Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 119 reacties

Bij een grootschalige vermeende hack die in augustus aan het licht kwam, zouden 1,3 miljoen Nederlandse accounts zijn buitgemaakt. De hack werd eerder bestempeld als de 'grootste hack ooit'; er zouden in totaal 1,2 miljard logingegevens zijn buitgemaakt.

Het Nationaal Cyber Security Centrum kreeg de 1,3 miljoen Nederlandse accounts in handen van Hold Security, het bedrijf dat het lek ontdekte en in augustus in de openbaarheid bracht. De 1,3 miljoen gegevens zijn afkomstig van in totaal 420.000 websites die zouden zijn gehackt. Daaronder zijn 5600 websites met een '.nl'-extensie die zouden zijn gehackt. Sommige daarvan zijn mogelijk nog kwetsbaar.

Het gaat voor een groot deel om de combinatie van een e-mailadres en een wachtwoord. Het NCSC benadrukt dat dat niet betekent dat de mailaccounts zijn gekraakt, maar dat het gaat om accounts op andere websites. Het gaat om tenminste 1,3 miljoen unieke e-mailadressen.

Het NCSC gaat via hostingproviders en de SIDN de getroffen websites informeren. De bedoeling is dat internetproviders als Ziggo en UPC klanten die op de lijst staan informeren. De overheidsorganisatie heeft overigens alleen de e-mailadressen ontvangen; de wachtwoorden zijn niet meegestuurd.

Het lek dat in augustus aan het licht kwam werd aanvankelijk 'de grootste hack ooit' genoemd; er zouden 1,2 miljard accounts en 500 miljoen e-mailadressen zijn buitgemaakt. Er zijn echter sceptische reacties: zo geeft Hold Security weinig informatie over de hack en het bedrijf heeft een betaalde dienst waar gebruikers kunnen opvragen of hun website is gekraakt.

Update, 19.35: Xs4all heeft een e-mailcheck online gezet waarmee klanten kunnen controleren of hun xs4all.nl-adres is buitgemaakt. E-mailadressen eindigend op @cistron.nl en @demon.nl staan volgens Xs4all niet op de lijst aangeleverd door het NCSC.

Update, 20.50 uur: Het gaat om unieke mailadressen. Het artikel is hierop aangepast.

Moderatie-faq Wijzig weergave

Reacties (119)

Kan Nationaal Cyber Security geen website lanceren waar je kan controleren of je e-mail adres of gebruikersnaam bekend is. En indien dit zo is, om welke website's het gaat. Een soort have i been pwned?

[Reactie gewijzigd door nanoChip op 13 oktober 2014 16:09]

XS4All heeft een dergelijke site voor haar eigen klanten ingericht.
https://emailcheck.xs4all.nl/
Daar kun je je xs4all e-mail adres invullen en krijg je een mailtje of je op de lijst voorkomt. Ze laten helaas niet erbij weten welke site(s) het betreft (en ja, mijn e-mail adres komt ook op de lijst voor, gelukkig gebruik ik voor alle sites die er toe doen unieke wachtwoorden)
Dat je unieke wachtwoorden per site gebruikt is heel goed. Alleen je weet nu nog steeds niet op welke site je kwetsbaar bent. Kan een belangrijke site zijn of niet. Ik vind het erg vervelend dat ze hierover niet meer informatie geven. Nu zou je in principe alle sites langs moeten om je wachtwoord te veranderen om zeker te zijn dat niemand je account binnen komt.
Alleen je weet nu nog steeds niet op welke site je kwetsbaar bent.
Daar heb je inderdaad wel een goed punt. Toch eens achteraan gaan dus...
Als je een unieke wachtwoord gebruikt per site, hoe kunnen ze dan je account binnenkomen die een ander wachtwoord gebruikt? Als je het over websites hebt die "log in met Facebook" of dergelijke nonsens bieden, tja, eigen schuld als je daar gebruik van maakt.
Dit bedrijf blijft me verbazen, express mijn glasvezel hier genomen voor de goede support.

En keer op keer bewijzen ze zichzelf weer
Die ervaring deel ik niet meer, is imho een kpn kloon geworden met hier en daar nog restantjes xs4all die er langzaam maar zeker worden uit geramd door kpn... Ja, het is nog steeds beter dan kpn zelf, maar er waren/zijn betere alternatieven, als die onderhand ook nog niet zijn overgenomen...
"Het bericht is verzonden aan het door u opgegeven e-mailadres."

Werkt dus niet helemaal wanneer je in het verleden een xs4all-account had, maar nu niet meer... Niet echt handig.
Je zou er een mailtje aan kunnen wagen naar abusecentre@xs4all.nl, dat is het adres waar de reactie vandaan komt (en dat wordt ook gelezen en vlot beantwoord)
ik kom niet voor op de lijst. En ik gebruik dat adres best vaak voor de bekendere webwinkels.
Nee, daarvoor worden de ISP's ingeschakeld:
Daarnaast zijn ook de Internet Service Providers in stelling gebracht om de eigenaren van betrokken mailadressen met een .nl-extensie actief te bereiken. Zo wordt het overgrote deel van de betrokken gebruikers bereikt. Mensen in het bezit van een e-mailadres eindigend op .nl die geen bericht van hun provider ontvangen kunnen er over het algemeen van uitgaan dat hun e-mailadres geen onderdeel is van deze datase
Zie https://www.ncsc.nl/actue...ns-van-hold-security.html

Dus hoor je niets, ben je (vermoedelijk) niet getroffen. De getroffenen zullen dus apart worden benaderd.
Klopt, wij hebben van UPC twee adressen, het hoofdadres en een familieadres.
Op het familieadres kregen we van UPC de betreffende waarschuwing, op het hoofdadres niet. Voor alle zekerheid hebben we het advies van UPC opgevolgd.

Dit was de inhoud van de mail:
Verander het wachtwoord van uw UPC-e-mailaccount
Beste heer, mevrouw nnnnnnn,
Wij raden u aan om het wachtwoord van uw UPC e-mail aan te passen via upc.nl/accountbeheer. Daarom krijgt u deze e-mail.
Criminelen hebben gebruikersnamen en wachtwoorden gestolen
Deze zomer verschenen in de media berichten over een criminele organisatie. Deze heeft wereldwijd een enorme hoeveelheid gebruikersnamen met bijbehorende wachtwoorden verzameld. De gebruikersnamen kregen ze waarschijnlijk door in te breken in honderdduizenden sites. Bijvoorbeeld bij webshops en social media. Vervolgens hebben ze de inloggegevens van de bezoekers gestolen. Als gebruikersnaam wordt vaak het e-mailadres gebruikt. Ook uw e-mailadres komt als gebruikersnaam voor op deze lijst.
Uw e-mailadres komt voor op de lijst
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie heeft alle Nederlandse providers waarvan e-mailadressen op de lijst met gestolen gebruikersnamen voorkomen, op de hoogte gebracht. Ook uw e-mailadres komt voor op deze lijst. Wij weten niet of er misbruik is gepleegd met uw e-mailadres. Maar om het risico hierop zoveel mogelijk te beperken, adviseren wij u om het wachtwoord van uw UPC-e-mailaccount(s) per direct te wijzigen. Blijf dit ook regelmatig doen.
Voorkom misbruik
Om misbruik te voorkomen raden wij u aan ook voor andere e-mailaccounts, zoals Gmail, Hotmail en Outlook, regelmatig het wachtwoord te wijzigen. Daarnaast is het verstandig om voor bijvoorbeeld webshops en social media niet hetzelfde wachtwoord te gebruiken in combinatie met uw e-mailadres.
Meer informatie
Op upc.nl/veiliginternet vindt u alles over internetveiligheid. Voor hulp bij het opnieuw instellen van uw UPC-e-mailwachtwoord kunt u op onze website upc.nl/emailaccountinstellen terecht. Het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie heeft op zijn website details over deze zaak gepubliceerd. Ga hiervoor naar ncsc.nl.
Dus hoor je niets, ben je (vermoedelijk) niet getroffen. De getroffenen zullen dus apart worden benaderd.
Het wachten blijft op de eerste fake mails (die niet van een ISP afkomen) waarin mensen gevraagd wordt hun gegevens te wijzigen.
Ik kreeg zon'n email van Zeelandnet, en deze kwam zeer verdacht over:

1. Ik was niet geadresseerd met mijn naam
2. Alle links in de email gingen naar yourzine.tripolis.com met een unieke ID er achter.
3. Op de website van Zeelandnet staat alleen onderin een t.co link, uiteindelijk toch maar op geklikt, en deze gaat naar een pagina op dezelfde website?
4. Ik probeerde naar https://zeelandnet.nl te gaan om te bevestigen dat ik op de juiste website zit, en kreeg daar een melding dat het certificaat ongeldig is.

Al met al zeer knullig van Zeelandnet, en juist door dit soort praktijken lopen mensen risico's omdat je onmogelijk de echte en neppe emails en websites kan onderscheiden.
Deze mail?
Geachte heer/mevrouw,
Op 13 oktober 2014 heeft het Nationaal Cyber Security Centrum (Rijksoverheid) bekendgemaakt dat ongeveer 1,3 miljoen Nederlandse e-mailadressen met wachtwoorden zijn gestolen. Er zijn 14.417 ZeelandNet accounts bij, waaronder helaas ook dit e-mailadres.
Uw e-mailadres kan gebruikt worden voor spam, maar in combinatie met een of meerdere van uw wachtwoorden kan ook worden ingelogd op sites waar u een account heeft.

Wij adviseren u zo snel mogelijk uw wachtwoorden te wijzigen die u gebruikt in combinatie met dit e-mailadres. Denkt u bijvoorbeeld aan uw mailbox, webwinkels waar u bestellingen doet of sites waar u een ‘Mijn-omgeving’ heeft.

De mailaccounts en bijbehorende wachtwoorden zijn illegaal verkregen via kwetsbare sites van derden. Het gaat dus niet om een inbraak in de servers van ZeelandNet.

Lees hier meer over op de site van National Cyber Security Center en op bekijk onze veelgestelde vragen.

Met vriendelijke groet,
Jeroen de Graaf
Manager Customer Care
site van National Cyber Security Center: http ://yourzine.tripolis.com/public/r/ plus een hele reeks aan tekentjes en zo
site veelgestelde vragen idem, met andere reeks lettertjes en cijfertjes

De t.co link had ik overigens niet, alles verwees naar andere yourzine adresjes...


Dus ik ben even via de standaard weg naar de Zeelandnet website gegaan, ingelogd op de PIP en heb wat wachtwoordjes gewijzigd links en rechts.


(edit: typo)

[Reactie gewijzigd door Beesje op 14 oktober 2014 11:08]

Beetje jammer dat mijn ISP niet kan en gaat informeren over gebruikte Hotmail adressen en eigen domein en of andere non ISP email accounts, nu kan ik nog niet achter komen welke bedrijven gehackt zijn aangezien de gehackte bedrijven dit niet hoven te zeggen (?!)
wat nu al je een .com email adres hebt van strato bijvoorbeeld?
Dit geld alleen voor .nl email adressen en waarvan die provider ook daadwerkelijk mails gaat versturen.

Stel je hebt een gmail adres of een ander .com adres, word je dus niet op de hoogte gebracht en daarvoor zou zo'n "have i been pwned" wat nanochip aangeeft toch daadwerkelijk handig zijn.

Het gaat namelijk om email adressen die van nederlandse websites gehackt zijn, de email adressen kunnen dus gewoon internationaal zijn.
En voor mijn eigen domeinen? Dat loopt niet via een ISP, want daar gebruik ik een eigen mailserver voor.
Nee, daarvoor worden de ISP's ingeschakeld:
heb je wat aan als je een eigen domein, gmail, hotmail of weetikveel hebt.
wie gebruikt er uberhaupt nou nog het emailadres van je ISP :(

edit: ahem, ben weer 's spuit 11 :)

[Reactie gewijzigd door Webjunkie op 15 oktober 2014 09:55]

Een ex werkgever van mij, zette juist dit soort site's in de lucht, om te achter halen wat active e-mail adressen waren.

Anders gezegt, ik persoonlijk zou een beetje terughoudend zijn in dit soort check site's.
Deze check zou toch echt door de beheerder van de domein aangeboden moeten worden.
Dat lijkt me dringend nodig. Het idee dat Nederlanders alleen .nl e-mailadressen gebruiken is onjuist en de manier van waarschuwen die nu gekozen is dus niet effectief. Ik gebruik al sinds 2005 gmail en het e-mailadres dat ik van mijn huidige provider heb gekregen heb ik helemaal nooit gebruikt. Ik zou willen weten welke websites gehackt waren (ik houd zelf bij bij wie ik inloggegevens achterlaat).
Nevermind

[Reactie gewijzigd door kadoendra op 13 oktober 2014 19:33]

KPN stuurt dit rond naar 1 van mn mail aliassen:

Geachte heer/mevrouw,
Wij zorgen ervoor dat uw internetaansluiting en e-mailadressen goed beveiligd zijn. Maar ook ú kunt daarin het nodige doen. Om de veiligheid van uw online gegevens te waarborgen, adviseren wij u uw wachtwoorden te wijzigen.

Onderzoek Nationaal Cyber Security Centrum (NCSC)
Deze zomer verschenen in de media berichten over een criminele organisatie die wereldwijd ruim 1 miljard e-mailadressen met bijbehorende wachtwoorden heeft weten te verzamelen. De lijst met e-mailadressen zijn naar alle waarschijnlijkheid buitgemaakt door mee te kijken op honderdduizenden willekeurige websites, zoals webshops en social media waar bezoekers inloggegevens hebben ingevoerd. Uit onderzoek van de NCSC blijkt dat het e-mailadres waar u deze e-mail op ontvangt op deze lijst staat. Vermoedelijk hebt u ook tenminste één van deze vele websites bezocht en daar uw e-mailadres en wachtwoord ingevoerd.

Zelf het wachtwoord van uw e-mailadres wijzigen
Wij weten niet of er misbruik is gepleegd met uw e-mailadres. Om de kans hierop zoveel mogelijk te beperken, adviseren wij u om het wachtwoord van dit e-mailadres per direct te wijzigen en regelmatig te blijven doen. Ook voor andere e-mailadressen zoals Gmail, Hotmail en Outlook adviseren wij dit te doen. Daarnaast is het verstandig om voor andere online activiteiten verschillende wachtwoorden te gebruiken.

Wijzig uw wachtwoord snel en eenvoudig
1. Ga naar kpn.com
2. Login op MijnKPN: “Internet, Internet en Bellen, Interactieve TV en Alles-in-1 (ook voor glasvezel)”
3. Ga naar “Mijn gegevens”
4. Klik op “Wijzig Wachtwoord”
5. Volg de aanwijzingen

Meer informatie
Kijk voor meer informatie op ncsc.nl. Voor meer informatie over internetveiligheid kunt u ook terecht op kpn.com, zoekterm: “veiligheid”.

Met vriendelijke groeten,


<naam weggehaald>
Directeur Klantenservice



Maar ff serieus, wat schieten we hier mee op, paswoorden wijzigen veel mensen toch al verschillende keren, meeste mensen gebruiken al verschillende wachtwoorden voor allerlei sites.
De grap is echter, dat het hele email natuurlijk nergens als inlog gebruikt kan worden bij KPN, maar KPN zit wel iedereen op de stuipen te jagen om bij hun de wachtwoorden ook te wijzigen.
Terwijl grootste gedeelte er niks mee op schiet.....

Wat is een les van dit topic: "websites en instellingen moeten is OPHOUDEN met emails als loginnaam toe te passen, das namelijk al de 1e verzwakking. Eerst maar is weer terug naar een inlognaam"

[Reactie gewijzigd door bangkirai op 13 oktober 2014 18:43]

tja, dan lekt de database met emailadres, wachtwoord en gebruikersnaam. Ben je dan veel beter af? denk het niet.

Dat hele wachtwoorden systeem kan eigenlijk niet meer...
Ja, gevolgschade van lekken van inlognaam+wachtwoord is stukken kleiner, dan als er email+wachtwoord gelekt wordt.
Verschil in schade komt vooral, omdat de meeste sites mensen, dwingen om hun email adres als login te gebruiken.

Dus loginnaam+wachtwoord, betekent, dat een misbruiker, die hoogstens bij een paar andere sites kan gebruiken, email(als login) + pw kan waarschijnlijk bij 15x zoveel sites gebruikt worden.
Waarom? Als je een gebruikersnaam invult heb je in principe niet eens een e-mailadres nodig.
Waarom ga je er zo graag vanuit dat de meeste mensen verschillende wachtwoorden gebruiken? En zouden ze die werkelijk ook dan regelmatig veranderen?

Beveiliging is een kwestie van op meerdere punten risico afwegen en waar mogelijk wegnemen. Simpelweg een mailadres niet meer gebruiken maar een gebruikersnaam is een oplossing op zich, maar zorgt weer voor andere risico's.

Denk je trouwens dat KPN graag klanten waarvan dus een mailadres en wachtwoord door criminelen ergens buit zijn gemaakt graag de stuipen op het lijf jaagt? Het kost ze eerder geld door de klanten te waarschuwen. En dat gaat die klant kennelijk nog mopperen ook. Hoe haalt KPN het in het hoofd om te denken dat het voor de klant wijs is om zijn wachtwoord te wijzigen.... Nou dan doe je het lekker niet!
Waarom kijk ik hier niet meer van op? Ik ben zelf behoorlijk naief (echt waar), maar als ik zie hoe naief de mensheid is te geloven dat internet veilig is, dan wordt ik daar mismoedig van. Wist je dat huisartsen hun patiëntendossiers tegenwoordig ook in een cloud hebben? "Nee, het is veilig. We hebben immers zo'n apparaatje waar zonder je niet kan inloggen? De provider zegt ook dat het veilig is..."

Ik blijf er bij: zet geen privacygevoelige info op internet!
Ik blijf er bij: zet geen privacygevoelige info op internet!
Dus ook niet in je T.net profiel :P

Maar zonder gekheid. Iedereen heeft e-mail nodig (zowel prive als zakelijk) dus mijden is geen optie.
Het is maar wat je onder privacygevoelige info verstaat. Als mijn e-mailaccount wordt gekraakt is er qua aantasting privacy niet veel aan de hand.
Het is met name naief dat mensen ook daadwerkelijk geloven dat er een hackergroep is die 4.5 miljard (oh nee, toch 1.2 miljard, oh nee, toch 500 miljoen) Username/Password combinaties bij elkaar heeft gehacked. Tenminste, volgens de New York Times, die het heeft van het beveiligingsbedrijf die verder geen informatie kwijt wil over de hack (maar de namen van de hackers zijn bekend, echter niet bij welke groep ze horen, maar dat vertellen we je lekker niet), en die een dienst in het leven roept waarvoor je moet betalen om er achter te komen OF je op de lijst staat...

Klinkt als geld verdienen met FUD. Ik ga ook een lijst maken met miljarden e-mail accounts en wachtwoorden, en deze naar Hart van Nederland mailen, ofzo, met 1 of ander fantastisch verhaal over jaren onderzoek in het diepste geheim in de diepste krochten van het voormalig Soviet rijk. Het zou helpen als ik russisch sprak.

Maar goed, mensen worden wellicht weer eens wakker geschud. Waarschijnlijk zijn de U/P combinaties al minstens 4 jaar oud. Vandaar ook dat ze gebruikt worden om op twitter mee te spammen, ipv er echt geld mee te verdienen. Maar je wachtwoorden af en toe wijzigen is altijd slim.
Ik heb dit weekend (na de hack van 9lives.be) gewoon al m'n wachtwoorden veranderd en op een papiertje geschreven :+

Na veel afwegingen is dat eigenlijk het beste waar ik op kon komen. Keepass enz kan ook gehackt worden, keyloggers, trojans. Op papier is het veilig. :*) En je hebt een ander papiertje nodig (met gaatjes, zoals in de film) om het wachtwoord tevoorschijn te toveren. En op creditcard formaat.

Dat we dit moeten schrijven, anno 2014...
Tja, en dan ben je super veilig bezig met je wachtwoordbeheer en dan worden je wachtwoorden alsnog ontfutseld op het moment dat je ze gebruikt of tijdens een hack. Veilig ben je dus nooit.
Veilig ben je dus nooit.
Dat klopt. Maar een hack daar kun je zelf weinig aan doen. De veiligheid van je wachtwoorden wel. Dus sowieso verschillende wachtwoorden per site zodat een hack slechts 1 password blootgeeft.

Daarnaast vind ik het wel een interessante vraag: is het veiliger om je wachtwoorden in een password manager te bewaren of op papier. Misschien is de kans op een fysieke inbraak inmiddels wel kleiner is dan een digitale. Nadeel is natuurlijk wel het meenemen van die lijst. Als je met je lijstje in het openbaar gaat inloggen wordt de kans op diefstal of verlies meteen een stuk groter.
Ikzelf gebruik Keepass. Versleuteld, locked automatisch, en ik hoef mijn ww'en niet bij iemand anders neer te zetten, zoals bij LastPass.
Ik zou Dropbox kunnen gebruiken om ze te laten syncen, maar dat doe ik dus met de hand - ook beter gezien de laatste Dropbox problemen 8)7 .
Zo staat mijn ww-bestand op verschillende plekken (en devices), en heb ik er altijd wel 1 bij me.

Bij houden op papier is inderdaad nogal een rompslomp, want ik heb net even gekeken maar ik heb nogal wat wachtwoorden bij te houden dan...
Ik ben sinds het eerste bericht over deze hack het ook gaan gebruiken.
Voorheen gebruikte ik een paar wachtwoorden, alleen voor mijn financiële zaken gebruikte ik een uniek sterk wachtwoord. Maar ik vond het tijd worden om er eens even voor te gaan zitten om hier wat aan te doen.

Dan kom je erachter bij hoeveel sites je wel niet een account hebt (of moet hebben). Het was een hele klus maar alle accounts hebben nu een uniek sterk wachtwoord. Keepass werkt goed en ik ben blij dat ik nu alles netjes op orde heb. De database is ook versleuteld met een ket en met een lang sterk wachtwoord erop.

Ik zou ze niet allemaal op een briefje kunnen zetten.
Met keepass kan je je wachtwoorden tenminste organiseren en indelen.
Dan nog kunnen ze het makkelijk van de server plukken van welke dienst je ook gebruik maakt. Encrypted weliswaar, maar zelfs dan ligt het niet aan jou dat je het op een papiertje opslaat maar dan de dienst waarvan je gebruik maakt dus niet voldoet (in hoeverre kan je voldoen?) .
Makkelijk? Ik denk dat het vele malen moeilijker is om Lastpass te hacken dan een eigen, in elkaar geknutseld systeem. Daarnaast mag ik aannemen dat Lastpass de vault encrypt op basis van een sleutel die beveiligd is met je master wachtwoord.

Uiteraard is alles te kraken, maar ik denk dat het nog steeds vele malen veiliger is dan een papiertje waarvan je niet weet wie hem allemaal gekopieerd heeft terwijl je even niet keek. Een foto met een smartphone is snel gemaakt...
Het is niet encrypted met je master password. Als je je master password vergeten bent kan je namelijk nog een keystore decrypten met een token die in een client opgeslagen is. Je master password (of een een one time token in je client) decrypt de decryption key die dan weer gebruikt wordt om je keystore te benaderen. Althans, dat is mijn idee, want lastpass geeft geen helderheid over de security.
Wat zou kunnen is dat er een key is voor je keystore. Daar zit een random wachtwoord op. Dit random wachtwoord is op twee manieren apart van elkaar opgeslagen: beveiligd via de client token. En beveiligd via je eigen passphrase. Raak je één van beiden kwijt, dan heb je de andere methode om achter het centrale keystore wachtwoord te komen.
Ik moest even nadenken wat je bedoelde maar snap hem. Heb je hem zelf gemaakt of ergens een template vandaan?
roboform doet wat je wilt, probleem is dan wel dat als je je masterpassword kwijtraakt niemand meer bij je passwords kan komen. Werkt ook op je mobiel en tablet. Erg handig. Helaas niet gratis, maar wel volkomen veilig.

Op papier werkt ook, maar ik heb 158 inlognamen en wachtwoorden en laat roboform ze genereren en dan als de site het toetstaat minimaal 12 tekens en vreemde zaken erin (hoofd / kleine letters, vreemde leestekens etc.).

Dus tja, dan mag ik een schrift meenemen.
Heb ik ook gedaan. Ik gebruik overigens geen wachtwoord manager, maar als ik dat zou gaan gebruiken, dan zou ik de hoofdwachtwoord optie van Firefox gebruiken.
Ik vind dat over dit probleem echt belachelijk slecht wordt gecommuniceerd door het Nationaal Cyber Security Centrum.
Pleur gewoon zo'n website online zoals XS4ALL heeft gedaan, dan kan iedereen checken of zijn mailaccount getroffen is, en bij welke website(s). Of gooi die lijst online en laat mensen "ctrl +f"-en als dat te moeilijk is.

Voor adressen van ISP's kunnen de ISP's zelf een website maken om te checken. Maar hoe zit het met hotmail/live/gmail/yahoo etc?

Manmanman... Wat moet het toch allemaal weer moeilijk...
Helemaal eens, mijn gmail staat niet bij mijn provider. Geen idee hoe ik er achter kan komen of mijn adres in de database voor komt.
wat dacht je van contact opnemen met Hold? Dat is tenslotte de bron.
Er zit een verschil tussen actief en passief handelen. Zo'n website is passief. Leuk, maar daar bereik je heel veel luie personen niet mee die pas in actie komen als ze persoonlijk aangeschreven worden.

En een overheid die wel direct gaat benaderen, dat schiet veel personen met oog op privacy weer in het verkeerde keelgat, want de overheid heeft niets met hun mailadressen en websites te maken. Zelfs al zou de overheid de eigenaren van die sites of mailadressen willen benaderen, dan heb je persoonsgegevens nodig. Dat mailadres aanschrijven hoeft ook niet te werken, de laatst bekende contactgegevens heeft enkel de provider waar het account bij hoort. Dus is de provider de aangewezen organisatie om haar (ex)klanten te benaderen.

En bij die websites gaat dat al helemaal niet op om de overheid contact op te laten nemen. De overheid kan niet zonder hulp van providers nagaan bij wie ze moeten aankloppen. Nee, whois persoonsgegevens mag de overheid daarvoor niet raadplegen. Ook dat kan dus allen via de providers of die SIDN.

En het is niet bepaald veilig om die URLs van websites waarop valt in te breken en mailadressen dan maar op een website te plaatsen....

[Reactie gewijzigd door kodak op 14 oktober 2014 00:25]

De luie mensen bereik je er misschien niet mee. Maar is dat dan niet de eigen verantwoordelijkheid van die mensen?

Ik bezit op dit moment 3 mailadressen. Op geen van deze adressen heb ik tot nu toe van wie dan ook een mail gehad met als inhoud:
"Jeetje, onze website is gehackt. Pas op, verander zsm. je wachtwoord."

Ook van gmail of live/hotmail heb ik nog niets ontvangen. Dit baart mij enige zorgen.
Ik kan mij nauwelijks voorstellen dat ik niet getroffen ben door deze hack. Zoveel websites waar je je mailadres achterlaat...
En dan komt een of andere spamboer met zijn scraper voorbij op die pagina en is hij gelijk 1 miljoen e-mail adressen rijker? :)
Klinkt allemaal erg raar. Hoe groot is de kans dat dat bedrijf Hold Security gwoon met een web scraper naar email adressen heeft zitten zoeken en daar wat wachtwoorden bij heeft verzonnen?

Dit is behoorlijk groot nieuws, als het echt waar is. Het lijkt me sterk dat 420.000 websites totaal niks in de gaten hebben dat ze gehackt zijn. Er moeten wel een paar honderden tussen zitten op zijn minst die het is opgemerkt en het hebben vermeld aan hun gebruikers.

[Reactie gewijzigd door dunpealhunter op 13 oktober 2014 16:11]

Helemaal gelijk. Ik heb mij ook al eens opgewonden over "Hold Security" en hoe een eenmansbedrijfje maar nieuws hierover blijft generen dat elke keer weer opgepikt word door de media en dan gewoon geplaats word. Heb er ooit een ironische blog over gemaakt.

Iedereen kan wel zeggen dat er ,weet ik veel, 5 miljard username/password combinaties zijn buitgemaakt en dan vervolgens een lijst met 1 miljoen Nederlandse username/password naar het Nationaal Cyber Security sturen. Daar kan ik zelf ook wel aan komen. Ze worden waarschijnlijk toch niet getest op hou oud en relevant ze zijn.

Nee, alles waar de naam Hold Security aan vast zit is dikke bullshit. Bedrijven en gebruikers bang maken om zo hun service te kunnen verkopen. Hun service waar je zelf je email adres en password op hun website intypt en de website je verteld of je gehackt bent. En dat voor maar 120 dollar per maand. Juist ....
Je kan natuurlijk van mening zijn dat het dikke bullshit is, maar kom dan ook met een onderbouwing net als je een onderbouwing verwacht van het materiaal van Hold Security. Iemand beschuldigen is nogal makkelijk.
Er zit een verschil tussen bewijzen en twijfels hebben op grond van vermoedens. Ik zie terechte twijfels in je meerdere posts, maar je hebt geen enkel bewijs van je gelijk. En dan is het enige wat overblijft een beschuldiging zonder onderbouwing. Leuk als je een hekel hebt hoe bepaalde personen in de media komen, leuk als je graag bepaalde kritische personen omhelst. Leuk als je graag aan roddels en achterklap wenst te doen. Maar het zijn en blijven allemaal indirecte zaken die je niet enkel als verdacht accepteert maar zelfs als bewijs van je gelijk gebruikt. En daar heb je in beveiligingsland niet aan.

Je hebt zelf kennelijk inhoudelijk nog niets gezien aan materiaal en hebt een mening over randzaken en neemt meningen van anderen die eveneens geen directe inzage hebben in het materiaal aan alsof het zoete koek is en waarop je aan iemands betrouwbaarheid gaat knagen. Het is feitelijk de facepalm waar je anderen van beschuldigd: het zomaar aannemen van wat anderen je voorschotelen als zijnde de waarheid. De waarheid hoort niet af te hangen van wie het brengt of hoe het wordt gebracht maar van de inhoud. Tot die tijd:

Neem jij anders graag het risico op je wat wereldwijd een paar miljoen personen lopen als ze niet gewaarschuwd worden? Er zijn hier op Tweakers meen ik al een of twee meldingen dat die lijst met kwetsbare sites lijkt te kloppen. Dat kan je natuurlijk ook afdoen als fabels, of voor mijn part zeg je dan dat Hold Security dat ergens van het internet af heeft geplukt om mensen om de tuin te leiden. Punt blijft: waarom geloof je liever iemand die op basis van bijkomende omstandigheden/personen meent de omstandigheid onwaar te moeten bevinden liever dan dat je direct bewijs uitsluitsel laat geven over een gelijk of ongelijk van een bewering?

[Reactie gewijzigd door kodak op 14 oktober 2014 19:29]

Dat zou idd goed mogelijk zijn, of dat ze gewoon een spider hebben die een bepaalde exploit van een bepaald CMS probeert uit te buiten. Waarschijnlijk komen die gegevens daar vandaan; of Hold Security dat zelf gedaan heeft of niet is nog maar de vraag. Hoe dan ook, ik zou er niet mee in zee gaan.
Volgens het artikel op NCSC is de data verkregen via SQL injectie, ze refereren daar iig naar een artikel hoe dat op te lossen. Persoonlijk lijkt me dat nogal stug gezien de omvang van de hack. Lijkt me eerder dat er een 0day gebruikt is om deze data te verkrijgen. Wellicht hebben ze hearthbleed gebruikt en gewoon de webhosters gekraakt? Die waren lang niet allemaal 'op tijd' bijgewerkt.
Gister ook tv gekeken ja? :)
Vreemd dat ik die mail niet gekregen heb van ziggo.

Heb twee ziggo e-mail adressen die ik eigen overal en nergens voor gebruik op internet.

Maar ik heb ook nog 3 .nl domeinnamen en daar weet ik niets van of die ook achterhaald zijn de paswoorden.

Dit is zeker ook niet zomaar te controleren?
Op ncsc.nl staat dat de Stichting Internet Domeinregistratie Nederland, via de .nl-registrars de houders van de kwetsbare .nl-websites een waarschuwing geeft. Als je niets hoort dan heeft of je registrar het niet goed doorgegeven, of die stichting, of ncsc, of hold security, of je websites zijn niet gehackt, of ze zijn gehackt maar is niet bekend bij hold securit. Of wil je liever dat iedereen die niet in het lijstje staat ook een bericht krijgt dat die niet voorkomt? En je kan natuurlijk ook contact opnemen met Hold Security.

[Reactie gewijzigd door kodak op 14 oktober 2014 00:31]

Dank voor de uitleg Kodak.

Dan ga ik er maar vanuit dat ik met geen enkele mail adres voorkom in die hack. Heb ik mazzel.

Maar heb provider gisteren een mailtje gestuurd hierover dus nog heel eventjes afwachten op hun reactie, ik weet niet hoe hun te werk gaan op dit gebied.
Ik beheer een bedrijfsmailserver, dus ik zit met dezelfde vraag. Ik heb daarnet al een mailtje naar info@ncsc.nl gestuurd hierover. Als ik antwoord krijg, mik ik dat hier ook wel neer.
Gaat dit alleen over NL providers of ook Nederlandse consumenten van bijvoorbeeld gmail?
Deze informatieronde van het NCSC gaat alleen over .nl e-mailadressen. Dat wil niet zeggen dat als je je gmail adres ergens hebt gebruikt als accountnaam, deze niet ook is buitgemaakt, maar dat zou je dan van google te horen moeten krijgen (aangenomen dat dergelijke afspraken op internationaal niveau zijn gemaakt en niet alleen in Nederland)
Een kennis van mij heeft vandaag een e-mail van Google gehad dat zijn wachtwoord gewijzigd was. Via de beschikbare recovery procedures heeft hij de controle over zijn e-mailaccount terug kunnen krijgen. Ik weet niet of het per se met de hacks uit dit nieuwsartikel te maken heeft maar de timing is wel erg toevallig.
Ok, ik hou het in de gaten dan. Dankje!
Zeelandnet is ook getroffen (niet alleen de grote providers dus). Ik kreeg vanmiddag ook een mailtje dat mijn wachtwoord buitgemaakt was. Vreemde manier van communicatie om een link om in te loggen naar een gehackte mailbox te sturen als je het mij vraagt.
Er is geen enkele ISP getroffen. Het betreft e-mailadressen van .nl domains die op allerlei gehackte sites zouden zijn aangetroffen. En er is dus ook helemaal niet gezegd dat jouw ISP wachtwoord is buitgemaakt (tenzij je zelf zo onhandig bent geweest om hetzelfde wachtwoord op meerdere sites te gebruiken).
Er zijn maar weinig mensen die overal verschillende wachtwoorden voor gebruiken. Denk ook aan webwinkels bijvoorbeeld. Gelukkig heb ik daar een ander wachtwoord voor. ;)
Da's het voordeel van passwordmanagers. Gewoon automatisch een willekeurig wachtwoord laten genereren en onthouden. (goed, het wordt wel een beetje erg wedden op 1 paard en je kunt erop wachten tot die online passwordmanagers aangevallen worden, maar nog steeds beter dan overal hetzelfde wachtwoord)
Het meest vervelende van een password manager is dat ik niet op elk moment kan beschikken over mijn (random generated) wachtwoorden. Zit ik achter een andere pc dan is mijn password manager niet beschikbaar. Hoe kom ik dan aan mijn wachtwoord? Je hebt tegenwoordig wel apps voor op je mobiel, maar dat voelt toch al minder veilig. Bovendien moet je dan 64 karakters overtikken wat niet alleen erg gebruiksonvriendelijk is maar ook nog eens veel kans op tikfouten geeft.

Als iemand de perfecte oplossing heeft voor volkomen willekeurige lange wachtwoorden die je altijd en overal veilig tot je beschikking hebt dan hou ik me aanbevolen.
Ik zou de C'T van deze maand eens lezen als ik jou was. Die gaat net in op allerlei alternatieve. Inclusief een briefje op creditcard formaat wat je gewoon in je portemonnee kunt bewaren. Wel zo veilig.
Hoeveel wachtwoorden passen er op zo'n briefje? En schrijf je daar dan ook nog de gebruikersnamen en websites bij waar de wachtwoorden bij horen?
Want ik zie een briefje niet echt als alternatief voor mijn huidige KeePass database met 100+ wachtwoorden.
Als je het artikel leest dan zie je dat het een soort "systeemkaart" is, waarmee je met logica voor elke site een uniek passwoord beschikbaar hebt. Het is best een simpel en goed idee.
Je zou nog kunnen kijken naar een oplossing waarbij een wachtwoord wordt gegenereerd uit de site url en een master password. http://www.passwordmaker.org/passwordmaker.html bijvoorbeeld kun je zelfs op een usb stick meenemen en gewoon in een browser openen.

Maarja, uiteindelijk is dat misschien nog onhandiger dan een willekeurige echte passwordmanager, omdat je dus vastzit aan je (masterpassword+url)-hash...
Ik gebruik sinds een paar maanden Lastpass met een fysieke key om in te loggen op de password vault. Werkt erg prettig. De browser vangt eigenlijk elk inlogscherm goed af, dus daar heb je geen last van. De mobiele app vangt ook meestal inlogschermen af. En als dat niet werkt kun je altijd even inloggen op de Lastpass app en het wachtwoord copy/pasten. Sommige aps die via Facebook inloggen herkent Lastpass bijvoorbeeld niet goed.

Nadeel is dat de mobiele app natuurlijk geen hardware token ondersteund, dus daar log ik nog steeds met alleen een wachtwoord in. Maar mocht mijn mobiel een keer kwijt zijn dan kan ik natuurlijk gewoon het Lastpass wachtwoord wijzigen. Dan komt men er nog steeds niet bij.
Lange tijd heb ik gebruik gemaakt van LastPass, https://lastpass.com, waarmee je op elke computer, of mobiel/tablet, toegang kan krijgen tot je passwords. Je kan two step verification gebruiken, one time passwords e.d. Kost $12 per jaar als je voor het premium pakket gaat.

Uiteindelijk had ik het niet echt nodig en heb toen m'n abonnement gestopt, maar als je het geld er voor over hebt dan is dit misschien wel interessant.
Lastpass is een cloud-oplossing en dus bij voorbaat al niet geschikt voor het opslaan van wachtwoorden. Ik wil de wachtwoorden in eigen beheer hebben en niet toevertrouwen aan een derde partij. Je weet namelijk niet wat die derde partij ermee doet en hoe goed de gegevens beveiligt zijn. Daarnaast is een cloud-provider die wachtwoorden opslaat een goudmijn voor hackers en dus een veel te gewild doelwit. Het is een beetje de kat op het spek binden.
Leuk en aardig via de isps. Maar de UPC mail is net de enige die ik nog nooit ergens voor gebruikt heb. Maar m'n gmail, outlook en live adressen zwerven overal rond :( :(
Voor mij hetzelfde. Mijn enige adres is nu net het adres dat ik nooit gebruik als account. Wel is het te vinden op het net.
Het lijkt erop dat Hold Security gewoon een lijst met gecrawlde adressen probeert te verkopen en dat de NCSC daar gewoon intrapt.

Schneier heeft er een mooi verhaal over.
Zie 'Ruim een miljoen Nederlandse e-mailadressen en wachtwoorden

Ben jij dezelfde Bastiaan die heeft gereageert op het artikel van Schneier? Je wekt de indruk meer te weten van de lijst die het NCSC heeft bemachtigd. Misschien dat je iets toe kan lichten in het hierboven vermelde topic. Of op een andere wijze T.net van wat meer inzicht te voorzien?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True