EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen

EasyPark zegt dat er bij de cyberaanval van december ook 'gehashte versies van wachtwoorden' zijn gestolen. Het bedrijf meldt niet welke hash is gebruikt en van hoeveel klanten er wachtwoorden zijn gestolen. Het bedrijf zegt contact op te nemen met getroffen klanten.

"Onze analyse bevestigt dat gehashte versies van wachtwoorden ook deel uitmaakten van het datalek", schrijft EasyPark in een update. Het bedrijf zegt dat de wachtwoorden voor alle getroffen klanten al op 10 december gereset werden, toen het datalek ontdekt werd. Klanten die het wachtwoord ook voor andere diensten gebruikten, krijgen het advies dit wachtwoord te wijzigen.

EasyPark zegt contact op te nemen met klanten waarvan het gehashte wachtwoord is gelekt, via een e-mail, sms of pushmelding. Het bedrijf zegt niet op welke termijn dit zal gebeuren; de eerdere communicatie over het datalek verliep stapsgewijs en duurde meerdere weken. Naast EasyPark-klanten kunnen ook Parkmobile-klanten getroffen zijn door het datalek. Het lek zat in het EasyPark-selfservice-webportaal.

Het bedrijf meldde het datalek op 14 december. Het lek was onderdeel van een cyberaanval die op 10 december plaatsvond. Daarbij zijn, naast gehashte wachtwoorden, ook namen, telefoonnummers, adressen, e-mailadressen en 'enkele cijfers van IBAN- of creditcardnummers' ingezien. Het bedrijf sprak destijds over 'niet-gevoelige data'.

Reacties (144)

3R!K 19 januari 2024 09:53

Vanochtend deze mail gekregen:

Dear Customer,

As you know, we had a data breach on December 10. Our analysis confirms that hashed versions of user passwords were also part of the data breach. We are contacting you because we care and want to be transparent. You are receiving this email because the hashed version of the password you created on our system was included in the breach, and you may also be reusing this password elsewhere.

What is password hashing?

Password hashing means converting a password through an algorithm to turn it into an unintelligible series of characters. This is to protect the confidentiality of the password and also protect it against any unauthorized use.

What have we done?

We reset the passwords for all affected customers on December 10 upon discovering the data breach and as a part of our standard incident response.

What actions should you take?

Although the passwords were hashed and reset, we encourage you to change your password on any other platform where you have used the same password. Another way of keeping your password secure and unique is through a password manager.

We are committed to doing everything to earn your trust back by protecting your data and are sorry for the inconvenience this may cause you. Please reach out to our Customer Care in case you have any questions via tel: +31(0)20 80 80 490 or datalek@easypark.net.

bas.kb 19 januari 2024 11:48

Ik was altijd klant bij Parkmobile. Ik heb in december geen mail gehad, dus ik veronderstelde dat mijn persoonsgegevens niet zijn buitgemaakt bij de EasyPark hack. Voor de zekerheid heb ik toen gebeld met de EasyPark servicedesk, omdat ik het bijzonder vervelend zou vinden als mijn adresgegevens buitgemaakt zouden zijn. Men kon mij verzekeren dat er geen adresgegevens buitgemaakt zouden zijn, en als ik geen mail had ontvangen, was ik sowieso geen slachtoffer van deze hack. Maar wat blijkt, vanmorgen heb ik dus wel een mail ontvangen van EasyPark dat mijn persoongegevens, inclusief adres en gehasht wachtwoord onderdeel waren van de hack!! Ik wilde mijn account opzeggen en gegevens laten verwijderen, maar deze functionaliteit is momenteel in storing... Wel toevallig dat juist nu deze functie eruit ligt. Maar ok, zodra deze weer beschikbaar is ben ik de eerste die mijn account opzegt. Want qua communicatie zijn ze in eerste instantie mij vergeten te informeren en tevens verschafte zij onjuiste informatie over hetgeen gelekt is. Het is een goede reminder om een password manager te gebruiken zodat je niet terugvalt op dezelfde wachtwoorden. Dat heb ik helaas wel gedaan (met kleine variaties) en nu moet ik dus overal mijn wachtwoorden gaan resetten. Stom, ik weet het. Ik ga het nu goed regelen om mij te beschermen tegen partijen die niet bekwaam zijn mijn persoonsgegevens en credentials veilig op te slaan. Hartelijk bedankt EasyPark voor het lekken van mijn persoonsgegevens

BHStar @bas.kb • 19 januari 2024 17:08

Ik heb zojuist mijn account kunnen verwijderen, dus je kan het nu nog een keer proberen.

Ik liep overigens tegen hetzelfde aan, ik kreeg een mail met "As you know, we had a data breach on December 10.", ik wist nergens iets vanaf. Flapdrollen

bas.kb @BHStar • 22 januari 2024 11:49

Ja mijn account is nu ook opgezegd. Overgestapt naar Rabobank Parkeren. Goedkoper per transactie en de app had ik al, dus prima zo.

SteefOne @bas.kb • 19 januari 2024 18:06

Ik had dus hetzelfde. Nooit een mail gehad, alleen in-app een notificatie dat ze een databreach hebben gehad. Zonder het wachtwoord gewijzigd te hebben kan ik nog steeds gebruik maken van ParkMobile. Ik heb dus nooit opnieuw hoeven in te loggen of het wachtwoord hoeven te wijzigen. Obv die informatie neem ik aan dat ik dus niet getroffen ben. Ik kreeg echter vanochtend het volgende mailtje:

Zoals je weet, hebben we op 10 december jl. een datalek gehad. Onze analyse bevestigt dat gehashte versies van wachtwoorden ook deel uitmaakten van het datalek. We informeren je hierover omdat we geven om onze klanten en transparant willen zijn. Je ontvangt deze email omdat de gehashte versie van het wachtwoord dat je in ons systeem hebt aangemaakt onderdeel was van het datalek en je het wachtwoord mogelijk ook elders gebruikt.

Nou nee, ik weet dus helemaal niks. Ben ik nou getroffen of niet? Zelf maar het wachtwoord veranderd, maar het lijkt me inderdaad beter net als jij mijn account te gaan verwijderen daar. Droevige bende.

nullbyte @bas.kb • 20 januari 2024 14:34

Als je variaties op wachtwoorden hebt gemaakt dan zijn de hashes niet het zelfde als deze uit de gelekte DB. Als jouw ww van voldoende lengte zijn en uniek zijn. Dan zal de cybercrimineel jouw hash niet kunnen kraken met een tool als hashcat of John the Ripper. Parkmobile moet overigens wel een fatsoenlijk hashing algoritme hebben gebruikt.

Desalniettemin, slechts een paar karakters aanpassen kan gevaarlijk zijn. Aanpassen is de beste oplossing.

[Reactie gewijzigd door nullbyte op 22 juli 2024 17:58]

RielN @bas.kb • 24 januari 2024 15:55

Goed dat je het zegt, ik had ook parkmobile.

nicket84 18 januari 2024 17:16

Fijn dat je het account bij Easypark eenvoudig kunt verwijderen nu het vertrouwen helemaal weg is...

na wat zoekwerk heb ik gevonden hoe je dit in de app kunt doen. Dit geeft mij een mooie melding "Account not applicable for deletion".

Contactinformatie kan ik ook niet vinden. Hier wordt naar de chat functie verwezen, welke ik niet (zoals vermeld rechts onder in beeld, of waar dan ook) terug kan vinden.

[Reactie gewijzigd door nicket84 op 22 juli 2024 17:58]

Keyb @nicket84 • 18 januari 2024 17:23

Wow. Ik dacht oh laat ik dat ook eens proberen. Maar mijn daarnet aangepaste ww werkt niet bij het inloggen. Het vertrouwen was natuurlijk al te paard vertrokken, maar nu zakt de moed geheel in de schoenen.

Roerdomp @Keyb • 18 januari 2024 17:34

Bij mij ook, 2x opnieuw ingesteld maar kan alsnog niet inloggen. Heb de chat wel kunnen bereiken na het disablen van mijn adblocker, en dit was de info:

Wanneer je alleen je account opzegt of de EasyPark formerly Parkmobile app van je toestel verwijdert, betekent dit niet dat je gegevens in ons systeem volledig gewist zijn.

Wens je al je gegevens volledig te laten verwijderen door ons of wil je juist meer informatie over je persoonsgegevens in ons systeem?

Dien een verzoek in via dit e-mailadres en geef aan wat je wenst te laten verwijderen of op te vragen. We zullen je verzoek dan zo spoedig mogelijk in behandeling nemen!

[Reactie gewijzigd door Roerdomp op 22 juli 2024 17:58]

Markie1992 @Roerdomp • 18 januari 2024 20:29

Kon ook niet inloggen met mijn e-mail. Maar wanneer ik hetzelfde wachtwoord wat ik na een wachtwoord reset invoerde, mijn 06 nummer als gebruikersnaam invoerde werkte het wel..

TwaalfdeMan @Keyb • 19 januari 2024 03:24

Ik wijzigde mijn wachtwoord en probeerde in te loggen. Bleef hangen. Dit via mijn telefoon en via de app. Dus ik swipede de app weg (= sluiten) en opende het opnieuw. En ik zat er ineens in, ingelogd. Sindsdien werkt ‘t gewoon bij mij.

[Reactie gewijzigd door TwaalfdeMan op 22 juli 2024 17:58]

Grrrrrene

@TwaalfdeMan • 19 januari 2024 12:43

Dat gebeurde bij mij ook. Ik had mijn wachtwoord aangepast, 30 tekens, incl. speciale tekens, een uniek wachtwoord dat ik dus nergens anders gebruik. Ik bereidde me al voor op het invoeren van zo'n complex wachtwoord in de app, maar daar ben ik nog gewoon ingelogd? Het is toch vrij gebruikelijk dat je uitgelogd wordt overal als je je wachtwoord aanpast, of ontgaat mij nu iets?

d3burt

@Grrrrrene • 19 januari 2024 15:41

Apps communiceren vaak via een token met de backend. Het token verkrijg je na inloggen. Dit voorkomt dat je het password moet opslaan in de telefoon. Het is uiteraard wenselijk dat het token ongeldig gemaakt wordt aan de serverzijde als je je password wijzigt, maar dat moet dan wel ingeprogrammeerd zijn. Dat lijkt hier niet het geval te zijn.

Het is, afhankelijk van hoe het backend is geïmplementeerd, trouwens niet altijd triviaal om tokens ongeldig te maken; zelfs bij goede implementaties kan het door caching even duren voor het token echt ongeldig is.

TwaalfdeMan @Grrrrrene • 19 januari 2024 18:58

Ik was wel uitgelogd. Ik logde in met mijn nieuwe wachtwoord maar het bleef hangen. Toen ik de app had weggeklikt en opnieuw opende was ik wel gewoon ingelogd.

FicoF @nicket84 • 18 januari 2024 19:01

Ik heb het account zojuist verwijderd. Dat lukt gewoon in de app.

3raser @FicoF • 18 januari 2024 19:26

Je account is weg, maar al je gegevens blijven gewoon bestaan.

mjtdevries @3raser • 19 januari 2024 10:10

Dat is niet waar, je geeft hier nu desinformatie.
Wat easypark aangeeft (ook in de reactie die jij quote) is dat niet 100% van je gegevens weg zijn. Dat is heel wat anders dan wat jij hier zegt dat 100% van je gegevens gewoon blijven bestaan.

3raser @mjtdevries • 19 januari 2024 10:29

Jij hebt blijkbaar inside informatie, dus vertel eens welke gegevens er wel achterblijven en wat er verwijderd wordt als je je account verwijderd?

mjtdevries @3raser • 19 januari 2024 10:39

Het staat gewoon in de reactie waar je zelf naar verwijst:

betekent dit niet dat je gegevens in ons systeem volledig gewist zijn.

Misschien is begrijpend lezen tegenwoordig niet meer verplicht op school, maar bovenstaande zin betekent dus dat een deel van de gegevens in het systeem gewist zijn, maar niet 100%.
Maar jij vertelt dat 0% van je gegevens gewist zijn en dat staat daar dus niet.

3raser @mjtdevries • 19 januari 2024 10:49

Dit is echt geloven in de blauwe ogen van Easypark. Dat je gegevens niet volledig gewist zijn kan net zo goed beteken dat er helemaal niets gewist is. Ja, dat bitje waarin stond dat je in mocht loggen is gewist. Zolang Easypark niet duidelijk aangeeft wat ze wel en niet wissen ga ik er vanuit dat al je gegevens bewaard blijven.

mjtdevries @3raser • 19 januari 2024 11:03

Nee, dat is geloven dat bedrijven geen dingen zwart op wit zetten wat tegen ze gebruikt kan worden in een rechtbank.
Er vanuit gaan dat ze een leugen zwart op wit op zetten is ongelooflijk naief. Dat bovendien verkondigen valt zelfs onder smaad of laster.
Terwijl je ook gewoon eerlijk kunt verkondigen wat ze gezegd hebben. Niet 100% van de data word gewist, terwijl mensen dat wel willen als ze hun account opheffen.

3raser @mjtdevries • 19 januari 2024 11:50

Smaad en laster hebben echt niets te maken met liegen over gegevens die wel of niet gewist zijn. En bedrijven liegen continu. Ook zwart op wit. Excuses komt later wel als ze betrapt worden.

mjtdevries @3raser • 19 januari 2024 12:00

Nee, niet wat zij doen is smaad of laster. Wat JIJ doet is smaad of laster.
Jij doet beschuldigt easypark er van dat ze zeggen data te verwijderen, maar dat in werkelijkheid niet doen. Die beschuldiging waarvoor je geen enkel bewijs hebt, is per definitie smaad.

3raser @mjtdevries • 19 januari 2024 12:11

Ze geven zelf aan dit niet te doen. Over de hoeveelheid valt te twisten is het niet? Zolang Easypark zelf geen duidelijkheid geeft.

mjtdevries @3raser • 19 januari 2024 12:16

Wederom verdraai je de zaak.
Zij geven aan een gedeelte te wissen. Jij maakt daar van dat ze niks wissen.
Dat is overduidelijk niet wat ze zelf aangeven.
Jij uitspraak dat ze niks wissen is daarmee een beschuldiging die je op geen enkele manier hebt onderbouwt en haaks staat op wat easypark zegt.

3raser @mjtdevries • 19 januari 2024 12:28

Heb je aandelen Easypark ofzo? Ik zeg dat er over de hoeveelheid valt te twisten. Zij geven zelf aan de data niet volledig te verwijderen en ik zeg dat die uitspraak van alles kan betekenen. Het verwijderen van 1 bitje aan data zou bij die uitspraak al voldoen. Zolang Easypark geen openheid van zaken geeft vertrouw ik ze voor geen meter. Na de hack is de communicatie alles behalve vlot en betrouwbaar gebleken. Er is mijn inziens weinig reden om ze het voordeel van de twijfel te geven.

tvtech

@3raser • 19 januari 2024 14:24

sterker nog, ik heb helemaal niets van ze gehoord, destijds niet en nu ook niet. Bovendien is de app na de overname door Easypark op zijn zachts gezegt gewoon ruk. Ik moet deze iedere keer hard afsluiten om een auto (1 vd 2) te kunnen kiezen en dan op parkeren te drukken.

mjtdevries @3raser • 19 januari 2024 14:49

Nee, nadat ik je er meerdere malen op wijs begin je nu bakzeil te halen en zeg je ineens dat er over de hoeveelheid te twisten valt. Daarvoor zei je steeds dat ze niets weghalen en daar sprak ik je op aan.

Dat je ze niet vertrouwd is je goed recht. Je hoeft ze ook niet het voordeel van de twijfel te geven.

Maar wees nu gewoon een vent en geef toe dat je te hard van stapel liep en beschuldigingen zonder onderbouwing deed.

3raser @mjtdevries • 19 januari 2024 15:05

Je valt nogal over mijn manier van verwoorden, dus ik zal toegeven dat ik dicht op de sarcasme grens zat. Ik kan niet bewijzen dat letterlijk AL je gegevens bewaard blijven. Maar ik ga er zeker niet vanuit dat ze veel van je gegevens verwijderen, dus onderaan de streep blijven waarschijnlijk al je belangrijke gegevens bewaard. Iets wat ik dan verwoord heb in dat al je gegevens worden bewaard. Kun je nu je advocaat afbellen?

mjtdevries @3raser • 19 januari 2024 15:10

Als jij zegt dat er NIETS word verwijderd en dat 3x achter elkaar in je reacties blijft volhouden dan moet je niet nu gaan doen alsof je schreef dat er naar jouw mening "weinig" werd verwijderd.
Dan ben je alleen maar bezig de discussie hier te verzieken. Verder ga ik geen woorden meer aan jou verspillen.

3raser @mjtdevries • 19 januari 2024 15:20

Ik heb in mijn reacties duidelijk aangegeven dat zodra ze ook maar 1 bitje verwijderd hebben ze aan kunnen geven dat je gegevens niet volledig zijn gewist. Vervolgens blijf jij maar hameren op het feit dat mijn eerste reacties duidelijk over alle data ging. Als je bankrekening geplunderd is en je roept dat al je geld is gestolen, dan ga jij zeuren over het feit dat er van de duizenden euro's nog zeker 2 euro op de rekening staat en dat het dus niet AL het geld is. Jij bent vast een fijn persoon om een gesprek mee te voeren als je iedere letter letterlijk neemt en gelijk begint over smaad en laster.

mjtdevries @3raser • 19 januari 2024 15:21

dont feed the troll.

3raser @mjtdevries • 19 januari 2024 15:25

Haha! Gelukkig reageer je toch terwijl je zei dat je dat niet zou doen.

bl00dy @3raser • 19 januari 2024 10:42

Dat lijkt me niet heel lastig, als je transacties hebt gehad (dus parkeren of enkel abonnementskosten) in de afgelopen x jaar, dan zijn ze verplicht of gerechtigd daar een basisset aan informatie van te behouden. Voor een aantal zaken geldt 7 jaar voor de belastingdienst waar het factuurgegevens betreft of maximaal 2 jaar voor persoonsgegevens van (ex-)abonnees als ik het goed lees.

Bestseller @nicket84 • 18 januari 2024 18:53

Mijn account in 2021 verzocht om te verwijderen. Kon vorige week gewoon inloggen…

Dus zou er niet vanuit gaan dat je gegevens daadwerkelijk verwijderd zijn.

Mindfucker @Bestseller • 18 januari 2024 20:53

Mijn account is in Juli verwijderd en lijkt wel volledig te zijn verdwenen. Was dat bij EasyPark of Parkmobile?

m4ikel @nicket84 • 18 januari 2024 17:25

Genoeg reden om een aangetekende brief te sturen en nu wél eens een schadevergoeding te eisen. Als iedereen zich daar dan bij aansluit, zou dat een mooi precedent scheppen.

*advocatenkantoor kom er maar in*

ACM Software Architect @m4ikel • 18 januari 2024 17:46

Voor een schadevergoeding moet je schade hebben geleden... heb je dat, dan moet je dat zeker doen. Heb je dat niet, dan heb je ook simpelweg geen recht op een schadevergoeding.

En ja, immateriële schade geldt ook, maar dat is wel erg lastig te bewijzen.

The Zep Man

Beveiliging en antivirus
Datalek
Privacy

@ACM • 18 januari 2024 18:01

Voor een schadevergoeding moet je schade hebben geleden... heb je dat, dan moet je dat zeker doen. Heb je dat niet, dan heb je ook simpelweg geen recht op een schadevergoeding.

Een vergoeding voor de uren aan werk die nodig waren om het eigen account te verwijderen. Dat wordt onnodig moeilijk gemaakt t.o.v. het registratieproces.

Xfade @The Zep Man • 18 januari 2024 18:12

Wat is de schade voor 5 min werk?

The Zep Man

Beveiliging en antivirus
Datalek
Privacy

@Xfade • 18 januari 2024 18:16

Jouw vraag is niet relevant.

3dfx @The Zep Man • 18 januari 2024 18:31

[...]
Een vergoeding voor de uren aan werk die nodig waren om het eigen account te verwijderen. Dat wordt onnodig moeilijk gemaakt t.o.v. het registratieproces.

Via hun website werkte het account verwijderen prima en kostte het hooguit enkele minuten, dus waarom zou je halsstarrig het via de app blijven proberen?

Dan maak je het jezelf moeilijker dan nodig, en dat lijkt me geen vergoeding waard.

[Reactie gewijzigd door 3dfx op 22 juli 2024 17:58]

RRRobert @3dfx • 19 januari 2024 08:36

[...]

Via hun website werkte het account verwijderen prima en kostte het hooguit enkele minuten, dus waarom zou je halsstarrig het via de app blijven proberen?

Dan maak je het jezelf moeilijker dan nodig, en dat lijkt me geen vergoeding waard.

Nee, de dienstverlener maakt het onnodig moeilijk. We leven in 2024. Wil je dat je klanten jou dienst via een app afnemen en gebruiken, moet ook alle functionaliteit via deze app vrij toegankelijk zijn en goed functioneren.

Ik bezoek best veel content providers nog steeds via de browser op mijn smartphone, juist omdat hun app gewoon 'ruk' is. Eigenlijk best wel triest.

3dfx @RRRobert • 19 januari 2024 08:44

Deze "dienstverlener" heeft inmiddels op diverse fronten aangetoond behoorlijk incapabel te zijn:
ze beveiligen persoonlijke gegevens slecht, ze communiceren slecht, ze zijn slecht bereikbaar etc. dus verwachten dat hun app wel goed werkt is wishful thinking

m4ikel @ACM • 18 januari 2024 20:12

En daar moet dus eens verandering in komen, je staat als gedupeerde altijd met lege handen, maar kunt wel de rest van je leven de spam mails uit je mailbox verwijderen (in mijn geval na Linkedin hack +50 spam mails per dag).

R4gnax

Datalek
Privacy

@m4ikel • 18 januari 2024 20:42

Die extra lading werk is dus ook onderdeel van de 'schade' die je lijdt.
Dat is ook gewoon een stuk stress en mentaal welzijn.

En ja- dat soort immateriële schade telt voor de AVG/GDPR als schade. Dat kun je claimen.
In het verleden zijn daar al eens bedragen voor toegekend. Met enige regelmaat zelfs. Zo vaak dat 500 EUR nog wel eens als richtbedrag te boek wil staan.

bento1 @nicket84 • 19 januari 2024 11:03

Het is sowieso een flut bedrijf. Als je een factuur wil opvragen wordt je nu tussen twee partijen (Riverty & Easypark) van het kastje naar de muur gestuurd.

Klantenservice is er niet bij en online kan je de helft niet terug vinden. Ben nu sinds een paar maanden lid van Yellowbrick, werkt ook samen met m'n nieuwe tankpas en Parkbee.

maddog4004 18 januari 2024 17:17

Ik gebruik de EasyPark app (Inmiddels een paar keer van naam veranderd ook), en ik wil weten of het mogelijk is dat ik nu spook rekeningen ga krijgen omdat mijn gegevens zijn gestolen?

logix147 @maddog4004 • 18 januari 2024 18:15

Dat is dus de reden dat ik overgestapt ben op alias-per-dienst@mijnemailadres.domein

Gelijk overal passwordphrase-welkecombinatiewashetookalweer aangepast aan mijn bitwardenkluis en na 2 weekenden heeft elke dienst een eigen mailalias.

Kost je paar tientjes op jaarbasis maar is werkelijk heel prettig als je geen spam meer wilt. Daarachter heb ik een eigen mailbox zitten en daar komt nu al een jaar of 3 geen spam op binnen. Maar dat adres is ook nergens bekend behalve dan bij die alias dienst tijdens het aanmaken van de dienst.

Enige nadeel hieraan is dat sommige partijen Tweakers@mijnemailadres.domein niet accepteren. Dat wordt dan tweakersaccount ofzo - Paypal deed hier moeilijk over bijv.

Los daarvan heb ik mijn account overigens verwijderd. Geen vertrouwen meer in deze club en genoeg partijen die het aanbieden.

[Reactie gewijzigd door logix147 op 22 juli 2024 17:58]

tweaker2003 @logix147 • 18 januari 2024 20:41

Niet per se nodig. Ik doe het al een tijdje zo:
hello+easypark@gmail.com
Hello+zalando@gmail.com
Hello+tweakersnet@gmail.com
Weet je ook direct waar een datalek is geweest.

TheCoon

@tweaker2003 • 18 januari 2024 21:03

Beetje spammer heeft het plusje en alles erachter er natuurlijk snel uitgeknipt.

Drardollan @tweaker2003 • 19 januari 2024 08:53

Dit was voorheen een goede oplossing, maar nu dit algemeen bekend is haken spammers hier op in door alles achter de + te verwijderen. Een alternatieve optie is de punt gebruiken (hello.easypark@gmail.com) omdat punten bij andere mailproviders gewoon onderdeel van het mail adres zijn en niet weggelaten kunnen worden. Maar ook dat kan de slimmere spammer vrij makkelijk detecteren. Het is wel effectief als je een eigen domein hebt via Gmail.

Een betere methode is een catchall gebruiken op een verder ongebruikt subdomein. Dus stel dat jij tweaker2003.com hebt dan creëer je een mailomgeving op antispam.tweaker2003.com en dan een catchall op *@antispam.tweaker2003.com. Dat zal geen script van een spammer herkennen en geeft je toch eenvoudig de mogelijkheid zelf te blijven zien waar een eventueel datalek zich bevindt.

logix147 @tweaker2003 • 18 januari 2024 20:50

Nadeel is dat alles dan in 1 bak komt. Als ik bijv op vakantie ga staan er 2 mailboxen aan. 1 van m’n huis IoT stuff en 1 van administratie stuff.

De overige mailflow gaat gewoon uit. Plus ik wilde iets wat niet aan Apple/Google zat voor m’n thuis gebruik.

Drardollan @logix147 • 19 januari 2024 14:58

Dat is toch eenvoudig op te lossen met filters/regels binnen je mail oplossing?

dutchnltweaker @tweaker2003 • 19 januari 2024 09:27

Hoe weet je dat dan? Ik snap het niet Helemaal.

PikachuNL @logix147 • 18 januari 2024 18:19

Doe ik ook sinds een tijdje. Enige waar ik wel mee zit is dat ik (in mijn geval althans) geen mail kan versturen vanaf die aliases als tweakers@domain.tld. Normaalgesproken geen probleem, alleen verwacht ik dat een klantenservice (of data protection officer als ik een GDPR verzoekje stuur) soms raar op kan kijken.

Raphire @PikachuNL • 18 januari 2024 18:33

Met services als simplelogin is dat wel mogelijk.

PikachuNL @Raphire • 18 januari 2024 18:58

Ah, da's top. Ik doe het momenteel op de luie/makkelijke manier door m'n domein aan iCloud te hangen. Werkt voor nu prima, maar goed om alvast een alternatief op het oog te hebben.

Ben hoe dan ook al blij dat ik niet meer overal m'n mailadres hoef te veranderen als ik ooit van host/provider zou switchen. Heerlijk.

aaahaaap @logix147 • 18 januari 2024 18:30

Doe je dit middels een catch-all of iets anders? Een geen problemen met ontvangst van de mail die je verstuurd bij anderen? Als je tegenwoordig niet 1 van de grote jongens bent kom je al snel in de spambox.

Puffino @aaahaaap • 18 januari 2024 18:40

Eigen domeinnaam registreren. Dan heb je de mogelijkheid oneindig/veel mail adressen aan te maken, middels catch-all te lezen (of doorstuur instellen), en eventueel per adres de keuze maken deze ook als verstuur account te kunnen inzetten.

Vereist wat administratie, werkt goed. Geen probleem van spambak als je een fatsoenlijke aanbieder kiest.

aaahaaap @Puffino • 19 januari 2024 12:30

Duidelijk, bedankt voor de info!

tvtech

@aaahaaap • 19 januari 2024 14:27

ik heb ook een eigen domein, lopend bij iCloud+ maar ik gebruik voor steeds meer dingen zo'n icloud alias. Dat werkt eigenlijk zonder veel gedoe, aanmaken/kiezen en klaar. Moet je wel Apple hebben uiteraard.

CPM @logix147 • 18 januari 2024 22:05

Het is gewoon een kwestie van tijd dat spammers dit soort tactieken gaan misbruiken. @jouwdomein.tld en dan weet ik hoeveel websites er aan toe voegen is ook simpel.

logix147 @CPM • 19 januari 2024 00:24

Het is niet een default want ik gebruik niet standaard <bedrijfsnaam> @ domein want sommige staan dit niet toe en soms vind ik het gewoon te lang en dit werkt al 3 jaar zonder enige vorm van ongewenste mail.

grizzlywilde @CPM • 19 januari 2024 08:58

Ik doe dit al jaren met een Moerstaal adres. Ik reken er op dat het voor spammers niet voldoende oplevert om dit soort trucjes te bestrijden, omdat 99/100 adressen gewoon een normaal adres zijn.

ACM Software Architect @maddog4004 • 18 januari 2024 17:44

Er kan niet vanzelf geincasseerd worden met een paar cijfers van je CC of rekeningnummer.

Maar ze kunnen je inderdaad wel heel specifiek proberen te bereiken met phishing en je dan verzoeken een of andere openstaande rekening te betalen.

Anoniem: 1576590 @ACM • 18 januari 2024 18:50

Als de aanvallers via (zoals nu ineens blijkt) gelekte wachtwoordhashes {1} kunnen inloggen op accounts van klanten, kunnen die aanvallers mogelijk hun volledige IBAN- of CC-nummers inzien (en wellicht CCV).

Maar als er steeds nieuwe konijnen uit de hoge hoed blijven komen (de "spreid slecht nieuws" tactiek), kan de volgende mededeling van EasyPark zijn dat alsnog blijkt dat volledige bank/CC-gegevens zijn gelekt.

{1} EasyPark lijkt niet te vermelden welk hashalgoritme is gebruikt: CRC32, een op maximake snelheid ontworpen cryptografische hash, PBKDF2 (met welke instellingen) of een variant van Argon2 (met welke instellingen).

Linksom of rechtsom, als jouw wachtwoord "12345" luidt, of niet doch vóórkomt in kleinere of grotere dictionaries (lijsten met eerder gelekte wachtwoorden), kunnen de aanvallers -gegeven de hash daarvan- achterhalen wat jouw wachtwoord moet zijn. En dan kunnen ze, als waren zij jou, inloggen op jouw account.

Edit 19:14 typo gefixed

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 17:58]

Anoniem: 718943 @Anoniem: 1576590 • 18 januari 2024 20:48

Mag hopen dat ze toch wel een salt gebruiken bij het hashen. Dat is anti-rainbowtables 101.

Anoniem: 1576590 @Anoniem: 718943 • 18 januari 2024 22:37

Door jhaan1979:

Mag hopen dat ze toch wel een salt gebruiken bij het hashen. Dat is anti-rainbowtables 101.

Alleen als je elk wachtwoord van een unieke salt voorziet, heeft een rainbow table geen zin (wel bij 1 salt voor alle wachtwoorden).

Maar sowieso zijn rainbow tables uit de tijd. Geheugen (RAM i.p.v. HDD) is nauwelijks nog een issue, en een beetje GPU kan tegenwoordig zo snel hashen dat je zo'n table helemaal niet meer nodig hebt.

Bijvoorbeeld met een stevige NVIDIA GeForce RTX 4090 krijg je hascat snelheden zoals hier vermeld, bijv. kaal MD5:
164.1 GH/s (dus 164.100.000.000 MD5 hashberekeningen per seconde).

"md5($pass.$salt)" is ongeveer even snel; waarom "md5($salt.$pass)" ongeveer half zo snel is, weet ik niet.

De les is: gewone cryptografische hashfuncties zijn ongeschikt, ook als je ze tig keer herhaalt. En een salt voegt bijna niets meer toe.

En het is nauwelijks stommer om MD5 in plaats van SHA512 o.i.d. te gebruiken: MD5 is op dit punt niet gekraakt. Het probleem is dat beide veel te snel zijn.

Bij scrypt, een van de eerste sterke KDF's (Key Derivation Function) die opzettelijk traag is gemaakt, zakt dat enorm naar ruwweg 7000 H/s (indien gebruik gemaakt wordt van de default parameters).

Algemene info over hashcat vind je hier en een recente omschrijving hier.

Aalard99

@Anoniem: 1576590 • 19 januari 2024 07:39

Maar het hele punt van een salt is toch dat je deze gescheiden opslaat?. Mocht het gehashde wachtwoord gestolen worden dan heb je hier niets aan zonder de salt.

Ben geen expert hoor, probeer het alleen te begrijpen.

Anoniem: 1576590 @Aalard99 • 19 januari 2024 09:57

Aalard99 schreef:

Ben geen expert hoor, probeer het alleen te begrijpen.

Ook ik leer elke dag bij van anderen!

Aalard99 schreef:

Maar het hele punt van een salt is toch dat je deze gescheiden opslaat?. Mocht het gehashde wachtwoord gestolen worden dan heb je hier niets aan zonder de salt.

Om te beginnen: het beschermen van wachtwoorden (of "éénweg"-afgeleiden daarvan) moet en mag nooit een primair doel worden: dat is het beveiligen van de gegevens die per account worden opgeslagen.

Daarbij, voor mensen die sterke (dus unieke) wachtwoorden gebruiken, zou zelfs een MD5 hash prima zijn.

De enige reden voor "iets sterkers" dan MD5 is dat veel mensen zwakke wachtwoorden hergebruiken. Alles wat je daar tegen probeert te doen is vooral symptoombestrijding.

M.i. moet je naar de historie kijken hoe het e.e.a. is "gegroeid". Aanvankelijk waren computers traag, was geheugen beperkt en alleen redelijke grote opslag betaalbaar. Grote dictionaries bestonden nog niet en wachtwoorden waren vaak zo kort dat brute force ("aaaaa", "aaaab", "aaaac" etc., ook met cijfers en enkele symbolen) te doen viel. Vooral als relatief veel servers MD5 gebruikten, was het lucratief om de MD5 hashes van die opeenvolgende karakterreeksen in een rainbow table op te slaan; die tabel kon dan voor elke gekopiejatte database worden gebruikt.

Daarmee achterhaal je zelden alle wachtwoorden, maar meestal voldoende om daarmee ("dankzij" hergebruikte ww) accounts van die mensen op andere servers te hacken. En vanuit gehackte e-mailaccounts nepmails te verzenden en zo meer slachtoffers te maken (en uiteindelijk bijv. rekeningen te plunderen).

Door een random salt per server in te zetten, moesten aanvallers per server een rainbow table genereren.

Als je een random salt (plain text) naast het wachtwoord en user-ID (naast evt. andere gegevens) per account opslaat, zou een aanvaller per account een rainbow table moeten genereren, maar dat is natuurlijk onzinnig. Dus is ww-hash + salt een perfect wapen tegen rainbow tables.

Maar ondertussen vorderde de techniek en werd mogelijk wat ik eerder hierboven schreef.

Het nadeel van PBKDF2 en Argon2 met voldoende effectieve parameters is dat zij ook op de server veel performance en geheugen vreten, elke keer als iemand inlogt. Een vraag is dus ook waar deze wapenwedloop moet stoppen.

In plaats van een (plain text opgeslagen) salt kan een serverbeheerder kiezen voor een pepper dat lastiger of niet te bereiken valt voor hackers, maar daar is vaak prijzige techniek (zoals een HSM, Hardware Security Module) voor nodig die niet door alle gebruikelijke serversoftware wordt ondersteund.

Persoonlijk heb ik liever dat beheerders hun servers dichttimmeren, databases segmenteren met sterke monitoring, bijtijds updaten etc. dan allerlei fratsen uit te halen in een slechte poging om een gebruikersprobleem op te lossen.

Als gebruikers hun eigen apparatuur zo veilig mogelijk houden (een voorwaarde voor eigenlijk alles) en een betrouwbare wachtwoordmanager gebruiken (en backuppen), die zij per webaccount een sterk en uniek wachtwoord laten genereren, zou MD5 prima zijn.

Als die wachtwoordmanager credentials alleen vrijgeeft als de domeinnaam van de server klopt, zit je qua sterkte al heel dicht in de buurt van passkeys. Daarmee zijn de meeste phishingaanvallen (bedoeld om jouw credentials van een andere server te bemachtigen) kansloos.

Aanvulling 10:06: voordat iemand roept dat MD5 gekraakt is: cryptografisch klopt dat, maar waarom dat voor wachtwoordhashes geen probleem is beschreef ik eerder hier (lees dat svp eerst voordat je deze post op -1 mod of reageert).

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 17:58]

Sito @ACM • 18 januari 2024 18:54

Er kan niet vanzelf geincasseerd worden met een paar cijfers van je CC of rekeningnummer.

Dat kan dus wel. Via bijvoorbeeld Molly kun je gewoon incasseren op willekeurige IBAN nummers. Een collega heeft dat een paar jaar terug bij mij gedaan bij wijze van test, omdat ik het niet wilde geloven.

ACM Software Architect @Sito • 19 januari 2024 07:33

Lees die zin die je aanhaalt dan nog een keer?

Het ging mij om de in het artikel gemelde "paar cijfers". Dat woord "paar" was daar belangrijk

Met een volledig rekeningnummer wordt het inderdaad anders, zeker als ze ook je voornaam/voorletters en achternaam weten (ik weet niet precies wat er nodig is om een incasso te doen).

Sito @ACM • 19 januari 2024 14:56

Excuus, inderdaad! Met alleen een paar cijfers kan het niet.

Keyb @maddog4004 • 18 januari 2024 17:20

Dat is in theorie mogelijk ja. Het is waarschijnlijker dat je meer phishing emails gaat ontvangen.

FastForwardNL @maddog4004 • 18 januari 2024 18:42

Ik heb de eerste telefoontjes van “mijn bank” al gehad. Ik vermoed via dit lek..

meowmofo 18 januari 2024 17:25

Ik heb nooit bericht van ze ontvangen en toch kon ik ineens niet meer inloggen vorige week toen ik voor het eerst in 2 maanden de app weer eens wilde gebruiken. Ik weet zeker dat mijn wachtwoord juist was, want wachtwoordmanager.

Ik vind hun afhandeling van dit incident behoorlijk amateuristisch.

Anoniem: 1576590 @meowmofo • 18 januari 2024 17:33

Door meowmofo:

Ik vind hun afhandeling van dit incident behoorlijk amateuristisch.

Ik denk hierbij eerder aan de term "weloverwogen".

Oftewel maximale damage control na een clusterfuck.

meowmofo @Anoniem: 1576590 • 18 januari 2024 18:33

Weloverwogen zou ik vinden als ik een communicatie had gehad, via de mail, in de app, etc. Dit is gewoon paniekvoetbal. Alle wachtwoorden resetten, natuurlijk. Je klant zo slecht informeren, niks weloverwogen aan.

Anoniem: 1576590 @meowmofo • 18 januari 2024 19:04

meowmofo schreef:

Weloverwogen zou ik vinden als ik een communicatie had gehad, via de mail, in de app, etc.

Dat zou weloverwogen zijn indien een bedrijf er is voor haar klanten.

Steeds vaker zijn klanten uitsluitend een inkomstenbron van bedrijven, en zijn die bedrijven de inkomstenbron van aandeelhouders.

Als klant ben je voor dat soort bedrijven (en aandeelhouders) een soort plankton: je staat onderaan de voedselketen. Alles daarboven profiteert van jou, is jou daar "eeuwig" dankbaar voor en bij een "foutje" willen ze ook nog wel sorry zeggen (want dat is goed voor de reputatie en de AP kijkt mee). Maar daar houdt het mee op voor jou.

Aanvulling 19-01-2024 12:27: ik raad degene, die deze post op -1 gemod heeft, aan om dit artikel van gisteren te lezen.

Daaruit (offtopic omdat het niet over lekken of EasyPark gaat, on topic omdat we ook in de EU steeds vaker zien dat aandeelhouders uitsluitend voor quick wins gaan en daarmee organisaties slopen):

Hospitals owned by private equity are harming patients, reports find
Hospital ratings dive and medical errors rise when private equity firms are in charge.

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 17:58]

TheekAzzaBreek @meowmofo • 18 januari 2024 23:35

Ik heb op 22 december een nette mail ontvangen met details over de gelekte gegevens. zoals toen bekend.
Over de hashes nog niet.

mjtdevries @meowmofo • 19 januari 2024 11:10

Vind je dat nou werkelijk?

Als jij gehacked word, zou je dan alleen maar de wachtwoorden resetten van de accounts waarvan je zeker bent dat een hacker ze aangeraakt heeft? Of zou je voor de zekerheid alle wachtwoorden resetten?

Vind je het werkelijk amateuristish als een bedrijf het zekere voor het onzekere neemt en alles reset?

meowmofo @mjtdevries • 19 januari 2024 17:00

Misschien moet je eens beter leren lezen.

mjtdevries @meowmofo • 19 januari 2024 18:20

Misschien moet jij eens beter leren schrijven.

Je hebt nooit bericht gehad omdat jouw account niet geraakt was. Maar ze hebben voor de zekerheid alle wachtwoorden gereset, dus ook het jouwe. En daarom werkte jouw wachtwoord uit je wachtwoord manager niet.
En dat vind je dan amateuristisch.
Als je wat anders bedoeld, dan had je het anders moeten schrijven.

meowmofo @mjtdevries • 20 januari 2024 12:08

Als je iemand z'n wachtwoord reset, dan informeer je de persoon, zo simpel is het leven. Als je dat zelf niet wilt begrijpen, dan moet je het bij jezelf zoeken.

Steenvoorde 18 januari 2024 17:43

Ik probeerde rond die tijd een parkeeractie te starten toen ik de melding kreeg dat ik niet inlogt was, terwijl er veel gecontroleerd wordt in die buurt. Daarna bleek mijn wachtwoord niet meer te werken en moest ik een reset doen. Na een paar minuten was dat wel gelukt zonder een parkeerboete, maar ik vind het belachelijk dat ik pas enkele weken daarna melding kreeg van deze hack. Gelukkig dat ik mijn wachtwoorden genereer, maar da's niet bij iedereen het geval en ik vind dat ze dit meteen aan hun klanten hadden moeten laten weten en dan via email en niet via een popup in hun app.

Ik was het vergeten, maar nu ik dit bericht lees herinner ik me weer dat ik een andere app wil gaan gebruiken. Ik was ook al niet gecharmeerd van hun default instellingen dat je via betaalde SMS reminders krijgt, ipv gratis push berichten. En het zou lekker zijn als een app zelf aan zou geven dat er geen parkeergeld betaald hoeft te worden als dat het geval is. Deze app start zonder melding een parkeeractie en strijkt zo elke keer het starttarief op. Dus ik kijk even wat er in dit draadje aan tips voorbij komt.

metbril @Steenvoorde • 18 januari 2024 18:22

Voor zover ik heb ervaren betaal je alleen starttarief als er ook parkeerkosten verschuldigd zijn.

Rengdxng 18 januari 2024 18:03

Kreeg vandaag de mail van Easypark, erg fijn weer.

Parkmobile verkocht en klanten overgezet, nieuwe eigenaar gehackt en mijn gegevens weer op straat.

Zal niet lang duren voordat hackers deze database met de ledger database combineren en mijn wachtwoord gaan brute forcen.

Vandaag al zo'n 30 pogingen gehad om mijn mail binnen te komen.

Wanneer komt er eens een digitale verificatie waardoor het random bedrijven verboden wordt mijn gegevens onversleuteld in hun database op te slaan en zelfs door te verkopen.

Nu ligt al mijn informatie op straat en met een simpele combinatie ben ik echt een hot target.

TheekAzzaBreek @Rengdxng • 18 januari 2024 23:40

Kans bestaat dat ze hoeven te bruteforcen, helaas.

Als ze geen salt gebruiken en er zitten wat email+passwd hergebruikers tussen die eerder zijn gelekt, is het algoritme te achtrhalen.

Roerdomp 18 januari 2024 17:26

Beetje off-topic, maar wat zijn goede alternatieven voor Easypark?

nicket84 @Roerdomp • 18 januari 2024 17:40

Ik ga het nu met flitsmeister proberen.

Ik heb het bovenstaande email adres (dpo@easypark.net) nu gebruikt om mijn account en alle gegevens te laten verwijderen.

aangezien mijn abonnement een zakelijke variant betreft, liep ik mogelijk tegen de verwijder handeling error aan. Daarom ook een mail naar zakelijk@easypark.net gestuurd.

Mogelijk hebben andere nog iets aan deze adressen.

Verder, als je het met een (normaal) account wilt proberen, kun je via de app naar:
- Account knop (rechts onder)
- persoonlijke gegevens
- Account verwijderen (helemaal onderaan)

Cerla @Roerdomp • 18 januari 2024 17:57

Qpark app, die heeft ook geen extra kosten zoals EasyPark.

NimbleGenius @Roerdomp • 18 januari 2024 17:59

Ik gebruik Q-Park app. Geen extrakosten om een transactie op te starten. Sowieso handig omdat ik vaak in Q-Park garages parkeer en dan gewoon direct in- en uit kan rijden zonder ticket en betalen bij automaat.

Kroonkurk @Roerdomp • 18 januari 2024 19:26

https://gaiyo.com/parkeren/

Geld in de wallet zetten. Je betaalt GEEN startkosten per sessie, dus alleen op puur het parkeertarief.
Werkt alleen bij straat parkeren, niet in parkeergarages.

[Reactie gewijzigd door Kroonkurk op 22 juli 2024 17:58]

Cyb @Roerdomp • 18 januari 2024 18:20

De vraag is of je zomaar een andere app zou moeten gaan gebruiken als je niet weet of die app wel/niet veiliger is. Er zijn zover ik weet amper goede vergelijkingen gepubliceerd. Als je dat niet weet, ben je eigenlijk alleen maar je privacy attack vector aan het vergroten.

Elk bedrijf of organisatie wordt vroeg of laat gehacked. De kern van het probleem is dat daarbij persoonlijke gegevens gestolen worden. De beste manier om je daar tegen te beschermen is door in eerste instantie geen of minimale persoonlijke gegevens af te geven. Dat kan door zo veel mogelijk verzonnen gegevens te gebruiken.

Roerdomp @Cyb • 18 januari 2024 18:32

De veiligheidsgarantie is er zeker niet, maar ik doe het ook eerder om een signaal af te geven dan te hopen op betere veiligheid. Misschien dat bedrijven veiligheid serieuzer nemen als ze merken dat er daadwerkelijk klanten bij ze weggaan bij dit soort situaties en de manier waarop het naar klanten toe gecommuniceerd wordt.

mjtdevries @Roerdomp • 19 januari 2024 11:16

Dan ga je er vanuit dat bedrijven heel bewust hun beveiliging laten verslonzen om geld te besparen.
Ik heb geen enkele aanwijzing dat dat het geval is.

Wellicht dat bedrijven het risico kleiner inschatten dan zou moeten. Maar datzelfde geld ook voor jou en mij bij risico afwegingen die wij dagelijks maken. Niet omdat we geld willen besparen maar omdat we daadwerkelijk denken dat het risico erg klein is.

Rookmelders zijn verplicht gemaakt omdat mensen ze zelf niet kopen, terwijl ze heel goedkoop zijn. Mensen kopen die dingen pas als ze zelf een brand van nabij hebben meegemaakt. Bv in dezelfde straat.
Heeft iedereen hier een slot op voor en achterdeur dat 3 SKG sterren heeft?

[Reactie gewijzigd door mjtdevries op 22 juli 2024 17:58]

Mr. Freeze @Roerdomp • 18 januari 2024 18:11

Als je bij de Rabobank zit…….

SaraNostra @Mr. Freeze • 18 januari 2024 23:05

En dan?

Mr. Freeze @SaraNostra • 19 januari 2024 08:31

Dan kan je via de Rabo app je parkeerbelasting betalen.

SaraNostra @Mr. Freeze • 19 januari 2024 11:09

Dat weet ik, maar wat heeft dat met de situatie te maken? Want zover ik kan zien heeft Rabo de functionaliteit uitgezet; je kunt niet meer parkeren.

Mr. Freeze @SaraNostra • 19 januari 2024 12:25

Omdat @Roerdomp om een alternatief vroeg, overigens, bij mij in de app heb ik nog steeds "straatparkeren" actief.

SaraNostra @Mr. Freeze • 19 januari 2024 13:02

Ja, maar volgens mij kun je niet meer op 'volgende' klikken

Mr. Freeze @SaraNostra • 19 januari 2024 13:05

Jawel hoor, kan gewoon zone kiezen.

latje21 @SaraNostra • 19 januari 2024 14:59

Bij mij werkt Straatparkeren in de Rabobank-app gewoon nog.

metbril @Roerdomp • 18 januari 2024 18:22

Q-Park?

MeNTaL_TO @Roerdomp • 18 januari 2024 18:49

Ik heb zelf nog steeds parkline, eigenlijk omdat ik amper betaald parkeer.

PvdVen777 @Roerdomp • 18 januari 2024 23:20

Yellowbrick

mjtdevries @Roerdomp • 19 januari 2024 11:11

En wat zijn de alternatieven waarvan we er vanuit kunnen gaan dat hun beveiliging beter is dan Easypark?
Antwoord: geen enkele, want we wisten van tevoren niet hoe het bij Easypark zat en we weten dat ook van de rest niet.
Die alternatieven die genoemd worden kunnen net zo makkelijk morgen in het nieuws staan met een zelfde hack.

Toettoetdaan 18 januari 2024 18:09

De grote vraag is natuurlijk of ze een salt gebruiken. Zo ja, dan is het allemaal niet zo dramatisch.

Maar het zal niemand hier verbazen als het om een simpele MD5 hash gaat die nu terug te vertalen is via publiek beschikbare rainbow tables.

Eigenlijk vind ik het wel essentieel dat ze hier helderheid over geven, want in de tweede situatie is eigenlijk gewoon je wachtwoord gelekt.

Bestseller 18 januari 2024 18:50

In 2021 heb ik gemailed dat ik mijn account wilde laten verwijderen. Dat kon toen nog niet via hun website. Hiervoor moest je hun klantenservice mailen.

Tot mijn verbazing kon ik vorige week nog steeds inloggen met dat account. Blijkbaar hebben ze hier geen gehoor aan gegeven.

Overigens geen mail gehad dat hun gegevens en dus ook die van mij op straat liggen.

Op dit item kan niet meer gereageerd worden.

EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen

Lees meer

Reacties (144)

Sorteer op:

Weergave: