Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl

Bokt.nl meldt aan gebruikers dat het slachtoffer is van een datalek. De vijfentwintig jaar oude paardenforumsite ontdekte vannacht dat buitenstaanders zijn binnengekomen. Van een deel van de gebruikers zijn mailadressen en gehashte wachtwoorden gestolen.

Gebruikersnamen zijn niet buitgemaakt, meldt oprichter en eigenaar Bart van Bragt in zijn bericht over het datalek. Hij adviseert gebruikers om meteen hun wachtwoorden te wijzigen. Als mensen hun Bokt.nl-wachtwoord hergebruiken op andere sites dan moeten ze dat daar ook meteen veranderen.

"Gestolen gegevens kunnen worden verkocht of gebruikt om op andere sites in te breken. We hebben aanwijzigingen dat dit laatste al gebeurt", meldt Van Bragt. "Vandaar dat het wijzigen van hergebruikte wachtwoorden zo belangrijk is!" Voor gebruikers die hun wachtwoord niet wijzigen, gaat Bokt.nl 'over enige tijd' een automatische reset doorvoeren.

'Gebruik een wachtwoordmanager'

Verder geeft Van Bragt gebruikers het advies om een wachtwoordmanager te gebruiken. "Proton Pass, Bitwarden en 1Password zijn goede opties, maar ook de ingebouwde manager van je browser of besturingssysteem werkt prima."

Wachtwoord shizzle

Bokt.nl gaat nu de code van de site opnieuw doornemen. Daarnaast wordt de firewall scherper ingesteld en worden de detectiesystemen uitgebreid. De paardenforumsite meldt dit datalek bij de Autoriteit Persoonsgegevens. Getroffen gebruikers krijgen een e-mail.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 21-04-2026 17:11
43 • submitter: metalmini

21-04-2026 • 17:11

43

Submitter: metalmini

Lees meer

Stichting begint massaclaim tegen Odido vanwege datalek
Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026
HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten
HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten Nieuws van 18 april 2026
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack
ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026
Ict-bedrijven kunnen rekenen op preventieve controles rond beveiliging
Ict-bedrijven kunnen rekenen op preventieve controles rond beveiliging Nieuws van 16 april 2026
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update
Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026
Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers
Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers Nieuws van 9 april 2026
Meer producten en artikelen
Websites en community's Politiek en recht Privacy Autoriteit Persoonsgegevens Cybercrime Cybersecurity Datalek Wachtwoord

Reacties (43)

-Moderatie-faq
43
43
14
0
0
16
Wijzig sortering

Sorteer op:

Weergave:
AOC 21 april 2026 17:15
Kunnen we er nu achter komen welke Tweaker een succesvolle date met een bokt'er heeft gehad?
Reageer
RobertMe @AOC21 april 2026 17:20
Voor de nieuwere Tweakers: nieuws: Tweakers en Bokt.nl beginnen gezamenlijke datingsite

Toen Tweakers nog aan 1 april grappen deed. Of nouja, grap.... Het was een werkende chat waarbij ze nog de hele dag bezig zijn geweest om de code te verbeteren omdat het zo succesvol was dat de servers (draaide meen ik bij Bokt?) "het niet aan konden".
Reageer
Baserk @RobertMe21 april 2026 18:46
Zelfs oudere Tweakers, aan wie dit voorbij is gegaan, moeten een (virtueel) traantje wegpinken.

'Linux-nerd meets Gelderlander-aficionada; magic.' Mooi toch.
Reageer
dehardstyler @AOC21 april 2026 17:28
Blijkbaar doet de site het nog: http://www.biksenbytes.nl/

Daar staan wat succesvolle matches. Tijd voor een update? :P
Reageer
himlims_ @dehardstyler21 april 2026 18:06
Was ooit een ludieke actie. Maar in praktijk erg succesvol; weet dat er diverse huwelijken uit voortgekomen zijn. En soms een volgende generatie Tweakers/fokkers :+

Jammer dat .blog weg is, daar heeft een koppel toen nog verslag gedaan.
Reageer
The Zep Man
@AOC21 april 2026 17:19
Die informatie is voor ieder "koppel" dubbel versleuteld opgeslagen. Bokt.nl heeft één sleutel en T.net de ander. Alleen met beide sleutels kan de informatie over koppels op 1 april 2038 ontsleuteld worden voor het 25-jarig jubileum.
:+
Reageer
Tweddy @AOC21 april 2026 17:51
Een boktor? Ik hoop niet al te veel..
Reageer
xxs 21 april 2026 17:14
Tegen veel adviezen in: "...maar ook de ingebouwde manager van je browser of besturingssysteem werkt prima."

Juist NIET doen in je browser opslaan.
Reageer
fjjl @xxs21 april 2026 17:17
Kun je uitleggen waarom niet? Wat is het probleem met de Vivaldi password manager t.o.v. de extensie van 1Password gebruiken bijvoorbeeld?
Reageer
xxs @fjjl21 april 2026 17:23
Ik ken Vivaldi niet maar de beveiliging van browsers is over het algemeen zwakker dan die van speciale wachtwoordmanagers. Als je wachtwoorden synchroniseert tussen apparaten, kan een inbraak op één plek al je wachtwoorden blootleggen en sommige phishing-sites kunnen browsers misleiden om wachtwoorden automatisch in te vullen.
edit:
Ook het overstappen naar een andere browser of nieuwe computer kan tot veel ongemak leiden om alle WW weer in je nieuwe browser te krijgen.

[Reactie gewijzigd door xxs op 21 april 2026 17:32]

Reageer
Sissors
@xxs21 april 2026 17:30
Maar ook als je een wachtwoord manager hebt wil je wachtwoorden synchroniseren. En er zijn ook voorbeelden van wachtwoordmanagers die onterecht automatisch wachtwoorden invullen. En dan kan je natuurlijk alleen handmatig wachtwoorden uit je manager kopieren, maar behalve dat dat nogal gebruikersonvriendelijk is, maakt dat de kans dat je in een phishing website trapt alleen maar groter. (Met een wachtwoordmanager / browser die ze automatisch invult, moeten zowel die erin trappen, en jij moet alsnog zelf op inloggen klikken en er dus ook ingetrapt zijn).

Er zijn wel redenen om standalone wachtwoord managers te prefereren boven die in je browser (versleuteld achter je master password, waardoor in theorie zowel een hacker als de fabrikant van de password manager er niet bij kunnen, in de praktijk durf ik te stellen dat daar wel wat op af te dingen is, maar goed in principe kan het betere beveiliging geven). Maar voor mij is het wel een dingetje van dat perfect de vijand is van goed: Ja idealiter heb je een wachtwoord manager die niet auto update en je zelf gecompileerd hebt met al je wachtwoorden versleuteld achter je master password. Maar die in je browser gebruiken is ook echt niet fout en een stuk beter als maar gewoon wachtwoorden hergebruiken.
Reageer
xxs @Sissors21 april 2026 17:37
Ik ben zelf geen voorstander van een online manager maar gebruik KeepassXC die ik zelf handmatig sync met andere apparaten. E e n apparaat is mijn master waar ik alle mutaties op doe en de rest synchroniseer ik zelf. Voor KeepassXC is er ook een browser plugin maar die vult NOOIT op onbekende sites zomaar je WW in.

En met je laatste opmerking ben ik het zeker eens, beter in de browser dan hergebruiken.

[Reactie gewijzigd door xxs op 21 april 2026 17:56]

Reageer
Superman @xxs21 april 2026 17:22
Kan je uitleggen waarom? Bij Chrome weet ik niet maar bij edge moet je eerst inloggen voordat je wachtwoord kan zien
Reageer
naaitsab @Superman21 april 2026 17:38
Dat inloggen is een "menselijke beveiliging". Dus dat niet zomaar iemand je wachtwoorden kan zien, als je even niet achter je PC zit. Het biedt echter geen enkele bescherming tegen malware. Dit is in ieder geval al jaren zo bij Firefox en Chromium browsers onder Windows. Weet niet of het bij Apple en Linux beter voor elkaar is.

Het andere is een stukje cyberhygiëne. Dat is het zo veel mogelijk segmenteren van risico's. Veel van deze handigheidjes werken met inlogde accounts. Waarbij de wachtwoorden gekoppeld zijn aan je Browser account. Heel handig met meerdere devices. Echter als je sessietoken wordt gestolen door een credential stealer kunnen ze ook een dump maken van al je opgeslagen wachtwoorden. Als 'device based cookies' in de praktijk wel veilig blijken en breed uitgerold worden zou dit een flinke stap zijn in het voorkomen van dit soort dingen.

Daarom altijd een losse wachtwoord manager gebruiken die ook goed ingesteld is. Dus niet automatisch ontgrendelen en automatisch locken na een redelijk korte periode. Dit heeft namelijk te maken met hoe veilig de tool is. Veel hebben de encryptiesleutel in het geheugen staan als de kluis ingelogd is bijvoorbeeld. Dus als malware hogere rechten kan bemachtigen is deze sleutel uit te lezen. Bitwarden (tip voor een goeie manager trouwens) heeft hier wat informatie in een whitepaper gezet
Reageer
Sissors
@naaitsab21 april 2026 18:17
Echter als je malware op je PC hebt, en je hebt je wachtwoord manager op die manier ingesteld, dan is het lijkt mij nog steeds een kwestie van tijd (en niet zulke lange tijd), voordat jij een keer je master password moet invoeren in je wachtwoord manager, de malware kan die onderscheppen, en dan hebben ze ook al je wachtwoorden.

En natuurlijk heb je dan nog wel wat extra veiligheid, als je in de gaten hebt gehad dat je toch een hele twijfelachtige exe net hebt geopend, dat je eerst een virusscan doet voor je weer je wachtwoord invoert. Maar het blijft beperkt imo.
Reageer
naaitsab @Sissors21 april 2026 18:50
Dat zou je met biometrie af kunnen vangen of in ieder geval verminderen. Dat is een van de weinige dingen die mijns inziens wel enigszins knap beveiligd is op Windows icm TPM. Veel malware waar de gemiddelde thuisgebruiker mee te maken krijgt tegenwoordig, is gebaseerd op een 'splash and dash' principe. Dus zo snel mogelijk pakken wat je pakken kan. Voordat men (als in de gebruiker) en de AV het merken en kunnen ingrijpen. RAT's gecombineerd met keylogger functies zijn ook zeker een ding maar veel minder voorkomend. Zeker in de privé sferen. Zakelijk is persistente toegang waardevol, bij de gemiddelde thuisgebruiker is dat niet zo interessant.
Reageer
jvwou123 @Superman21 april 2026 17:29
Jij moet inloggen idd. Maar voor chrome en edge (zelfde "binnenkant"/engine) heb je hier een tooltje: https://github.com/ohyicong/decrypt-chrome-passwords, en voor firefox is er ook zo iets. Dus dat betekend dat het voor iemand met toegang tot je PC te ontsleutelen is zonder wachtwoord.

edit: tooltje niet zelf getest, maar het is vooral om te onderstrepen: browsers zijn kwa wachtwoord opslaan niet zo veilig.

[Reactie gewijzigd door jvwou123 op 21 april 2026 17:30]

Reageer
Sissors
@jvwou12321 april 2026 17:35
De vraag is natuurlijk, is dat anders bij eg een 1Password / Bitwarden? Er zijn twee situaties mogelijk:
  1. Je hebt hem unlocked en ingesteld dat hij bijvoorbeeld 24 uur unlocked blijft --> Dan is (in theorie) alles ook gewoon in je geheugen beschikbaar en zou een hacker met volledige toegang tot jouw PC je wachtwoorden kunnen pakken.
  2. Hij is versleuteld, nu kan, als jij een heel goed master password hebt, de hacker niks! Of nou ja, hij kan niks tot het moment dat jij een keer daadwerkelijk je password manager nodig hebt, je master password intikt, en dan heeft hij ook overal toegang tot.
En ik wil nu niet beweren dat een losse wachtwoord manager qua beveiliging nul voordelen heeft tov je browser gebruiken! Maar wel dat in alle gevallen als een hacker volledige toegang tot je PC heeft, je wachtwoorden niet veilig zijn in de praktijk.
Reageer
batjes @Sissors21 april 2026 18:14
Daarom zijn wachtwoorden niet je enige verdedigingslinie en is het ook dom dat ik overal en nergens MFA tokens in wachtwoord managers zie zitten.

Ja lekker handig zo'n hele factor in veiligheid wegnemen.

Bitwarden heb ik geen persoonlijke ervaring mee. Maar 1password is vrij streng (centraal) in te richten. Vergrendelen bij PC lock, timeouts e.d. Maar dat kunnen de meeste wachtwoordmanagers wel.

Het is jammer dat Keepass in multi-user omgevingen wat minder fraai is en je al snel vast zit aan een 'professionele' dienst.
Reageer
Wasabi! @xxs21 april 2026 17:41
Lol, inderdaad, staat standaard aan in een bibliotheek, hotel met pc en gratis internet (ja, die bestaan nog), etc.......
Reageer
jarco5000 21 april 2026 17:42
Ik toch wel wat bedenkingen bij dit nieuwsbericht:

1. Advies van je wachtwoord te veranderen begrijp ik, maar als het wachtwoord met een moderne methode en voorzien van de juiste salt/pepper etc. gehashed is, zou dit niet makkelijk bruikbaar moeten zijn. Hij claimt dat er aanwijzingen zijn dat de data gebruikt wordt "gebruikt om op andere sites in te breken", dat zou dan moeten betekenen dat ze dat paswoord hebben kunnen reverten van een hash naar een plaintekst wachtwoord? Hoe kan dat met een moderne hashingmethode?

2. "Gebruik een wachtwoordmanager", ja mooi dat je dat goede advies geeft, maar in plaats van mensen te adviseren hoe zij hun beveiliging kunnen verbeteren, had je best je zaakjes zelf op orde gehad.

3. "Bokt.nl gaat nu de code van de site opnieuw doornemen. Daarnaast wordt de firewall scherper ingesteld en worden de detectiesystemen uitgebreid."
Wat voor aanval was dit eigenlijk? Een firewall zal een sql injectie of een xss niet persé tegenhouden.
Het feit dat je de code nog gaat doornemen, betekent dat dat het lek nog openstaat?

Nu is dit misschien bovengemiddeld kritisch op iemand die misschien een hobbyist is, maar het is toch allemaal een beetje raar met dit bericht.
Reageer
Polderviking @jarco500021 april 2026 17:56
Ze hebben het in hun eigen bericht over een geautomatiseerde aanval en gebruiken zo te zien gewoon phpbb dus ik zet in up een ongepatchte kwetsbaarheid.

Verder vind ik dat advies voor een wachtwoordbeheerder dus wél gewoon prima.
Als mensen hun wachtwoorden niet recyclen maakt het ook niet zo veel uit hoe websites die wachtwoorden opslaan en of die uitlekt, buiten die context van diezelfde website.
Niet dat dat dan niet alsnog goed gedaan moet worden, maar security is een taart die uit lagen bestaat, en een aantal van die lagen liggen bij de gebruiker zelf.

[Reactie gewijzigd door Polderviking op 21 april 2026 18:05]

Reageer
RobbyTown @Polderviking21 april 2026 17:59
Hou rekening mee Bokt is verre van default phpBB is.

Zie het als WordPress. Vaak gaat het lek via een plugin en niet WordPress zelf.
Reageer
Cambionn @jarco500021 april 2026 18:16
  1. Ik heb geen idee hoe de wachtwoorden opgeslagen worden. Wel is algemeen bekend dat Bokt op heel verouderde software draait. Ze zijn ook druk bezig met vernieuwen, maar dat lijkt niet zo heel makkelijk te gaan om verscheidene redenen. Zijn ze altijd erg open over geweest. Daarbij zijn ongeveer de oudste 200.000 gebruikers geraakt, en daar zullen mensen bij zitten wie al 2 decennia niet ingelogd hebben (in 2013 zaten ze al over de 280K). Je hebt daardoor kans dat Bokt wel de algoritmes heeft geüpdatet, maar omdat men niet (opnieuw) inlogt er nooit een nieuwere hash gemaakt heeft kunnen worden.

    Maar los daarvan, zelfs met alle beveiligingsmaatregelen is het veranderen van gelekte wachtwoorden gewoon een goed idee, ook als de gelekte data onbruikbaar zou moeten zijn.
  2. Dit is altijd zo'n dooddoener. Niks is onhackbaar, ook als je je zaakjes op orde hebt. Je kan door een eenmalige hack, waarbij ook nog eens best weinig data is buitgemaakt, niet concluderen dat men "de zaakjes niet op orde heeft". Dit is de eerste keer dat dit gebeurd in het 25 jarig bestaan van Bokt, en Bokt heeft netjes gehandeld nu dat het wel fout is gegaan.

    Daarbij is dit enkel het kopje wat de gebruikers zelf kunnen doen, en daarin staat "overweeg dit". Gebruikers gaan niet Bokt's beveiliging fixen, dus dat zal idd niet in die lijst staan. Het gebruik van een password manager is gewoon goed advies. Ik zie het probleem niet helemaal?
  3. Het lijkt dat Bart dat zelf wel weet. Hij noemt zelf ook al: "Het lijkt sterk op een geautomatiseerde algemene aanval, gericht op het zoeken van zwakheden in software op internet." en "Het lek is inmiddels gedicht en de aanvaller geblokkeerd". Dat zou hij niet kunnen zeggen als hij niet preciezere info had. Maar de gemiddelde Bokt gebruiker is geen IT'er of Tweaker, en dan wekt de diepte in gaan over het algemeen enkel meer vragen op. Ik snap wel dat dat niet gedaan wordt in hun publiekelijke bericht. Is overigens ook niet standaard voor organisaties om daar dieper om in te gaan in publieke statements.
Bart is als ik het goed herinner fulltime met IT bezig, waaronder hoofdzakelijk de fora-software die hij maakt en Bokt. Maar verder ken ik z'n achtergrond niet heel goed. Enfin, ik vond het, als security officer, juist een heel net bericht en helemaal niet "een beetje raar". Ik denk dat je er iets te veel als een Tweaker naar kijkt (en dat bedoel ik niet negatief, enkel in de zin dat als je eigen technische kennis hoog zit je andere verwachtingen als standaard hebt dan soms passend zijn voor niet-technische publiek zoals een paardenforum grotendeels heeft).

[Reactie gewijzigd door Cambionn op 21 april 2026 18:23]

Reageer
batjes @jarco500021 april 2026 18:19
Betrekkende punt 1, ook dan zijn de makkelijk raadbare wachtwoorden een appeltje en een eitje zodra je ergens ingebroken bent en kan zien welke wachtwoord hashing techniek er gebruikt wordt zodat je die in kan zetten om een zooitje rainbow tables te genereren.
Reageer
mrdemc @jarco500021 april 2026 18:23
Een web application firewall (WAF) kan dit in een aantal gevallen eventueel wel tegenhouden, mogelijk wordt daarop gedoeld mbt punt 3.
Reageer
headout 21 april 2026 17:42
Nette en duidelijke communicatie. Mag ook wel eens gezegd worden.
Bokt draait op phpBB, waarschijnlijk een flink gemodificeerde versie. Ik ben wel benieuwd of dit een lek in phpBB is, een plugin of eigen code die toegevoegd is. Is daar meer over bekend?
Reageer
Olaf van der Spek 21 april 2026 17:16
Wanneer gaat bijvoorbeeld Gmail anonieme aliassen ondersteunen zodat je voor elke site een uniek adres kunt gebruiken, en meerdere lekken niet zomaar een elkaar te linken zijn?
Reageer
Asitis @Olaf van der Spek21 april 2026 17:39
Een van de vele USPs om Proton te gebruiken!
Reageer
buglife @Olaf van der Spek21 april 2026 18:16
Waarom wachten totdat een aanbieder het aanbiedt, terwijl er ook gewoon manieren zijn om dat te doen? Via bijvoorbeeld SimpleLogin kan je via aliassen alles naar een Gmail-adres door laten sturen. En ook nog eens reageren waarbij het voor de afzender lijkt alsof je reageert met je alias.

Maar goed daar gaat het artikel verder niet over. Hopelijk zijn de gegevens van gebruikers van de Tweakers-Boktchat niet gelekt. Anders zit ik er ook nog tussen met een oud Tweakersaccount.
Reageer
Saekerhett 21 april 2026 17:20
Als ik die dieven te pakken zou krijgen, zou ik ze een hengst geven.
Reageer
xxs @Saekerhett21 april 2026 18:21
Dat kan een dure aangelegenheid worden, een beetje fokhengst kan miljoenen waard zijn. :+
Reageer
Wozmro 21 april 2026 17:21
Naast dat je gegevens gelekt zijn lijkt het mij stilaan ook wel naïef te denken dat je op bijvoorbeeld fora anoniem én vrijblijvend inhoudelijk dingen kan neerschrijven.

Zeker als je bedenkt dat iets als AI daar doorheen kan ploegen en naargelang van waar de ideologische/politieke wind komt kan catalogiseren.

Vandaag maar ook binnen pakweg 10 jaar.
Reageer
adje123 21 april 2026 17:22
Als de hackers de data waardeloos vinden, dan zeg ik tegen ze "een gegeven paard moet je niet in de bek kijken".
Reageer
Phyxion 21 april 2026 17:25
De beheerder werkte maar paardtime aan de beveiliging :+
Reageer
pizzafried @Phyxion21 april 2026 17:30
De dieven lieten de gebruikelijke sporen achter.
Reageer
Redondo1982 @Phyxion21 april 2026 17:32
Het is en blijft een heet hoefijzer! :+
Reageer
Olaf van der Spek @Phyxion21 april 2026 17:34
pardtime* ;)
Reageer
Xfade @Phyxion21 april 2026 18:11
Ze moeten daar de teugels even strak trekken, komt wel goed.
Reageer
xxs @Phyxion21 april 2026 18:26
Een over het paard getilde beheerder die het wel dacht te weten.
Reageer
hcQd 21 april 2026 17:38
Wat een nachtmerrie voor de gebruikers.
Reageer

Om te kunnen reageren moet je ingelogd zijn