Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Submitter: allo2u

De receptensite Smulweb is in het afgelopen weekend slachtoffer geworden van een hack. Bij de aanval zijn wellicht persoonsgegevens van bijna een miljoen leden buitgemaakt. Moederbedrijf Younity Media weigert details te geven over de hack.

In een mail aan de 950.000 leden bevestigt Smulweb dat de hackers geprobeerd hebben om de persoonlijke gegevens van leden uit de database te ontvreemden. Onduidelijk is of de aanvallers hierin geslaagd zijn.

Tijdens de registratie moeten gebruikers onder andere hun naam, e-mailadres en huisadres opgeven. Het is mogelijk om via de website bestellingen te plaatsen, maar volgens Smulweb-directeur Michiel Slegt stonden er geen betaalgegevens in de getroffen database.

Onduidelijk is hoe de hackers wisten binnen te dringen; misschien maakten ze gebruik van sql-injectie. Slegt weigert details vrij te geven over de hack. Zo wil hij geen antwoord geven op de vraag of wachtwoorden versleuteld werden opgeslagen. De website was dinsdagmiddag een tijd niet bereikbaar vanwege het aanpassen van de beveiliging.

De aanval op de servers van Smulweb vond in het afgelopen weekend plaats. Na de ontdekking besloot Smulweb alle bestaande wachtwoorden onbruikbaar te maken. Gebruikers hebben een mail ontvangen waarmee ze een nieuw wachtwoord kunnen aanmaken.

Moderatie-faq Wijzig weergave

Reacties (51)

Tja, als het door SQL injectie komt kan je dit bijna geen hacken meer noemen. Dat is gewoon incompetentie van de developers :-) Ben wel benieuwd in hoeverre er openheid van zaken gegeven gaat worden over de hack, vind het geen fijn idee dat mijn huisadres ed. daardoor bekend worden |:(
Het hoeft helemaal geen incompetentie van de developers te zijn. Dat iemand heeft geblunderd is duidelijk, maar om gelijk de developers de schuld te geven vind ik wel heel kort door de bocht. Voor hetzelfde geld was het een eis van de klant (ja, ik heb wel gekkere dingen gezien).

Wel extreem fout dat Michiel Slegt geen antwoord wilt geven op de vraag of de wachtwoorden encrypted waren of niet? Dat is toch wel erg belangrijke informatie voor de betrokkenen.
Weigert, of misschien weet hij dit gewoonweg niet. Mijn directeur kan ook niet haarfijn uitleggen met welke hash-methode wij de wachtwoorden hashen, dus zijn 'weigering' vind ik wel wat kort door de bocht. Hij wekt nu alleen wel de schijn op dat de wachtwoorden in plain-text in de database stonden, emt alle gevolgen van dien.
Kom op, hoe snel pleeg je een telefoontje naar de programmeur met de vraag of ze versleuteld zijn?
Misschien moet het maar eens verboden worden dat websites zomaar om informatie vragen en opslaan. Het alleen opslaan van login, email en paswoord is voor de meeste sites voldoende.
En als ze meer willen opslaan moet er een soort vergunning of iets dergelijk komen.
Site moeten er van bewust worden dat ze verantwoordelijk zijn voor de gegevens die ze opvragen, en dus ook voor verlies van deze gegevens aan derde.
Geha(c)ktdag op Smulweb dus
hahaha

[Reactie gewijzigd door kitafe op 6 september 2011 15:05]

Transparantie is dan belangrijker.

Wanneer je als webwinkel stelt "We slaan niets van je op, en vernietigen alle logs en privacygevoelige informatie iedere nacht", moet je dat natuurlijk ook kunnen waarmaken.

Bijvoorbeeld door een controleur die dat nagaat en je een waarborg of vergunning geeft. Of door technieken te gebruiken die dit min of meer afdwingen (bij bitcoin-betalingen kun je bijvoorbeeld geen betalingsgegevens opslaan, anders dan een willekeurig, haast ontraceerbaar adres van de verzender).
Of door je broncode vrij te geven. Enzovoort.

Maar belangrijker is dat mensen zich beseffen dat als ze stellen dat "uw privacy is gegarandeerd", en dat onwaar blijkt na een hack (eigenlijk altijd), we met zijn allen dat bedrijf moeten boycotten en publiekelijk aan de schandpaal kunnen nagelen.

En dat gebeurt gelukkig steeds vaker. Een mooie bijkomstigheid van dubieuze clubs als LulzSec en Anon.
ik zeg OpenID !!

"gewoon" inloggen op een site via een bestaande account van bijvoorbeeld Google of Yahoo... of natuurlijk je eigen OpenID-server..
Het enige wat ik jammer vind van OpenID is dat niet iedereen alles ondersteund, zo kan ik niet op Google inloggen met m'n Yahoo/Flickr OpenID...

Als iedereen die OpenID doet verplicht wordt zowel de server- als client-kant te implementeren dan komt het wel goed, anders loop je tegen het probleem aan dat je 4 verschillende OpenID accounts nodig hebt om overal in te loggen...

Zo had ik een mooie OpenID via thawte of verisign ofzo, werkte met client-certificaten dus geen wachtwoordjes.... maar helaas kon ik bijvoorbeeld Google niet instellen om die te gebruiken... dus ja...
Ze zijn lekker bezig de laatste tijd. Ik denk dat het wel eens nuttig zou zijn om een kenmerk voor 'veilige site' in het leven te roepen, zoals de BOVAG voor auto's. Een onafhankelijke autoriteit dit periodiek controles uitvoert op websites en certificaten uitgeeft. Dan had ook niemand trouwens certificaten bij DigiNotar aangevraagd ;)
Jawel hoor als je een grote gevestigde partij als pwc dit zou laten doen krijgt iedereen vrolijk het keurmerk. Een keurmerk is een goed idee, maar zorg dan wel dat de controles ook echt goed zijn en volgens strenge voorwaarden gaan. Ik zou het wel fijn vinden als ik op een keurmerk kan vertrouwen voor ik me ergens registreer.
En wie controleert de controleur?

Het waarborg "thuiswinkel" krijgt ook iedereen die ervoor wil betalen. Hun eis "Veiligheid en privacy" en "Veilig betalen" is niet gespecificeerd. En als het dat wel is: hoe weet je of niet een of andere organisatie een paar stagaires bij "thuiswinkel" binnen heeft gekregen die daar wat waarborgen uitgaven aan sites die dat helemaal niet verdienden?

Transparantie is belangrijker dan een duistere club die achter de schermen met andere duistere clubs afspreekt en het resultaat als een mooi waarborg-logootje laat zien.
Tja, ik weet niet in hoeverre dit praktisch uitvoerbaar is. Als je echt zeker wilt weten of de security goed is moet je diep in de code duiken. Bij een APK kijk je ook niet of een auto wielen heeft maar duik je ook onder de moterkap :9 Zeker bij de grotere sites is dat heel erg kostbaar ;)
dit zou kunnen maar je moet realiseren dat kwaadwillenden er altijd als eerste bij zijn. dit heeft dus geen enkele zin, je registreert je op hyves.nl omdat het uiterst veilig geacht wordt door het keurmerk en twijfelt dus niet om al je profiel gegevens te versturen. juist dan wordt het voor hackers gelijk interessant om het te kraken. ICT Beveiligen zal helaas nooit water dicht zijn en hebben dergelijke keurmerken helaas geen zin. hoe graag mensen het ook willen.

[Reactie gewijzigd door IMarks op 6 september 2011 14:18]

vind ik wel een goed idee ja, ook zou zo'n instantie wat mij betreft ten alle tijde onaangekondigd controle kunnen doen op de verplichte aanwezige beveiligingen.
Zeer strak plan. Neem dan alleen wel een paar heren in dienst als organisatie die zoiets moet gaan beheren die af en toe security audits doen.
Als het niet veilig is, zijn ze toch binnen en kunnen ze meteen het keurmerk van de site verwijderen ;)
Jammer dat er geen openheid van zaken wordt gegeven. Zou voor de gebruiker van smulweb toch fijn zijn om te weten of ze een ander wachtwoord moeten gaan verzinnen.

Natuurlijk had je als eindgebruiker een apart wachtwoord moeten gebruiken voor smulweb, maar we weten allemaal dat lang niet iedereen dat doet.
alle wachtwoorden waren al onbruikbaar na de hack en iedereen heeft een mail gekregen om dat wachtwoord te wijzigen. zolang die dus niet gewijzigd is heb je geen toegang ook de hackers niet.
Goeie reactie maar voortaan iets beter lezen voor je reageert.
ik lees de reactie van timmietiedalton iets anders: hij heeft het expliciet over aparte wachtwoorden voor smulweb en andere sites. Waar hij zich denk ik zorgen over maakt is het misbruik van het - geblokkeerde - smulweb-wachtwoord bij andere sites, bijvoorbeeld i.c.m. een tevens buitgemaakt mailadres.
Wat slecht van Slegt. Volgens mij is dat wel de slechtste manier van "damage control", dat ze gehacked zijn is nu wel bekend, dan kunnen ze nu beter meer openheid geven. Vooral voor gebruikers die daar een account hadden is het van belang om te weten of de wachtwoorden encrypted waren of niet. Het beste kun je nu maar van worst-case uitgaan.
Je zou toch wel van een receptensite verwachten dat de wachtwoorden "gesalt" zijn :+
Geha(c)ktdag op Smulweb dus :Y)
Moederbedrijf Younity Media weigert details te geven over de hack.
Dat is weer een +1 voor deze wetswijziging: http://www.antwoordvoorbe...ing/meldplicht-datalekken
En wederom een website die meer persoonlijke gegevens vraagt dan noodzakelijk. Net zoals tweakers. Waarom moeten zij weten waar ik woon om een bericht op dit Topic in te vullen? Hetzelfde bij smulweb. Je moet overal maar je naam + adresgegevens doorgeven, maar ik heb nog nooit van hen een brief in de bus gehad ...

Er zou een "paypal" van de aanmeldingen moeten komen waarmee je met één account kan aanmelden op verschillende websites, en deze kan "unlinken" indien je daar niet meer wilt inloggen.
Waarom moeten zij weten waar ik woon om een bericht op dit Topic in te vullen?
Waar wordt je bij ons verplicht om dat in te vullen?
Voor het aanmaken van een nieuw account moet ik toch eerst registreren, en hier word mijn adres gevraagd. Ik zie het nut er niet van in!
Dan vul je het niet in?
Je woonplaats (niet adres) wordt onder andere gebruikt in V&A zodat je kan sorteren op afstand. Daarnaast bieden wij een optie om dergelijke gegevens geheel af te schermen van andere bezoekers, en als laatste: het is niet verplicht om in te vullen ;)
Kan wel zijn, dat het niet nodig was, bleek me niet echt duidelijk. Afscherming is mooi, maar als de database gehacked word, is ze nog steeds public.

Waarom niet enkel vragen wanneer nodig? Bijvoorbeel bij V&A , dewelke 90% van de bezoekers nog nooit heeft gebruikt. Maar ik gok dat 80% van de gebruikers wel hun adres heeft ingevuld. En met welk doen dan?
Dat doel is erg simpel:
Tweakers valt onder VNU media, de inkomsten van tweakers bestaat voor een (groot) gedeelte uit inkomsten gegenereerd door advertenties.
Hoe meer info je hebt van je gebruikers, hoe gerichter je kan adverteren.
Met de info van woonplaatsen kan je dus gericht adverteren op regio's. Je weet immers waar veel naar wordt gekeken, gezocht, etc.
Dat het vervolgens in V&A wordt gebruikt is voor JOUW dan een leuke bijkomstigheid....
Overigens, als je dat gegeven "los" zou moeten invullen bij alleen V&A, kan dat nog steeds gekoppeld worden aan je account en dus gericht worden gebruikt om te adverteren. De efficiëntie zal wat lager liggen, omdat er niet kan worden geput uit data van zoek- en leesgedrag.
Maar goed, je bent er mee akkoord gegaan tijdens het lid worden hè?! O-)
Aha, dat is het , ik ben ermee akoord gegaan, omdat ik mee wou doen met tweakers.net. Toen wanneer ik aanmelde was digitale roverij van he id gegevens nog niet zo hot, ondertussen wel, en ik ben er zelf zuiniger mee. Sinds een jaar of twee heb ik dan ook een "fake" adres dat ik ingeef, en ik laat leveren aan mijn huisadres. Maar vroeger, tja, TOEN lag ik er niet wakker van.

Trouwens ze hadden evengoed kunnen vragen :
- Geslacht
- Postcode
- Leeftijd ( tussen 20 - 25 , 25-30 enz ).
Ja er is een registratiedrang. Misschien dat dat voort is gekomen uit de TOS van allerlei bedrijven en instellingen. Een zaak van aansprakelijkheid. Het is misschien ook de wetgever die zich verkeerd bemoeide met die zaken.

Websites worden immers verantwoordelijk gemaakt voor de reacties op hun site. Om dan eventuele rechtzaken met succes doort e kunnen komen dienen ze te weten wie je ebnt zodat ze stappen kunnen ondernemen en zichzelf de handen in onschuld kunnen wassen.

Maar het betekende wel dat overal waar je iets wilt op internet, je je moet registeren. En dan vragen ze soms gegevens die irrelevant zijn voor het gebruik van zo'n site.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True