Black Friday = Pricewatch Bekijk onze selectie van de beste Black Friday-deals en voorkom een miskoop.

Logitech bevestigt cyberaanval, 'beperkte informatie' van klanten buitgemaakt

Logitech bevestigt onlangs slachtoffer te zijn geweest van een cyberaanval. Daarbij hebben de aanvallers 'beperkte informatie over werknemers en consumenten' buitgemaakt. Het incident heeft geen gevolgen voor de productie van het bedrijf.

Logitech schrijft dat het onderzoek loopt, maar dat het bedrijf vermoedt dat de hackers gebruik hebben gemaakt van een zero-daykwetsbaarheid in 'een softwareplatform van derden'. Om welk softwareplatform het precies gaat, is niet bekend. Logitech heeft de kwetsbaarheid gedicht nadat een patch door de leverancier beschikbaar was gesteld.

De fabrikant schrijft verder dat de aanvallers 'beperkte informatie over werknemers en consumenten en gegevens met betrekking tot klanten en leveranciers' hebben bemachtigd. Logitech vermoedt dat er geen gevoelige persoonlijke gegevens, zoals bsn's of creditcardgegevens, in het getroffen IT-systeem waren opgeslagen.

Het bedrijf denkt niet dat het incident een groot negatief effect zal hebben op de financiële situatie of de bedrijfsresultaten. Logitech zegt dat de fabrikant een uitgebreide cybersecurityverzekering heeft afgesloten. De verwachting is dat deze niet alleen de kosten voor incidentrespons en forensisch onderzoek, maar ook de kosten voor eventuele bedrijfsonderbrekingen, rechtszaken en boeten van toezichthouders dekt.

Door Imre Himmelbauer

Redacteur

Feedback • 15-11-2025 12:47
37 • submitter: Tribits

15-11-2025 • 12:47

37

Submitter: Tribits

Lees meer

Werknemers Albert Heijn-franchisenemer zijn getroffen door datalek - update
Werknemers Albert Heijn-franchisenemer zijn getroffen door datalek - update Nieuws van 23 oktober 2025
'Jaguar-hack is schadelijkste cyberaanval in Britse geschiedenis'
'Jaguar-hack is schadelijkste cyberaanval in Britse geschiedenis' Nieuws van 22 oktober 2025
Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn
Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn Nieuws van 9 oktober 2025
Bedrijfsnieuws Privacy Logitech Cybercrime Cybersecurity

Reacties (37)

-Moderatie-faq
37
36
22
1
0
14
Wijzig sortering

Sorteer op:

Weergave:
Luchtbakker 15 november 2025 13:13
Ik heb recent een POS ontwikkeld en daarbij moest ik ook rekening houden met alle data dat er van klanten in de database opgeslagen staan. En eigenlijk is het eerste wat ik heb gedaan elke regel in de database laten encrypten als er ook maar iets van userdata was. Zelfs al was het maar zo iets simpels als een medewerker pincode voor het inloggen. Dan is het bij diefstal eigenlijk waardeloos. Ik snap niet dat bedrijven als Logitech dat niet standaard doen. Het kost wat extra resources maar het scheelt vooral iedereen die in een database staan zoveel ellende.

[Reactie gewijzigd door Luchtbakker op 15 november 2025 13:15]

Reageer
Blokker_1999
@Luchtbakker15 november 2025 14:54
Er is een groot verschil tussen hackers die heel snel zoveel mogelijk data proberen te exporteren en hackers die de tijd nemen als ze eenmaal binnen zitten. Data-at-rest encryption is vooral belangrijk voor wanneer data later toevallig ergens achter blijft. Bijvoorbeeld een bedrijf gaat failliet, servers en computers gaan in een veiling zonder gewist te worden en dan kan dankzij data-at-rest encryptie geen data uitlekken. Of harde schijven worden vervangen en ook dan moet je je geen zorgen maken.

Maar een aanvaller die tijd heeft om alles even gade te slaan, die ga je niet snel tegenhouden met dit soort encryptie. Wanneer een POS in gebruik is, moet deze aan de data kunnen. En dan kan de hacker op zoek gaan naar de decryptiesleutel op die POS. Tenzij de decryptiesleutel op een fysieke HSM staat die een medewerker in de POS moet plaatsen om zo alles te decrypten on-the-fly wanneer het het systeem binnenkomt, heeft een aanvaller met tijd altijd alle kansen om gewoon aan al die data te kunnen.

Ik snap ergens ook niet dat jij er dan ook vanuit gaat dat omdat je row level encryptie toepast op (een deel van) je database dat die data daarmee niet gestolen zou kunnen worden en dat daarom Logitech dit overduidelijk niet zou doen. Daar is dus geen enkel bewijs voor. Wij weten helemaal niets van die hack als buitenstaanders, behalve de informatie die het bedrijf zelf naar buiten brengt. Zomaar beginnen speculeren van dat ze x of y hadden kunnen en moeten doen is dan ook zinloos.
Reageer
DoubleDot @Luchtbakker15 november 2025 13:21
Encryptie is nutteloos als het systeem die de data mag uitlezen lek is.
Reageer
MainframeX @DoubleDot15 november 2025 13:33
Dat is dan misschien wel zo, maar het komt ook vaak genoeg voor dat de applicatie zelf niet gehacked wordt maar men wel via een andere weg toegang heeft tot de database (door bijvoorbeeld elders in het netwerk binnen te dringen), dan heeft encrypted opslaan echt wel degelijk meerwaarde. Tegenwoordig dien je dat soort zaken gewoon niet meer plaintext op te slaan.
Reageer
DoubleDot @MainframeX15 november 2025 13:38
Natuurlijk heeft het meerwaarde. Maar uit je opmerking las ik dat jij denkt dat die data veilig was geweest (in dit specifieke geval) bij encrypted storage, ik gaf enkel wat tegengas :)
Reageer
Luchtbakker @DoubleDot15 november 2025 13:45
Encryptie is nutteloos als het systeem die de data mag uitlezen lek is.
Dat ligt 100% aan de manier waarop je het implementeert. In mijn geval is er voor gekozen een SAM key toe te passen dat de decryptie regelt. Zonder SAM heb je geen ontsleuteling en dus ook geen bruikbare data. Dit is 1 van de tig oplossingen die beschikbaar zijn. Maar in een cloud omgeving is deze oplossing al niet mogelijk.
Reageer
PeterPluijms @Luchtbakker15 november 2025 14:02
Zolang de key beschikbaar is op het systeem of de data uiteindelijk unencrypted wordt verwerkt is er een weg om het eruit te krijgen. Encryption at rest werkt goed tegen fysieke diefstal van de appliance.

Hij staat hier vrij laag op de prioriteitenlijst daarom.
Reageer
nullbyte @DoubleDot15 november 2025 13:47
Cybersecurity is een lagen systeem, dit is 1 laag. Het is niet nutteloos als het systeem dat de data mag uitlezen NIET lek is.

Of wil je suggereren dat omdat zon syseeem eventueel lek kan zijn het beter is om dan maar geen encryptie toe te passen? Het enige voordeel daar dan van is dat het minder werk is voor de ontwikkelaar.

[Reactie gewijzigd door nullbyte op 15 november 2025 13:48]

Reageer
Orangelights23 @Luchtbakker15 november 2025 15:01
Diefstal is voor nu nutteloos, maar gezien de ontwikkelingen met kwantumtechnologie ziet men duidelijk dat threat actors data stelen en simpelweg wachten tot ze de encryptie kunnen breken. TNO heeft een tooltje ontwikkeld om te identificeren met welke kwantumbestendige encryptie men nu al aan de slag kan.
Reageer
R_Zwart @Orangelights2315 november 2025 16:15
Maar tegen de tijd dat het zo ver is, is de waarde van veel data ook verminderd of nul. Dit is iets wat je in de risk assessment voor iets dat je nu gaat maken mee moet nemen (en als onderdeel van life cycle management regelmatig opnieuw moet doen).
Reageer
Terry A Davis @Luchtbakker15 november 2025 16:06
Het vertrouwen onstaat op de 1e key, ongeacht algoritme. Iedere volgende update/upgrade is gebasseerd op deze 1e key. Een applicatie met een vertrouwde key kan in deze situatie alleen bijgewerkt worden met een applicatie die dezelfde signature key heeft, ongeacht algoritme. Echter wie eenmaal de allereerste key heeft, die kan alles naar wens met die key beinvloeden. Als de key is uitgelekt. Het is immers een private key waarop je vertrouwde. Cryptografie is zo complex dat ik alleen weet dat je alleen de 1e key, ongeacht algoritme kan vertrouwen, immers alles staat en gaat met die 1e key.

In de praktijk worden er steeds betere 1e keys algoritmes bedacht, gebasseerd op de 1e private key die geheim blijft bij de fabrikant, en dan de public key, om te testen of die 1e key eerlijk was.

Er is dus helaas sprake van een lek van de allereerste 1e key. En dan die allereerste private key, als die uitlekt, dan gebeuren dit soort situaties.

In software authenticeit is er nu eenmaal een publieke key, en de private key, en alleen de publieke key hoort te sleutelen met de private key bij eenmalige communicatie met een apparaat dat een publieke key gebruikt.

Het is moeilijk om uit te leggen. Als je eenmaal de 1e key vertrouwd hebt, zal je alle opvolgende publieke keys hierop akkooord gaan, zonder de private key van de fabrikant te kennen.

Ik ben geen cryptologie expert. Maar als de 1e private key zoals RSA uitlekt, dan zijn de poppen aan het dansen. Een externe partij kan dan immers iedere publieke key maken die dan vertrouwd wordt.

Bij Microsoft Windows zie ik gelukkig wel dat de specifieke openbare key wordt weergegeven bij installatie van een software product. Echter in de praktijk zijn er alleen administrators van bedrijven die bijvoorbeeld precies die publieke key controleren op geldigheid, ook wel een certificaat genoemd.


Hun 1e Private Key is dus helaas uitgelekt. Dat mocht niet gebeuren, alles wat nu vertrouwd op publieke keys interactie met die 1e Privat Key is nu onveilig.


Nogmaals, ik heb geen verstand van encryptie, behalve dat de private key van een fabrikant nooit mag uitlekken, want dan is de hele ketting van vertrouwen verbroken.


In de praktijk heeft niet iedereen Logitech software, en Microsoft kan de 1e vertrouwelijke private key terugnemen. ( Revoke. ) Dit is met inbegrip van de UEFI secure BOOT chain of TRUST key database.

In het verleden heeft Microsoft al die 1e private keys teruggetrokken. Maar dat is iets over deze situatie tussen Microsoft en Logitech, en op dit moment niet mijn probleem. Maar ik veronderstel dat zoiets wel voor mij een probleem kan zijn of worden.

Bij Android applicaties is het heel gewoon dat je alleen op kan waarderen naar een nieuwe versie als je de juiste crypto key hebt. En dat is de publieke key overigens.

Asymetrische Cryptografie wordt dat genoemd.

Vertrouw de 1e private key met de 1e publieke key, en alle publieke keys kunnen dan gezien worden als volledig vertrouwd, vanwege assemetrische redenen zonder de 1e vertrouwlijke key te mogen kennen.
Reageer
logix147 15 november 2025 12:58
"Logitech zegt dat de fabrikant een uitgebreide cybersecurityverzekering heeft afgesloten. De verwachting is dat deze niet alleen de kosten voor incidentrespons en forensisch onderzoek, maar ook de kosten voor eventuele bedrijfsonderbrekingen, rechtszaken en boeten van toezichthouders dekt."

Dus als je cc gelekt wordt en je trapt erin dat Logitech weer betaald moet worden dan val je denk ik buiten de boot default.

Wel fijn dat zoveel bedrijven alles van je willen bewaren en het zo lijkt afschuiven op derden.
Reageer
Olaf van der Spek @logix14715 november 2025 13:15
Dus als je cc gelekt wordt en je trapt erin dat Logitech weer betaald moet worden dan val je denk ik buiten de boot default.
Dat is gewoon via de creditcardmaatschappij op te lossen toch?
Reageer
logix147 @Olaf van der Spek15 november 2025 14:14
De zero liability clausule is denk ik wel in 90% dekkend, maar je kan er wel relatief veel gedoe mee krijgen als je ineens veel charges hebt. Dat kan ongemerkt soms ook gevolgen hebben.

Bijvoorbeeld jouw 'online reputatie' kan hierdoor onterecht als risico stempel ontvangen. Nu koop ikzelf nauwelijks meer op afbetaling, want creditcard dekt mijn aankoop toch wel linksom of rechtsom. Maar op mijn hoofdmailadres zwerft vast en zeker ergens een profiel rond, want daar kom ik eenvoudig door een klarna/paypal/afterpay check heen terwijl mijn alias-per-shop mailbox vaak vastloopt/geweigerd wordt.

Laatst was er nog een artikel hier te lezen dat dit soort profielen simpel gezegd not-done zijn, maargoed we weten heus wel dat dit soort datasets bestaan en dat winkels daar online gebruik van maken of ze wel of niet een aankoop via kopen op afbetaling toestaan.
Reageer
Ascathon @logix14715 november 2025 13:39
Dat noemt men verzekeren. In plaats van dat jij alles moet betalen als je iemands auto aanrijdt en totalled. Dan schuif jij het ook af op je verzekering en ga je soort van verder met je leven.
Reageer
logix147 @Ascathon15 november 2025 14:19
Verschil met de auto is dat ik wel een beetje invloed heb op wat ik ermee doe, met je gegevens achterlaten bij een bedrijf - dit is eigenlijk gokken/hopen?

Dat zou toch anno 2025 geen vraagstuk meer mogen zijn, maar 100% dicht bestaat niet of is niet te bekostigen (zowel bedrijf als consument).

Misschien dat een stel knappe koppen een beter werkend systeem dan de creditcard kunnen bedenken. Ik snap bijvoorbeeld soms echt niet waarop het authoriseren van mijn creditcard betalingen op gebaseerd is. Ik zou eigenlijk willen dat ik gewoon kan instellen dat ik vanaf bedrag XX het gewoon standaard altijd in mijn app dien te beantwoorden of het akkoord is.
Reageer
Mathi159 @logix14715 november 2025 15:03
"Ik heb jouw auto aan gort gereden maar gelukkig ben ik daarvoor verzekerd" Heel fijn voor Logitech inderdaad, 0 verbetering voor de daadwerkelijke slachtoffers...
Reageer
maradesign 15 november 2025 13:17
Niet vergeten dat als data lekt, het ook niet perse zo hoeft te zijn dat er 'alleen' wat met deze data gedaan wordt.

Maar er zijn vaker lekken, en er zijn genoeg bedrijven die alles aan elkaar koppelen en profielen opbouwen met veel meer dan alleen maar bijvoorbeeld deze logitech data.

Dus het is echt potentieel veel gevaarkelijker elke keer dat er een nieuw lek is bij deze grote jongens.

Er worden misschien door Mark Zuckerberg en anderen profielen van je opgebouwd voor targeted adds, en wat nog meer. Maar dat kan ook net zo goed voor de internet criminelen gelden op het darkweb om gerichte aanvallen te doen, of door te verkopen.
Reageer
nullbyte @maradesign15 november 2025 13:56
Maar dat kan ook net zo goed voor de internet criminelen gelden op het darkweb om gerichte aanvallen te doen, of door te verkopen.
UIteraard, het zou ook naief zijn te denken dat organisaties als de NSA, de FSB en Ministry of State Security (china) geen profiel hebben van zo veel mogelijk Europese inwoners.
Reageer
Vage_Karel 15 november 2025 12:56
Daarom zo min mogelijk informatie van jezelf achterlaten.
Mensen vullen alles maar in als geboortedatum en volledige naam met adres.
Vul alleen adres in voor verzenden en gebruik voor je naam een alias en je geboortedatum altijd op 1 januari.
Reageer
grote_oever @Vage_Karel15 november 2025 13:10
Dat is helaas lastig om zo min mogelijk van jezelf achter te laten. Als je een product online producten koopt moet jij je gegevens achter laten voor onder andere de bezorging. Hoe vaak ik geen mobielnummer moet invullen bij een online bestelling, waarvan soms wel en soms niet verplicht is. Ik ben volgens mij nog nooit gebeld door een webshop.
Reageer
Aurora @grote_oever15 november 2025 13:49
Really? Is dat echt lastig? Je verplicht voelen om je telefoonnummer of andere niet relevante gegevens op te geven?

Ik heb het helaas al vaker gehoord van mensen dat ze braaf alles invullen wat er gevraagd wordt. Voor een computermuis of refill voor hun printer..

Wellicht zit het in het brave van de Hollander, maar je mag gerust het minimale opgeven dat jij denkt passend te vinden voor een specifieke bestelling. Verplicht veld? Boggus random data. Ik geef enkel mijn huisadres en ik gebruik mijn initialen voor mijn voor en achternaam. That's it. Al 20 jaar lang doe ik het op die manier.

Bestel ik iets groots, zoals een wasmachine, dan is het vaak logisch dat je je telefoonnummer opgeeft voor de vervoerder.
Reageer
grote_oever @Aurora15 november 2025 14:01
Ik vul daar ook nooit kloppende telefoonnummers in. Maar je mist hier het punt. Waarom verplicht stellen en die gegevens opslaan. Je ziet het overal, waarbij de klant de dupe is van de verwerker.

En je geeft het zelf aan. Bij iets groots is het logisch dat je het opgeeft, maar tot wanneer is het niet meer logisch? Ik ze ze de check bij bestellen nog niet inbouwen "Bij deze bezorgingen bellen wij je op. Dus we hebben je telefoonnummer nodig", terwijl ze dat bij iets kleins dan niet doen.
Reageer
R_Zwart @grote_oever15 november 2025 16:18
Nooit kloppend als niet bestaand of iets anders dan jouw telefoonnummer?
Reageer
nullbyte @grote_oever15 november 2025 13:59
Er zijn mail aliassen, bij Proton mail kan je er een aantal aanmaken.
Reageer
Vage_Karel @grote_oever15 november 2025 13:34
Vul 10 nullen in bij telefoonnummer, maak een 2e emailadres aan zonder je eigen naam erin.
Alleen het adres is belangrijk de rest gaat ze geen reet aan en is puur voor data verzamelen.
Reageer
BrokenTable @Quintiemero15 november 2025 13:02
En je geboortedatum, uiteraard adres, telefoonnummer want bij sommige webshops 'noodzakelijk' voor de pakketdienst (bijv. Coolblue doet er daadwerkelijk wat mee, bij anderen nog nooit meegemaakt ondanks verplichting op te geven). En je IBAN wanneer je met iDeal hebt betaald.

Een phishing mail gericht aan Pietje Puk haal je er sneller uit dan wanneer hij aan je echte naam gericht is.

[Reactie gewijzigd door BrokenTable op 15 november 2025 13:04]

Reageer
R_Zwart @BrokenTable15 november 2025 16:19
Mensen kunnen ook gewoon niet kopen als webwinkels onnodige informatie vragen. Maar dan vinden velen een paar euro korting vaak belangrijker dan persoonlijke gegevens geven aan een organisatie die ze niet kennen.
Reageer
HollowGamer 15 november 2025 12:57
Logitech vraagt steeds mij in te loggen voor hun muis/toetsenbord service. Dit is o.a. een reden waarom ik het niet wil bij zit soort dingen, je weet niet hoe zij of derden met je gegevens omgaan.
Reageer
DeadPhoenix86 @HollowGamer15 november 2025 13:39
Ik heb daar geen last van. En ik heb nooit een account aangemaakt. Vind dat onzin.
Alles werkt perfect. Account is alleen nodig als je profielen wil downloaden van andere mensen.
Reageer
HollowGamer @DeadPhoenix8615 november 2025 13:51
Precies. Ik doe het dus ook gewoon zonder account. :)
Reageer
R_Zwart @HollowGamer15 november 2025 16:17
Wat is dat voor service? Ik heb alles van Logitech maar heb het nog nooit gezien.
Reageer
duvekot 15 november 2025 13:01
Logitech vermoedt dat er geen gevoelige persoonlijke gegevens, zoals bsn's of creditcardgegevens, in het getroffen IT-systeem waren opgeslagen.
Lijkt me sterk dat Logitech BSNs van Nederlanders in hun systemen zou hebben staan .. want dan overtreden ze de Nederlandse wet
Reageer
Dutchzilla 15 november 2025 15:17
Om deze reden gebruik ik revolut en eenmalige creditcards. Mijn naam boeit me niet en adres gegevens ook niet.
Reageer
DonJunior 15 november 2025 15:41
Logitech vermoedt dat er geen gevoelige persoonlijke gegevens, zoals bsn's of creditcardgegevens, in het getroffen IT-systeem waren opgeslagen.
Vreemd dat Logitech niet duidelijk heeft welke informatie er op hun systemen staat?

Daarbij, zijn ze niet verplicht dit lek ook aan hun klanten te melden via mail ofzo?

Ik heb een Logitech account maar geen mail mogen ontvangen.
Reageer
toro 15 november 2025 16:10
Daar gaan we weer.

[quote]

'beperkte informatie over werknemers en consumenten' buitgemaakt.

[/quote]

Volgende week (of zelfs binnen een week) komt men naar buiten dat het aanzienlijk meer was dan "beperkte" informatie :/
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq