:37

Staat ook niet dat het goed beveiligd is maar dat erg beveiligd is.

Orgel @Oon • 9 oktober 2023 15:28

Ga lekker verder kaas eten man. Waar mensen werken worden fouten gemaakt. Elke update blijft risicovol zeker bij de personeelstekorten van tegenwoordig, hoge werkdruk en deadlines. Worden die fouten bewust erin geprogrammeerd? Nee! Je kunt ook stellen dat andere (criminelen) met hun poten van die data af moeten blijven maar altijd maar weer dat vingertje terwijl ze zelf een simpel baantje hebben.

Aldy @Orgel • 9 oktober 2023 17:36

Geen nieuws onder de zon. Vroeger was het de secretaresse die een fout in de agenda had gemaakt of een afspraak niet doorgegeven. Het heeft niet eens met het simpele baantje te maken, meer dat IK het niet gedaan heb. Het was echt niet mijn schuld. Vaak is het nog naar beneden trappen ook.

Orgel @Aldy • 10 oktober 2023 10:24

Tuurlijk zegt iedereen dat het niet zijn schuld is want je wordt in de media gelijk met de grond gelijk gemaakt. Eerlijkheid wordt niet beloond in deze maatschappij.

Stroopwafels 9 oktober 2023 09:04

"De websites zijn van nature al erg beveiligd, maar door een manuele fout in de codering is een hacker er in geslaagd om privégegevens en berichtenverkeer te bemachtigen."

Ik ben benieuwd wat de "fout" was geweest. SQL injection? Iets fout met authorization of authentication gedaan? We zullen er waarschijnlijk nooit achter komen. Maar als het SQL injection geweest was dan zou dat wel heel erg gênant zijn.

Genosha @Stroopwafels • 9 oktober 2023 09:53

In het bericht staat dat er berichtenverkeer is afgekeken, ik denk dan altijd snel aan slecht sessiebeheer en daarop meeliften.

Stroopwafels @Genosha • 9 oktober 2023 09:58

Misschien, maar met bijvoorbeeld SQL injection zou je ook direct data uit de "private messages" table (als voorbeeld) in de database kunnen halen.

smiba @Stroopwafels • 9 oktober 2023 10:22

Ik denk dat in deze tijd SQL Injection eigenlijk niet meer voorkomt, omdat je nu eigenlijk altijd wel met prepared statements werkt, of het er anders wel vrij hard ingestapt is bij developers dat je je input moet escapen.

Volgens mij is een van de gebruikelijkere methodes gewoon een admin phishen of op een andere manier in een admin interface komen, dat is tenminste in grotere lekken zoals dit naar mijn idee de voornaamste oorzaak.

Single_Core @smiba • 9 oktober 2023 11:15

Je denkt teveel dat huidige infrastructuur die in gebruik is super modern is. Vaak is dit een samengebonden hoopje dat over de jaren heen meerdere developers, consultants en eventueel zelfs jobstudenten gehad heeft. Dus een eventuele fout is niet persee terug te pinnen op 1 persoon, maar een samenloop van stukken code, refactors etc ... door meerdere developers heen.

In de realiteit gebeurd sqlinjection zeker nog, maar vaak iets verder verstopt en iets complexer dan een sql statement in uw loginfield te gaan typen.

sfc1971 @smiba • 9 oktober 2023 11:34

Zou je denken toch? nieuws: Sony erkent cyberaanval met MOVEit-zeroday, duizenden werknemers getr... maar helaas komt het toch nog steeds voor blijkbaar.

FrederikVDN @sfc1971 • 10 oktober 2023 08:09

kijk naar JCI ..meer dan 100000 geimpacteerde werknemers.
https://www.cpomagazine.c...tially-impacting-the-dhs/
Die zijn nog vollop aan het recoveren van tape maar niet alles staat op tape natuurlijk.
Adient en JCI hebben zich samen gesmeten om dit probleem aan te pakken...

Rob Coops @smiba • 9 oktober 2023 13:29

Ik denk dat je te veel aan een nieuw project denkt. Ik kan je met zekerheid vertellen dat ook bij zeer grote en vermogende bedrijven nog vol op oudere software draait die soms zelfs ouder is dan de beheerders van de software. Ik heb niet zo heel lang geleden nog aan een Java 1.1 applicatie mogen werken voor een van de grootste logistiek bedrijven van de wereld. Het input form voor deze app was (en is trouwens nog steeds) 2 klicks van de homepage. Nu heb ik geen idee of men die rommel eindelijk heeft vervangen maar ik waag het te betwijfelen.

Wat ik daar mee wil zeggen, is dat je helemaal gelik hebt met een nieuwe applicatie die door redelijk slimme ontwikkelaars is gebouwd zal SQL Injection waarschijnlijk geen probleem zijn. Maar als je een oudere applicatie hebt of een project dat door iemand op een zolderkamertje in elkaar geknald is als een proof of concept en meteen in productie genomen is dan is het helemaal niet zo vreemd om te denken dat SQL Injection best wel eens mogelijk zou kunnen zijn.
Als je ook naar de statement kijkt waar in men meld dat nieuwe gebruikers van na Februari geen problemen zullen onder vinden dan wijst dat op een ander code path voor deze nieuwe gebruikers en waarschijnlijk een andere manier van opslaan dan wel een andere backend storage voor deze nieuwe gebruikers. Dus de kans is groot dat welke manier de aanvallers dan ook gebruikt hebben dat dit niet langer mogelijk is in dit nieuwe code path maar dat de data van oude gebruikers dankzij het oude code path op straat zijn komen te liggen.

Een van de dingen die ik toch wel erg vervelend vind om te lezen is dat schijnbaar alle oude gebruikers gewoon in het systeem bleven staan en niet simpel weg na een periode van een aantal weken verwijderd werden of op z'n minst naar een table met dode accounts verhuisd werden. Het had de schaal van de hack een stuk kunnen verkleinen en (ondanks dat dit erg weinig gebruikers zijn due waarschijnlijk niet relevant) de snelheid van operaties net even wat verhogen.
Nu zijn er heel veel redenen waarom dit lastig is zoals berichten tussen een gestopt account en een actief account die je niet wil verliezen maar je had op z'n minst de wachtwoorden, email en betaal gegevens kunnen verwijderen van de in actieve accounts. Het is een heel klein iets maar als een hacker alleen kan zien dat Piet123 een bericht heeft gestuurd naar CoolChick2 en misschien zelfs de inhoud van het bericht maar voor de rest geen informatie heeft die naar de identiteit van een van de twee gebruikers kan leiden dan is het veel minder vervelend dan het nu is.

codekloppertje @Genosha • 9 oktober 2023 10:40

Modernere webapplicaties zijn regelmatig met microservices gemaakt. Het zou ook zogenaamd "oost-west" verkeer kunnen zijn (verkeer tussen die microservices). Je hoeft dan maar een van de microservices te hacken en dan is het vaak mogelijk om verder te geraken.

SRI @Stroopwafels • 9 oktober 2023 09:31

Misschien was er wel een admin panel bereikbaar via de login admin/admin. Wie weet, kan iets simpels zijn of iets heel complexs. Criminelen worden steeds beter in het vinden van exploits (of gebruiken van bekende ongepatchde systemen).

Tintel

Privacy

@Stroopwafels • 9 oktober 2023 11:28

Veel vreemder is dat alleen nieuwe data (berichten en account-gegevens) is versleuteld...waarom een extra laag aanbrengen en alleen toepassen bij nieuwe klanten? Waarom dan niet 'even' de rest ook versleutelen?

telenut 9 oktober 2023 09:43

Voor wat heb je een account nodig op die site?
Die kan je toch gewoon zonder account raadplegen? Enkel om er op te adverteren heb je een account nodig. En dat zijn nu toevallig mensen die je absoluut niet kan blackmailen met hun naaktfoto's of andere contactgegevens... In tegendeel.

Robbierut4 @telenut • 9 oktober 2023 10:02

De aanbieders hebben helaas regelmatig te maken met vervelende klanten. Niet voor niks dat ze vrijwel allemaal onder een andere naam werken.

Elk beetje informatie dat lekt kan net genoeg zijn dat uiteindelijk zo'n vervelende klant bij hun voor de deur staat.

Niet bepaald prettig.

Daarnaast heeft ook gewoon iedereen recht op privacy, dus alles wat lekt is teveel.

telenut @Robbierut4 • 9 oktober 2023 10:57

Uiteraard... maar de vraag is dus: wat is die extra info die zou kunnen lekken? Mensen die daar adverteren doen dit niet met hun echte naam, maar vermoedelijk ook niet met hun echt email adres... en ook het gsm nr dat ze gebruiken is eerder specifiek voor hun 'diensten'.
dus wat blijft over... hun wachtwoord als dit niet encrypted was opgeslagen? En daarom vragen ze ( ze zouden het beter eisen) dat iedereen zijn ww aanpast.

ik kan me net iets bedenken... mannen die daar adverteren en gratis diensten aanbieden, als in: gewoon op zoek zijn naar. En die dus geen moeite hebben genomen een nieuw gsmnr te gebruiken. Of een nieuw email adres aan te maken. Niet direct erg slim, maar het kan.

Wasabi! @Robbierut4 • 9 oktober 2023 11:14

Zolang het geen druiper is

Heroic_Nonsense

@Wasabi! • 9 oktober 2023 11:28

Nee, gewoon een lek.

stijn014 @telenut • 9 oktober 2023 09:48

Er zitten natuurlijk ook dames bij die wat bijverdienen. Die gaan het niet zo tof vinden als het lekt

telenut @stijn014 • 9 oktober 2023 09:55

en wat juist zou er lekken dat nu niet al te zoeken is op die site? Hun login/email is het enige wat ik kan bedenken...
Hoewel je daar iets hebt zoals 'verified' accounts... maar dat zal toch niet met e-ID ofzo zijn zeker? Zou het eens moeten proberen, maar geen tijd, en denk dat ze site hier niet toestaan

Zilawyr @telenut • 9 oktober 2023 10:51

Tuurlijk, misschien staat alles er al op. Maar dat betekend niet dat zo'n datalek fijn is voor die mensen. Het staat nu onder een loep met het potentieel dat mensen die je kennen je makkelijker kunnen vinden. Ook zullen er (lijkt me) vooral pseudoniemen gebruikt worden, die nu te linken zijn aan emails.

Beetje hetzelfde concept als mensen die vragen : heb je wat te verbergen? als het om privacy gaat. Nee, maar dat betekend niet dat iedereen het hoeft te zien.

crazyboy01 @Zilawyr • 10 oktober 2023 22:54

Precies. Het hoeft niet eens schaamte te zijn, of geheim. Maar met dit soort leks loop je wel gewoon de kans dat het straks als resultaat naar boven komt als iemand je naam Googled. En dát hoeft nou ook weer niet altijd, zeg maar.

honey @telenut • 9 oktober 2023 11:00

Verificatie op dit soort websites kan variëren van een foto van je paspoort opsturen tot enkel foto-verificatie waar je met een briefje met de naam en datum van de website poseert in dezelfde kleding dat ook zichtbaar is op een profielfoto. Vaak sta je er wel met je gezicht op.

Hoe het met deze website zit weet ik niet.

crazyboy01 @honey • 10 oktober 2023 22:52

Dat briefje met die naam en datum is bij de meeste partijen inmiddels langzaam uitgefaseerd en identificatie met een ID waarop je geboortedatum te zien (en in sommige gevallen je geslacht) is inmiddels meestal vereist sinds een paar jaar. Maar, op Europese platforms gebeurt dat flink minder consequent.

Ook op dit Belgische platform lijken er niet genoeg checks plaats te vinden, omdat ik direct bij mijn eerste bezoek een popup krijg met dat ik als bezoeker zelf moet controleren of de personen achter de profielen meerderjarig zijn - er zit zelfs een test bij met of ik dat beoordelen een beetje goed doe. Dat is opzich natuurlijk niet verkeerd, maar als je als site zelf die check uit zou voeren lijkt het me een beetje overbodig.

[Reactie gewijzigd door crazyboy01 op 22 juli 2024 22:38]

honey @crazyboy01 • 10 oktober 2023 22:58

Het nadeel als je veel persoonlijke gegevens gaat vragen is dat sekswerkers je dienst minder gaan gebruiken. Het blijft ook altijd de verantwoordelijkheid van de klant. Het is enkel een website met verwijzingen en profielen. Ook op Facebook of Instagram hoef je geen copy van je paspoort op te sturen.

crazyboy01 @honey • 10 oktober 2023 23:04

Zit natuurlijk wel een verschil in. Een 12-jarige die op Facebook actief is, doet in principe niets verkeerd. Een 12-jarige die op deze site diensten aanbiedt, daar gaat iets goed mis. Er ligt ook zeker een bepaalde verantwoordelijkheid bij de site als je in deze markt actief bent.

Dat gezegd hebbende klopt het zeker. Het moeten delen van een ID-bewijs of een andere vorm van kloppende privé gegevens is absoluut een drempel. Of het nou gaat om het aanbieden van online of offline contact, of zelfs maar non-interactief beeldmateriaal, het is steeds vaker nodig en daardoor steeds minder makkelijk om anoniem iets aan te bieden. Anderzijds hebben 18+ websites natuurlijk ook niet heel veel alternatieven. Briefje met naam en datum is niet voor niets in de ban gedaan, dat bleek te onbetrouwbaar omdat het afhing van een beoordeling door een persoon (en in een enkel geval een computer) op basis van een selfie, wat niet altijd heel nauwkeurig mogelijk is.

honey @crazyboy01 • 10 oktober 2023 23:11

Ja, maar deze websites kun je niet helemaal als 18+ websites zien. Je mag er vaak geen naakt op plaatsen. Het zijn enkel profielen en verwijzingen naar sekswerkers die 18+ diensten aanbieden. Als ze porno toelaten, dan wordt het wel anders. Ik weet dat veel sites geen enkele verificatie vragen, maar als je een 'verfied' label wilt hebben, dan hoef je vaak alleen een foto te uploaden. Enkele vragen wel een copy van je ID.

crazyboy01 @honey • 10 oktober 2023 23:23

Dat verified label heeft dus in de afgelopen 2 tot 3 jaar ook op enorm veel websites verscherpte eisen gekregen, waardoor een selfie niet meer genoeg is. Ik zelf ben dat 'label' op meerdere sites verloren na verificatie met enkel een selfie, omdat een ID nu ook vereist is. Enkel in Europa is de controle nog aan de milde kant, vaak enkel voor de vorm, dat klopt.

En zoals ik al zei, dat klopt, maar die diensten zijn net zo fout als de personen erachter niet meerderjarig zijn. Het verschaffen van of bemiddeling tussen dat soort diensten, die illegaal zijn, mag als website niet. Expliciet beeldmateriaal is niet het enige dat verboden is. Overigens biedt deze site, en ook de grootste variant hiervan in Nederland, gewoon foto's en video's die bestempeld kunnen worden als porno. Er is gewoon naakt te zien, en hoewel de profielfoto's vaak mild/soft zijn, staan er op de profielen vaak ook dingen als video's waarop seks met klanten te zien is.

GertMenkel @telenut • 9 oktober 2023 11:21

Pornhub vereist verificatie met ID van hun dames en heren, ik zou bij een risicovolle site als deze toch ongeveer hetzelfde verwachten. Als je zonder bewijs van identiteit je diensten kan aanbieden, werkt dat mensenhandel nogal in de hand.

Scriptkid @telenut • 9 oktober 2023 12:34

privégegevens en berichtenverkeer te bemachtigen

het venein zit hem hier in denk ik,

Nu ben je nog redelijk anoniem met een account, maar na de lek van prive gegevens wordt het een stuk makkelijker om dingen te linken laat staan het berichten verkeer.

telenut @Scriptkid • 9 oktober 2023 12:43

ik dacht dat je daar gewoon gsm nummers op vond waar je dan naar kon bellen of smsen... Maar er zou dus een soort chat/mail functie ook zijn... zou ik toch niet gebruiken moest ik interesse hebben in zo een dame :-)

Scriptkid @telenut • 9 oktober 2023 17:19

denk eerder dat het gaat over de Klanten van die dames dan de dames zelf,

die dames zijn al bekend, de klanten willen echter anoniem blijven natuurlijk, Als die nu met account en chat publiek gemaakt worden zullen ze niet leuk vinden.

telenut @Scriptkid • 9 oktober 2023 18:25

Denk echt niet dat er mannen die site gebruiken om te chatten...

Scriptkid @telenut • 9 oktober 2023 21:07

een hacker erin geslaagd om privégegevens en berichtenverkeer te bemachtigen."

De impact is beperkt door diverse factoren, zo claimt het bedrijf achter de site, Link Media. "In februari van dit jaar heeft Link Media al een extra laag beveiliging aangebracht, die ervoor zorgt dat alle privégegevens en berichten extra versleuteld en gecodeerd zijn

Dat kun je denken maar staat letterlijk in het bericht dat het wel zo is.

Bkim @stijn014 • 9 oktober 2023 12:16

En voldoende mannen...

Tintel

Privacy

@stijn014 • 9 oktober 2023 12:23

En mannen doen dit werk niet?

Verwijderd @stijn014 • 10 oktober 2023 17:15

Er zitten natuurlijk ook dames bij die wat bijverdienen. Die gaan het niet zo tof vinden als het lekt

Daarvoor bestaan inlegkruiskes en tampons.

dieguyvanit @telenut • 9 oktober 2023 11:41

Dom dommer domst.........

dieguyvanit @telenut • 9 oktober 2023 11:41

Dames werken onder pseudoniem die nu gekoppeld kan worden aan een rek nummer etc.........

Noobie2010 @telenut • 9 oktober 2023 11:49

Overgrote deel van bezoekers van prostituees zijn getrouwde mannen.
Dit is vergelijkbaar met die lek bij 2nd Love een paar jaar terug. Dit soort diensten moeten privacy hoog in het vaandel hebben want niemand wilt dat zijn naam voorkomt op een dergelijke lijst.

Tintel

Privacy

@Noobie2010 • 9 oktober 2023 12:26

Overgrote deel van bezoekers van prostituees zijn getrouwde mannen.

Wat? En deze statistiek heb jij al uit de gelekte data kunnen halen?

Waarom zou dit zo zijn? Nogal een aanname; lang niet iedereen is getrouwd en de 'behoefte' is ook bij niet getrouwde mannen/vrouwen aanwezig...

Ron79 @Tintel • 9 oktober 2023 12:54

En waar heb jij die informatie vandaan?

Op een ex site als hookers, en tegenwoordig girlsreview wordt wel duidelijk dat er veel getrouwde mannen naar een DVP gaan.

Of de vrouw wil niet vaak genoeg, of de man heeft toch meer verwachtingen. Of kan zelfs bij partner blijven ivm gezin, waar hij anders zou weggaan als hij niet naar de DVP kon. Om in zijn behoefte te voorzien.

Ik typ dit namens een vriend

[Reactie gewijzigd door Ron79 op 22 juli 2024 22:38]

Tintel

Privacy

@Ron79 • 9 oktober 2023 13:09

Oh - geen ontkenning dat het geen getrouwde mannen zou betreffen - alleen geen idee hoe de verdeling is...

Waar staat DVP voor?

Ron79 @Tintel • 9 oktober 2023 18:36

Dame van plezier.

2Keys 9 oktober 2023 09:18

Is denk dat dit ook een rede is om sexwerk meer te accepteren in onze samenleving. Mensen moeten niet bang zijn dat het publiekelijk word dat ze gebruikt gemaakt hebben van een prostituee, maar boos zijn dat hun spullen worden gelekt en de site te weinig heeft gedaan om dit verborgen te houden.

GertMenkel @2Keys • 9 oktober 2023 11:43

In de praktijk krijgen mensen in de prostitutie nogal last van vervelende mensen. Ik snap niet waarom mensen zo kunnen zijn, maar we hebben nog een lange weg te bewandelen voordat we acceptatie kunnen gaan krijgen.

Ik zie in heel Europa de maatschappij langzaam conservatiever worden op gebied van seks. We zijn nota bene op het punt gekomen dat mensen woedend worden over het feit dat kinderen seksuele voorlichting krijgen (vooral uit de zeer conservatieve hoek en samenzweringsdenkers die Amerikaanse anti-homoretoriek hebben overgenomen).

De Nederlandse omroep heeft bijvoorbeeld een tijd lang "expose-groepen" in het nieuws gehad die aantonen dat de maatschappij hier in het noorden in elk geval nog niet klaar is om andermans seksualiteit te accepteren. Hopelijk is dit in België een stuk beter, maar eerlijk gezegd betwijfel ik dat dit een puur Nederlands fenomeen is.

Tintel

Privacy

@GertMenkel • 9 oktober 2023 13:16

Volgens mij is men niet woedend over sexuele voorlichting....sommige ouders vinden het niet nodig dat kinderen wordt aangepraat dat het geslacht van hun kinderen niet vastligt....
Dat is weer een ander aspect van sexualiteit - de voorlichting was altijd meer gericht op voortplanting. De discussie omtrent 'gender' is veel meer gericht op individualiteit.

Gezien de toename van OnlyFans leden (dus kijkers en aanbieders), lijkt sexualiteit nog wel redelijk liberaal toch?

centr1no @Tintel • 9 oktober 2023 15:52

De discussie omtrent 'gender' is veel meer gericht op individualiteit.

Het probleem is dat dit soort issues (mede door Amerikaanse invloed) meteen doorgetrokken worden naar een extreem en dat er zelden gesproken wordt over oplossingen maar alleen maar geroepen wordt hoe iets specifieke mensen schaadt. In media zie je (voor de kijkcijfers) bijna alleen nog maar de pro versus de anti met soms compleet absurde redeneringen, terwijl de overgrote meerderheid gewoon een acceptabele middenweg wil.

Het zou overduidelijk moeten zijn dat dit 'individualisme' puur psychisch is en erg weinig te maken heeft met het fysieke, biologische concept van voortplanting. Seks is voor verreweg de meeste samenlevingen niet meer een kwestie van noodzakelijke voortplanting om het voortbestaan van de soort.
Het grappige is dat het individualisme niet per definitie is hoe mensen zich vrijelijk ontwikkelen en voelen maar iets dat ontstaat onder invloed van hun omgeving.
Er zijn maar weinig mensen die opgroeien zonder ouderlijke of maatschappelijke invloeden en geheel vrij hun eigen denkbeelden kunnen ontwikkelen.
Het is overigens maar de vraag of je dat zou moeten willen omdat het een simpel feit is dat niet alle mensen daar even goed mee om kunnen gaan.
We willen allemaal heel graag tolerant zijn ten opzichte van alles en iedereen. Sommigen zijn van mening dat we alle afwijkingen en uitzonderingen maar als volkomen normaal moeten zien. En er zijn er zelfs die menen dat het met de botte bijl moet.

Gezien de toename van OnlyFans leden

Alsof dat maatschappelijk gezien een gezonde ontwikkeling is.
Er was al een groeiende distantiëring t.o.v. de vaak bekrompen regels die door staat en religies voor 2000 jaar de orde moesten bewaken. Vrijwillige naaktfotografie, porno of prostitutie was al een manier voor voornamelijk jonge vrouwen om te proberen te ontsnappen aan een kansloze situatie of om een hogere maatschappelijke status te verkrijgen dan ze op een andere, meer maatschappelijk geaccepteerde manier hadden kunnen bereiken. En daarmee de consequenties (want die zijn er) voor lief nemen, als ze daar überhaupt van op de hoogte zijn.
Dat steeds meer mensen dit als een acceptabele off zelfs mainstream manier van inkomsten beschouwen zegt meer over de algemene toestand van de maatschappij waarin dit gebeurt dan over seksuele vrijheid.

GertMenkel @Tintel • 9 oktober 2023 15:10

sommige ouders vinden het niet nodig dat kinderen wordt aangepraat dat het geslacht van hun kinderen niet vastligt....

En andere ouders vinden dat dingen als evolutie uit het klaslokaal moet worden geweigerd, maar persoonlijke opvattingen zijn niet zo relevant als het op dingen als biologie aankomt.

Qua OnlyFans zie je wel veel afnemers, maar ook veel pogingen tot beschamen. Het is een stuk makkelijker geworden om foto's en video's van jezelf te verkopen, maar de afnemers daarvan zijn nog steeds zwaar in de minderheid.

centr1no @GertMenkel • 10 oktober 2023 12:17

En andere ouders vinden dat dingen als evolutie uit het klaslokaal moet worden geweigerd, maar persoonlijke opvattingen zijn niet zo relevant als het op dingen als biologie aankomt.

Of iemand niet heteroseksueel is of op wat voor andere manier dan ook psychisch of lichamelijk afwijkt van de overgrote meerderheid is ook niet relevant als het over biologische voortplanting gaat.

Die 'Amerikaanse anti-homoretoriek vanuit de zeer conservatieve hoek en samenzweringsdenkers' kwam boven toen kinderen thuis online lessen volgden en ouders specifieke 'lesstof' mee kregen die ten eerste helemaal niets met biologie te maken had, waarvan ze niet op de hoogte waren, die nogal expliciet was en waarvan gerust afgevraagd mag worden of het age-appropriate was en waarbij bovendien meegegeven werd dat als ze dingen niet aan hun ouders durfden te vragen of zeggen ze dat vooral niet moesten doen en dat de school een 'safe space' was.
En dat was in Florida, wat een van de liberaalste staten van Amerika is.
Het was niet anti-homo of overdreven conservatief maar gewoon een reactie op het pro-lgbtq+ beleid en het geforceerde inclusiviteitsgedoe dat op sommige scholen daar compleet uit de hand loopt en ouders compleet buiten spel zet.

Het is helemaal prima dat we jonge kinderen laten opgroeien met het gegeven dat we allemaal anders zijn maar het lijkt me redelijk vanzelfsprekend dat we dat niet doen aan de hand van een beleid dat geleid wordt door de minderheidsactiegroep die op het moment het hardst schreeuwt.
Kinderen worden in America dusdanig in de war gebracht dat biologieleraren in de problemen komen als ze simpelweg stellen dat er 2 sexes zijn. Een hoop van de genderproblematiek komt voort uit het gegeven dat sommige mensen het verschil tussen lichamelijk en psychisch niet snappen of zich geen plek in de maatschappij kunnen geven.

Het kweken van begrip, acceptatie of tolerantie voor dingen die voor de meeste mensen al moeilijk te vatten zijn kan al lastig zijn, maar zal problematisch worden als de meerderheid nog religieuze affiliaties heeft of al decennia lang op z'n zachtst gezegd moralistisch hypocriet is.
Als je dan in zo'n land met gay pride en regenboogvlaggen aan komt, op scholen gaat vertellen dat we geen jongetje of meisje zijn en dat dat maar sociaal opgedrongen rolmodellen betreft, dat we allemaal rare voornaamwoorden moeten gaan gebruiken, dat mannen nu vrouwen kunnen zijn en er werkelijk in iedere film of tv-serie wel ergens een overduidelijk niet hetero persoon moet zitten, dan is het ook niet heel vreemd dat zelfs de meest open mensen daar zo hun vraagtekens bij zetten.

ismilyfox @2Keys • 9 oktober 2023 09:56

Ja joh ga je hele familie maar inschrijven wat kan er mis gaan?

Tintel

Privacy

@2Keys • 9 oktober 2023 13:12

Ik denk eerlijk gezegd dat algemene acceptatie niet het grote probleem is. Het is eerder de onverdraagzaamheid van een kleine groep (zoals bij vele zaken het geval).

MrMonkE 9 oktober 2023 09:03

Op zich wel interessant nieuws in combinatie met de recente uitgesproken plannen om sexwerkers verplicht te laten registreren.

wildhagen

Privacy
Datalek

@MrMonkE • 9 oktober 2023 09:08

Je doelt op nieuws: AP heeft bezwaren tegen wetsvoorstel voor verplichte registratie van ... neem ik aan?

Dat was een voorstel in Nederland, dit datalek speelt in België. Hoewel er ongetwijfeld ook wel Nederlandse klanten/adverteerders tussen zullen zitten.

Voor de mensen wiens gegevens gelekt zijn is dit wel heel vervelend. In de meeste gevallen zal het geen gevolgen hebben in de praktijk, maar als er mensen in gevoelige posities tussen zitten kunnen die wel chantabel worden als hun gegevens op straat komen te liggen...

MrMonkE @wildhagen • 9 oktober 2023 09:10

Ja, weet ik. Vindt het evengoed een interessante combinatie.

RoestVrijStaal @wildhagen • 9 oktober 2023 10:38

In de meeste gevallen zal het geen gevolgen hebben in de praktijk, maar als er mensen in gevoelige posities tussen zitten kunnen die wel chantabel worden als hun gegevens op straat komen te liggen...

Want mensen in niet-gevoelige posities zullen vast niet af te persen zijn, als hun privégegevens en gegevens over hun gebruik van deze website op straat komt te liggen.
Als deze gegevens uitlekken zal er daardoor vast en zeker geen (echtelijke) relatie tegen de klippen gaan.
Echt niet hoor.[/sarcasme]

biglia @wildhagen • 9 oktober 2023 22:46

Ze hebben ook een NL variant van de website die minder gekend is: redlights .nl.
Ook daar staat de melding dat er een hacker is binnengedrongen. Het is dus ook een Nederlandse datalek.

mjl 9 oktober 2023 09:14

Beetje raar dat ze de eindgebruikers opdragen hun password aan te passen, ze kunnen toch een site brede password reset doen van alle (of alle accounts van voor de hack) accounts.

Bartmanz @mjl • 9 oktober 2023 09:50

Misschien meer vanuit het oogpunt dat mensen wachtwoorden hergebruiken voor verschillende websites.
Gebruik je hetzelfde wachtwoord, wijzig dat elders dan ook.

mjl @Bartmanz • 9 oktober 2023 11:50

Ja dat ook

sspiff 9 oktober 2023 09:20

De bewoording op hun eigen website:

Beste adverteerder, beste website-bezoeker,

Een hacker is binnengedrongen in onze website en heeft privégegevens gestolen van zowel adverteerders als bezoekers van de site. Wij hebben het datalek snel gedicht en hebben extra beveiliging geïnstalleerd, zodat zoiets in de toekomst niet meer kan gebeuren.

We zouden u in dit kader graag willen verzoeken om uw paswoord nu te wijzigen. Wees gerust, uw gegevens zijn veilig opgeborgen, maar nog een extra beveiliging kan nooit kwaad.

Indien u meer info wil, gelieve dan ons persbericht te lezen door op deze link te klikken.

We vinden het echt jammer dat dit is kunnen gebeuren, maar we verzekeren u dat onze website en de data opnieuw veilig zijn.

Ik vind het heel dubbel klinken. Constant verzekeren hoe uw gegevens veilig zijn opgeslagen, maar toch zijn de privegegevens gestolen? Lijkt mij toch wel sterk!

SRI @sspiff • 9 oktober 2023 09:29

Versleutelde data die gestolen is zou nog steeds privé data kunnen zijn. Maar het is inderdaad wel apart verwoord. Ik zou sowieso ook al een aparte mail voor adverteerders en klanten doen. Ook zou je je afvragen wat het nut is van je wachtwoord veranderen als ‘niks’ mis is. Dus wellicht hebben ze sowieso een (versleutelde) database met wachtwoorden buitgemaakt?

Ron79 9 oktober 2023 09:35

Redlights kan beginnen de wachtwoorden gewoon te resetten....

Rob Coops 9 oktober 2023 13:43

Wat ik erg vervelend vind is dat veel van dit soort sites helaas pas na vele jaren tot de conclusie komen dat de data van hun gebruikers zeer gevoelig is en dat ze er alles aan moeten doen om het zo goed mogelijk te beveiligen.

Het lijkt er op dat (omdat er ook inactieve account data gestolen is) dat men op de een of andere manier de backend database heeft weten uit te lezen. Dit is een van de meest voorkomende hacks en als bedrijf dat zeer gevoelige data van klanten opslaat is het eigenlijk van de zotte dat die data zonder eerst van encryptie voor zien te zijn is opgeslagen. Tegenwoordig zijn de kosten van encryptie die zo'n hack vrijwel nutteloos maakt nagenoeg te verwaarlozen. Ja het kost wat meer tijd voor de CPU en dus wat meer geld per interactie maar dit is zo marginaal dat dit geen reden is om het te laten.
Ook is het zeer vreemd dat men de inactieve accounts niet na een periode van een paar weken of een maand simpel weg van alle informatie zo als email, telefoon, messenger etc heeft gestript. Die informatie is niet noodzakelijk voor welke operatie dan ook, als je eventueel voor marketing doeleinde toch bijvoorbeeld die emails wil bewaren dan doe je dat in een aparte database die niet van uit de frontend bereikt kan worden.

Het probleem dat ik zie en dat gaat niet alleen om dit geval maar om vrijwel elk bedrijf dat al een aantal jaren bestaat is dat er heel erg veel data op heel erg veel plaatsen opgeslagen is dat men meestal totaal geen idee heeft welke data waar allemaal staat en oude data bewaard wordt omdat het misschien nog wel eens handig kan zijn. Of omdat men simpel weg nooit verder heeft gedacht over het risico dat het bewaren van deze data met zich mee brengt.
Een van de beste manier om dit te voorkomen is ten alle tijden er van uitgaan dat het uiteindelijk iemand zal lukken via de frontend de backend te benaderen. En dan eens te kijken welke data er dan ingezien kan worden. Vervolgens eens kijken hoe je de hoeveelheid data die ingezien kan worden kan beperken en daarna eens kijken of de data die overblijft beter beveiligd kan worden zodat zelfs als deze ingezien wordt de schade zo beperkt mogelijk blijft.
Zeker voor een website als deze waar dingen besproken worden die veel van de gebruikers leiver niet in het openbaar zien verschijnen is het heel erg belangrijk om de beveiliging zo goed mogelijk op orde te hebben en de eventuele data die buitgemaakt kan worden tijdens een hack zo veel mogelijk te beperken. Een hack is onvermijdelijk als dat je uitgangspunt maakt het het een stuk lastiger voor zo'n hack om ernstige schade aan te richten.

Polderdijk 9 oktober 2023 09:21

Zouden ze vast gedacht hebben: we hebben nu 2FA ingeschakeld dus is onze site beveiligd tegen hacken

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (114)

Sorteer op:

Weergave: