D&D-tool Roll20 meldt datalek

Roll20 meldt een datalek waarbij namen, e-mail- en IP-adressen, en de laatste vier cijfers van creditcardnummers zijn gestolen. De aanval gebeurde via een adminaccount. Roll20 is een tool die gebruikers tijdens het spelen van tabletopgames zoals Dungeons & Dragons kunnen gebruiken.

Roll20 zegt dat op 29 juni een adminaccount werd aangevallen, waarna 'alle ongeautoriseerde toegang' door de site werd geblokkeerd. De hackers hadden toegang tot admintools, waardoor zij toegang hadden tot persoonlijke informatie van Roll20-gebruikers. Het platform zegt dat het 'onder meer' om voor- en achternaam, e-mailadres, recentste IP-adres en, indien bekend, de vier laatste cijfers van een creditcardnummer gaat.

Wachtwoorden, adressen en volledige creditcardnummers zijn niet in te zien voor de hackers, stelt Roll20. Het platform zegt op dit moment geen aanwijzingen te hebben dat de gestolen data wordt misbruikt. De site biedt zijn excuses aan voor het voorval en zegt aan een actieplan te werken om de beveiliging van admintools te verbeteren.

Door Hayte Hugo

Redacteur

Feedback • 03-07-2024 11:41
47 • submitter: TheKmork

03-07-2024 • 11:41

47

Submitter: TheKmork

Lees meer

Nieuwe D&D-regels mogen onder CC-licentie door iedereen gebruikt worden
Nieuwe D&D-regels mogen onder CC-licentie door iedereen gebruikt worden .Geek van 24 april 2025
FlightAware meldt datalek waarbij onder meer wachtwoorden mogelijk zijn gelekt
FlightAware meldt datalek waarbij onder meer wachtwoorden mogelijk zijn gelekt Nieuws van 18 augustus 2024
Bel- en sms-logs van 'bijna alle' AT&T-klanten zijn gestolen in groot datalek
Bel- en sms-logs van 'bijna alle' AT&T-klanten zijn gestolen in groot datalek Nieuws van 12 juli 2024
Vijf HAN-studenten krijgen schadevergoeding van 300 euro voor datalek uit 2021
Vijf HAN-studenten krijgen schadevergoeding van 300 euro voor datalek uit 2021 Nieuws van 8 juli 2024
Baldur's Gate 3 was inspiratie voor wijziging enkele Dungeons & Dragons-regels
Baldur's Gate 3 was inspiratie voor wijziging enkele Dungeons & Dragons-regels .Geek van 2 juli 2024
VR-studio achter Demeo werkt aan officiële Dungeons & Dragons-game voor VR
VR-studio achter Demeo werkt aan officiële Dungeons & Dragons-game voor VR Nieuws van 25 januari 2024
Baldur's Gate III haalt top tien meest gespeelde Steam-games ooit
Baldur's Gate III haalt top tien meest gespeelde Steam-games ooit .Geek van 7 augustus 2023
Redactieblog #3 - Remotereparaties, een nieuwe tweaker en D&D met ChatGPT
Redactieblog #3 - Remotereparaties, een nieuwe tweaker en D&D met ChatGPT .Geek van 20 juli 2023
Meer producten en artikelen
Beveiliging en antivirus Games Privacy Datalek Dungeons & Dragons

Reacties (47)

-Moderatie-faq
47
47
20
0
0
22
Wijzig sortering
lenwar
3 juli 2024 12:22
Ik begin er langzaamaan een beetje moe van te worden hoe vaak we dit zien gebeuren. Zonder te weten wat er nou precies in detail is gebeurd, is het eigenlijk gewoon een steeds beter idee om geen echte informatie bij webdiensten op te slaan. Althans. Niet dit soort diensten.

Eigenlijk komt het er op neer dat we:
- Voor iedere site een ander mail adres moeten gebruiken (Er zijn van die alias-diensten)
- Geen directe betalingen moeten doen (alleen via tokens, zoals PayPal, Apple Pay, Google Pay, enz.)
- Zo min mogelijk NAW-gegevens moeten achterlaten (bij een webwinkel is dat wel praktisch natuurlijk)

En eventueel:
- Altijd wachtwoordmanagers moeten gebruiken (zodat ze in elk geval niet standaard toegang hebben je andere accounts) (en eventueel 2FA, maar dat is alleen zinvollig voor dat ene account, niet voor alle phishing-troep die uit dit soort lekker naar voren komen.)

Alleen die laatste is enigszins gangbaar-ig aan het worden.
CAPSLOCK2000
@lenwar3 juli 2024 12:31
Eigenlijk komt het er op neer dat we:
- Voor iedere site een ander mail adres moeten gebruiken (Er zijn van die alias-diensten)
Dit zouden meer mensen moeten doen. Als je je eigen domein hebt (wat ook iedereen zou moeten hebben) is het meestal vrij eenvoudig te regelen.
- Zo min mogelijk NAW-gegevens moeten achterlaten (bij een webwinkel is dat wel praktisch natuurlijk)
Je kan tegenwoordig je pakjes laten bezorgen bij ophaalpunten of in pakketkluizen. Dan is het in principe niet meer nodig dat de webwinkel je adres weet, ze hoeven alleen maar te weten dat je pakje naar ophaalpunt X moet.
- Altijd wachtwoordmanagers moeten gebruiken (zodat ze in elk geval niet standaard toegang hebben je andere accounts) (en eventueel 2FA, maar dat is alleen zinvollig voor dat ene account, niet voor alle phishing-troep die uit dit soort lekker naar voren komen.)
Je laatste opmerking vind ik onduidelijk. Wat bedoel je met 2FA en "dat ene account". Dat 2FA niet helpt tegen databaselekken?
lenwar
@CAPSLOCK20003 juli 2024 13:04
Dit zouden meer mensen moeten doen. Als je je eigen domein hebt (wat ook iedereen zou moeten hebben) is het meestal vrij eenvoudig te regelen.
Ik vind het in de praktijk nog best lastig om dit gebruiksvriendelijk te regelen. Je kunt wel iets van anonaddy hosten of zo. Die heeft wat meegeleverde apps waarmee je ad-hoc wat kunt doen en dat is dan ook niet optimaal.
Ik had ook ooit wat werk van iemand gevonden die een trucje had bedacht dat neer kwam op een site:

bolcom_lenwar_vdf453ds@mijndomein.nl

bolcom1_lenwar + een salt, dat door sha2 heen en dan alleen de eerste zoveel karakters van de sha2 aan je mail adres plakken. Zo hoef je dus niet een hele lijst bij te houden van al je aliassen. Alleen als dan je bol.com-mail adres spam ontvangt, vervang je hem door bolcom2 (krijgt dus een andere hash) en blacklist je het adres van bolcom1.

Ik kon echter de door hem gemaakte handleiding niet meer vinden :| (heb het dus nooit geïmplementeerd :( )
Je kan tegenwoordig je pakjes laten bezorgen bij ophaalpunten of in pakketkluizen.
Dat is een optie inderdaad, maar dat is dan weer 'lastig'/'onhandig', maar wel een valide keuze inderdaad.
Dat 2FA niet helpt tegen databaselekken?
Tegen de lek zelf sowiesie niet natuurlijk ;). Maar ja. De meest gebruikte vorm van 2FA (TOTP) is bij databaselekken maar beperkt zinvol. Zeker als de seed in dezelfde database staat.
CAPSLOCK2000
@lenwar3 juli 2024 13:40
Ik had ook ooit wat werk van iemand gevonden die een trucje had bedacht dat neer kwam op een site:

bolcom_lenwar_vdf453ds@mijndomein.nl

bolcom1_lenwar + een salt, dat door sha2
Dat is ongeveer wat ik doe maar dan soort salt of sha2. Privacytechnisch is er misschien iets voor te zeggen maar ieder adres zou toch maar met één partij gedeeld moeten worden.
Voor mij is het dus capslock2000-tweakers@mijndomein.com

Ik kan in één oogopslag zien wie het adres heeft laten lekken. Als je hashes gebruikt zal je precies moeten bijhouden welk bij welke partij hoort, al zou een goede doorzoekbare password manager het al voor 90% opvangen.

Een potentieel nadeel is dat mijn adressen voorspelbaar zijn. Als je er een paar gezien hebt kun zo bedenken hoe de rest er uit ziet en zou je me zelfs mail kunnen sturen die van een ander af lijkt te komen. Maar dat is alleen een probleem als ik naar het "To:" adres kijken en daar doe ik verder weinig mee buiten anti-spam. Mails filteren en taggen doe ik typisch op andere gronden dan het To: adres.
Ik kon echter de door hem gemaakte handleiding niet meer vinden :| (heb het dus nooit geïmplementeerd :(
Hiermee zou je een eind op weg kunnen komen: http://www.postfix.org/postconf.5.html#recipient_delimiter
lenwar
@CAPSLOCK20003 juli 2024 13:54
Als je hashes gebruikt zal je precies moeten bijhouden welk bij welke partij hoort, al zou een goede doorzoekbare password manager het al voor 90% opvangen.
Het idee is dus:


tweakers-lenwar-b453wojh@mijndomein.com
Is dus prima te zien waar het bij hoort en die blerf is dus in de praktijk niet voorspelbaar, want zodra dat tweakers-adres is gecompromiteerd, dan maak je er tweakers2 van en verandert de hash. Je hoeft dan dus nergens een alias-lijst bij te houden. Alleen een blacklist.

Alleen die delimiter vind ik een beetje een net-niet-oplossing, want dat is iets dat zeer makkelijk te raden is door de spammer.
Dafader @CAPSLOCK20003 juli 2024 12:53
Je kan tegenwoordig je pakjes laten bezorgen bij ophaalpunten of in pakketkluizen. Dan is het in principe niet meer nodig dat de webwinkel je adres weet, ze hoeven alleen maar te weten dat je pakje naar ophaalpunt X moet.
Een factuuradres is toch echt nog altijd een ding.
Raymon1988 @Dafader3 juli 2024 18:56
Dat is inderdaad verplicht bij PostNl, DHL en misschien ook de rest om een 'factuur' adres door te geven, maar waarom zouden ze die moeten hebben? Het huisnummer staat nu altijd op de labels, want dat is lekker makkelijk voor extra controle (en zou in zekere zin nog steeds kunnen).
De postbedrijven hebben eigenlijk niets te maken met adres van iemand die iets besteld.
Gunneh @CAPSLOCK20003 juli 2024 12:36
Dit zouden meer mensen moeten doen. Als je je eigen domein hebt (wat ook iedereen zou moeten hebben) is het meestal vrij eenvoudig te regelen.
Makkelijk gezegd maar als je buiten Tweakers.net gebruikers kijkt, hoeveel mensen weten uberhaupt dat het kan, laat staan weten hoe het werkt en hoe ze het moeten gebruiken.
CAPSLOCK2000
@Gunneh3 juli 2024 12:46
Makkelijk gezegd maar als je buiten Tweakers.net gebruikers kijkt, hoeveel mensen weten uberhaupt dat het kan, laat staan weten hoe het werkt en hoe ze het moeten gebruiken.
Daar zijn wij voor. De volgende keer dat je iemand helpt z'n printer aan te sluiten of een nieuwe telefoon in gebruik te nemen kun je ze ook op dit gebied adviseren ;)
BoerBart @CAPSLOCK20003 juli 2024 13:18
Adviseren kunnen we zeker, maar hoelang wordt de consument al geadviseerd? Wij "IT'ers/techies/geeks" kunnen van alles roepen, maar de gemiddelde consument/persoon geeft er echt helemaal niets om. Even wat statistieken opgezocht met betrekking tot wachtwoorden in 2024, waar al jaren allerlei adviezen over worden gegeven.

30% of internet users have experienced a data breach due to a weak password.
Two-thirds of Americans use the same password across multiple accounts.
The most commonly used password is “123456.”
59% of US adults use birthdays or names in their passwords.
13% of Americans use the same password for every account.
Bron

Wat "wij" dus vooral doen, is roepen en adviseren in het midden van een woestijn. Helaas.
CAPSLOCK2000
@BoerBart3 juli 2024 14:17
Adviseren kunnen we zeker, maar hoelang wordt de consument al geadviseerd? Wij "IT'ers/techies/geeks" kunnen van alles roepen, maar de gemiddelde consument/persoon geeft er echt helemaal niets om.
<knip>
Wat "wij" dus vooral doen, is roepen en adviseren in het midden van een woestijn. Helaas.
Klopt, zo werkt het met alles en alle grote problemen van de mensheid. Over roken, sporten, gezond eten, milieubescherming, het elektriciteitsnetwerk en watermanagement kun je hetzelfde zeggen. De experts waarschuwen tientallen jaren lang voor de boodschap bij het grote publiek doordringt.

In dit specifiek geval hebben we wel het voordeel dat wij concrete acties kunnen nemen om de mensen die wel luisteren te beschermen. We kunnen ze helpen password managers te installeren, domeinen aan te schaffen, e-mail hosting te regelen, 2fa instellen, recovery-adressen opgeven, back-ups activeren en een hoop meer dat ze in ieder geval een beetje helpt.
De simpelste regel die ik iedereen mee geef is "lieg over alles wat persoonlijk is". 99% van de sites hoeft niet te weten wat je echte naam, leeftijd, geslacht of woonplaats is. Mocht het wel belangrijk worden kun je het altijd achteraf nog veranderen (of desnoods een nieuwe account nemen).

Het heeft z'n grenzen, buiten wat gekke nerds zou niemand kunnen leven met de set-up die ik voor mezelf heb en het risicomanagement dat er bij hoort kan ik ook niet uitleggen aan een leek. Toch kunnen we een hoop helpen om de ergste ellende op te vangen bij wie daar open voor staat.

Enig bewustzijn is vaak belangrijker dan concrete maatregelen. Ik vind het belangrijker dat iemand een passwordmanager gebruikt dan dat het wachtwoord de juiste hoeveelheid hoofdletters en vreemde tekens heeft. Iedere keer dat ze de password-manager starten is dat een kleine herinnering dat security belangrijk is.
Gunneh @CAPSLOCK20003 juli 2024 14:07
Absoluut niet lol. Dan sta je binnen de korste keren bekend als de computer persoon en dan mag je alles fixen. En als het dan een keer fout gaat heb jij het gedaan. Been there, done that.
TheVivaldi @CAPSLOCK20003 juli 2024 12:46
Je kan tegenwoordig je pakjes laten bezorgen bij ophaalpunten of in pakketkluizen. Dan is het in principe niet meer nodig dat de webwinkel je adres weet, ze hoeven alleen maar te weten dat je pakje naar ophaalpunt X moet.
Dat verschilt per webwinkel. Er zijn helaas ook winkels waar je je adres moet invullen, ook al kun je later alsnog kiezen voor een ophaalpunt.
Smurf @TheVivaldi3 juli 2024 16:14
Dat ligt niet altijd aan de webshop. Bij DHL moet dat bijvoorbeeld ook als je de "naar pakketpunt" dienst gebruikt. Pas na het invullen kan je een pakketpunt in de buurt kiezen.
ThanosReXXX @CAPSLOCK20003 juli 2024 13:07
Je kan tegenwoordig je pakjes laten bezorgen bij ophaalpunten of in pakketkluizen. Dan is het in principe niet meer nodig dat de webwinkel je adres weet, ze hoeven alleen maar te weten dat je pakje naar ophaalpunt X moet.
Dat ligt er ook maar aan waar je iets bestelt en wat het is dat je bestelt. Zo kan ik bijvoorbeeld bij Bol lang niet altijd voor de optie kiezen om het ergens af te halen. Dan staat er ook bij "u kunt geen ander afleveradres kiezen" of iets dergelijks.
!mark @lenwar3 juli 2024 12:31
- Zo min mogelijk NAW-gegevens moeten achterlaten (bij een webwinkel is dat wel praktisch natuurlijk)
Volgens mij is het in ieder geval in Nederland nog altijd verplicht dat een rechtsgeldige factuur NAW gegevens moet bevatten, ook al zou dit voor de afhandeling van de transactie technisch niet nodig zijn. Ja je zou dit kunnen faken natuurlijk, maar ben je dan officieel gezien niet in overtreding?
latka @!mark3 juli 2024 12:38
Bij B2B wellicht, maar B2C zeker niet: mijn kassabon staat ook niets op.
Werelds @latka3 juli 2024 12:48
Dat is omdat je kassabon geen factuur is, maar een aankoopbewijs. Dat zijn verschillende dingen.

Of je wel of niet verplicht bent een factuur aan een klant te verstrekken (ongeacht of het B2B of B2C is), is afhankelijk van heel ander stel regels, maar als je het wel verplicht bent dan móet die factuur ook de NAW gegevens hebben.
latka @Werelds3 juli 2024 14:47
Ah, dank. dat wist ik niet o.a. omdat benzine bonnetjes ook gewoon in de administratie gaan, maar ik zie nu dat daar specifiek een uitzondering voor gemaakt is.
Werelds @latka3 juli 2024 15:24
Yep, dat valt onder detailhandel :)

De regels omtrent facturen tegenover aankoopbewijzen komen in eerste instantie vooral neer op "is het praktisch?". Het is voor een fysieke winkel zoals een tankstation of supermarkt (of zelfs een Mediamarkt) simpelweg niet praktisch die gegevens telkens te moeten verzamelen voor een factuur, vandaar dat je enkel bonnetjes krijgt. Bij een winkel als de MM kun je wel om een factuur vragen als je dat wilt.

Wat er qua NAW op moet staan hangt ook nog af van de afnemer (particulier, rechtspersoon, bedrijf) en of die gegevens moeten kloppen is wéér een ander verhaal.

Dus om even op @!mark's vraag in te haken, nee, die NAW gegevens hoeven niet per se geldig te zijn. In de situaties waar dat wel moet, zal het dus ook niet om een simpel web formuliertje gaan. Dan zit er iets van een verificatie stap aan verbonden - online of offline.
123barracuda @latka3 juli 2024 13:46
Toen ik nog in Nederland bestelde, had ik altijd een andere naam als koper. Ze kijken er toch niet naar hoe je klant heet.
En uiteraard voor iedere dienst / webshop een apart emailadres van mijn eigen domein.
Iets gekocht, en de factuur binnen? Dan emailadres deleten, krijg je ook geen review mails meer toegestuurd.
Adres is een ander dingetje, anders komt het niet aan. Maar dan hebben ze, bij een lek in ieder geval niet de juiste naam, en een niet bestand emailadres (meer).

En inderdaad tegenwoordig met die aliassen, kan, mooie oplossing, maar ik hou het liever in eigen hand.
lenwar
@!mark3 juli 2024 13:12
Even los van of je een factuur 'moet' ontvangen als particulier, is het bijzonder praktisch dat de webwinkel weet waar 'ie z'n goederen naartoe moet sturen.

De juistheid van de NAW-gegevens op een factuur is volgens het probleem van de leverancier/winkel of in elk geval de partij die de factuur maakt. (Allicht klopt dit niet hoor, maar volgens mij is dat per definitie de verantwoordelijkheid van tegenpartij.)
MoonRaven @lenwar3 juli 2024 13:22
Echter kan het waar het naartoe moet, ook een pakket ophaalpunt zijn.
nms2003 @lenwar3 juli 2024 12:55
Dat is ook precies wat ik doe om de reden dat ik mijn gegevens niet toevertrouw. Dus een email alias per website, een willekeurige naam en dan wel een kloppend adres, zodat ik mijn bestelling kan ontvangen.
Ik vergelijk het met een winkel; daar hoeven ze ook mijn naam niet te weten als ik kleding koop.
Tweakert2020 @nms20033 juli 2024 13:12
Je vergelijking snap ik maar klopt helaas niet om heel veel redenen die met facturen en kassabonnen te maken hebben.
nms2003 @Tweakert20203 juli 2024 15:32
Afhankelijk van hoeveel je hecht aan facturen en kassabonnen is dat relevant ;)
Sebben @lenwar3 juli 2024 13:50
Voor iedere site een ander mail adres moeten gebruiken (Er zijn van die alias-diensten)
Een + na je mailadres met een variabele werkt ook. Bijvoorbeeld lenwar+roll20@gmail.com. Dan weet je altijd waar het datalek zat. Het enige nadeel is dat als je in een later stadium met support moet mailen, dat ze je werkelijke email adres (Ienwar@gmail.com) niet herkennen. Dit is een probleem dat je met een catch-all op je eigen domein ook hebt overigens.
Keypunchie 3 juli 2024 11:47
Blijkbaar een 1 gerold op "defense against cybercrime" check. :-(
gimbal @Keypunchie3 juli 2024 12:27
Of separation of concerns. Het feit dat een admin account maar zomaar alle data moet kunnen inzien dat is een erg ouderwets concept. En het feit dat 1 (admin) interface toegang kan verschaffen tot alle data ook.

Een moderne opstelling zou toch beter moeten nadenken over wat via het internet bereikbaar is en wat enkel bereikbaar is binnen het eigen netwerk. En indien persoonsgegevens beschikbaar moeten zijn via het internet dan zou een admin goedkeuring moeten kunnen geven om iemand anders tijdelijk toegang te geven tot specifieke gevoelige data; in plaats van dat het admin account zelf misbruikt kan worden om gegevens in te zien. Dan heb je al twee accounts nodig om gegevens te ontvreemden en het proces wordt heel wat meer tijdrovend.
AJediIAm @Keypunchie3 juli 2024 12:56
Nu snap ik waar AC voor staat: Anti Cybercrime
creulcat 3 juli 2024 11:58
Je zou hopen dat ze geleerd hebben van de vorige keer, maar helaas.
https://app.roll20.net/fo...91/roll20-security-breach
Pinkys Brain @creulcat3 juli 2024 12:29
Vorige keer werd de database gejat, dat betekent een fout in de architectuur.

Deze keer werd een account gecomprimeerd. Dat kan in principe iedereen gebeuren in deze industrie, zelfs met goed geïmplementeerde 2FA. Een admin die aangevallen word met een zero day zero click doe je bijna helemaal niks aan.
spaceboy @Pinkys Brain3 juli 2024 13:00
...werd een account gecomprimeerd.
Alleen maar handig toch? Bespaart schijfruimte!
Datimmo @creulcat3 juli 2024 12:16
2018 stond deze site er ook al tussen volgens haveibeenpwned...

https://haveibeenpwned.com/
CAPSLOCK2000
3 juli 2024 11:54
DM: Gooi maar een cyber attack roll tegen de database van Roll20. Firewall AC 20.
AT: Critical Hit op het admin panel!
DM: Roll20, gooi jij eens een Save tegen dataloss?
Roll20: Fail, maar niet kritiek! Gewone fail! Gewone fail!
DM: OK, je verliest wel je namen en IP-adressen maar niet je wachtwoorden.
Roll20: Bottle cap!
DM: Helaas, die heb je niet meer. Streep je even alle verloren data van je character sheet? Ik zie je niet schrijven.....
AT: Yes, XP!

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 13:52]

Coriolis 3 juli 2024 20:33
Hieronder het bericht dat we gehad hebben:
Hello Roll20 User,

We are writing to tell you about a data security incident that may have exposed some of your personal information. We take the protection and proper use of your information very seriously. For this reason, we are contacting you directly to explain the circumstances of the incident.

On June 29, 2024, at 6:30 P.M. Pacific Time, Roll20 learned that an administrative account was compromised. By 7:30 P.M. Pacific Time, we acted to ensure that all unauthorized access was blocked, and we began the process of investigating the incident to determine the scope.

Following our investigation, we learned that the unauthorized third-party had access to administrative tools, which may have resulted in the exposure of personal information, such as your: first and last name, email address, last known IP address, and the last 4 digits of your credit card (solely if you had a stored payment with us).

Notably, the compromised administrative tooling did not expose your password or your full payment information, such as your address or credit card number.

While we have no reason to believe that your personal information has been misused, we are notifying you out of an abundance of caution.

We take your privacy and security very seriously, and we deeply regret that this incident occurred. We will be implementing an action plan to further enhance the security of our administrative tools going forward.

If you have questions, or if you would like to view a copy of your account data that the third party may have had access to, please reach out to us at https://help.roll20.net and create a support ticket with the subject line “Incident Data Request” and we will be happy to assist you.

Here are some resources containing good best practices for protecting your information online which we recommend: https://consumer.ftc.gov/online-security
Een uur, maar blijkbaar niets geleerd van vorige keer...
STV 3 juli 2024 14:41
Klinkt als weinig consequenties dus. Geldige laatste 4 cijfers van creditcardnummers zijn al lang door algoritmen te bepalen.
Keypunchie @STV3 juli 2024 18:46
Dan begrijp je helaas niet goed waar je deze data voor kunt gebruiken.

Random creditcardnummers genereren is geen probleem, het algoritme is een letterlijke standaard: Wikipedia: ISO/IEC 7812

Het nadeel is dat op veel plekken men “laatste 4 nummers van cc” gebruikt als een identificerend gegeven wanneer je een klantenservice belt, beetje vergelijkbaar zoals hier in Nederland vaak geboortedatum wordt gebruikt.

Dat betekent dat deze mensen nu dus (sneller) last van identiteitsfraude kunnen krijgen.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 13:52]

STV @Keypunchie6 juli 2024 12:55
Ok in de VS zal dat dan een groot ding kunnen zijn. Dan is het hoog tijd dat ze daarvan af moeten stappen. Maar wat is de meerwaarde van de laatste 4 nummers van een CC gezien dat je die in de VS nogal makkelijk kunt krijgen?
Keypunchie @STV6 juli 2024 13:07
Zelfde reden als die geboortedatum
hier: het alternatief is geen service via de telefoon of helemaal geen verificatie…
fverhoef 3 juli 2024 12:10
Ik had wel moeite om het woord tabletopgames te lezen. Engelse woorden die in het Engels ook los worden geschreven.
Kazu @fverhoef3 juli 2024 12:12
Dit was een mooie voor de 1 april grap van dit jaar: tafelbladspellen :+
jibjqrkl @fverhoef3 juli 2024 12:13
Tablet op games?
tw-backdoorbug @jibjqrkl3 juli 2024 12:20
tab let op games
fverhoef @jibjqrkl3 juli 2024 14:14
zo las ik het initieel wel ja :)
Deplezanteman 3 juli 2024 12:14
Ik vind dit ergens wel grappig. Klinkt zo knullig dat een D20 site gelekt is.
Cranslove 3 juli 2024 13:08
Het is alweer een tijdje geleden dat het weer raak was. Gelukkig is het weer zover. Om moedeloos van te worden. Het wordt echt tijd dat er fiske boetes komen voor partijen die dit laten gebeuren. En natuurlijk flinke compensatie voor de gebruikers. Want je gegevens zijn dus niet veilig. Wordt daar misbruik van gemaakt, dan moet dat worden gecompenseerd.

Wellicht dat als het partijen dubbel geld kost, ze zichzelf eens achter de oren gaan krabben en dit soort zaken serieus gaan nemen. Ze claimen dat er geen bruikbare info is gestolen. Maar alle info gestolen info van gebruikers is te veel. Lappen dus en flink ook!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq