Cloudgamingplatform Shadow waarschuwt klanten voor datalek

Shadow, een cloudgamingplatform, heeft zijn klanten gewaarschuwd voor een datalek. Dat doet het platform in een e-mail aan gebruikers. Volgens het bedrijf zijn er onder meer namen, e-mailadressen en factuuradressen buitgemaakt.

Datalek Shadow PC
De e-mail van Shadow

Shadow maakt het datalek bekend via een e-mail, die door verschillende lezers is doorgestuurd naar Tweakers en ook is in te zien op Reddit. Het bedrijf meldt in zijn bericht dat het slachtoffer is geworden van socialengineering. Een medewerker zou op Discord zijn aangedrongen om malware te installeren onder het mom van een Steam-game. De aanvaller wist vervolgens een gestolen cookie te gebruiken om de managementinterface van een van Shadows SaaS-leveranciers te benaderen. Daarmee kon de hacker bepaalde klantgegevens inzien.

Volgens Shadow betreft het een datalek van volledige namen, e-mailadressen, geboortedata, factuuradressen en de vervaldata van creditcards. Er zijn geen wachtwoorden of 'gevoelige bankgegevens' gestolen, zo zegt het platform. Het bedrijf waarschuwt zijn klanten wel voor phishingpogingen op hun e-mailadressen en raadt gebruikers aan om tweetrapsauthenticatie aan te zetten.

Het platform claimt dat het 'de nodige stappen heeft ondernomen' om zijn systemen te beveiligen en 'de nodige voorzorgmaatregelen heeft genomen om toekomstige incidenten te voorkomen'. Het bedrijf heeft naar eigen zeggen ook zijn beveiligingsprotocollen bij zijn SaaS-providers aangescherpt en zijn interne systemen geüpgraded om overgenomen workstations onschadelijk te maken.

Shadow is een cloudgamingplatform waarmee gebruikers via de cloud een game-pc kunnen huren. Daar kunnen ze vervolgens zelf eigen games op installeren en spelen. Het bedrijf heeft, los van zijn e-mail aan klanten, nog niet openbaar gereageerd op het datalek.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 11-10-2023 20:53
39 • submitter: ThaBilly

11-10-2023 • 20:53

39

Submitter: ThaBilly

Lees meer

Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend
Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend Nieuws van 13 februari 2024
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records Nieuws van 22 januari 2024
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval Nieuws van 18 december 2023
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer Nieuws van 16 oktober 2023
Steam verplicht tweefactorauthenticatie via sms voor ontwikkelaarsaccounts
Steam verplicht tweefactorauthenticatie via sms voor ontwikkelaarsaccounts Nieuws van 12 oktober 2023
Blade komt met abonnement van 30 euro per maand voor cloudgameplatform Shadow
Blade komt met abonnement van 30 euro per maand voor cloudgameplatform Shadow Nieuws van 27 mei 2021
Bedrijf achter gamestreamplatform Shadow bevestigt nieuwe eigenaar te zoeken
Bedrijf achter gamestreamplatform Shadow bevestigt nieuwe eigenaar te zoeken Nieuws van 5 maart 2021
'Cloudgamingplatform Shadow heeft financiële problemen en zoekt nieuwe eigenaar'
'Cloudgamingplatform Shadow heeft financiële problemen en zoekt nieuwe eigenaar' Nieuws van 3 maart 2021
Dienst voor 'game-pc-in-de-cloud' Shadow komt naar Nederland
Dienst voor 'game-pc-in-de-cloud' Shadow komt naar Nederland Nieuws van 12 december 2019
Meer producten en artikelen
Beveiliging en antivirus Privacy Datalek Streaming

Reacties (39)

-Moderatie-faq
39
39
10
0
0
24
Wijzig sortering
ThaBilly 11 oktober 2023 21:07
Ik heb mijn account in 2021 stopgezet na misschien 1 maand gebruik en toch helaas ook deze mail gehad, ik snap niet waarom mijn gegevens zo lang bewaard worden?
NosferatuX @ThaBilly11 oktober 2023 21:19
Idem dito.
Bedrijven bewaren jouw gegevens altijd. Heb mij een keer afgemeld voor alle nieuwsbrieven in mijn gmail account en ik ben iemand die gerust 30k emails in zijn inbox heeft helaas dus hels karwei.
Je krijgt gewoon opeens 1 of 2 jaar later weer nieuwsbrieven van die bedrijven.
Om gek van te worden.
!GN!T!ON @NosferatuX12 oktober 2023 00:01
Valt mij ook op inderdaad, na al een tijd een gevoel gehad te hebben van "ik heb mij toch al afgemeld voor deze nieuwsbrief?" eens gaan bijhouden, door een zwik afmeldingen te doen en dit op te schrijven. Meer dan de helft blijft gewoon door mailen.
tw_gotcha @!GN!T!ON12 oktober 2023 03:16
de truc is volgens mij dat bedrijven de nieuwe spam niet een nieuwsbrief noemen maar 'aanbiedingen' of iets dergelijks. Dat mag wettelijk niet (in ieder geval in NL) maar dat gebeurt wel. Ik heb mijn facebook account al jaren geleden opgezegd, ik ben benieuwd of het nog gewoon bestaat. Ik denk van wel.
sinshz @tw_gotcha12 oktober 2023 08:19
Ligt eraan hoe je je facebook account hebt opgezegd.
De "normale" manier blokkeerd alleen toegang ertoe en is niet verwijderd, je moet een of andere speciale knop drukken die verborgen zit om het echt te verwijderen (en zelfs dan twijfel ik of je echt verwijderd bent).
kristofvdo @sinshz12 oktober 2023 12:33
Off topic van het artikel maar als reactie op je melding.

Ik heb in 2018 men profiel verwijderd via de vermelde method van Facebook zelf, dat je profiel daadwerkelijk wordt verwijderd.
Begin dit jaar liet iemand me weten dat ik niet reageer op FB en blijkt dat dit profiel nog/terug beschikbaar was, maar uiteraard had ik geen toegang ertoe want men credentials waren verwijderd. (Stonden nog in men password manager)

Ik ben nu tien maanden aan het communiceren met Facebook & Belgische Gegevensbeschermingsautoriteit om dit profiel te laten verwijderen onder de GDPR mom, right to be forgotten.

Ondanks na het bezorgen van kopie ID kaart etc... blijft men weigeren dit profiel te verwijderen. Ik zou volgens FB eerst een nieuw profiel moeten maken, laten bevestigen door FB vrienden dat ik dit daadwerkelijk ben, om dan het oud profiel te laten mergen en verwijderen...

Belgische Gegevensbeschermingsautoriteit is alles behalve een hulp want ik moet kunnen aantonen met screenshots dat ik in 2018 de juist procedure heb gevold. Indien ik deze niet kan bezorgen, kunnen ze niet helpen "aangezien de verwerkingsverantwoordelijke in Ierland gevestigd is"
tw_gotcha @kristofvdo12 oktober 2023 14:27
wat een absurde gang van zaken
tw_gotcha @sinshz12 oktober 2023 14:26
ik 'echt' verwijderd maar ik twijfel er ook aan
Znorkus @!GN!T!ON12 oktober 2023 07:34
Ik dacht al dat het aan mij lag. Dit gebeurt me ook erg vaak. Bijna altijd geef ik dan ook aan 'I never signed up for this mailing list', en dan heb ik zo'n zelfde gevoel : ik had dat vinkje bij het plaatsen van de bestelling toch zeker uitgezet..?

Mochten er Tweakers meelezen die webshop-software schrijven: trek het je aan en doe er wat mee :)
supersnathan94
@ThaBilly11 oktober 2023 21:16
Dat is inderdaad raar. Onder de GDPR is het maximaal 3 maanden voor inactieve accounts en praktisch direct als je actief opzegt right?
Killjoy @supersnathan9411 oktober 2023 22:37
De AVG (GDPR) schrijft geen bewaartermijnen voor, maar geeft aan dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk.

Onder 'noodzakelijk' valt in ieder geval het voldoen aan wetgeving. Daarin kan een verplichte bewaartermijn zijn vastgelegd.

Daarnaast is er het ' gerechtvaardigd belang'. Een grondslag die vrij diffuus is (denk aan het gedoe met cookies). Het laat organisaties de ruimte om zelf te bepalen waarom en hoe lang bepaalde persoonsgegevens worden bewaard.

In de praktijk zie je helaas dat organisaties beter zijn in het bewaren dan in het vernietigen van gegevens.
ShadLink @Killjoy12 oktober 2023 09:10
Idd. GDPR wordt vaak als een privacy wetgeving gezien, maar dat is het niet. Het is een databoekhoudwet, maw je moet kunnen aangeven welke gegevens je verzamelt en waarom. En je moet mensen toegang geven tot hun gegevens.
Killjoy @ShadLink12 oktober 2023 09:53
Klopt. Handelsverordening. Het gaat om gegevensbescherming. Het woord 'privacy' komt niet eens in de AVG voor (Nou ja, ze verwijzen één keer naar de eprivacy richtlijn)
Sp3ci3s8472 @supersnathan9411 oktober 2023 21:41
Financiele informatie (transacties) blah blah nog iets, de periode dat dat soort gegevens mag worden bewaard is een stuk langer. Tenminste dat is wat mij is verteld bij iets waar ik een keer wat had gedonneerd en ik gebruik wilde maken van GDPR. Nu ga ik er even van uit dat Shadow geld vraagt per maand.
jurroen @Sp3ci3s847211 oktober 2023 22:46
Ja, ze moeten die informatie bewaren, maar dat hoeft niet online, dat hoeft niet met e-mailadressen etc. Als ze alleen de facturen bewaren voor zeven jaar (of het Franse equivalenr ervan) is dat ook prima.

Sowieso - geboortedata - thefuck. Dat heb je als leverancier van een dienst als Shadow écbt niet nodig.
sinshz @jurroen12 oktober 2023 08:21
Geboortedatum hebben cloud gaming platformen wettelijk wel nodig om je content aan te bieden die geschikt is voor je leeftijd, zij hebben een plicht om zich aan de ESRB ratings te houden (en de gelijkwaardige per regio)
jurroen @sinshz12 oktober 2023 09:59
Ik weet niet of je bekend bent met Shadow, maar je krijgt daar gewoon een volledige Windows desktop. Er is geen vorm van curatie of leeftijdsgebonden aanbod.
supersnathan94
@Sp3ci3s847211 oktober 2023 23:48
Die snap ik, maar dat hoeft niks anders te zijn dan een printje van de factuur in een map of ergens in blobstorage waar alleen afdeling boekhouding bij kan bij audits.
Soldaatje @supersnathan9411 oktober 2023 21:42
Geldt dat niet alleen voor verwijderde accounts? Dat zou het kunnen verklaren?
dez11de @supersnathan9411 oktober 2023 22:20
Onder de GDPR is het maximaal 3 maanden voor inactieve accounts
Nee.
BCC @ThaBilly11 oktober 2023 21:15
Dit had ik exact hetzelfde.
pvdheu @ThaBilly12 oktober 2023 10:51
Shadow breekt GDPR regels links en rechts. Ik heb ze twee jaar geleden al gevraagd mijn gegevens te verwijderen, ze hebben bevestigd dat ze dat zouden doen binnen twee maanden maar ik kan nog steeds inloggen n kreeg nu ook deze mail.

Misschien toch tijd voor een klacht bij de EU ..
NosferatuX 11 oktober 2023 21:15
Kreeg de mail ook al. Toch vervelend dat je afhankelijk bent van de onkunde en domheid van sukkels die geacht worden jouw gegevens veilig te houden.
Kan het niet anders verwoorden.
Je kan zelf zo voorzichtig zijn als je wilt en ervoor zorgen dat je zelf niks lekt, er zijn altijd wel instanties die het voor jouw verprutsen, zelfs op overheidsniveau.
The Zep Man
11 oktober 2023 22:24
Het platform claimt dat het 'de nodige stappen heeft ondernomen' om zijn systemen te beveiligen en 'de nodige voorzorgmaatregelen heeft genomen om toekomstige incidenten te voorkomen'. Het bedrijf heeft naar eigen zeggen ook zijn beveiligingsprotocollen bij zijn SaaS-providers aangescherpt en zijn interne systemen geüpgraded om overgenomen workstations onschadelijk te maken.
Wat wordt gedaan om (meer) te voorkomen dat medewerkers:

1. In phishingmails trappen?
2. Software op hun zakelijke computers mogen installeren?
3. Denken dat ze spelletjes op hun zakelijke computers mogen spelen?

Links hebben wij een beveiligingssysteem met de beste malware scans, de beste patroonherkenning, de beste AI, de beste protocollen, de beste algoritmes, de beste hardening... Het kost een miljard, maar dan heb je ook wat.

Rechts hebben wij Bob, een doorsneegebruiker.

Waar zit de zwakheid?

[Reactie gewijzigd door The Zep Man op 23 juli 2024 05:29]

Soldaatje @The Zep Man11 oktober 2023 22:32
Bij ons op werk kan je gewoon niks installeren of executables draaien, behalve whitelisted, dat is een aantal jaren geleden ingevoerd na de ransomware-golf. Dus het kan technisch allemaal wel.
xoniq @Soldaatje12 oktober 2023 08:05
Tot iemand z’n eigen device meeneemt, en daarop iets installed met een ransomware erin.
Lagonas @xoniq12 oktober 2023 09:49
Dat mag / kan dan ook niet bij veel bedrijven. Tenminste, de bedrijven waar ik voor werk / klant van ons zijn.
xoniq @Lagonas12 oktober 2023 11:28
Waar ik voorheen werkte kies je wat voor hardware je wilt, en wat je installeert etc. Niks ‘managed’. En ja daar kan t dus grandioos mis gaan. Zelf ben ik een MacBook gebruiker, maar doe ik daar niks sketchy op, of open ik lukraak willekeurige bestanden. Maar andere collega’s zijn dan misschien minder secuur, dan krijg je zulke ellende.
KraveN 11 oktober 2023 22:33
Ik heb nog geen mail gehad! Een tijd lang gebruik gemaakt van deze dienst. Weet alleen niet zeker meer of ik destijds ook een verzoek heb gedaan om mijn gegevens te verwijderen.

Heb ik bij een hoop webwinkels en diensten gedaan toen ik toch alles moest aanpassen ivm een lastpass hack. Hoop gedoe, maar het heeft wel lekker opgeschoond.
graceful 11 oktober 2023 22:20
Bedrijven moeten echt actief gegevens gaan verwijderen. Waarom zoveel verantwoordelijkheid nemen over gegevens die allang weg konden? Echt belachelijk

Voor financial informatie heb je dat hele account, incl geboortedatum, niet meer nodig, de PDF facturen opslaan is voldoende.
Gert @graceful12 oktober 2023 01:49
Dat verschilt per branche en per land. Ik heb ook eens een klant geadviseerd die gedetailleerde gegevens van transacties moest bewaren omdat particulieren wettelijk tot twee jaar terug kunnen claimen dat het onterecht was. De bewijslast ligt daarbij bij de leverancier, niet de klant.

Geboortedatum lijkt mij bij deze dienst trouwens ook van belang om de juiste content te kunnen tonen.
lethalbas @Gert12 oktober 2023 14:31
Over de geboortedatum, Shadow PC is niet een regular cloudgamingservice zoals Geforce now of Stadia. Shadow PC levert simpelweg een clean windows virtual server systeem met een videokaart aan waar je vervolgens zelf middels third party publishers je games op kan installeren. De publishers als Valve en Ubisoft controlleren in dit geval dus zelf of gebruikers aan de leeftijdsverijsten voldoen i.p.v. dat Shadow PC dat doet. Ik denk dus dat het gegeven geboortedatum in principe niet strict noodzakelijk is.
Ozzy @graceful12 oktober 2023 10:44
Van de Nederlandse Belastingdienst moet je de administratie 7 jaar bewaren (sowieso financiele gegevens) overige gegevens kun je afspraken over maken. En in sommige gevallen is het zelfs 10 jaar.

Ook het afdrukken (en verwijderen) mag alleen als het om een kleine administratie gaat, dus in algemene zin is het gewoon niet waar wat je zegt.

https://www.belastingdien...ewaart_u_uw_administratie
graceful @Ozzy12 oktober 2023 11:36
Een account valt niet onder deze administratie plicht. Wat is er precies niet waar aan wat ik zeg?

Als je de PDF factuur opslaat voldoe je aan de belastingdienst haar eisen over het opslaan van administratieve gegevens.

De belastingdienst is niet geïnteresseerd in het account, geboortedatum of actief adres. Het wil de omzetstromen kunnen herleiden.

De link die je aangeeft, hierin doelt de belastingdienst op een boekhoud administratie.

[Reactie gewijzigd door graceful op 23 juli 2024 05:29]

MrMonkE 12 oktober 2023 06:20
Misschien eens snijden in:
- Thuiswerken
- BYOD

Lijkt me al snel wat van dit soort zaken te stoppen.
Brantje @MrMonkE12 oktober 2023 08:05
Thuis werken is heel goed mogelijk zolang de goede security policies in te stellen.
Ik werk vanuit huis, maar kan niets kwa USB storage of wat dan ook aan de mac hangen.
Met 11 oktober 2023 21:19
Als het zo is dat er een mail is gestuurd, dan de Autoriteit Persoonsgegevens hierover ook informeren dat deze provider zich niet aan de regels houdt.En je kunt zelf ook het recht tot inzage en verwijderen opeisen.
WEBGAMING @Met11 oktober 2023 21:34
Recht op inzage en verwijdering van gegevens nadat deze gegevens gelekt zijn. Heel nuttig.
Met @WEBGAMING12 oktober 2023 13:06
Als ze dat niet hebben gedaan dan kun je ze voor de rechter dagen. Niet nakomen AVG etc. Kortom: boete.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq