Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord

Een stadsdeel van Londen werd in 2020 door een ransomwareaanval getroffen doordat het de standaard gebruikersnaam-wachtwoordcombinatie van een applicatie niet had veranderd. De overheid had ook een slecht patchmanagement, maar kreeg uiteindelijk geen AVG-boete.

De Britse Information Commissioner's Office, de landelijke privacytoezichthouder, heeft het Londense stadsdeel Hackney een reprimande gegeven voor de slechte beveiliging. Die leidde in 2020 tot een ransomwareaanval. Daarbij werden gegevens van 280.000 inwoners van het gebied getroffen, al merkt de ICO op dat er van de in totaal 440.000 'records' die werden versleuteld, slechts 9605 stukken data daadwerkelijk werden gestolen. Dat is opvallend, omdat datadiefstal bij ransomware steeds normaler wordt.

De ransomwareaanval begon in 2020 met een credentialstuffingaanval via het remote desktop protocol. Dat is een veelgebruikte manier waarop ransomwarecriminelen netwerken binnendringen. Bij de aanval wisten de hackers binnen te dringen in een account dat in het verleden gebruikt werd om een kiosktool te beheren. De standaard gebruikersnaam en het standaard wachtwoord waren beide 'kiosk' en de London Borough of Hackney had dat nooit veranderd, schrijft de ICO. De criminelen wisten zich vervolgens door het netwerk te verplaatsen door misbruik te maken van een kwetsbaarheid in Windows, waarmee de aanvallers hogere adminrechten kregen. Voor die kwetsbaarheid, CVE-2020-0787, was al lange tijd een patch beschikbaar.

Mede doordat de gemeente die patch niet had doorgevoerd en doordat ze het standaardwachtwoord niet had veranderd, vindt de ICO dat de gemeente nalatig is geweest in de beveiliging van persoonsgegevens van burgers. Toch heeft de toezichthouder besloten geen boete te geven. De gemeente was namelijk al een tijd bezig met het verbeteren van het patchmanagement en werkte goed mee met het onderzoek. Daarom blijft het volgens de ICO bij een reprimande.

Reacties (77)

jvda7512 19 juli 2024 08:39

Check altijd of je wachtwoorden in een breach hebben gezeten (en verander ieder wachtwoord nadat je het getest hebt) https://haveibeenpwned.com/Passwords.

PD2JK

@jvda7512 • 19 juli 2024 08:50

welkom01 heeft best veel hits.
En zelfs nog in het jaar 2022 dacht een admin 'slim' te zijn. (welkom2022)

sircampalot @PD2JK • 19 juli 2024 09:25

Daarom gebruik ik altijd welkom02

GertMenkel

Beveiliging en antivirus

@sircampalot • 19 juli 2024 09:34

Die werkt niet goed als je ieder kwartaal wordt gevraagd om je wachtwoord aan te passen. Daarom gebruik je voor maximale veiligheid WelkomZomer2024!, dat is zestien tekens lang, dus onkraakbaar en bevat meerdere cijfers en hoofdletters. Volgens iedere website een geweldig wachtwoord, en het is niet eens moeilijk te onthouden! Zodra de zomer voorbij is, stop je er "Herfst" in, en boem, een nieuw veilig wachtwoord!

Danny Phantom @GertMenkel • 19 juli 2024 10:37

1 van de eerste dingen waar we tijdens de ethical hacking lessen mee bezig gingen waren woordlijsten om te bruteforcen. En dan ook nog de e = 3, o = 0 etc opties meegenomen.
Nummers, meerdere hoofdletters en onzin woorden/tekst kan veel helpen van wat ik destijds gezien heb.

TheVivaldi @Danny Phantom • 19 juli 2024 11:14

Die woordlijsten had je daarvoor toch al geleerd, toen je je eerste rekenmachine kreeg?

Arjan90 @TheVivaldi • 19 juli 2024 11:35

lol + lol = hihi

[Reactie gewijzigd door Arjan90 op 22 juli 2024 13:21]

A Lurker @Danny Phantom • 19 juli 2024 11:46

Dat klopt, daarom wordt (als je expliciet niet gaat voor gegenereerde wachtwoorden om wat voor reden dan ook), vaak geadviseerd om 4 woorden te pakken, alhoewel 3 al serieus beter is dan 2. Aangevuld of opgevuld met een of meer cijfers en/of tekens.

Verder is het belangrijk om niet-logische woorden te combineren vanuit taalperspectief. Dit is uiteindelijk toch best een goed compromis tussen onthoudbaarheid en kraakbaarheid. Wederom, als expliciet niet voor gegenereerde wachtwoorden+kluis gekozen wordt/kan worden.

3 woorden zonder semantische verbinding (of liefst 4) maakt dat een dictionary attack al niet heel eenvoudig is.

Want je moet als hacker natuurlijk ook nog bedenken of je wel een dictionary attack wil plaatsen, of toch een brute force. Die laatste is bij een wachtwoord dat uit woorden bestaat sowieso uiterst ineffectief heden ten dage.

[Reactie gewijzigd door A Lurker op 22 juli 2024 13:21]

vrow @GertMenkel • 19 juli 2024 11:47

Ik doe altijd WelkomZomer2034!

Dan weet je zeker dat het nog 10 jaar duur voordat je wachtwoord gekraakt wordt.

alt-92 @GertMenkel • 19 juli 2024 12:21

je wacht zeker ook nog op die overschrijving van een Nigeriaanse prins?

feuniks @alt-92 • 19 juli 2024 21:45

Ik heb gehoord dat de autoriteiten er in Nigeria iemand hebben gevonden met miljoenen in zijn appartement. Hij probeerde het al jaren weg te geven, maar niemand reageerde op zijn e-mails...

Genosha @GertMenkel • 19 juli 2024 13:00

Helaas is dit dus een advies wat ik recent voorbij heb zien komen, vanuit de IT coördinator die vragen beantwoorde m.b.t. de nieuwe wachtwoord richtlijnen en twee-stapsverificatie. Dit vooral omdat er heel veel "klachten" waren dat het onthouden van meerdere wachtwoorden te moeilijk was.

rdridder @Genosha • 19 juli 2024 13:21

Is natuurlijk wel een serieus probleem. Ik gebruik een passwordmanager en genereer wachtwoorden voor alles maar er zijn altijd wel een paar accounts die je wilt onthouden. Als je van die accounts elke paar maanden de wachtwoorden wijzigt dan is dat best nog wel lastig. Je raakt snel in de war of net 1 karakter verkeerd onthouden.

Aldy @rdridder • 19 juli 2024 14:34

Waarom wil je twee of meer wachtwoorden onthouden als je een wachtwoordmanager hebt? Eén wachtwoord onthouden is meer dan voldoende.

rdridder @Aldy • 19 juli 2024 15:21

Ik wil mijn google account onthouden, mijn backup email adres, mijn passwordmanager wachtwoord en mijn werklogin. Wordt mijn passwordmanager gehackt dan staan die logins er niet in.

Aldy @rdridder • 19 juli 2024 15:40

Ik werk voor die zaken al jaren met pincodes en vingerafdrukken. En alle wachtwoorden in mijn passwordmanager zijn versleuteld opgeslagen. Ik moet zeggen dat als ik bang zou zijn dat mijn passwordmanager gehackt zou worden ik geen enkel wachtwoord daarin zou zetten.

whiner @Aldy • 19 juli 2024 17:47

Dat betekend ook 1 wachtwoord kraken/raden en je bent de lul.
Of je software heeft en lek en je bent de sjaak.

Kun je beter niet lui zijn en gewoon overal iets anders gebruiken.

helldogbe @whiner • 19 juli 2024 20:08

De plaats waar je met 1 wachtwoord werkt (van de password manager) moet uiteraard ook achter 2FA beveiligd zijn via een andere app. Daarvoor gebruik ik mijn oude (2de) smartphone, waar mijn tweede factor TOTP-sleutels manueel up to date worden gehouden met Aegis.

Verder heb ik nog een lijst met OTP-codes die in een beveiligde digitale gencrypteerde kluis met pin accessibel zijn en een tweede keer versleuteld met AES-256 in een 7-zip archief, stel dat ik beide gsm's met 2FA/TOTP verlies maar wel nog toegang heb tot één van mijn computers.

[Reactie gewijzigd door helldogbe op 22 juli 2024 13:21]

feuniks @rdridder • 19 juli 2024 21:58

Laat ik eerst opmerken dat er te veel plekken zijn waar ik een account moet aanmaken. Te veel webshops waar ik wellicht eenmaal of hooguit een paar maal per jaar iets bestel willen dat ik een account aanmaak in plaats dat ik gewoon kan bestellen en mijn gegevens inklop zonder dat ik een wachtwoord nodig heb. Dus allemaal plekken die deze gegevens kunnen lekken.
Op veel plaatsen maak ik wachtwoorden aan op basis van een eigen algoritme. Een stukje van het wachtwoord is voor iedere site vast en voor de rest doe ik iets met een stukje van de bedrijfsnaam of website. Als je mijn wachtwoord ziet, dan ben je knap als je doorziet wat ik doe. Als ik je tien wachtwoorden laat zien, dan kom je er misschien achter. Daarnaast heb ik een domein dat ik alleen gebruik voor wachtwoorden en ik kan dus voor iedere plek een uniek e-mail adres aanmaken. Daarmee heb ik twee zaken waardoor ik het moeilijker maak voor anderen om mijn gegevens te misbruiken en ik zelf (zonder password manager) toch mijn wachtwoorden (en inloggevens) kan onthouden. En ik hoef niet om de paar maanden een hoop wachtwoorden te vervangen, want deze maatregelen zijn voor de zaken waar ik ze voor gebruik meer dan afdoende.

JvZ @GertMenkel • 19 juli 2024 16:30

De voorbeelden die je aandraagt zijn ondanks de lengte juist supermakkelijk te kraken. Want dit soort wachtwoorden komen veel voor op de bekende lijsten. Combinaties daarvan worden ook vaak geprobeerd.

We hebben een keer een audit gedaan (alleen op hashes) op het werk. Je wilt niet weten hoeveel mensen het jaar, seizoen, Welkom, e.d. in hun wachtwoord gebruiken. Binnen korte tijd heel veel achterhaalt. Ook varianten zoals jij die nu opgeeft als "veilig".

Het is veel slimmer om 3 totaal ongerelateerde woorden samen te voegen met cijfers en speciale karakters. Bijvoorbeeld Fanta-BureauKoffie@45 o.i.d.

GertMenkel

Beveiliging en antivirus

@JvZ • 19 juli 2024 17:14

Ik had gehoopt dat het sarcasme duidelijk was…

Dit is seconden kraakwerk met een woordenlijst. Als je een wachtwoord uit meerdere woorden maakt, zou ik wel minstens drie of vier woorden kiezen. Een cijfer ergens midden in een woord in plaats van op het einde of aan het begin helpt ook. Oh, en natuurlijk geen jaartallen van deze of de vorige eeuw gebruiken.

JvZ @GertMenkel • 19 juli 2024 17:55

Goeiemorgen, nee, ik was niet helemaal wakker

GertMenkel

Beveiliging en antivirus

@JvZ • 19 juli 2024 20:26

Gelukkig is het weer weekend!

feuniks @JvZ • 19 juli 2024 22:03

Zou het dan nog slimmer zijn om de woorden achterstevoren te spellen: atnaF-uaeruBeiffoK@45 is voor jou net ze gemakkelijk te onthouden (in het begin wellicht wat moeilijker te typen)? Zouden de brute force aanvallen op basis van woordenlijsten zo slim zijn om ook nog eens woorden in de lijst om te draaien?

m_snel @JvZ • 20 juli 2024 00:20

Je moet ook gewoon een password manager gebruiken die gewoon rondom karakters genereert.
Onlangs was er nog een artikel over een database met , even uit het hoofd, acht miljard mogelijke wachtwoorden.

Marve79 @sircampalot • 19 juli 2024 09:34

Wel een hoofdletter W gebruiken om de password complexiteit te omzeilen.

Genosha @Marve79 • 19 juli 2024 13:01

Echte slimmerts gebruiken VV en geen W. Dan kan je gewoon je Post-It op je scherm hangen, niemand zal snappen dat jou geschreven W eigenlijk VV is.

[Reactie gewijzigd door Genosha op 22 juli 2024 13:21]

feuniks @Genosha • 19 juli 2024 22:08

Dat klinkt bijna als een script dat ik ooit in een ver verleden geschreven heb. Dat was voor de tijd van de tooling om het script admin rechten te geven (ik was nog erg groen in die tijd) en ik moest inloggevens van een script account erin zetten. Ik heb toen het wachtwoord van het betreffende scriptaccount ******** gemaakt. Een tijdje later vroeg een collega me hoe ik het voor elkaar had gekregen om in het script het wachtwoord te versleutelen. Hij zag namelijk alleen sterretjes staan...

Genosha @feuniks • 19 juli 2024 22:39

Heel lang geleden op de mavo, was er een jongen die het voor elkaar gekregen had om zijn wachtwoord niets meer en niets minder dan zes spaties te laten zijn. Hij logde serieus in op de NT machines door slechts zes keer op de spatiebalk te tikken. Geen rare ALT-toets combinaties.

CH4OS @PD2JK • 19 juli 2024 09:37

En zelfs nog in het jaar 2022 dacht een admin 'slim' te zijn. (welkom2022)

Ik denk dan eerder eind 2021, wanneer 2022 voor de deur stond...

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:21]

zeemeerman2 @CH4OS • 19 juli 2024 10:35

Ma nee jong. Gij zijt toch nie zo ene die voor loopt op zijne tijd, he.
Menne man, als het 2021 is, dan gaat gij toch nie 2022 zetten. Hoe raar zou da wel nie zijn?
Welkom is voor mij bedoeld, he, ik ben welkom in het systeem. En dan jah, dat jaartal, dat hoort toch vandaag te zijn, begrijpt ge? Da snapt ge toch he?

Da jaartal heeft niks met Welkom te maken. Anders zou er toch een komma in staan, he. Een komma,... zo van "Welkom, 2022. Gij moogt er ook zijn."
Ma da is nu niet. Nu is het gewoon zonder komma. Begrijpt ge?

Wij zijn nie een van de slimste, begrijpt ge? Ik zie wel da gij er wel van hebt geleerd, en da respecteer ik ook. Respect, menne man!
Maar ge moet toch ook aan het gewone volk denken, he. Dus hou da toch gewoon op het jaartal da het is.

RCBL @zeemeerman2 • 19 juli 2024 11:00

Heb deze maar even door Google translate gehaald, maar kan er nog steeds geen hout van bakken

Hansie9999 @RCBL • 19 juli 2024 12:25

Ikke kan da goe leze zene !!

TheVivaldi @zeemeerman2 • 19 juli 2024 11:15

Ma dan doen al die wagenfabrikanten da toch ook nie goe, zenne? In 2021 de Ford Explorer 2022 aan d'n man brengen, verstaat ge, jong?

zeemeerman2 @TheVivaldi • 19 juli 2024 12:09

Voila. Toch iemand die het snapt.

Duke of Savage @PD2JK • 19 juli 2024 12:47

[Bedrijfsnaam][JaarNummer][MaandNummer][Bijzonder Karakter]

bvdbos @jvda7512 • 19 juli 2024 08:41

Oh no — pwned!
This password has been seen 434 times before

Chocomel_Deluxe @bvdbos • 19 juli 2024 08:44

Probeer "admin" voor de grap

slijkie @Chocomel_Deluxe • 19 juli 2024 09:11

Of “1234” of nog erger “password”

[Reactie gewijzigd door slijkie op 22 juli 2024 13:21]

Annihlator @slijkie • 19 juli 2024 12:35

Welkom1 t/m Welkom12345678 zijn ook allemaal gebruikt

m_snel @Annihlator • 20 juli 2024 00:24

Wat dacht je van geheim, die scoorde ook goed in het Nederlands .

Aldy @slijkie • 19 juli 2024 15:43

Veel te makkelijk allemaal; ik zou 4321 gebruiken. $_/-\o_$

CH4OS @jvda7512 • 19 juli 2024 09:36

Waarom zou je moeten checken of je een wachtwoord hebt dat mogelijk gelekt is bij een breach of je een wachtwoord zou moeten wijzigen? Mijns inziens is er geen trigger nodig om een wachtwoord te "moeten" aanpassen. Als je het niet vertrouwd, of hoort dat een bepaalde dienst waar je gebruik van maakt een lek heeft gehad of gehacked is, moet je sowieso het wachtwoord aanpassen. Ook als je het niet (meer) vertrouwd bijvoorbeeld, of gewoon om te rouleren (ook roulatie van wachtwoorden kan geen kwaad).

Oon

@jvda7512 • 19 juli 2024 09:52

Ik zit met het probleem dat ik zo'n 1400 wachtwoorden nog moet veranderen, en dat is dan echt een kwestie van iedere site openen, kijken of de site überhaupt nog bestaat, kijken of mijn account nog bestaat, kijken of ik in kan loggen, vaak eerst een nieuw wachtwoord moeten opvragen omdat ze een tijdslimiet op wachtwoorden hebben zitten (ondanks dat dat helemaal niet veilig is), en dan pas kan ik m'n wachtwoord aanpassen.
Die extra moeite doe ik omdat ik 9/10 accounts meteen kan sluiten, maar ook dat is vaak nog een ding, want bijv. veel oudere forums hebben die optie helemaal niet.

Maar goed, ik heb er nog maar 1400 over, het waren er ooit bijna 2500, dus ik ben er bijna doorheen

uNoTopia @Oon • 19 juli 2024 10:53

Ik heb hier ook wel eens een dag voor vrijgemaakt. Was pijnlijk maar als je er een beetje voor gaat zitten en in een soort hyperfocus komt dan kom je best ver. Achteraf ben ik superblij dat ik nu overal randomized wachtwoorden heb i.c.m. password-manager en vaak 2FA.

L0g0ff

@Oon • 20 juli 2024 00:24

Check in je wachtwoord manager je duplicate passwords en wijzig alleen die wachtwoorden (er vanuitgaande dat je sterke, niet te raden wachtwoorden gebruikt). Alles wat nu random generated is, is prima. Als die wachtwoorden lekken dan forceert die website vaak zelf wel een password reset.

Het is echt niet nodig geregeld al je wachtwoord te wijzigen. Zorg dat je op alles wat echt veilig moet zijn (email bijvoorbeeld) een 2e factor heb staan.

En mocht je echt iets willen doen dan kun je jezelf beter uitschrijven van een website. Dat is een structure fix

En mocht je bang zijn dat er een keylogger op je pc heeft gedraaid of dat je database met wachtwoorden gelekt is, ja dan ben je de pineut en moet je alles door.

Oon

@L0g0ff • 20 juli 2024 15:27

Het gaat om allemaal oude onveilige wachtwoorden, echt nog van het niveau van <achternaam in kleine letters>1 of <voornaam in kleine letters>, dus die moeten wel een keer aangepakt worden

Vwb uitschrijven;

Die extra moeite doe ik omdat ik 9/10 accounts meteen kan sluiten

Dat moet alleen wel kunnen, veel websites hebben die optie niet, er zijn er zelfs genoeg waar geen admin meer actief is omdat de community helemaal is uitgestorven

Stefandepefan @jvda7512 • 19 juli 2024 09:55

Goed om te zien dat Koffie1234567 nog niet gevonden is...

wallyberk @Stefandepefan • 19 juli 2024 15:51

Koffie1 tot en met 1234 wel en koffie1 tot en met 12345 ook.

skullsplitter @jvda7512 • 19 juli 2024 11:05

Eén nadeel: als je ooit gepownd bent, sta je voor altijd in die lijst heb ik het idee...

TheVivaldi @skullsplitter • 19 juli 2024 11:19

Naming and shaming, noemen we dat in mooi Nederlands. (En nee, dat is geen uiteraard geen Nederlands, maar bonuspunten als je de referentie snapt.

)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@skullsplitter • 20 juli 2024 21:54

In doe lijst staan gelekte wachtwoorden, geen personen dus dit is niet van toepassing.

skullsplitter @Bor • 22 juli 2024 16:38

Ik zoek op mailadres, krijg drie meldingen uit 2010-2013.

ibmpc @jvda7512 • 19 juli 2024 18:03

Of gebruik gewoon geen wachtwoord. Wij geven eindgebruikers geen wachtwoord meer maar een TAP. Ongebruikte TAPs verlopen na X dagen. Ze kunnen met hun TAP alleen hun phishing resistant instellen (bijv. WHFB) en SSPR staat uit. Als het er niet is, dan kan het ook nergens naartoe lekken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@ibmpc • 20 juli 2024 21:31

Een tap is is feite ook een wachtwoord al dan niet eenmalig bruikbaar. Het enige verschil is dat een TAP binnen een Microsoft omgeving de MFA requirement omzeilt.

ibmpc @Bor • 20 juli 2024 21:34

En dat wij een security incident hebben als een TAP al gebruikt blijkt te zijn. Bij een reguliere MFA gaan er niet direct alarmbellen af als een malafide persoon MFA registreert. Bij een TAP wel.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@ibmpc • 20 juli 2024 21:41

Een TAP is echter geen MFA

ibmpc @Bor • 20 juli 2024 21:44

Wij zijn ook gestopt met MFA omdat wij het onveilig achten. Men krijgt een TAP, een Yubikey en WHFB.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@ibmpc • 20 juli 2024 21:52

WHFB is een MFA oplossing..

ibmpc @Bor • 20 juli 2024 21:54

WHFB is een phishing-resistant MFA oplossing. Ons doel is namelijk om zo veel mogelijk logins phishing resistant te maken en de basis MFA variant voldoet daar niet aan.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@ibmpc • 20 juli 2024 21:56

Hiervoor stelde je:

Wij zijn ook gestopt met MFA omdat wij het onveilig achten

Gezien je hierna MFA oplossingen noemt klopt dat niet. Je doelt waarschijnlijk op dat je bent overgestapt op sterkere MFA vormen.

ibmpc @Bor • 20 juli 2024 22:05

Ok, een koe is een dier, maar een dier is geen koe. We zijn gestopt met de meeste MFA varianten en alleen phishing resistant MFA is bij ons nog toegestaan, met als uitzondering dat HR TAPs mag maken.

L0g0ff

@jvda7512 • 20 juli 2024 00:16

Waarom zou je je wachtwoord testen in een tool als je hem daarna direct wijzigd? Dan kun je net zo goed niks testen en direct wijzigen

Indy81 19 juli 2024 10:20

Stadsdeel "Hackney"... ziet iemand de ironie hier van?

Merik @Indy81 • 19 juli 2024 12:42

Zeker als je het uitspreekt, klinkt bijna als 'hack me'...

Indy81 @Merik • 19 juli 2024 12:47

Of in het Nederlands: "Hack-nie"

Merik @Indy81 • 19 juli 2024 12:52

Inderdaad of op zijn scandinavisch, nei / nej

Big_Bill 19 juli 2024 09:35

Ik gebruik altijd password als mijn wachtwoord.

huiz @Big_Bill • 19 juli 2024 09:44

Ik heb deze: ********

latka @huiz • 19 juli 2024 09:48

Ik zie hunter2

Blokker_1999

Ransomware
Beveiliging en antivirus

@latka • 19 juli 2024 09:51

Voor hen die de referentie niet kennen: https://bash-org-archive.com/?244321

HSG 19 juli 2024 11:33

"ja maar ik heb geen verstand van computers"

MrMarcie 19 juli 2024 11:42

Hoe dan? Wat voor soort mensen werken daar op een IT afdeling?

alt-92 @MrMarcie • 19 juli 2024 12:24

De goedkoopste medewerkers van de laagst geprijsde beheertoko?

Merik 19 juli 2024 12:36

Toch opvallend dat ze hiervoor alleen een waarschuwing geven. Het verhaal hoe de hack tot stand is gekomen doet zeer aan de ogen...

feuniks @Frame164 • 19 juli 2024 22:15

Ik ben gelukkig geen systeembeheerder. Dat is me niet uitdagend genoeg. Ik heb wel eens de vraag gekregen wat ik nu eigenlijk deed. Mijn antwoord was dat dat het grootste compliment was dat ik in lange tijd gekregen heb. Dan doe ik mijn werk namelijk goed...

Op dit item kan niet meer gereageerd worden.

Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord

Lees meer

Reacties (77)

Sorteer op:

Weergave: