Automatten.nl meldt hack en raadt klanten aan wachtwoord te veranderen

Webshop Automatten.nl had afgelopen weekend een 'veiligheidsincident' waarbij mogelijk wachtwoorden zijn gestolen. Die wachtwoorden waren versleuteld, maar de webshop raadt klanten toch aan hun wachtwoorden te veranderen. Ook naam- en adresgegevens en e-mailadressen zijn mogelijk buitgemaakt.

De webshop meldt in een e-mail aan klanten dat onbevoegden toegang hebben verkregen tot een oude databaseserver van de voormalige webshop van Automatten.nl. Die webshop werd tot 17 maart gebruikt. Het incident werd op 18 april ontdekt.

De criminelen hadden mogelijk toegang tot naam, adres, woonplaats, e-mailadres, telefoonnummer en versleutelde wachtwoordgegevens. De webshop meldt niet hoe die wachtwoorden waren versleuteld. Het wachtwoord werd niet voor de nieuwe webshop gebruikt. Die nieuwe site gebruikt namelijk inlogcodes die naar het e-mailadres worden gestuurd. De waarschuwing om wachtwoorden aan te passen, geldt voor andere diensten waarbij het wachtwoord mogelijk wordt hergebruikt.

Automatten.nl zegt dat betaalgegevens, creditcardgegevens, bankrekeningnummers of legitimatiegegevens niet zijn gestolen. Klanten die uitsluitend op de nieuwe webwinkel iets hebben besteld, vallen ook buiten de hack. De webshop waarschuwt verder voor phishing, zegt de oude server te hebben afgesloten en een melding te hebben gedaan bij de Autoriteit Persoonsgegevens.

Security/Hackers/Hack. Bron: Curly_Photo/Moment/Getty Images — Bron: Curly_Photo/Moment/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Hayte Hugo

Redacteur

Feedback • 22-04-2026 17:00
89 • submitter: nietorigineel

22-04-2026 • 17:00

Submitter: nietorigineel

Lees meer

21 apr 2026

Hoe kansrijk is de massaclaim tegen Odido? 'Kan best over half jaar klaar zijn'

Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen

Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen Nieuws van 22 april 2026

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026

Stichting begint massaclaim tegen Odido vanwege datalek

Stichting begint massaclaim tegen Odido vanwege datalek Nieuws van 20 april 2026

HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten

HEMA stopt tijdelijk met analoge fotoservice na verwisselen foto's klanten Nieuws van 18 april 2026

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack

ChipSoft geeft toe dat er toch gegevens van patiënten zijn gestolen bij hack Nieuws van 16 april 2026

HEMA verwisselt klantfoto's, slachtoffers zoeken via Reddit naar eigenaars

HEMA verwisselt klantfoto's, slachtoffers zoeken via Reddit naar eigenaars Nieuws van 15 april 2026

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack'

'Mogelijk is er toch data van ziekenhuispatiënten gestolen bij ChipSoft-hack' Nieuws van 15 april 2026

Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer

Datalek bij Hallmark treft 1,7 miljoen klanten; 82 procent al eerder slachtoffer Nieuws van 13 april 2026

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026

Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien

Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026

Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers'

Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers' Nieuws van 12 april 2026

Meer producten en artikelen

Beveiliging en antivirus Hack Hackers

Reacties (89)

89

89

37

7

0

41

Wijzig sortering

SpyQ 22 april 2026 17:08

Opgevraagd wat de encryptie was die ze gebruikte.... gewoon MD5!!!!
----------------
Bedankt voor je vraag.

In de historische database van onze oude webshop werden wachtwoorden niet leesbaar opgeslagen, maar gehasht met behulp van MD5. Dit was destijds een veelgebruikte methode. In onze huidige webshop maken wij geen gebruik meer van opgeslagen wachtwoorden; inloggen verloopt via een beveiligde inloglink per e-mail.

Uit voorzorg adviseren wij u wel uw wachtwoord te wijzigen op andere websites of diensten als u daar hetzelfde wachtwoord heeft gebruikt.

Met vriendelijke groet,

Dinija
Automatten.nl
----------------

Llopigat @SpyQ • 22 april 2026 18:47

In onze huidige webshop maken wij geen gebruik meer van opgeslagen wachtwoorden; inloggen verloopt via een beveiligde inloglink per e-mail.

Ugh ik word zo gek van sites die dat doen.

Het is zo veel omslachtiger en helemaal niet veiliger. Doe dan gewoon passkeys ofzo. We moeten juist af van die binding van account met email omdat je daarmee een achilleshiel creeert.

[Reactie gewijzigd door Llopigat op 22 april 2026 18:50]

avlt @SpyQ • 22 april 2026 20:09

Versleuteld of niet, ze zijn de wachtwoorden kwijtgeraakt. En er is een kans dat ze gekraakt kunnen worden.

Zoals ik al zei bij de Rituals-hack/lek: laten we voor dit soort lekken een boete van pakweg 1-5% van de bruto jaaromzet opleggen. In ieder geval het zakelijk voordeel van al dit dataverzamelen zou afgepakt moeten worden.

Pas dan maak je duidelijk dat beveiligen van data (of niet verzamelen) goedkoper is.

Nu wordt er een obligate mededeling rondgestuurd: sorry, uw gegevens liggen op straat, wij doen ons best om het voortaan te voorkomen, en we gaan over tot de orde van de dag. Zoals het nu is, is er voor bedrijven weinig of geen belang om veel in beveiliging te investeren. Hoogstens loop je, zie Odido, er wat reputatieschade aan op.

SpyQ @avlt • 23 april 2026 09:35

Agree, helemaal als het inderdaad verwijtbaar is aan het bedrijf doordat de beveiliging niet goed op orde is en medewerkers niet worden getrained.

@SpyQ • 22 april 2026 17:30

MD5 is geen encryptie maar een cryptografische hashfuntie. Met een rainbow tabel is soms het wachtwoord wel te achterhalen. Anders wordt het brute-forcen

SpyQ @david-v • 22 april 2026 17:35

Nee klopt, is inderdaad geen encryptie

... maar dat überhaupt MD5 nog bestaat.... mijn oren klapperen ervan

Ook al Bezet @SpyQ • 22 april 2026 17:54

Gaat dus om een oude database, het was inderdaad niet ongebruikelijk om md5 hiervoor te gebruiken.

De vraag is niet "waarom hebben ze vroeger md5 gebruikt?" De vraag is "waarom hebben ze die oude gegevens nog en waarom waren ze in vredesnaam toegankelijk van buitenaf". Gegevens die je niet hebt kunnen ook niet lekken.

ro8in @Ook al Bezet • 22 april 2026 19:36

De site was pas maart dit jaar omgezet, dus tot en met toen waren bij hun de wachtwoorden beveiligd met md5 dus ja

TheVivaldi @ro8in • 22 april 2026 20:10

Maar dan nog hadden ze op zijn minst een deel van de oude gegevens moeten verwijderen. Het is niet netjes om jaren oude gegevens te bewaren, zelfs niet al zouden ze de beste versleuteling ter wereld hebben.

Ook al Bezet @ro8in • 22 april 2026 21:59

Als ze inderdaad tot maart dit jaar nog md5 gebruikten is dat inderdaad belachelijk. Neemt niet weg dat ze de oude wachtwoorden gewoon hadden moeten verwijderen.

ro8in @Ook al Bezet • 23 april 2026 20:16

Dat deden ze inderdaad haha. Best bizar inderdaad aangezien md5 echt al jaren niet meer als voldoende wordt gezien

Timo002 @Ook al Bezet • 22 april 2026 19:57

Ze hadden toch gewoon kunnen updaten naar bv bcrypt. Je laat de gebruiker inloggen op de oude manier en checkt met MD5 het wachtwoord. Is het goed, dan direct via bcrypt het wachtwoord updaten naar nieuwe standaard. Dit draai je een jaar en na 1 jaar gooi je alle wachtwoorden die nog niet over gezet zijn naar bcrypt weg. Die accounts moeten een wachtwoord reset doen als ze willen inloggen.

Ooh ja, en dat hadden ze 10 jaar geleden al moeten doen! Dit is echt wel kansloos!

[Reactie gewijzigd door Timo002 op 22 april 2026 19:57]

ThaGuus @Timo002 • 23 april 2026 00:15

Ik zou het toch net iets anders doen. Ik zou eerst de bestaande MD5-hashes met bcrypt hashen en daarnaast een veld (bijvoorbeeld 0/1) toevoegen dat aangeeft of het wachtwoord al is omgezet, omdat dubbel hashen niet ideaal is. Bij het inloggen controleer je die waarde. Staat deze op 0, dan hash je de input eerst met MD5 en vervolgens die MD5 met bcrypt. Daarna zet je het wachtwoord volledig om naar bcrypt.

Dit is in ieder geval een stuk beter dan de MD5-hashes in de database te laten staan, omdat je meteen profiteert van de voordelen van bcrypt, zoals salting en een hogere computational cost. Daardoor zijn de hashes bij een datalek niet meer direct bruikbaar met technieken zoals rainbow tables en wordt het kraken per poging aanzienlijk duurder.

Zo kun je bestaande MD5-hashes direct versterken met bcrypt, zonder dat je de originele wachtwoorden nodig hebt, terwijl je geleidelijk overstapt naar volledig met bcrypt gehashte wachtwoorden.

[Reactie gewijzigd door ThaGuus op 23 april 2026 00:18]

Ook al Bezet @Timo002 • 22 april 2026 22:00

Ze hadden toch gewoon kunnen updaten naar bv bcrypt.

Waarom? Als ik het goed begrijp ging het om een gearchiveerde database van de oude webshop, dan zou er geen reden zijn om die wachtwoorden überhaupt te bewaren. Ze hadden ze moeten verwijderen.

Timo002 @Ook al Bezet • 22 april 2026 22:17

Aah zo, volledig mee eens. Het heeft met de nieuwe website sowieso geen nut meer om te bewaren.

Ik bedoelde meer dat het sowieso 10 jaar geleden al geüpdate had moeten worden.

3raser @Ook al Bezet • 23 april 2026 08:36

Natuurlijk bestaat MD5 nog. Het wordt erg veel gebruikt voor hashing. Het wordt gewoon verkeerd toegepast als het om wachtwoorden gaat.

jegelie @SpyQ • 22 april 2026 18:32

OT: Ik gebruik dat toch vaak, om te checken of aangeleverde bestanden misschien gewoon een herdruk zijn van eerdere orders. Wat is een goed alternatief?

sir_huxley @jegelie • 22 april 2026 19:47

Voor die simpele toepassing is MD5 prima. Zeker in combinatie met de bestandsgrote. De kans op een collision is dan minimaal. Voor een hogere betrouwbaarheid zou je inderdaad gebruik kunnen maken van SHA256. Indien de bestanden uitvoerbaar zijn, zoals bijvoorbeeld een .exe bestand, dan zou ik ook niet langer op MD5 vertrouwen.

Voor wachtwoorden is dit een heel ander verhaal. Indien je daar niet de juiste kennis over hebt zou ik altijd adviseren om een bestaande identity oplossing te gebruiken. (zoiets als Keycloak of hosted https://auth0.com/)

RobinF @jegelie • 22 april 2026 18:42

SHA is het modernere alternatief. Maar bij SHA1 zijn volgensmij ook al studies over het aantal botsingen bekend.

Als het puur gaat om verifiëren of er perongeluk een duplicaat is ingeslopen kan je m.i. SHA1 prima gebruiken. Maar SHA256 werkt ook als het geen enorme orderstroom is op een underpowered server.

Als je echt malicious intent wil afvangen kan je naar SHA256 kijken bijvoorbeeld.

Beveiliging en antivirus

@SpyQ • 22 april 2026 19:27

Md5 wordt nog voor allerlei doeleinden gebruikt. Voor wachtwoorden zou niet meer moeten inderdaad.

koppie @SpyQ • 22 april 2026 19:37

Dit, volgens mij al 20 jaar afgeraden. Ik weet nog dat een IBM mainframe in een uur een willekeurige collision had uitgerekend. Toen zijn we al gaan uitfaseren, zeker voor wachtwoordopslag.

Zucht....

laurens0619 @david-v • 22 april 2026 19:27

Je kunt idd beter utf-8 encryptie toepassen;)

Aldus kpn….

https://twitter.com/kpnwebcare/status/168371471675174913

ro8in @laurens0619 • 22 april 2026 19:40

Ik schrok even, maar toen zag ik dat het een tweet uit 2012 was gelukkig haha. Niks mis met een beetje utf8 in je wachtwoorden overigens, zolang er ook maar sha256 overheen gaat haha

@ro8in • 23 april 2026 07:49

Sha256 is niet geschikt voor wachtwoorden. Daarvoor gebruik je argon2 of bcrypt.

xxs @ro8in • 23 april 2026 09:29

Ik doe altijd 2x ROT-13.

@laurens0619 • 22 april 2026 19:37

offtopic:

oh man, eerste lijns mensen. Ik heb ook eerstelijn werk gedaan als student, samen met nog een aantal medestudenten, voor de eerste kabelmodems van Nederland. Wij waren allemaal ict studenten, dus we wisten toch best veel. Maar bij uitbreiding van aantal abonnees kreeg je toch de "iets minder" deskundige mensen erbij. Ik moest toch vaak hier en daar ingrijpen of mensen terugbellen na dergelijke flaters van collegas

JustRob @david-v • 22 april 2026 17:55

MD5 is niet soms te achterhalen. MD5 is vrij eenvoudig te achterhalen of collisions op te vinden. Er is een heel goede reden dat dit al járen niet meer gebruikt zou moeten worden.

@JustRob • 22 april 2026 18:17

Als je een heel goed wachtwoord hebt kan het nog best wel lastig zijn. Maar de kans daarop bij allematten.nl accounts acht ik zeer klein

. Ik had eerst "vaak" geschreven maar bedacht toen om toch maar "soms" te zeggen. Me bad

.

JustRob @david-v • 23 april 2026 00:09

De lengte of complexiteit van het wachtwoord is irrelevant bij het zoeken naar een collision. De collision is de input die dezelfde hash als output geeft. Daarbij maakt het niet uit wat de initiële input was.

@SpyQ • 22 april 2026 17:10

Jammer dat bedrijven gaan van md5 naar: "Regel het zelf maar via Email, wij doen niet meer aan credentials". Heel irritant, je moet soms echt lang wachten en het is een aantal extra stappen. Een passkey is een veel betere manier vind ik, dan ben je je click click gelijk ingelogt.

[Reactie gewijzigd door teek2 op 22 april 2026 17:11]

joldemans @teek2 • 22 april 2026 18:19

los van dat het een mega irritant inlogsysteem is, vind ik het bovendien mega onveilig. Al jaren raden we mensen aan niet overal hetzelfde wachtwoord te gebruiken, maar inloggen via je mailbox waar de helft van de mensen welkom01 gebruikt vinden we allemaal prima…

Ik heb inmiddels zo’n 225 hide my email adressen in gebruik, gebruik overal een random naam en telnummer. Helaas zie ik nog weinig mogelijkheid om te kiezen voor een levering bij dhl/postnl punt zonder dat je je adres moet invullen.

Gisteren een interessante podcast geluisterd met privacyexpert Wesley Feijth. Hij gaf aan dat al deze hacks een fantastisch opmaat zijn naar de Digital-ID. Een centraal punt waarbij je shop bv 10min toegang kan geven tot je persoonsgegevens. Een centraal punt is natuurlijk een Mekka voor hackers, maar dat zien ze in de EU vast anders.

Apple podcast: https://podcasts.apple.com/nl/podcast/de-nieuwe-wereld/id1449765297?i=1000762399833

Spotify: https://open.spotify.com/episode/4QaYPu0iueREFkk4K5031J?si=Rq-gJyPSTsG3i0DZ6ayPig&t=0&pi=bSveBHXeTAaMg

CyberJack @joldemans • 23 april 2026 13:40

Al jaren raden we mensen aan niet overal hetzelfde wachtwoord te gebruiken, maar inloggen via je mailbox waar de helft van de mensen welkom01 gebruikt vinden we allemaal prima…

In alle eerlijkheid, een slecht wachtwoord gebruiken voor je mailbox is niet de verantwoordelijkheid van het bedrijf/site waar je in wilt loggen.

Dat email gebruikt wordt voor passwordless authentication (of Magic Links of hoe je het ook wilt noemen) vind ik persoonlijk prima. En ja, even wachten is irritant en ja een passkey kan tegenwoordig ook, maar als je email gehacked wordt doordat je niet over een wachtwoord na denkt of geen 2FA gebruikt, tja, dan is dat toch echt je eigen schuld en niet die van de mail provider of de site waar je in wilt loggen.

Eenmaal gehacked, dan bied een wachtwoord op een site ook geen bescherming meer, want een wachtwoord reset is dan ook zo geregeld. Enige wat het dan nog enigszins lastig kan maken is 2FA. Maar ja, als die ook niet op je mail zat, dan is er maar een kleine kans dat die wel op een site aangezet is.

Ik denk niet dat authenticatie (op welke manier dan ook) het probleem is. Ik denk eerder dat men niet overal maar te pas en te onpas accounts moet aanmaken en overal maar gegeven moet achterlaten. Beetje nadenken over je privacy kan tegenwoordig geen kwaad lijkt me.

Mocht je wel ergens een account aan (moeten) maken, dan ga ik er (helaas ten onrechte) vanuit dat een bedrijf zorgvuldig met mijn gegevens omgaat. Het straffen van bedrijven die dit niet doen zou ik dan ook prima vinden. 1-3% van de jaar omzet vind ik persoonlijk nog veel te weinig.

AceAceAce @teek2 • 22 april 2026 17:54

Ik snap ook niet dat bedrijven de sterkte van authenticatie van hun klanten uit handen geven zonder iets van afdwingen van de sterkte ervan. Zelfs publiekelijk toegankelijke mailboxen (weet niet of die er uberhaupt zijn) zijn kennelijk acceptabel voor dit soort bedrijven.

TheVivaldi @teek2 • 22 april 2026 20:13

Dat hele passkey-gedoe snap ik niet. Doe mij maar gewoon gebruikersnaam+wachtwoord+2fa. Geen privégegevens, wel een goede beveiliging.

@TheVivaldi • 22 april 2026 21:08

Passkey deelt geen gegevens, en is ook niet te phishen. Ik sync ze (via Proton pass), dus echt 2fa is het niet. Al zag ik dat GitLab het wel weer als 2fa ziet, na je normale inlog met naam/ww.

banaj @SpyQ • 22 april 2026 22:03

Platte MD5 zou niet handig zijn

Je zou "met behulp van" - met wat creativiteit - ook nog kunnen lezen als iets, gebaseerd op MD5. Zoals vBulletin, MD5crypt of zelfs PBKDF2-HMAC-MD5. Dat zou de impact voor massa lager maken. Ik vrees alleen het ergste...

iAR @SpyQ • 23 april 2026 07:44

Dan gebruik je de verkeerde dingen en dan ga je over naar f*cking inloglinks per e-mail. Als ik toch ergens een hekel aan heb is het wachten op een e-mail met codes, links en weet ik veel wat. Laat me gewoon een passkey of authenticator app gebruiken. Dat werk fijn met mijn wachtwoord manager én vervuilt mijn e-mailbox niet.

Vilitrius007 22 april 2026 17:07

Beste klant,

Er heeft zich een veiligheidsincident voorgedaan bij onze oude webshop die tot 17 maart werd gebruikt, waarbij je contact- en oude wachtwoordgegevens mogelijk zijn ingezien. Je bankgegevens en onze huidige nieuwe webshop zijn veilig, maar we raden je aan je wachtwoord aan te passen als je dit ook op andere websites gebruikt.

Lees hieronder het volledige bericht voor meer informatie.

Wat is er gebeurd?

Op 18 april 2026 hebben wij vastgesteld dat onbevoegden toegang hebben gekregen tot een oude databaseserver van onze voormalige webshop.

Welke gegevens zijn betrokken?

Mogelijk zijn de volgende gegevens ingezien of gekopieerd:

naam, adres en woonplaats
e-mailadres
telefoonnummer
versleutelde wachtwoordgegevens

Er zijn géén betaalgegevens, creditcardgegevens, bankrekeningnummers of legitimatiegegevens betrokken. Betalingen verliepen via de externe online betaalprovider en deze gegevens stonden dus niet op de getroffen server.

Is de huidige webshop getroffen?

Nee. Onze huidige webshop is niet getroffen door dit incident.

Wat adviseren wij je?

Omdat mogelijk wachtwoordgegevens betrokken zijn, adviseren wij je uit voorzorg je wachtwoord te wijzigen als je hetzelfde wachtwoord ook op andere websites gebruikt. Op de nieuwe webshop werken wij zonder wachtwoorden en krijg je alleen toegang via een code op je emailadres.

Wij hebben op dit moment geen aanwijzingen dat je gegevens actief worden misbruikt. Wel adviseren wij je alert te zijn op phishing en niet op verdachte links te klikken.

Let vooral op:

E-mails, sms-berichten of telefoontjes waarin wordt gevraagd om persoonlijke gegevens, betalingen of wachtwoorden.

Berichten die lijken te komen van Automatten.nl maar een afwijkende link of afzender bevatten. Automatten.nl zal je nooit per e-mail of telefoon vragen om je wachtwoord of betaalgegevens.

Welke maatregelen hebben wij genomen?

Wij hebben direct:

de oude server afgesloten;
aanvullende beveiligingsmaatregelen getroffen;
gecontroleerd dat andere systemen en onze nieuwe shop-omgeving niet zijn geraakt;
melding gedaan bij de Autoriteit Persoonsgegevens.

Vragen?

Heb je nog vragen, neem dan contact met ons op via:

privacy@automatten.nl

085-0290140

Onze excuses voor het ongemak.

Met vriendelijke groet,

Team Automatten.nl

ro8in @Vilitrius007 • 22 april 2026 19:45

Het aller irritantste is wanneer bedrijven bij dit soort incidenten een FAQ online gooien met vragen die letterlijk niemand stelt. Bij Odido waren echt de eerste 10 vragen over of je bestelling nu nog doorgaat en of je nog steeds gebruik kan maken van de geweldige korting deal. Maar de vraag hoe je nou erachter komt welke van jou gegevens bij hun bekend waren tijdens de Lek stond er niet bij. Echt zo kansloos dit!

headout @Vilitrius007 • 23 april 2026 12:04

Wat ik niet begrijp: waarom worden de wachtwoorden van alle klanten niet gereset? Nu gaat er een advies naar klanten, maar je zou het dus ook om kunnen draaien. Proactief: uit voorzorg hebben we uw wachtwoord gereset.

Sebastian1313 23 april 2026 08:47

Ach ik denk dat we hier gewoon aan moeten wennen. De gebruiker zal zich aan moeten passen want de kleine simpele webshopjes kopen een website voor 500 euro in de aanbieding, dus daar hoeven we echt geen vertrouwen in te hebben.

En waarom een wachtwoord voor dit soort kansloze winkeltjes. Ik bestel gewoon bijna altijd zonder account, gaat prima hoor.

Imprezzion @Sebastian1313 • 23 april 2026 11:19

Tot je support nodig hebt of een order status update wil omdat de bestelling lang op zich laat wachten. Ja maar je hebt geen account dus je kan niks inzien. Bel je de webshop, ja we kunnen niks van u vinden want u heeft geen account. Garantie of rma indienen? Kan niet want geen account.

Heb nu ook weer ergens een bestelling lopen met verwachte verzenddatum 21-04 (besteld 15-04) en na de factuur te hebben ontvangen in de mail direct na bestellen zonder account ook 0,0 updates meer en kan het niet tracken in de webshop want geen account.

Sebastian1313 @Imprezzion • 23 april 2026 11:45

Ja klopt, helaas heb je gelijk. Blijft moeilijk om hier als gebruiker goed mee om te gaan.

Net binnen:

Persoonsgegevens van vrijwel alle inwoners Epe gestolen bij cyberaanval - https://nos.nl/l/2611660

Je kunt er eigenlijk wel vanuit gaan dat alles wat je invoerd binnen het web op straat ligt (althans voor 99,9%). Dus daar waar mogelijk overal valse telefoonnummers, valse namen en alles maar anders, behalve het verzendadres. We moeten ons blijkbaar aanpassen 👀.

Binnen de survival wereld roepen ze "adapt or die". Zo makkelijk is het inderdaad.

[Reactie gewijzigd door Sebastian1313 op 23 april 2026 11:48]

thomasv 22 april 2026 17:03

Elke dag, het wordt steeds gekker. Stop er allemaal maar mee stelletje koekenbakkers als je backend schijnbaar in elkaar steekt als rotte vis.

Mog @thomasv • 22 april 2026 17:04

Ik ben bang dat het alleen maar erger wordt met al die vibe coders om ons heen.

Keypunchie @Mog • 22 april 2026 17:07

Voor de duidelijkheid, het zijn waarschijnlijk eerder de hackers die vibe coden, dan degenen die de software maken.

Mog @Keypunchie • 22 april 2026 17:20

Ik denk allebei. Wat het nog erger in het kwadraat maakt

neversium @Mog • 22 april 2026 17:07

Dit, maar ook omdat de drempel steeds lager wordt met alle LLM-tools die alles voor je doen.

Sissors @Mog • 22 april 2026 17:45

Ik denk dat de praktische oplossing voor de gemiddelde webshop iets gaat worden wat je ook op andere gebieden ziet, maar wat we ook weer niet willen: Doe het niet zelf, maar laat een tech gigant de hele handel regelen.

Beveiliging en antivirus

@Mog • 22 april 2026 19:24

Verreweg de meeste webwinkels zullen software van derden gebruiken. Hier ging het schijnbaar om een databaseserver. Mogelijk dus phishing. Dat staat dus vrijwel los van zwak programmeerwerk.

Miglow @thomasv • 22 april 2026 17:17

Gelukkig zijn er zoveel websites inmiddels gehackt dat de waarde dusdanig daalt dat geen mens nog zin heeft om ze te kopen. Iets met vraag en aanbod.

batjes @Miglow • 22 april 2026 18:14

Waar ik mij meer zorgen over maak is dat al deze gegevens uiteindelijk wel in de AI modellen terecht komen. Voor een completer plaatje. Wat publiekelijk beschikbaar is, is grotendeels al geindexeerd. Nu al die private data dat vrijwillig overhandigt danwel met hacks verzamelt wordt.

thomasv @Miglow • 22 april 2026 17:41

Klein lichtpuntje

bapemania @Miglow • 22 april 2026 17:42

Pas op wat je zegt, als ze je gegevens niet meer kunnen verkopen gaan ze ze zelf mss maar gebruiken voor een variëteit aan oplichtingspraktijken. Drink your own champagne holadiyee!

xxs @thomasv • 23 april 2026 11:49

Woon je in Epe?

https://nos.nl/artikel/2611660-persoonsgegevens-van-vrijwel-alle-inwoners-epe-gestolen-bij-cyberaanval

Nog een keer de klos

dave1995 22 april 2026 17:08

Draait deze webshop ook toevallig op Salesforce? Of zeg ik nou wat raars? Rituals en Odido draaien daar ook op.

TheVivaldi @dave1995 • 22 april 2026 20:14

En heetf Salesforce banden met Chipsoft?

peize9 23 april 2026 00:16

Geen versleutelen maar hashing. Een belangrijk detail. Versleutelen insinueert dat er een sleutel is die de wachtwoorden kan ontsleutelen..

himlims_ 22 april 2026 17:06

is er ergens een 0day actief ofzo die breed toepasbaar? is wel 'vaaker dan normaal' raak?! toch?

[Reactie gewijzigd door himlims_ op 22 april 2026 17:06]

@himlims_ • 22 april 2026 18:03

Niet specifiek 0day, maar de hoeveelheid is wel rap wel stijgende de laatste maanden.

Al jaren is het ellende met automagische bots en script kiddies die lekke Joomla/Wordpress/whatever instances PWNen, maar afgelopen tijd zie ik ook meer aanvallen op volledig custom geschreven sites.

Hulp van AI zal hier zeker mee te maken hebben, maar complete laksheid van de eigenaar van de website heeft er in veel gevallen ook mee te maken. Ze huren iemand in voor het ontwerpen van een site maar onderhoud is dan vervolgens te duur. Zal niet zeggen dat dit het geval is bij automatten.nl maar zie dit helaas wel vaak gebeuren in mijn eigen werk.

himlims_ @Riesch • 22 april 2026 20:48

Denk dat je de spijker op zijn kop slaat, althans, zo is mijn ervaring;

Hoe groter de partij/bedrijf/instituut, hoe moeilijk, omslachtig en onverantwoord processen verlopen. En zowel kennis als verantwoordelijkheid of daadkracht is versplinterd. Vervolgens zijn veranderingen moeilijker uitvoerbaar, want niemand weet hoe het zit.

Zie dit vooral bij (semi)overheid, of flinke organisaties; sommige basale zaken, zijn technisch gezien matig. Werkgevers waarbij 10k p/m voor een Wordpress website betaald wordt.

Die technisch brak is, functioneel beheer extern belegd, en niemand die het volledige systeem goed afstelt na behoefte.

Ik stel een een alternatief product voor; een tiende van de huidige kosten, welke technisch en praktisch gezien stabieler en betrouwbaarder is dan huidige implementatie. Maar geleverd wordt door “onbekende” partij.

Dan is het al snel een probleem; gaan persoonlijke en politieke belangen meespelen;

Want afgelopen weekend op de golfbaan,

Ceo1 “we hebben een nieuwe intranet dienst nodig “.
Ceo2: “geen probleem, na t weekend zal mijn sales leggen met jouw afdeling, dan maken we dat in orde.. nog voordat jij een birdie slaat”

En dat was het… deal done, aankomende 5jr zit organization vast aan een matige implementatie

[Reactie gewijzigd door himlims_ op 22 april 2026 20:49]

Keypunchie @himlims_ • 22 april 2026 17:09

Denk iets meer aandacht, door high-profile hits, en iets meer hacks dankzij de toegenomen kracht van AI-modellen, die offensief in te zetten zijn.

Kan iedereen, of het nou Dev, Ops of anderszins in de IT is, aanraden om AI-modellen eens specifiek op security te laten draaien. Maak een mooie prompt en draai die tegen een repo van je configuratie, of tegen je code.

Zoiets als een MD5 hash gebruiken voor opslaan van wachtwoorden, zal ongetwijfeld 'geflagd' worden.

[Reactie gewijzigd door Keypunchie op 22 april 2026 17:10]

ro8in @himlims_ • 22 april 2026 19:47

Ik denk dat men heeft uitgevonden dat je doormiddel van LLMs behoorlijk snel zero days kan vinden en daar nu lekker gebruik van maken bij bedrijven die nog niet zo ver zijn

Coy 22 april 2026 17:11

Aangezien ze aanraden om wachtwoorden te veranderen moet je uit gaan van 1 of beide van 2 dingen:

De wachtwoordeisen voor gebruikers waren zwak, om klanten niet af te schrikken :")
Er werd een zwak algoritme (SHA-1?) gebruikt om de wachtwoorden te versleutelen.

Als een zwak algoritme gebruikt werd kan je relatief eenvoudig de bijpassende plaintext bruteforcen, hoewel dit moeilijker word bij een sterke manier van hashing.

Tenzij mensen hun wachtwoord hergebruiken hebben aanvallers er gelukkig niks aan

@Coy • 22 april 2026 17:32

Geen sha1 of andere encryptie maar MD5. Heb je nog steeds wel een probleem als het een simpel wachtwoord was icm een rainbow tabel

Miglow 22 april 2026 18:22

Best een k*t site trouwens. Geef je merk en model in, krijg je nog alle merken en modellen te zien.

SpyQ @Miglow • 22 april 2026 23:19

Ja, ze zijn over gestapt naar een 'nieuwe webshop' ... Gewoon shopify platform lol

Andros 22 april 2026 17:09

Lijkt onderhand wel een hype, roep dat je gehackt bent en krijg gratis reclame... Is er nu ineens zo'n toename in hacks of werden ze voorheen stil gehouden?

Om te kunnen reageren moet je ingelogd zijn