Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb

De receptensite Smulweb is in het afgelopen weekend slachtoffer geworden van een hack. Bij de aanval zijn wellicht persoonsgegevens van bijna een miljoen leden buitgemaakt. Moederbedrijf Younity Media weigert details te geven over de hack.

In een mail aan de 950.000 leden bevestigt Smulweb dat de hackers geprobeerd hebben om de persoonlijke gegevens van leden uit de database te ontvreemden. Onduidelijk is of de aanvallers hierin geslaagd zijn.

Tijdens de registratie moeten gebruikers onder andere hun naam, e-mailadres en huisadres opgeven. Het is mogelijk om via de website bestellingen te plaatsen, maar volgens Smulweb-directeur Michiel Slegt stonden er geen betaalgegevens in de getroffen database.

Onduidelijk is hoe de hackers wisten binnen te dringen; misschien maakten ze gebruik van sql-injectie. Slegt weigert details vrij te geven over de hack. Zo wil hij geen antwoord geven op de vraag of wachtwoorden versleuteld werden opgeslagen. De website was dinsdagmiddag een tijd niet bereikbaar vanwege het aanpassen van de beveiliging.

De aanval op de servers van Smulweb vond in het afgelopen weekend plaats. Na de ontdekking besloot Smulweb alle bestaande wachtwoorden onbruikbaar te maken. Gebruikers hebben een mail ontvangen waarmee ze een nieuw wachtwoord kunnen aanmaken.

Door Yoeri Nijs

Nieuwsposter

Feedback • 06-09-2011 13:54
51 • submitter: allo2u

06-09-2011 • 13:54

51 Linkedin

Submitter: allo2u

Lees meer

Rus biedt 26 miljoen .nl-mailadressen te koop aan Nieuws van 19 maart 2012
Tivoli gaat aangifte doen tegen hacker - update Nieuws van 19 december 2011
Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen Nieuws van 18 december 2011
Hackers kraken websites Nederlandse spelletjesmaker Nieuws van 13 september 2011
Developerforum Nokia gehackt via sql-injectie Nieuws van 29 augustus 2011
Belegger.nl dwingt nieuwe wachtwoorden af na databasehack Nieuws van 15 augustus 2011
Tweaker legt lekken in Welovesafe.nl en Zoutzuur.com bloot Nieuws van 9 augustus 2011
Integriteitoverheid.nl slaat wachtwoorden in plain text op Nieuws van 4 augustus 2011
Lek in VARA-site gaf toegang tot 19.000 e-mailadressen Nieuws van 15 juli 2011
Politiebond haalt site offline na hack Nieuws van 6 juli 2011
Meer producten en artikelen
Websites en communities Beveiliging Hackers

Reacties (51)

-Moderatie-faq
51
48
25
2
0
11
Wijzig sortering
curvemod
6 september 2011 13:58
Tja, als het door SQL injectie komt kan je dit bijna geen hacken meer noemen. Dat is gewoon incompetentie van de developers :-) Ben wel benieuwd in hoeverre er openheid van zaken gegeven gaat worden over de hack, vind het geen fijn idee dat mijn huisadres ed. daardoor bekend worden |:(
Standeman
@curvemod6 september 2011 14:06
Het hoeft helemaal geen incompetentie van de developers te zijn. Dat iemand heeft geblunderd is duidelijk, maar om gelijk de developers de schuld te geven vind ik wel heel kort door de bocht. Voor hetzelfde geld was het een eis van de klant (ja, ik heb wel gekkere dingen gezien).

Wel extreem fout dat Michiel Slegt geen antwoord wilt geven op de vraag of de wachtwoorden encrypted waren of niet? Dat is toch wel erg belangrijke informatie voor de betrokkenen.
TDeK
@Standeman6 september 2011 14:21
Weigert, of misschien weet hij dit gewoonweg niet. Mijn directeur kan ook niet haarfijn uitleggen met welke hash-methode wij de wachtwoorden hashen, dus zijn 'weigering' vind ik wel wat kort door de bocht. Hij wekt nu alleen wel de schijn op dat de wachtwoorden in plain-text in de database stonden, emt alle gevolgen van dien.
RMX
@TDeK7 september 2011 10:31
Kom op, hoe snel pleeg je een telefoontje naar de programmeur met de vraag of ze versleuteld zijn?
kitafe
6 september 2011 14:59
Misschien moet het maar eens verboden worden dat websites zomaar om informatie vragen en opslaan. Het alleen opslaan van login, email en paswoord is voor de meeste sites voldoende.
En als ze meer willen opslaan moet er een soort vergunning of iets dergelijk komen.
Site moeten er van bewust worden dat ze verantwoordelijk zijn voor de gegevens die ze opvragen, en dus ook voor verlies van deze gegevens aan derde.
Geha(c)ktdag op Smulweb dus
hahaha

[Reactie gewijzigd door kitafe op 6 september 2011 15:05]

berkes
@kitafe6 september 2011 16:08
Transparantie is dan belangrijker.

Wanneer je als webwinkel stelt "We slaan niets van je op, en vernietigen alle logs en privacygevoelige informatie iedere nacht", moet je dat natuurlijk ook kunnen waarmaken.

Bijvoorbeeld door een controleur die dat nagaat en je een waarborg of vergunning geeft. Of door technieken te gebruiken die dit min of meer afdwingen (bij bitcoin-betalingen kun je bijvoorbeeld geen betalingsgegevens opslaan, anders dan een willekeurig, haast ontraceerbaar adres van de verzender).
Of door je broncode vrij te geven. Enzovoort.

Maar belangrijker is dat mensen zich beseffen dat als ze stellen dat "uw privacy is gegarandeerd", en dat onwaar blijkt na een hack (eigenlijk altijd), we met zijn allen dat bedrijf moeten boycotten en publiekelijk aan de schandpaal kunnen nagelen.

En dat gebeurt gelukkig steeds vaker. Een mooie bijkomstigheid van dubieuze clubs als LulzSec en Anon.
koter84
@kitafe7 september 2011 12:25
ik zeg OpenID !!

"gewoon" inloggen op een site via een bestaande account van bijvoorbeeld Google of Yahoo... of natuurlijk je eigen OpenID-server..
Het enige wat ik jammer vind van OpenID is dat niet iedereen alles ondersteund, zo kan ik niet op Google inloggen met m'n Yahoo/Flickr OpenID...

Als iedereen die OpenID doet verplicht wordt zowel de server- als client-kant te implementeren dan komt het wel goed, anders loop je tegen het probleem aan dat je 4 verschillende OpenID accounts nodig hebt om overal in te loggen...

Zo had ik een mooie OpenID via thawte of verisign ofzo, werkte met client-certificaten dus geen wachtwoordjes.... maar helaas kon ik bijvoorbeeld Google niet instellen om die te gebruiken... dus ja...
Anoniem: 392091
6 september 2011 13:59
Ze zijn lekker bezig de laatste tijd. Ik denk dat het wel eens nuttig zou zijn om een kenmerk voor 'veilige site' in het leven te roepen, zoals de BOVAG voor auto's. Een onafhankelijke autoriteit dit periodiek controles uitvoert op websites en certificaten uitgeeft. Dan had ook niemand trouwens certificaten bij DigiNotar aangevraagd ;)
Vastloper
@Anoniem: 3920916 september 2011 14:04
Jawel hoor als je een grote gevestigde partij als pwc dit zou laten doen krijgt iedereen vrolijk het keurmerk. Een keurmerk is een goed idee, maar zorg dan wel dat de controles ook echt goed zijn en volgens strenge voorwaarden gaan. Ik zou het wel fijn vinden als ik op een keurmerk kan vertrouwen voor ik me ergens registreer.
berkes
@Vastloper6 september 2011 16:00
En wie controleert de controleur?

Het waarborg "thuiswinkel" krijgt ook iedereen die ervoor wil betalen. Hun eis "Veiligheid en privacy" en "Veilig betalen" is niet gespecificeerd. En als het dat wel is: hoe weet je of niet een of andere organisatie een paar stagaires bij "thuiswinkel" binnen heeft gekregen die daar wat waarborgen uitgaven aan sites die dat helemaal niet verdienden?

Transparantie is belangrijker dan een duistere club die achter de schermen met andere duistere clubs afspreekt en het resultaat als een mooi waarborg-logootje laat zien.
curvemod
@Anoniem: 3920916 september 2011 14:02
Tja, ik weet niet in hoeverre dit praktisch uitvoerbaar is. Als je echt zeker wilt weten of de security goed is moet je diep in de code duiken. Bij een APK kijk je ook niet of een auto wielen heeft maar duik je ook onder de moterkap :9 Zeker bij de grotere sites is dat heel erg kostbaar ;)
IMarks
@Anoniem: 3920916 september 2011 14:04
dit zou kunnen maar je moet realiseren dat kwaadwillenden er altijd als eerste bij zijn. dit heeft dus geen enkele zin, je registreert je op hyves.nl omdat het uiterst veilig geacht wordt door het keurmerk en twijfelt dus niet om al je profiel gegevens te versturen. juist dan wordt het voor hackers gelijk interessant om het te kraken. ICT Beveiligen zal helaas nooit water dicht zijn en hebben dergelijke keurmerken helaas geen zin. hoe graag mensen het ook willen.

[Reactie gewijzigd door IMarks op 6 september 2011 14:18]

Anoniem: 16225
@Anoniem: 3920916 september 2011 15:00
vind ik wel een goed idee ja, ook zou zo'n instantie wat mij betreft ten alle tijde onaangekondigd controle kunnen doen op de verplichte aanwezige beveiligingen.
benji83
@Anoniem: 3920917 september 2011 13:11
Zeer strak plan. Neem dan alleen wel een paar heren in dienst als organisatie die zoiets moet gaan beheren die af en toe security audits doen.
Als het niet veilig is, zijn ze toch binnen en kunnen ze meteen het keurmerk van de site verwijderen ;)
timmetiedalton
6 september 2011 14:09
Jammer dat er geen openheid van zaken wordt gegeven. Zou voor de gebruiker van smulweb toch fijn zijn om te weten of ze een ander wachtwoord moeten gaan verzinnen.

Natuurlijk had je als eindgebruiker een apart wachtwoord moeten gebruiken voor smulweb, maar we weten allemaal dat lang niet iedereen dat doet.
IMarks
@timmetiedalton6 september 2011 14:20
alle wachtwoorden waren al onbruikbaar na de hack en iedereen heeft een mail gekregen om dat wachtwoord te wijzigen. zolang die dus niet gewijzigd is heb je geen toegang ook de hackers niet.
Goeie reactie maar voortaan iets beter lezen voor je reageert.
de_jarno
@IMarks6 september 2011 14:26
ik lees de reactie van timmietiedalton iets anders: hij heeft het expliciet over aparte wachtwoorden voor smulweb en andere sites. Waar hij zich denk ik zorgen over maakt is het misbruik van het - geblokkeerde - smulweb-wachtwoord bij andere sites, bijvoorbeeld i.c.m. een tevens buitgemaakt mailadres.
u_nix_we_all
6 september 2011 14:02
Wat slecht van Slegt. Volgens mij is dat wel de slechtste manier van "damage control", dat ze gehacked zijn is nu wel bekend, dan kunnen ze nu beter meer openheid geven. Vooral voor gebruikers die daar een account hadden is het van belang om te weten of de wachtwoorden encrypted waren of niet. Het beste kun je nu maar van worst-case uitgaan.
Oeroeg
6 september 2011 14:37
Je zou toch wel van een receptensite verwachten dat de wachtwoorden "gesalt" zijn :+
The Jester
6 september 2011 14:40
Geha(c)ktdag op Smulweb dus :Y)
veldmuis
6 september 2011 14:55
Moederbedrijf Younity Media weigert details te geven over de hack.
Dat is weer een +1 voor deze wetswijziging: http://www.antwoordvoorbe...ing/meldplicht-datalekken
tc982
6 september 2011 15:53
En wederom een website die meer persoonlijke gegevens vraagt dan noodzakelijk. Net zoals tweakers. Waarom moeten zij weten waar ik woon om een bericht op dit Topic in te vullen? Hetzelfde bij smulweb. Je moet overal maar je naam + adresgegevens doorgeven, maar ik heb nog nooit van hen een brief in de bus gehad ...

Er zou een "paypal" van de aanmeldingen moeten komen waarmee je met één account kan aanmelden op verschillende websites, en deze kan "unlinken" indien je daar niet meer wilt inloggen.
crisp
@tc9826 september 2011 16:17
Waarom moeten zij weten waar ik woon om een bericht op dit Topic in te vullen?
Waar wordt je bij ons verplicht om dat in te vullen?
tc982
@crisp6 september 2011 16:37
Voor het aanmaken van een nieuw account moet ik toch eerst registreren, en hier word mijn adres gevraagd. Ik zie het nut er niet van in!
Exorcist
@tc9826 september 2011 17:16
Dan vul je het niet in?
crisp
@tc9826 september 2011 18:56
Je woonplaats (niet adres) wordt onder andere gebruikt in V&A zodat je kan sorteren op afstand. Daarnaast bieden wij een optie om dergelijke gegevens geheel af te schermen van andere bezoekers, en als laatste: het is niet verplicht om in te vullen ;)
tc982
@crisp6 september 2011 22:54
Kan wel zijn, dat het niet nodig was, bleek me niet echt duidelijk. Afscherming is mooi, maar als de database gehacked word, is ze nog steeds public.

Waarom niet enkel vragen wanneer nodig? Bijvoorbeel bij V&A , dewelke 90% van de bezoekers nog nooit heeft gebruikt. Maar ik gok dat 80% van de gebruikers wel hun adres heeft ingevuld. En met welk doen dan?
Bassmaniac
@tc9827 september 2011 10:25
Dat doel is erg simpel:
Tweakers valt onder VNU media, de inkomsten van tweakers bestaat voor een (groot) gedeelte uit inkomsten gegenereerd door advertenties.
Hoe meer info je hebt van je gebruikers, hoe gerichter je kan adverteren.
Met de info van woonplaatsen kan je dus gericht adverteren op regio's. Je weet immers waar veel naar wordt gekeken, gezocht, etc.
Dat het vervolgens in V&A wordt gebruikt is voor JOUW dan een leuke bijkomstigheid....
Overigens, als je dat gegeven "los" zou moeten invullen bij alleen V&A, kan dat nog steeds gekoppeld worden aan je account en dus gericht worden gebruikt om te adverteren. De efficiëntie zal wat lager liggen, omdat er niet kan worden geput uit data van zoek- en leesgedrag.
Maar goed, je bent er mee akkoord gegaan tijdens het lid worden hè?! O-)
tc982
@Bassmaniac7 september 2011 15:31
Aha, dat is het , ik ben ermee akoord gegaan, omdat ik mee wou doen met tweakers.net. Toen wanneer ik aanmelde was digitale roverij van he id gegevens nog niet zo hot, ondertussen wel, en ik ben er zelf zuiniger mee. Sinds een jaar of twee heb ik dan ook een "fake" adres dat ik ingeef, en ik laat leveren aan mijn huisadres. Maar vroeger, tja, TOEN lag ik er niet wakker van.

Trouwens ze hadden evengoed kunnen vragen :
- Geslacht
- Postcode
- Leeftijd ( tussen 20 - 25 , 25-30 enz ).
Anoniem: 399807
6 september 2011 16:08
Ja er is een registratiedrang. Misschien dat dat voort is gekomen uit de TOS van allerlei bedrijven en instellingen. Een zaak van aansprakelijkheid. Het is misschien ook de wetgever die zich verkeerd bemoeide met die zaken.

Websites worden immers verantwoordelijk gemaakt voor de reacties op hun site. Om dan eventuele rechtzaken met succes doort e kunnen komen dienen ze te weten wie je ebnt zodat ze stappen kunnen ondernemen en zichzelf de handen in onschuld kunnen wassen.

Maar het betekende wel dat overal waar je iets wilt op internet, je je moet registeren. En dan vragen ze soms gegevens die irrelevant zijn voor het gebruik van zo'n site.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee