Carpetright waarschuwt dat gehashte wachtwoorden mogelijk zijn gestolen

Carpetright waarschuwt klanten voor een potentieel datalek. Het bedrijf heeft te maken gehad met een incident, waarbij mogelijk gehashte wachtwoorden zijn gestolen. De vloerenverkoper heeft alle wachtwoorden uit voorzorg gereset.

Verschillende tweakers hebben bericht gekregen van Carpetright. Het bedrijf ontdekte op 19 februari een datalek. Carpetright vertelt niet wat de aard van het datalek is. "Onze analyse bevestigt dat gehashte versies van gebruikerswachtwoorden ook deel uitmaakten van het datalek", schrijft Carpetright. "Je ontvangt deze e-mail omdat de gehashte versie van het wachtwoord dat je op ons systeem hebt aangemaakt was opgenomen in het lek."

Het bedrijf zegt in een reactie aan Tweakers dat het niet zeker is of de gegevens daadwerkelijk zijn gestolen. "We hebben securitybedrijf NFIR ingeschakeld voor forensisch onderzoek. Die kijken in de logs of de gegevens echt zijn gedownload." Een woordvoerder van Carpetright zegt dat het bedrijf uit voorzorg heeft gehandeld en klanten daarom heeft geïnformeerd.

Carpetright zegt op 19 februari te hebben ontdekt dat de back-end van de website was geïnfecteerd met malware. Welke malware dat is, is niet bekend. Carpetright zegt dat het in ieder geval niet om ransomware gaat. Bij de inbraak zijn mogelijk namen, adressen, telefoonnummers en e-mailadressen van klanten buitgemaakt. Daarnaast kan het zijn dat de inbrekers toegang hadden tot wachtwoorden; die waren volgens Carpetright in dezelfde database opgeslagen. De wachtwoorden waren met SHA-256 gehasht en bevatten een salt, aldus Carpetright. Betaalgegevens stonden in ieder geval niet in de database.

Bij de inbraak waren mogelijk de gegevens van alle 30.000 Carpetright-accounthouders inzichtelijk. Daar zaten ook Belgische gebruikers bij. Het bedrijf heeft daarom niet alleen melding gemaakt van een datalek bij de Nederlandse Autoriteit Persoonsgegevens, maar ook bij de Belgische Gegevensbeschermingsautoriteit.

Carpetright

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 29-02-2024 16:57
24 • submitter: tvtech

29-02-2024 • 16:57

24

Submitter: tvtech

Lees meer

Data versleutelen? Steel het gewoon!

31 mrt 2024

Data versleutelen? Steel het gewoon!

Ransomware is steeds vaker alleen nog datadiefstal

69
Hackersgroep plaatst gestolen data Belgische bierbrouwer Duvel Moortgat online
Hackersgroep plaatst gestolen data Belgische bierbrouwer Duvel Moortgat online Nieuws van 21 april 2024
Enquêtewebsite SurveyLama lekt gegevens van 4,4 miljoen gebruikers
Enquêtewebsite SurveyLama lekt gegevens van 4,4 miljoen gebruikers Nieuws van 3 april 2024
Ransomwarebende dreigt 3TB aan patiëntendata van Schotse NHS te lekken
Ransomwarebende dreigt 3TB aan patiëntendata van Schotse NHS te lekken Nieuws van 28 maart 2024
The North Face-moederbedrijf licht klanten in over datalek persoonsgegevens
The North Face-moederbedrijf licht klanten in over datalek persoonsgegevens Nieuws van 11 maart 2024
Hackersgroep eist aanval op Belgische bierbrouwerij Duvel op
Hackersgroep eist aanval op Belgische bierbrouwerij Duvel op Nieuws van 7 maart 2024
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack Nieuws van 6 maart 2024
Data van 20 miljoen gebruikers van AI-beeldgenerator Cutout.Pro gelekt
Data van 20 miljoen gebruikers van AI-beeldgenerator Cutout.Pro gelekt Nieuws van 29 februari 2024
EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen
EasyPark: bij cyberaanval zijn ook gehashte wachtwoorden gestolen Nieuws van 18 januari 2024
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer Nieuws van 16 oktober 2023
Data van 760.000 gebruikers van Discord-invitedienst Discord.io zijn uitgelekt
Data van 760.000 gebruikers van Discord-invitedienst Discord.io zijn uitgelekt Nieuws van 15 augustus 2023
LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van andere diensten
LastPass-eigenaar GoTo meldt hack van versleutelde back-ups van andere diensten Nieuws van 25 januari 2023
Hackers stalen in april wachtwoordhashes en mailadressen van 100.000 npm-users
Hackers stalen in april wachtwoordhashes en mailadressen van 100.000 npm-users Nieuws van 27 mei 2022
Heroku reset alle gebruikersaccounts nadat wachtwoorden zijn gestolen
Heroku reset alle gebruikersaccounts nadat wachtwoorden zijn gestolen Nieuws van 5 mei 2022
Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe
Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe Nieuws van 5 januari 2022
Universiteit Utrecht stopt cameraproef 'naar aanleiding situatie in Leiden'
Universiteit Utrecht stopt cameraproef 'naar aanleiding situatie in Leiden' Nieuws van 9 december 2021
Meer producten en artikelen
Beveiliging en antivirus Datalek Wachtwoord

Reacties (24)

-Moderatie-faq
24
24
11
2
0
9
Wijzig sortering
ultimasnake 29 februari 2024 17:12
Jammer dat ze geen melding maken over de type encryptie, als het MD5 is (zoals de AI tool eerder vandaag) dan is het toch echt wel een potentieel probleem gezien het gros. van de mensen nog steeds hetzelfde wachtwoord overal herkauwen...
mrwiggs @ultimasnake29 februari 2024 17:43
Hashing is geen vorm van encryptie. MD5 is een hashingalgoritme.
graceful @ultimasnake29 februari 2024 17:13
De wachtwoorden waren met SHA-256 gehasht en bevatten een salt, aldus Carpetright. Betaalgegevens stonden in ieder geval niet in de database.
Zoals hier bedoel je?
The Third Man @graceful29 februari 2024 17:17
Ik hoop alleen niet dat de salt te vinden is door het voorbeeldje met Tapijt123! :+
fvbommel @The Third Man29 februari 2024 18:59
Salt is als het goed is uniek per account, dus wordt het gebruikelijk in dezelfde database opgeslagen als de hash zelf (vaak zelfs in het zelfde database-veldje). Als ze de hashes hebben hebben ze dus naar alle waarschijnlijkheid ook de bijbehorende salts.

Salt is niet zozeer bedoeld om geheim te blijven als de database gelekt wordt, maar meer om te voorkomen dat verschillende accounts met hetzelfde wachtwoord ook dezelfde hash hebben. Zo voorkom je dat aanvallers alle wachtwoorden tegelijk kunnen raden door een hoop wachtwoord-achtige strings door een hash functie te halen en dan te kijken welke account(s) matchen. Door het salt moet dus je bij nul beginnen met het kraken van iedere individuele account.

Als je voor iedere account dezelfde (hopelijk moeilijk te achterhalen) data toevoegt aan wachtwoorden voordat ze gehasht woorden, heet dat pepper of simpelweg een geheime sleutel (secret key). Die hoeft dan natuurlijk niet in de database opgenomen te worden, en is dus mogelijk beter te verbergen voor aanvallers. Dit is typisch niet bedoeld als vervanging voor een salt, maar als extra toevoeging erbovenop.
graceful 29 februari 2024 17:07
Moet wel zeggen dat het eerst is dat ik een e-mail zie die een poging doet om mensen echt uit te leggen wat een hashed wachtwoord is.
Bij de inbraak zijn mogelijk namen, adressen, telefoonnummers en e-mailadressen van klanten buitgemaakt.
Alsnog ben ik enorm voorstander van hele andere aanpak m.b.t. data bewaren. Er zullen enkel meer en meer databases gehackt/gekraakt/verloren/ingebroken worden. Er is geen reden om klanten data voor jaren te bewaren, als je enkel voor je (imho archieved) accounting nog klant informatie nodig hebt.

Kans groot, kleine aanname, dat hier weer allemaal inactieve gegevens bij zaten. Mensen die dat account al jaren niet gebruiken.
mauritsdej @graceful29 februari 2024 17:32
Ik heb het idee dat ze enige inspiratie hebben opgedaan bij EasyPark...
https://media.licdn.com/d...yqhO7_Xpk6a3SYzkJacg76ziQ
locke960 @mauritsdej29 februari 2024 18:02
Of ze hebben hetzelfde bedrijf in de hand genomen, met communicatie templates als onderdeel van de dienstverlening.
d22wth @mauritsdej29 februari 2024 22:29
Dat is niet heel erg, toch? Als het voor de meeste digibeten te begrijpen is?
Hagdos @d22wth1 maart 2024 14:23
Beter goed gejat dan slecht verzonnen.
Quintiemero @graceful29 februari 2024 18:06
Eens, helaas blijft het vaak bij een beleid. Maar daadwerkelijke implementatie van actieve verwijdering is vaak ver te zoeken.
Frame164 @graceful29 februari 2024 18:45
Ik ben het helemaal met je eens dat dit soort informatie na een tijdje gewoon weggegooid kan worden. Maar onderschat de klaagkracht van consumenten niet. Stel iemand heeft ooit een account aangemaakt en wil na een tijdje nog een keer wat bestellen. Normale mensen nemen contact op met een bedrijf als iets niet lukt, maar steeds meer mensen gaan eerst online klagen en een bedrijf voor van alles en nog wat uitmaken. Vervolgens gaan anderen even googles op een bedrijfsnaam en zien ze de klachten. Dat heeft gewoon impact op een bedrijf.

[Reactie gewijzigd door Frame164 op 22 juli 2024 13:56]

tvtech @graceful29 februari 2024 19:19
inderdaad een erg duidelijke mail met de aanbeveling om, als je dit wachtwoord op meer plekken gebruikt, het daar ook moet wijzigen. Easypark heb ik juist een slechte mail van ontvangen destijd, eigenlijk net zo slecht als dat de app is.

Ik had gelukkig een uniek wachtwoord en ik ben het met je eens dat er veel accounts bij zullen zitten die 1 keer gebruikt zijn. Want je huis richt je niet wekelijks of maandelijks in.
Tintel @graceful1 maart 2024 09:04
allemaal inactieve gegevens bij zaten
tja, de ellende is: een e-mail adres is vaak niet heel 'vluchtig' en rekeningnummers ook niet. Dus ook al is het account al jaren niet meer gebruikt - de data is misschien nog wel juist.
watercoolertje 29 februari 2024 17:07
Lekker dan, hebben ze mijn wachtwoord als voorbeeld gebruikt in die email...
De wachtwoorden waren met SHA-256 gehasht en bevatten een salt, aldus Carpetright. Betaalgegevens stonden in ieder geval niet in de database.
Vind dit best netjes als je het naast het eerdere datalek van vandaag houdt waar wachtwoorden nog dmv MD5 gehasht waren!
laurxp @watercoolertje29 februari 2024 20:00
Tsja. SHA-256 met salt is al een flink aantal jaren het minimum dat je verwacht van een niet compleet incompetente partij: MD5 is al sinds 1996 met pensioen, en SHA-1 sinds 2010. Anno 2024 verwacht je eerder iets als scrypt of bcrypt bij partijen die beveiliging serieus nemen.
MacGyverNL @laurxp1 maart 2024 13:20
Correctie: PBKDF2 met salt is al een flink aantal jaren het minimum dat je verwacht, en het boeit niet eens zoveel of dat dan intern MD5 of SHA1 of SHA-256 gebruikt.

Ik stoor me dan ook aan dat niet duidelijk uit dit bericht blijkt of het single-pass SHA-256 of een multi-round KDF zoals PBKDF2 is. Want als het single-pass SHA-256 is, ga er dan maar van uit dat alle zwakke wachtwoorden en alle "sterke" wachtwoorden korter dan 12 tekens gewoon gecompromitteerd zijn.
Mandrake466 @watercoolertje29 februari 2024 17:21
Tapijt123! is een veel voorkomend wachtwoord dus je bent niet de enige.
Johnvh 29 februari 2024 17:05
Goed dat ze het niet onder het tapijt schuiven...
Bas_f @Johnvh29 februari 2024 19:40
Zeker. Wel fijn dat ik daar niet over de vloer kwam.
paulwump 29 februari 2024 17:14
Misschien kan je de gehashte wachtwoorden binnenkort wel in een koffieshop kopen...

Cash voor gehasht... wilt U hem los of voorgedraaid..
watercoolertje @paulwump29 februari 2024 17:28
Jij hebt je wachtwoord zeker al opgerookt voordat ie uitgelekt kon worden?
droofx 29 februari 2024 19:09
Carpetright is geen vloerenverkoper maar een vloerbedekkingverkoper :)
aukeb 1 maart 2024 12:08
Dat is niet zo gek want als je bij Carpetright iets gaat bestellen dan komt er een blauw scherm met witte vakjes te voorschijn waar ze nog met tab toets doorheen moeten omdat de muis niet werkt. Systeem is nog uit jaar nul.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq