Tweakers waarschuwt accounthouders opnieuw voor uitgelekte wachtwoorden

In de afgelopen weken zagen wij veel verdachte inlogpogingen op onze systemen waarbij steeds een combinatie van een mailadres en een wachtwoord direct werd gebruikt. Een aantal van deze accounts is vervolgens daadwerkelijk misbruikt voor pogingen om mensen op te lichten.

Dit deed ons vermoeden dat deze gegevens eenvoudig online te vinden zijn. Na een korte zoekactie vonden we inderdaad enkele bestanden met ruim 1,65 miljard e-mailadressen en wachtwoorden. We konden een groot deel van de mailadressen in onze eigen database matchen met een wachtwoord uit een van die uitgelekte databases. Daarna hebben we met deze accounts een inlogpoging gesimuleerd in een aparte omgeving van Tweakers. Van de accounts waarvoor dat is gelukt, hebben we het wachtwoord gereset.

We willen benadrukken dat de wachtwoorden van Tweakers niet in plaintext zijn opgeslagen en niet zijn uitgelekt op internet. We vinden het belangrijk om dit bericht te delen. Wees je bewust van de gevaren van het hanteren van identieke wachtwoord- en e-mailcombinaties op verschillende sites. Gebruik een wachtwoordhulp. Zo voorkom je dat je account door derden wordt gebruikt. Ook raden we aan de notificatiedienst van Have I Been Pwned te gebruiken, zodat je bij een relevant datalek snel op de hoogte bent.

Update 16:10: Alle mails zijn nu verzonden.

IT-banen

Reacties (347)

GG85 23 maart 2018 14:08

Ik zit er helaas wel tussen. Gebruikte alleen voor Tweakers, Wehkamp en Bol nog hetzelfde (best heel oude) ww.
En je raad het al, gisteren is er via Wehkamp een laptop besteld op mijn naam met een ander afleveradres en achteraf betalen (dat kan je daar niet uit zetten

).
Gelukkig kreeg ik een mailtje met "dank voor je bestelling" dus na een belletje richting Wehkamp is het pakketje is nooit de deur uit gegaan bij Wehkamp.

Daarnaast is die knuppel zo snugger geweest om een extra emailadres toe te voegen aan mijn account zodat hij statusupdates over de bestelling kreeg dus die heb ik nu. Vanmiddag afspraak om aangifte te doen en zijn emailadres en ip aan de politie te overhandigen.

Nu maar een goede PW manager gaan gebruiken die (naast de 'belangrijke ww-en die ik al uniek had) ook de webshops een unie ww geeft....

En: gebruik voor je primaire email ALTIJD een GOED en UNIEK wachtwoord, als ze dat hebben ben je echt de l*l.

Over een tijdje zijn adres maar eens op allemaal ranzige sites opgeven, soort van wraak...

[Reactie gewijzigd door GG85 op 22 juli 2024 18:12]

Rho d Berth @GG85 • 23 maart 2018 14:40

irritant. M'n tweakers naam/wachtwoord is simpel, de security van m'n tweakers account is namelijk totaal niet interessant. Nogal wiedes dat het gekraakt is, ik gebruik het namelijk op allemaal websites waar de security niet van belang is. Wat gaan ze doen, hier op tweakers berichtjes posten in mijn naam?

Nu wordt ik gedwongen mijn simpele tweakers wachtwoord aan te passen.... heel vervelend.

Farscape2

@Rho d Berth • 23 maart 2018 14:59

Leuk dat het voor jou niet interessant is, maar Tweakers kent ook nog een Vraag & Aanbod gedeelte wat drijft op, jawel, vertrouwen. Nu heb je, zo te zien, nooit iets met V&A gedaan, maar het feit dat je al sinds 2007 een account hier hebt zorgt er bij veel mede-tweakers wel voor dat je sneller vertrouwd wordt.

Dus iemand maakt op jouw account advertenties aan op V&A, mensen zien deze, twijfelen even want je hebt geen V&A feedback "Maar ach, die Robert is al ruim 10 jaar lid van Tweakers, dat zit vast wel snor."

Weet je wat pas makkelijk is? Een wachtwoordmanager, ik hoef nog maar 1 passphrase te onthouden, mijn wachtwoordmanager doet de rest, en voor veel grote sites kunnen wachtwoorden zelfs geheel automagisch veranderd worden.

Ik heb van 99% van de entries in mijn wachtwoordmanager 0 besef wat mijn wachtwoord zou kunnen zijn. Ook niet voor de sites/communities waar security totaal niet interessant is (zodra je er een account aanmaakt zou ik zeggen dat beveiliging wel een prioriteit is maar à la, dat ben ik).

batjes @Farscape2 • 23 maart 2018 15:30

Ik gebruik dezelfde taktiek als @Rho d Berth.

Maar ik log ook overal en nergens in op Tweakers, ik zou niet durven om op een random systeem met een password manager bezig te gaan.

Ik heb een centraal notificatie centrum voor eventueel misbruik op dit soort 'boeiend?' accounts, mijn email.

Als vertrouwen zo belangrijk is voor Tweakers.net, zou het ze sieren om dezelfde werkwijze te gebruiken als een MS, Google of FB. Deze sturen mij namelijk een SMS zodra er vreemde loginpogingen gedetecteerd worden. Dan weet ik direct of er stront aan de knikker is.

NMe @batjes • 23 maart 2018 17:55

Je kan ook een redelijk makkelijk te onthouden wachtwoord verzinnen en daar varianten op gebruiken voor websites. Stel je hebt het wachtwoord "pindakaas" verzonnen. Daar maak je dan "p1nd4|<AaS" van om het wat lastiger te maken. Daarnaast pas je een simpel truukje toe om het wachtwoord per website anders te maken, bijvoorbeeld door de eerste letter en de laatste letter van de site-naam in het wachtwoord te verwerken: "tp1nd4|<AaSs" op Tweakers, "fp1nd4|<AaSk" op Facebook, etc. Als je daarnaast ook een eigen domein in beheer hebt kun je ook een catch-all instellen zodat randomwoordhier@jouwdomein.nl ook gewoon aankomt en dan tweakers@jouwdomein.nl gebruiken op Tweakers, facebook@jouwdomein.nl op Tweakers, enz.

Met vrijwel geen extra moeite heb je een kort, overal verschillend wachtwoord dat alleen jij makkelijk kan onthouden (omdat jij de enige bent die het truukje kent) en een mailadres dat niet eenvoudig gematcht kan worden in een tabel met uitgelekte gegevens. En dat zonder password manager.

Blokker_1999

Websites en community's

@NMe • 25 maart 2018 14:38

Daar heb ik maar 1 antwoord op: https://xkcd.com/936/

We moeten eens ophouden met wachtwoorden te verzinnen die voor de mens moeilijk zijn om te onthouden maar voor een computer zeer eenvoudig om te raden. Wil je een wachtwoord dat stand houdt? Dan heb je lengte nodig, speciale karakters zijn geen must maar mogen wel. Elke beperking die men oplegt aan een wachtwoord, naast minimale lengte, zorgt er net voor dat het aantal mogelijkheden terug naar beneden wordt gehaald.

NMe @Blokker_1999 • 25 maart 2018 15:19

Daar heb ik maar 1 antwoord op: https://xkcd.com/936/

Fijn, maar dan heb je nog steeds een password manager nodig, of je hebt op meerdere websites hetzelfde wachtwoord. Tenzij je hetzelfde truukje toepast dat ik noemde en je "correct horse tweakers battery steeple" doet en "correct horse facebook battery steeple." Doet verder niks af aan mijn verhaal.

Titusvh @NMe • 25 maart 2018 23:56

Als iemand dan het wachtwoord ziet kan hij ook direct de wachtwoorden voor andere sites herleiden door de naam van de site te veranderen, bijvoorbeeld Tweakers in Wehkamp. Je moet de sitenaam dus wel goed verstoppen.

rkeet @Titusvh • 26 maart 2018 11:14

Hoe laat jij in Wiensnaam mensen je wachtwoord zien? En type jij dan zo langzaam, en met 1 vinger, dat ze (mensen) 30-50 chars in hun hoofd kunnen bijhouden en omzetten tot woorden?

Titusvh @rkeet • 26 maart 2018 11:33

Als je ww achterhaald wordt door een hack (slecht beveiligd) of key logger.

Waarom je je op zijn denigrerende manier denkt te moeten uitlaten is mij overigens een raadsel.

supersnathan94

@Blokker_1999 • 26 maart 2018 23:29

Een password met random karakters met dezelfde hoeveelheid items is vele malen makkelijker te brute forcen dan wat die XKCD aangeeft. Waar zij namelijk aan voorbij gaan is de beperking in de karakterset. Een normaal wachtwoord met random karakters (enkelvoudig) bestaat uit maximaal 72 tekens. Terwijl het nederlandse vocabulair al ruim 400.000 woorden kent (WNT). Neem je dan hoofdletters mee in die vergelijking dan zit je met all caps al aan 800.000 mogelijkheden. Echter kun je altijd nog om en om caps hebben op twee manieren (+800.000) of om de drie of vier karakters (+800.000) en met 1337-speak werken (+iets).

Het wordt echter helemaal mooi als je dit mixt met andere talen als Frans (270K), Engels (180K) en Duits (330K). Daarmee trek je de volledige vocabulair van die talen ook binnen bereik plus de alternatieve schrijfwijzen met hoofdletters en weet ik veel. Tel je dat allemaal bij elkaar op en maak je bijvoorbeeld expres wat spel/taalfouten dan kom je heel snel op enkele miljoenen mogelijkheden per woord positie (ongeveer 10M+). Met 10 woorden heb je dan al een factor 11 zo hoge entropy als met 32 random karakters uit het alphabet en de grap is dus dat een aanvaller niet weet wat je karakterset is. Je zou voor de gein eens kunnen kijken wat een koreaanse woord doet (of de tekens mogen) anders heb je er in 1 keer meer dan 1 miljoen mogelijkheden bij (en ik weet niet hoe het daar met hoofdletter gebruik zit, maar dat heb ik dan niet meegerekend).

Nee het beste wachtwoord is en wachtwoord zonder limiet op de lengte (tussen de 8 en 32 vind ik altijd een jammere). Dan kun je namelijk je favoriete songteksten gebruiken die je uit je hoofd leert en je bent klaar. Niemand gaat dat ooit kunnen brute forcen. Ook niet met een dictionary attack.

JosPlays @NMe • 23 maart 2018 18:36

Als je een gmail account hebt gaat dat met email adressen een stuk gemakkelijker. Je kan bijvoorbeeld pietje+tweakers@gmail.com gebruiken als jouw gmail account pietje@gmail.com is. Toch komen dan alle pietje+tweakers@gmail.com mails bij pietje@gmail.com terecht.

Tegenwoordig gebruik ik dat ook voor dat kleine beetje veiligheid.

Blijkbaar heeft iemand pogingen gedaan om in te loggen op mijn Epic Games account, waarschijnlijk dus ook door deze wachtwoord lek.

curkey @JosPlays • 23 maart 2018 20:26

Veel sites lusten het plusteken niet in een mailadres, terwijl het wel degelijk mag volgens de standaard. Bij mijn yahoo account heb ik nog de mogelijkheid om disposable addresses aan te maken. Dat is dan een mooi alternatief.

NMe @JosPlays • 24 maart 2018 00:24

Ik geef de voorkeur aan mijn eigen domein, met geintjes als deze.

377973 @NMe • 23 maart 2018 18:26

Goeie tip!

Tranquility @NMe • 24 maart 2018 11:47

Hele goeie tip, zo kun je je bekende wachtwoorden gebruiken, en toch uniek voor iedere site en makkelijk te onthouden. +3 Spotlight wat mij betreft.

PhoenixT @NMe • 27 maart 2018 16:52

Slecht advies. Dit soort letter-substitutie technieken kennen password crackers namelijk ook wel en die passen ze op grote schaal geautomatiseerd toe om grote lijsten wachtwoorden te genereren. Mensen maken vaak de denkfout dat als een wachtwoord er "moeilijk uitziet" voor een mens, dat deze dan ook moeilijk is voor een computer. Dat is niet zo. Het beste is gewoon een lang willekeurig gegenereerd wachtwoord dat je niet kunt onthouden. Punt.

NMe @PhoenixT • 27 maart 2018 16:54

Geen enkele hacker gaat bij grote lijsten met inloggegevens kijken waarom een wachtwoord dat hij probeert te bruteforcen niet werkt. Dat doen alleen hackers die specifiek één bepaald persoon targeten. Zal in de praktijk weinig tot niet gebeuren.

PhoenixT @NMe • 27 maart 2018 16:58

Je begrijpt me verkeerd. Letter-substitutie technieken worden al erg lang gebruikt door mensen die denken dat ze wachtwoorden sterker maken en dus passen crackers ze ook geautomatiseerd toe. Op basis van een bekend (Nederlands) woord zoals pindakaas dat je gewoon uit een corpus haalt genereren ze dan varianten zoals p!ndakaas, p1ndakaas, p1nd@k@@s, etc. Dat gaat gewoon automatisch en daar hoeven ze niks voor te doen. Misschien heb jij nét een variant op "pindakaas" weten te verzinnen die zo'n algoritme niet genereert, maar dat is dan eerder geluk dan wijsheid, daar moet je niet op vertrouwen.

NMe @PhoenixT • 27 maart 2018 17:34

Het punt van mijn post was dan ook helemaal niet die lettersubstitutie (al maakt dat het wel degelijk veiliger dan gewoon "pindakaas") maar het feit dat je zonder veel moeite een veilig password dat je kan onthouden tóch per site verschillend kan maken.

SibboNL @batjes • 24 maart 2018 10:03

Van mij hoeft niet ieder bedrijf mijn telefoonnummer te hebben. Liever een melding via de mail.

Farscape2

@batjes • 23 maart 2018 16:03

Microsoft, Facebook, Google... Dan heb je het ook over partijen die in een iets andere orde van schaal zitten dan Tweakers. Dat kun je niet zomaar 1-2-3 verwachten van een website als deze.

Ik log ook niet overal zomaar in op websites/diensten, enkel op apparaten die ik zelf in beheer heb, waar ik zelf kan beslissen wat er mee gebeurt, maarja sommige mensen verklaren mij ook voor gek daarom.

Je zegt het zelf al, je zou niet durven om op een random systeem met een password manager aan de slag te gaan, waarom dan inloggen op tweakers/facebook/mail whatever op datzelfde systeem? Dat is voor jezelf een gevoel van schijnveiligheid creeëren.

Wederom gaat het in dit geval niet enkel om jouw eigen account en je eigen data, het gaat erom dat er mensen zijn die misbruik kunnen maken van het vertrouwen dat dit platform heeft omdat mensen wachtwoorden hergebruiken, zelfs bij een community die zogenaamd zou bestaan uit mensen die weet hebben van computers.

Tuurlijk zijn er grenzen aan hoe goed je jezelf kunt beschermen, maar het gezeur over het niet willen gebruiken van een passwordmanager en daarom maar arbitraire kwalificaties aan websites hangen snap ik niet "Ah die valt in security-categorie A, tijd om mijn diceware erbij te pakken" waar ze bij de volgende website denken "Ah maar deze is category F, fuck it, Welkom123 wordt het". Want laten we eerlijk zijn, een tactiek is het niet die je hanteert. Je kunt het een tactiek noemen, maar er zit geen greintje tactisch denken achter.

Het is allemaal niet zo moeilijk, hergebruik nooit wachtwoorden. Simpel, klaar als een klontje, als je logins als throw-aways beschouwd dan creeër je toch geen account?

[Reactie gewijzigd door Farscape2 op 22 juli 2024 18:12]

ArranChace @Farscape2 • 23 maart 2018 16:29

Betalingen doe ik alleen op een PC die ik zelf beheer, ook nog heerlijk ouderwets met notitie boekje in de kluis waar alle WW opstaan, en surf op vage sites in een afgeschermde shell, die in geen directe verbinding staat van mijn netwerk(en)

Ook ik word af en toe voor gek verklaard, maarja in 35 jaar IT/Telecom werkzaam te zijn, ontwikkel je een gezonde dosis digitale paranoia

Dreamvoid @ArranChace • 25 maart 2018 23:07

Klopt, er wordt altijd lacherig gedaan over een ouderwets vel papier met een password, maar het is iig voor twee redenen een beter idee dan een digitale password-manager:
- bij overlijden of noodgeval kan je partner/familie in je accounts
- bij een fysieke inbraak in mijn huis (dat op zichzelf is al vele malen minder waarschijnlijk dan een digitaal lek) is er geen inbreker die urenlang naar een goed verborgen vel met passwords gaat lopen zoeken.

Tjidde @batjes • 23 maart 2018 17:35

Dan installeer je toch een password manager lokaal op je PC die je met een authenticator extra beveiligd? Dan moeten ze eerst je PC hacken en dan nog je wachtwoord en dan nog eens je authenticator hebben.
Als ze dat lukken hebben ze het zo wat verdiend... Voor een authenticator kan je gewoon een oude telefoon gebruiken die na het installeren geen verbinding meer maakt met het internet.

CollisionNL @Farscape2 • 23 maart 2018 17:40

Hoi Farscape2,

Welke PW manager gebruik jij? En als je op een computer zit van iemand anders, hoe weet je dan je pw?

Gr

Farscape2

@CollisionNL • 23 maart 2018 21:10

@CollisionNL & @Gelomidor,

Voor werk:

Lastpass Enterprise
YubiKey voor 2FA

Voor thuis:

Lastpass maar dat heb ik uitgefaseerd door weer over te stappen naar KeePass
Keepass Portable op USB drive met database die via syncthing naar de benodigde apparaten wordt gesynchroniseerd

En voor Multi-Factor Authentication:

YubiKey
OTP Authenticator / Google Authenticator op telefoon
Backup codes voor verschillende diensten die veilig opgeborgen zitten in een brandkast voor als alles naar de klote gaat

Natuurlijk is het niet zo dat ik geen wachtwoorden meer hoef te onthouden, maar ik heb maar enkele passphrases/wachtwoorden die ik moet onthouden om bij de rest te kunnen komen. Is mijn methodiek omslachtig? Ja. Is het altijd even handig? Nee, want:

En als je op een computer zit van iemand anders, hoe weet je dan je pw?

Niet, die weet ik nu ik achter mijn eigen computer zit ook niet.

Hoewel ik technisch gezien KeePass Portable gebruik op een thumb-drive en ik dat op iedere computer zou kunnen gebruiken, doe ik dat eigenlijk nooit. Ik heb genoeg aan mijn desktop / server thuis en mijn macbook / android telefoon voor onderweg en op 't werk.

En op een openbare computer heb ik niet snel de neiging om in te loggen ergens, ik weet immers niet wat er op de achtergrond draait. Zelfde geldt voor openbare netwerken, maar daar heb ik dan op mijn eigen apparaten nog wat bescherming voor aangezien een VPN/SSH tunnel naar huis zo opgezet is.

Als je er zelf aan wil beginnen en een all-in-one oplossing wil, kijk naar 1Password of Lastpass. Wil je alles zelf in handen houden: KeePass (nooit je database en keyfile op dezelfde plek bewaren, just a handy tip), is wel iets meer werk

.

Zoals @curkey hieronder ook zegt, het is 1 klik en je bent ingelogd. Geen getwijfel of het nu dat ene wachtwoord was met een 1, een 4 of toch een uitroepteken. Dat geldt ook voor LastPass/1Password en de andere cloudoplossingen die er tegenwoordig zijn.

Net zoals @ArranChace heb ik ook notitieboekjes gebruikt en had ik een lijst aan wachtwoorden klaar waar ik uit kon kiezen als ik er 1 nodig had, en passphrases samengesteld door met een dobbelstenen te rollen, maar deze methode werkt voor mij tot nu toe. En ik hoef geen notitieboekjes meer bij te houden, dat scheelt ook

[Reactie gewijzigd door Farscape2 op 22 juli 2024 18:12]

curkey @Farscape2 • 23 maart 2018 21:16

De WebAutoType is een hele fijne plugin voor Keepass. Deze kun je configureren met wildcard URL's. Op de site is het dan een simpele Ctrl+Alt+A en je zit erin. Echt helemaal top.

Stijnvi @Farscape2 • 23 maart 2018 22:59

Persoonlijk gezien vindt ik LastPass extreem fijn. App om m'n telefoon en inloggen met vingerafdruk. Chrome plugin en overal kan je inloggen. En dan nog voor de grote accounts een code in Google Authenticator en gehackt worden is bijna niet meer mogelijk.

thegve @Farscape2 • 24 maart 2018 14:08

Ook om incidenteel in te loggen op PC's die ik niet vertrouw, zoals bij vrienden/kennissen/vakantie randomness, is Lastpass handig. Ik heb Lastpass op mijn telefoon dus dan kan ik daar het wachtwoord opzoeken, en is het enige wachtwoord dat ik 'riskeer' het wachtwoord van die ene dienst waar ik dan op inlog.

Gelomidor @Farscape2 • 23 maart 2018 19:52

Welke PM gebruik je? Ik wil er ook graag aan beginnen

curkey @Farscape2 • 23 maart 2018 20:24

Inderdaad, juist op zo'n site waar je zelden komt ben je in staat het ww te onthouden; 1 simpele klik in KeePass en *flits* daar staan 18 random karakters.

Eupeodes

@Rho d Berth • 23 maart 2018 14:51

Als het alleen zou zijn gegaan om berichtjes posten onder iemands naam zou het inderdaad enkel hinderlijk zijn, een account van dik 10 jaar oud (zoals het jouwe) is echter ook zeer interessant om mensen mee op te lichten. Immers, een account dat al zo lang bestaat daar zal toch niks mis mee zijn.

En uit het artikel:

Een aantal van deze accounts is vervolgens daadwerkelijk misbruikt voor pogingen om mensen op te lichten.

CAPSLOCK2000

Websites en community's

@Rho d Berth • 23 maart 2018 14:54

irritant. M'n tweakers naam/wachtwoord is simpel, de security van m'n tweakers account is namelijk totaal niet interessant. Nogal wiedes dat het gekraakt is, ik gebruik het namelijk op allemaal websites waar de security niet van belang is. Wat gaan ze doen, hier op tweakers berichtjes posten in mijn naam?

Nu wordt ik gedwongen mijn simpele tweakers wachtwoord aan te passen.... heel vervelend.

Ik snap de denkwijze, maar er is toch wel iets op aan te merken.
Het eerste gevaar is dat websites snel veranderen. Een site die vandaag nog niks interessants doet kan morgen een webshop toevoegen.
Het tweede gevaar is dat toegang tot de ene website vaak kan worden gebruikt om toegang tot andere websites te krijgen. Zeker sites met e-mail of messaging-functionaliteit kunnen zo gebruikt worden.
Het derde risico is dat je account wordt gebruikt om anderen op te lichten. Jouw goede naam wordt verpest en met een beetje pech komt de politie langs om verhaal te halen.
Dat laatste lijkt dus echt gebeurd te zijn in dit geval. Naar mijn mening moet je Tweakers dankbaar zijn voor hun pro-actieve optreden nadat je zelf, tegen alle adviezen in, hetzelfde wachtwoord op meerdere plekken hebt gebruikt.

FlipFluitketel Frontpage Admin @Rho d Berth • 23 maart 2018 15:31

Zoals de mensen hierboven al zeggen, misbruik maken van V&A.

Ja, we hebben diverse accounts gebanned die via V&A het een en ander aanboden. Dan krijgt een koper dus een reactie terug met een rekeningnummer (of met het verzoek om via whatsapp contact op te nemen), koper maakt geld over omdat het account al x aantal jaren bestaat (dus "betrouwbaar") om vervolgens niks geleverd te krijgen.

Sommige gebruikers gaan dan uiteraard even zoeken of er wat meer te vinden is over die gebruiker en als dan de naam openbaar in het profiel staat (zoals bij jou het geval is) zou het zomaar kunnen dat je naam ineens online staat met de mededeling dat je een oplichter bent. Lijkt je dat een fijn idee? De meeste mensen zouden dat niet bepaald prettig vinden.

CBA @Rho d Berth • 23 maart 2018 16:11

Mijn wachtwoord van 2000 zat er ook tussen, ik kan me niet voorstellen dat ik dat wachtwoord nog ergens anders gebruikt heb aangezien het geen enkele standaard gebruikte en één woord was zonder cijfers of speciale tekens, bedankt Tweakers om mij daar op te wijzen

YopY @GG85 • 23 maart 2018 14:31

Valt me nog mee dat Wehkamp achteraf betalen nog toestaat, dat is juist een van die manieren die open staan voor misbruik. Acceptgiro's worden daarom ook bijna nergens meer gebruikt. Het zou een optie moeten zijn die je alleen zou aanbieden als je bijv. 2FA aan hebt staan. Maar ik begrijp niet waarom het uberhaupt een optie is, gewoon ideal voor alles.

D.oomah @YopY • 23 maart 2018 20:25

Ik gebruik ook achteraf betalen bij Wehkamp. Ik bestel soms voor bijna 1500 euro aan kleding maar stuur het grootste gedeelte weer terug. Ik kan niet 1500 euro voorschieten (of beter gezegd, wil niet) en met achteraf betalen krijg ik netjes de rekening nadat ik alles terug gestuurd hebt.

Wehkamp laat dit trouwens niet bij iedereen toe. Je moet wel een beetje krediet opbouwen daar.

Sharkoon @D.oomah • 24 maart 2018 00:15

Dus je bouwt krediet op als.je massaal gaat bestellen en massaal weer terug stuurt. Nee daar zullen ze blij mee zijn.

KopjeThee @Sharkoon • 24 maart 2018 06:38

Ik denk dat Wehkamp bij kleding behoorlijk tolerant moet zijn in dit opzicht. Soms is bijvoorbeeld niet precies duidelijk welke maat van welk kledingstuk je moet hebben. Dan kies je 2 maten o.i.d. Dan zal er altijd 1 terug gaan.

beerendlauwers @Sharkoon • 24 maart 2018 07:38

Dit is standaard voor zowat alle kledingszaken.

thegve @Sharkoon • 24 maart 2018 14:14

Ik denk dat het best nog wel eens efficiënt kan zijn tov de klassieke winkel. In plaats van een fysiek filiaal waar ze een pittige huur moeten betalen en personeel in moeten plaatsen, nog naast het magazijn, hebben ze een magazijn met wat meer personeel, maar een extra retourkanaal. Wat met een beetje volume behoorlijk efficiënt kan.
Er van uitgaande dat je "de helft" terugstuurd dus de andere helft ook houd, zullen ze dit wel prima vinden.

Blijebal @YopY • 23 maart 2018 14:55

het is wel handig als je op een webshop wat wilt bestellen die je eigenlijk niet kent. Dan doe ik liever afterpay als ik het pakket in goede orde heb ontvangen dan dat ik achter mijn geld aan moet gaan als het niet goed gaat.

Ik geef je idd gelijk dat het misbruik gevoelig is. maar dat is dan het risico van de verkoper. En een beetje vertrouwen in je klanten moet je wel kunnen hebben.

MoonRaven

@YopY • 23 maart 2018 14:59

Achteraf betalen is een optie die moet worden aangeboden bij verkoop aan consumenten. Zie bijvoorbeeld ook https://ictrecht.nl/2015/...-nu-met-achteraf-betalen/

Eupeodes

@YopY • 23 maart 2018 15:10

Burgerlijk Wetboek Boek 7, Artikel 26

De betaling moet geschieden ten tijde en ter plaatse van de aflevering. Bij een consumentenkoop kan de koper tot vooruitbetaling van ten hoogste de helft van de koopprijs worden verplicht.

Krysa @YopY • 23 maart 2018 15:16

Steekproefsgewijs wordt je door Wehkamp gebeld om de bestelling te bevestigen. Zo werd ik gebeld door Wehkamp toen ik een Apple Watch af liet leveren bij een DHL pakketautomaat op een centraal station. Dit is i.c.m. achteraf betalen natuurlijk redelijk verdacht, dus dat zal de reden van het belletje zijn geweest.
Overigens kan achteraf betalen ook gewoon handig zijn. Maar je moet het imo niet gebruiken als krediet voor spullen waar je geen geld voor hebt.

Jorissie87 @GG85 • 23 maart 2018 14:16

Vervelend dat zoiets je overkomt en ook wel dom van de "dader" om dit zo aan te vliegen. Aan de andere kan is de kans dat de politie hier iets mee gaat doen nihil helaas. Laat horen hoe het afgelopen is, ben wel benieuwd!

GG85 @Jorissie87 • 23 maart 2018 14:31

Ja iknow, Wehkamp zei dat er meer mensen slachtoffer waren geworden van hetzelfde emailadres en ook aagifte hadden gedaan dus wie weet.

yobikap @GG85 • 23 maart 2018 14:35

Kon je makkelijk aangifte doen? Aan mij werd verteld dat Wehkamp dat zelf mocht doen aangezien ik er niet voor getekend had en dus nooit ontvangen heb. En er was inderdaad een andere e-mail adres gebruikt.

GG85 @yobikap • 23 maart 2018 14:36

Ga zo naar het bureau, dame van 8844 zei gisteravond van wel

StefanTs @yobikap • 23 maart 2018 14:53

Ze zijn verplicht je aangifte op te nemen. Dat ze dat regelmatig weigeren is onwettig. Als ze wel konden weigeren zou een enkele agent of boa wel erg veel macht hebben.

pelle888

@GG85 • 23 maart 2018 18:00

Ik zit er al tijden over na te denk om een password manager te gebruiken. Het enigste wat me er nu van weerhoud is het feit dat zo'n manager ook gewoon gehackt kan worden en dan zijn al je accounts in gevaar. Dan lijkt het me minder eng dat een belangrijk account gehackt wordt dan direct alle accounts die je maar hebt. Dan kan je in een keer achter al je accounts aan gaan om ze geblokkeerd te krijgen, laat staan dat je account op je werk achterhaalt wordt. De schade die dan kan worden aangericht.

Mijn gedachte is dat Google Authenticator zou kunnen helpen, dan heeft een hacker (nog) niks aan de wachtwoorden. Mijn vraag is zijn er password managers die Google Authenticator ondersteunen of een soort gelijke app . Daarbij welke password managers zijn betrouwbaar? Ik heb wat onderzoek gedaan en de meeste informatieve- of vergelijkingsartikelen zijn out-datet.

thegve @pelle888 • 24 maart 2018 14:24

Ik gebruik een password manager voor "bijna" al mijn accounts, behalve een paar zoals DigID. Ik moet zeggen dat mijn e-mail wachtwoord nu ook in mijn kluis zit, maar wel voornemens hier een nieuw wachtwoord voor te verzinnen.
Ik gebruik zowel zakelijk als prive Lastpass. Deze ondersteund 2-factor authentication, onder andere Google Authenticator. Zakelijk kun je ook policies instellen, waardoor je 2-factor authentication kunt verplichten.
Zakelijk geeft hij ook een "security strength" indicator aan... Wat mij wel doet realiseren dat die 2fa echt niet voor niets is, de zwakte van de wachtwoorden die vooral de wat meer digibete collega's instellen is echt eng in combinatie met de toegang die zij soms hebben.

pelle888

@thegve • 24 maart 2018 17:21

Bedankt voor de info! Dat Lastpass Google Authenticator ondersteunt is pre voor mij, ik ga me in Lastpass verdiepen of het wat is

fenderB @GG85 • 23 maart 2018 14:16

Zit je mooi mee te kijken, ben bang dat dit in de toekomst ook niet minder zal worden, je bent bij lange na niet de enige die voor meerdere accounts eenzelfde wachtwoord heeft. Nu heb je gelukkig een mail ontvangen en kun je zelf actie ondernemen.

Vind het een goede actie van Tweakers om hier zo transparant over te zijn en dit openbaar te maken!

Ojjorz

@GG85 • 23 maart 2018 14:31

Ik zit er ook tussen. Voor zo ver ik weet geen andere accounts met dit ww maar toch wel even schrikken.

Bedankt iig tweakers voor de notificatie!

ds65ag5g5as78a @GG85 • 23 maart 2018 14:34

Je kan aangifte doen maar ik ben bang dat je te horen krijgt "we hebben helaas geen aanknopingspunt"

Dutch2007 @GG85 • 23 maart 2018 15:00

En daarom dus 2factor with aanzetten daar waar mogelijk, hebben ze je wachtwoord heeft men er niets aan zonder je fysieke toestel (gsm oid)

Krysa @GG85 • 23 maart 2018 15:12

Goed dat je hier nog een stokje voor heb kunnen steken! Ik heb bij de Wehkamp blijkbaar ook een groot achteraf betalen krediet (wat ik nooit gebruik) en heb daarom gelijk mijn wat moeilijkere wachtwoord direct veranderd met Dashlane.

Sinds het mailtje van Have I Been Pwnd heb ik direct een PM genomen en in een rustige middag alle wachtwoorden veranderd.

DamirB @GG85 • 23 maart 2018 15:21

Ik gebruik protonmail als primaire email, enorme aanrader, behalve een wachtwoord moet je nog een extra w8woord hebben om je mailbox te decrypten.

netfast @GG85 • 23 maart 2018 15:35

Ik had geen inlog op mijn tweakers account, maar 2 weken geleden waren er wel bestellingen gedaan op mijn account (net zoals bij jou). Kreeg netjes een belletje van Wehkamp met de vraag of ik die bestellingen had gedaan. Ze hadden deze op hold gezet omdat het er verdacht uitzag.

Gelijk wachtwoord aangepast.

Ik gebruik overigens tegenwoordig een uniek wachtwoord EN een uniek email adres per account. Al die adressen komen wel in dezelfde box terecht.
Handig, want dan kan je ook nog eens direct zien via welk account je gegevens gejat zijn. Tweede voordeel is dat er met dat email adres nergens anders een account bestaat. Prettig.

Anoniem: 636203 @GG85 • 23 maart 2018 15:51

Mijn advies: gebruik een een password manager zoals Password Safe. Deze kan automatisch sterke wachtwoorden genereren.

Gebruik liever geen online wachtwoord managers, welke handig zijn als je op verschillende computers werkt, maar daardoor ook kwetsbaar zijn. Vaak zitten ze ook slecht in elkaar en zijn er geregeld kwetsbaarheden aan het licht gekomen.

Anoniem: 532441 @GG85 • 23 maart 2018 16:09

Ook ik ben helaas getroffen. Anderzijds wel goed om te weten...

Dank voor je mededeling m.b.t. Wehkamp. Daar had ik namelijk een account met dezelfde login gegevens. Deze ook gelijk gewijzigd. Nog een paar sites te gaan, gelukkig heb ik meerdere wachtwoorden en heb ik deze niet extreem veel gebruikt

Thanks again. Je hebt mij (potentieel) een hoop ellende bespaard!

Niek H. @GG85 • 23 maart 2018 20:23

Misschien een rare vraag maar hoe controlleer ik dit nou? Ik heb gekeken op Have I been Pwned maar ik snap nog niet of ik nou meer kan zien of niet..

logix147 @GG85 • 24 maart 2018 10:39

Ik heb 2FA via Google auth app en moet zeggen dat het geweldig werkt om op die manier te zorgen dat je niet zomaar kan inloggen

Verbaast me een beetje dat Tweakers niet zoiets heeft?

rjmno1 @GG85 • 25 maart 2018 17:31

Ja klopt ik heb ook email van tweakers gehad en een ander wachtwoord gebruikt voor in te loggen, mijn acount was ook gehackt.Ik snap ook niet wat je eraan hebt, gegevens van iemand anders wat kunnen ze ermee?Maar ben wel blij dat tweakers ons daar op geattendeerd heeft ik wist niet zeker of mijn acount gehackt was, goede service en bedankt tweakers.

Blokker_1999

Websites en community's

@Becquerel • 24 maart 2018 16:23

Zelfs als die aangifte uiteindelijk geklasseerd zou worden is ze wel degelijk nuttig. Het helpt om mee de prioriteiten te bepalen. Het toont aan hoe groot een probleem werkelijk is. Als je wenst dat een probleem nooit aangepakt wordt, ja dan moet je er inderdaad niets mee doen.

RoofTurkey 23 maart 2018 13:41

Interessant artikeltje: LOGIN WITHOUT PASSWORD MOST SECURE | WAIT.. WHAT?

[Reactie gewijzigd door RoofTurkey op 22 juli 2024 18:12]

Anoniem: 120539 @RoofTurkey • 23 maart 2018 13:58

Zeker interessant. In de praktijk maak ik gebruik van een vergelijkbaar mechanisme voor websites waar je verplicht een account moet aanmaken, maar waar ik niet heel vaak kom:
Gewoon elke keer als ik er weer een keer moet zijn (maar mijn sessie niet meer valide is): gewoon een password reset aanvragen. Via de mail-link en het tijdelijke password dat je dan krijgt ben je meestal gewoon weer binnen; na meestal 1 uur is de link weer verlopen.

Zoals ook het door jou gelinkte artikel stelt kunnen mensen met toegang tot mijn mail toch al overal bij...

mjz2cool @Anoniem: 120539 • 23 maart 2018 14:09

maar dan heb je toch alsnog een wachtwoord, wat weer te kraken is? het idee is juist dat je helemaal geen wachtwoord hebt, die dus ook niet te kraken is.

Anoniem: 120539 @mjz2cool • 23 maart 2018 14:33

Dat hangt een beetje van de website af. In sommige gevallen blijft een tijdelijk wachtwoord inderdaad geldig. In dat geval heb ik alleen het voordeel van een uniek wachtwoord, in plaats van een generiek voor onbelangrijke websites, zoals door veel mensen kennelijk (getuige dit artikel) nogal eens gebruikt wordt.
In veel gevallen is het tijdelijke wachtwoord ook maar tijdelijk bruikbaar, maar ben je na het klikken van de link al wel 'binnen'.

YopY @Anoniem: 120539 • 23 maart 2018 14:37

Zoals ook het door jou gelinkte artikel stelt kunnen mensen met toegang tot mijn mail toch al overal bij...

Niet als je fatsoenlijke 2-factor authentication aan zet. Banken en e-mailproviders hebben dat al.

pro tip: zet 2FA aan voor je e-mail.

fluffy1 @YopY • 23 maart 2018 18:01

[...]
pro tip: zet 2FA aan voor je e-mail.

Dit! Je email adres is de sleutel tot alle andere accounts. Je zou het moeten beschermen alsof je een pot goud in je mailbox hebt zitten!

robertpNL @RoofTurkey • 23 maart 2018 13:59

Ik zie de voordelen wel maar ook nadelen. Je bent afhankelijk van je emailprovider. Als die niet bereikbaar is of mail komt niet aan, dan kan je niet aanmelden.

84hannes @robertpNL • 23 maart 2018 14:11

Hetzelfde probleem met mfa: als je een sms naar je mobiel krijgt, maar je mobiele provider heeft problemen, of je batterij is leeg, of je telefoon is gestolen, of... dan kun je nergens meer inloggen.

WhatsappHack

Websites en community's

@84hannes • 23 maart 2018 14:14

Daarom is 't ook fijn als je bijvoorbeeld twee methoden hebt. Authenticator én SMS bijvoorbeeld. Heb je alleen een probleem als het allebei niet werkt; maar daar hebben we dan meestal weer een setje backupcodes voor (die je uiteraard encrypt opslaat).

mainvoid @WhatsappHack • 23 maart 2018 14:24

Ik ben bang dat veel mensen deze 'twee' methoden vaak op dezelfde telefoon hebben staan, dan heb je dus nog steeds een probleem als je het kwijt raakt en moet je maar net toegang hebben tot je backupcodes als je ergens toegang toe wilt hebben. Ik kan me prima voorstellen dat je op vakantie de backupcodes niet mee zal hebben, dus als daar je telefoon gestolen wordt is het toch een lastige situatie.

WhatsappHack

Websites en community's

@mainvoid • 23 maart 2018 14:28

Encrypted bestandje mailen naar de persoon die ook mee is op vakantie.

Ben je enkel de sjaak als je allebei alle toegang verliest. Of ergens een gratis cloud account aanmaken (eg: dropbox) met een uniek emaildres/wachtwoord en zonder 2FA, waar je enkel dat encrypted bestandje inzet (met een complexe sleutel - die zul je wel zelf moeten onthouden!). Eens in de x tijd voor de zekerheid die codes resetten en je hebt alweer wat backup opties en de kans dat 't gejat wordt is vrij nihil.
Of een backupcode aan je ouders geven als je weggaat. Niet zeggen voor welke dienst het is als je echt paranoid bent, maar gewoon vragen of ze 't willen bewaren.

Dan is een telefoontje voldoende.

Mogelijkheden te over in ieder geval, de een veiliger dan de ander.

445033 @WhatsappHack • 23 maart 2018 14:51

Ik gebruik Keepass en heb het databestand daarvan op mijn NAS staan. Het enige wachtwoord wat ik echt moet onthouden is nu alleen om in te loggen op Keepass. Wordt mijn laptop gestolen of ben ik elders kan ik altijd mijn wachtwoorden weer achterhalen. Knappe jongen die de wachtwoorden die Keepass genereert kan kraken.

Anoniem: 87301 @445033 • 23 maart 2018 15:15

Die is zeker te kraken!
https://www.rubydevices.com.au/blog/how-to-hack-keepass
Of gewoon met KeeFarce op de achtergrond monitoren...
https://www.tomsguide.com...l-keepass,news-21782.html

celshof @Anoniem: 87301 • 23 maart 2018 15:59

Nou, een belangrijke opmerking over de 'kraak':

We used a password dictionary we picked arbitrarily

Oftewel je wachtwoord moet standaard genoeg zijn om in een passwordfile opgenomen te zijn en anders gaat het nooit lukken.

445033 @Anoniem: 87301 • 23 maart 2018 17:00

Allemaal leuk en aardig maar je verwijst naar stukken uit 2015. We zitten in 2018 en al een paar updates verder van Keepass. Ik ben er uitermate tevreden over.

Dyon_R @Anoniem: 87301 • 23 maart 2018 17:18

Eerste artikel is bruteforcing. Met bruteforce kan je alles kraken. Ook zie ik in het artikel dat ze maar met ~1450 hashes (wachtwoorden) per seconde kunnen gokken. Als je een sterke wachtwoord zin hebt, of een lange random string kan onthouden, is het praktisch onmogelijk om het te kraken.

Daarnaast wordt KeeFarce door veel anti-virus/malware oplossing het gezien als een virus, en ja, ook Windows Defender blokkeert het netjes.

Mijn conclusie is dus: Praktisch onmogelijk.

Daarbij kan je in KeePass ook een combinatie gebruiken van een wachtwoord en een private key bestand. Stop dat private key bestand op een geëncrypte USB bijvoorbeeld, met uiteraard een ander wachtwoord dan je KeePass, en volgens mij ben je dan zeer veilig bezig.

roller12358 @Anoniem: 87301 • 23 maart 2018 17:32

Elke password manager is te kraken, je moet het een beetje in perspectief zien. Zie bijvoorbeeld deze reactie op het forum.

Zelf weiger ik een password manager dat het databestand "ergens" in de cloud zet. Thuis kan ik nog een beetje regelen wie er toegang heeft tot het bestand.

d1zzje @RoofTurkey • 23 maart 2018 14:33

Bedankt voor dit artikel zeer nuttige informatie.

robvanwijk @RoofTurkey • 24 maart 2018 00:48

Komt op mij vooral over als een manier om je email als een soort van single sign-on / password manager te gebruiken. Een belangrijk nadeel (waar het artikel wat mij betreft veel te makkelijk overheen stapt) is dat je een gigantische single point of failure creëert; niet alleen in de zin van gehacken worden (zoals het artikel zelf zegt, en [url=https://www.youtube.com/watch?v=y4GB_NDU43Q]al eerder is besproken[/ul], dat probleem heb je nu ook al), maar ook in het geval van storingen. Het is zeker een interessant artikel, maar ik denk niet dat je het moet zien als de perfecte oplossing die alle problemen oplost en voortaan overal standaard gebruikt moet worden.

Biscuit 23 maart 2018 13:38

Puik werk, zelf heb ik geen melding gekregen. Blij dat ik er niet tussen zit

Kees BOFH @Biscuit • 23 maart 2018 13:51

De notifier loopt nog, ik wilde eerst de .plan online hebben zodat gemailde mensen ook conformatie konden vinden op tweakers

totaalgeenhard @Kees • 23 maart 2018 13:56

Even berichtje svp zodra "notify" proces voltooid is.

Jullie versturen een reguliere email?

Kees BOFH @totaalgeenhard • 23 maart 2018 14:01

Yep. En een goed idee, ik zal een update hier plaatsen zodra alles mails de deur uit zijn.

jdh009

Websites en community's

@Kees • 23 maart 2018 19:34

En? Loopt de notifier nog steeds? Edit was nog niet zichtbaar omdat de pagina nog open stond.

Hoe heb je de workflow opgezet, eigen code of een programma er voor gebruikt die deze bulk voor je verwerkt?

[Reactie gewijzigd door jdh009 op 22 juli 2024 18:12]

Kees BOFH @jdh009 • 23 maart 2018 19:48

Die was (zoals onder het artikel staat) om 16:10 klaar.

De workflow was vrij simpel. Een php scriptje om de bestanden uit te lezen in te vergelijken met mailadressen in onze database en vervolgens een (bestaand) script om het te vergelijken en notificaties te versturen (wat we geschreven hadden voor plan: Tweakers waarschuwt accounthouders voor uitgelekte wachtwoorden).

Alleen de mail is enigszins aangepast, met name de regel 'Dit is niet de eerste keer en het zal ook niet de laatste keer zijn dat gegevens uitlekken, zo vrezen we.' waar het laatste gedeelte is geschrapt

musiman

@totaalgeenhard • 23 maart 2018 15:14

edit:
Dit had een reactie op @Kees moeten zijn.

Ik hoop géén mailtje met daarin een URL waar je op kunt klikken? Zo leer je de mensen verkeerd gedrag aan: klik nooit (ja, nóóit) op een link in een email.

Jouw mail zal wel te vertrouwen zijn, maar een "belangstellende" kan jouw mail overnemen en er een foutieve hyperlink inzetten: hoppakee, er is weer een phishingmail geboren.

[Reactie gewijzigd door musiman op 22 juli 2024 18:12]

FvdM @musiman • 23 maart 2018 16:58

een "belangstellende" kan jouw mail overnemen

Daar is DKIM met DMARC reject voor. De serieuze mailproviders blokkeren dan alle mails die niet correct DKIM signed zijn.

Het werkt erg goed. Zo heb ik een domain dat volgens de DMARC reports vaak wordt misbruikt. Geen van die mails komt bij de ontvanger aan, terwijl de legitieme (signed) mails wel in de inbox worden afgeleverd.

Blokker_1999

Websites en community's

@FvdM • 24 maart 2018 16:29

En er zijn heel veel mail providers die er gewoon niets mee doen. Had een tijdje terug een support vraag van 1 van onze gebruikers die vroeg waarom een externe partij die een mail stuurde naar een maillinglist op onze infrastructuur er niet in slaagde om zijn eigen mails te ontvangen maar een bounce kreeg. Heel simpel. Hun eigen mail systeem verwierp de mail omdat het concludeerde dat mails van een externe bron nooit met hun domein zouden mogen toekomen.

Dat zulke mails als potentiële spam worden aangemerkt is geen enkel probleem. Maar ze gewoon rejecten gaat voor velen dan weer een stap te ver.

raro007 @Kees • 23 maart 2018 14:20

Is het niet verstandig om dit bericht de komende dag boven te pinnen dan?
Als die naar beneden raakt heb je weer kans dat mensen dit bericht niet lezen.

Kees BOFH @raro007 • 23 maart 2018 14:21

Ja, eigenlijk had ik ook een link in de mail moeten opnemen naar deze .plan. Maar daar is het nu te laat voor.

Somoghi @Kees • 23 maart 2018 13:59

Dit is weer een staaltje sterk zoek en match werk, niet zomaar er vanuit gaan dat het wel zal kloppen, maar actief zoeken naar mogelijke oorzaken.

Maken de misbruikers ook gebruik van hetzelfde ip? Misschien is het eenvoudig om een compare te doen en kijken of dat matched met de reeds geflagde accounts?

xMuchux

@Kees • 23 maart 2018 14:17

De kunst van communicatie vooraf ipv achteraf. $_/-\o_$

Regn0 @Biscuit • 23 maart 2018 13:53

Hoe kan ik weten of ik er tussen zit?

lepel @Regn0 • 23 maart 2018 14:00

Eens beginnen met https://haveibeenpwned.com

Goede kans dat deze gegevens hier allang aan zijn toegevoegd. Mijn oude wachtwoord is ook al meer dan 10x uitgelekt en ik krijg nog geregeld mails van HaveIBeenPwned dat ik weer ergens in een lijst op pastebin gevonden ben.

Wat mij wel zorgen baart is dat deze kwaadwillende nu wachtwoorden op Tweakers aan het proberen zijn. Internationaal gezien een zeer kleine speler. Ik heb op fora en andere websites waar geen belangrijke gegevens op staan niet de moeite genomen mijn gelekte wachtwoord te veranderen.

drakiesoft @lepel • 23 maart 2018 14:15

En wie garandeert mij dat deze site geen e-mail adressen vergaard voor spam?

Kees BOFH @drakiesoft • 23 maart 2018 14:22

Degene die achter deze site zit is vrij bekend in die wereld. Het zou een professionele doodsteek voor hem zijn als hij die mailadressen gaat spammen.

Vinxian @drakiesoft • 23 maart 2018 14:24

Niemand, maar anekdotisch kan ik zeggen dat ik geen spam binnenkrijg. Dus ook niet van hun

Ubartu @drakiesoft • 23 maart 2018 14:48

Citaat van de website:

How do I know the site isn't just harvesting searched email addresses?
You don't, but it's not. The site is simply intended to be a free service for people to assess risk in relation to their account being caught up in a breach. As with any website, if you're concerned about the intent or security, don't use it.

Ubartu @drakiesoft • 23 maart 2018 14:52

Mocht je meer willen weten over de site, lees gerust dit blog eens van de maker van de haveibeenpowned.com.
https://www.troyhunt.com/tag/have-i-been-pwned-3f/

WhiteDog @drakiesoft • 26 maart 2018 13:29

Hij heeft al een database met miljarden email-adressen

drakiesoft @WhiteDog • 27 maart 2018 19:43

Met daarbij het voordeel dat hij ze geverifieerd krijgt

Jelle_D @lepel • 23 maart 2018 16:29

Heel apart. Ik sta er met mijn email inderdaad tussen maar als ik dan op mijn wachtwoord ga zoeken.. niets. En ook de lekken: dropbox, nexus en BTC-e heb ik toch echt al verschillende wachtwoorden voor.

Dus ik snap niet helemaal waarom ik de mail gekregen heb.

lepel @Jelle_D • 26 maart 2018 11:26

Omdat je ook in een database kunt staan met versleutelde wachtwoorden. Dan weet HaveIBeenPwned niet wat jou wachtwoord is, maar wel dat er een wachtwoord van jou ergens gevonden is. De reden waarom je melding hiervan krijgt is omdat iemand met veel geduld of rekenkracht uiteindelijk jou wachtwoord kan kraken, of dit nu over een dag, over een week of over een jaar is.

Jelle_D @lepel • 26 maart 2018 12:31

Maar dat zeg ik ook niet. er staat in het nieuwsbericht:

Dit deed ons vermoeden dat deze gegevens eenvoudig online te vinden zijn. Na een korte zoekactie vonden we inderdaad enkele bestanden met ruim 1,65 miljard e-mailadressen en wachtwoorden. We konden een groot deel van de mailadressen in onze eigen database matchen met een wachtwoord uit een van die uitgelekte databases. Daarna hebben we met deze accounts een inlogpoging gesimuleerd in een aparte omgeving van Tweakers. Van de accounts waarvoor dat is gelukt, hebben we het wachtwoord gereset.

Dus email met wachtwoord in plain tekst.

Zoals ik zelf al aangaf heb die wachtwoorden allang aangepast.

thekingofping @Jelle_D • 23 maart 2018 16:34

Dat is precies wat ik bedoel, mijn situatie is hetzelfde.

thekingofping @lepel • 23 maart 2018 16:12

Dat heb ik ook meteen gedaan toen ik de Tweakers email ontving maar op pwned zag ik niks recents staan. De laatste hack waarbij mijn email/pw combinatie buit was gemaakt dateert van 2012 (Dropbox hack) en toen had ik inderdaad hetzelfde pw op Tweakers maar heb het toentertijd al veranderd. Raar dat Tweakers mij nu meld dat bij de test mijn email/pw werkte en ze binnen kunnen komen en dat ik pwned moet gebruiken (waar dus niks nieuwes op staat). Wellicht krijgen we over een paar dagen meer details.

Vanwege het bovenstaande twijfelde ik of het wel een echte email van Tweakers, was maar kon inderdaad niet meer inloggen. Mijn account was dus wel geblokt.heb het gereset en kan weer verder in Tweakers.

Kees BOFH @thekingofping • 23 maart 2018 16:24

De meest recente lijst die ik had kwam pas eind februari online. En dat was een 'combinatie' lijst, waarbij iemand dus veel recente hacks samengevoegt (en gekraakt) heeft.

De reden dat we er nu pas naar keken is ook omdat we recent heel veel inlogpogingen zagen met gegevens die uit deze lijsten leek te komen. Daarop hebben we de lijsten zelf gedownload en bij iedereen waar we in konden loggen het wachtwoord gereset.

dehardstyler @Regn0 • 23 maart 2018 13:55

Geduld hebben.

Coffeemonster 23 maart 2018 13:48

Ik mag aannemen dat die 1,65 miljard e-mailadressen die gevonden zijn door Tweakers ook al in de database van Have I Been Powned waren opgenomen? Of waren dit nieuw gevonden bestanden?

Kees BOFH @Coffeemonster • 23 maart 2018 13:55

Dit zijn bestanden waar Troy al over heeft geschreven. Met name
https://www.troyhunt.com/...rds-to-have-i-been-pwned/
https://www.troyhunt.com/...eb-and-debunking-the-fud/

Luchtbakker 23 maart 2018 13:49

We willen benadrukken dat de wachtwoorden van Tweakers niet in plaintext zijn opgeslagen en niet zijn uitgelekt op internet.

Nu de vraag, hoe slaat Tweakers zijn wachtwoorden wel op?

ACM Software Architect @Luchtbakker • 23 maart 2018 13:59

We encrypten ze tegenwoordig gewoon met password_hash van php. Op dit moment daarbij nog met bcrypt (getuned om zo'n 100ms erover te doen), maar wellicht dat we die veranderen naar Argon 2i met php 7.2.

Dan worden van mensen die vanaf dat moment inloggen de wachtwoorden automatisch omgezet.

celshof @ACM • 23 maart 2018 16:11

Is het mogelijk om aan de hash te zien welke methode gebruikt is? Zo nee, dan is het niet heel handig om publiekelijk te vertellen welke methode je gebruikt lijkt me.

Kees BOFH @celshof • 23 maart 2018 16:25

Ja, dat is te zien.

En de beste beveiliging is overigens een beveiliging die ook werkt als de werking ervan openbaar/zichtbaar is.

ACM Software Architect @celshof • 24 maart 2018 10:38

Ja, over het algemeen zal een password hash library het gebruikte algoritme - inclusief benodigde instellingen - meenemen in de opgeslagen data. Op die manier kan je later eenvoudig met dezelfde instellingen een wachtwoord controleren.
Doe je dat niet, dan wordt het vrijwel onmogelijk om later met andere instellingen - zoals zwaarder of ander algoritme - te werken en tegelijkertijd de oude instellingen te ondersteunen.

Verder zijn er een aantal (de facto) standaarden, zoals nu bcrypt en "straks" argon2i. De kans dat die gebruikt worden is dus sowieso erg groot

Onze code is dan ook een tijd geleden al zo opgezet dat we eenvoudig van methode kunnen wisselen en toch voorgaande wachtwoorden kunnen controleren en als we dan toch even het plain text wachtwoord hebben, ook gelijk naar de nieuwste instellingen upgraden.

celshof @ACM • 24 maart 2018 10:39

Duidelijk, dank je wel.

alt-92 @celshof • 23 maart 2018 17:44

DoubleROT13 goed genoeg voor je?

kr4t0s @Luchtbakker • 23 maart 2018 13:59

Als het goed is gehashed en gesalt.

thePiett

@kr4t0s • 25 maart 2018 21:56

http://php.net/manual/en/function.password-hash.php dus

manolito 23 maart 2018 13:42

ik kreeg gister wel een spam mail van
info@hackerteamnederland.amsterdam met de vraag of ik even 500 euro wil overmaken op hun bitcoin wallet met dreigementen. Omdat ik gehackt zou zijn. Iemand anders hier ook?

[Reactie gewijzigd door manolito op 22 juli 2024 18:12]

hoi3344 @manolito • 23 maart 2018 13:46

YES, same here!
Ik gebruik overigens een passwordmanager met identieke unieke passwords voor elk account, dus ik neem dit met een korrel zout; maar wel frappant dat we dezelfde mail hebben. Wat ik heel knap vind is hoe ze me hebben kunnen filmen terwijl ik gaan camera heb

;kneuzen

Hier een check voor het bitcoin adres: https://bitref.com/16ZatBLBrrgZuPNqUS4ma9vtc9D48HyXzf

Goedendag,

Wij willen ons zelf even voorstellen. Wij zijn HackTeamNederland http://hackteamnederland.com/

Wij willen niemand veroordelen en ik denk dat het niet verkeerd is om jezelf van tijd
tot tijd te bevredigen. Maar als je naasten hier getuigen van zijn is dit natuurlijk
een grote schande.

Wij houden je al een tijdje in de gaten omdat wij je computer hebben gehackt doormiddel van een RAT (Remote Administration Tool)
op een advertentie's van de porno site's die je bezoekt. Indien je hier niet bekend mee bent zal ik het je even uitleggen.

Hackers kunnen een RAT ook gebruiken om iemands computer voor hackdoeleinden te gebruiken.
Ze infecteren dan een advertentie op een website of ze sturen het als een e-mailbijlage naar hun slachtoffer in de hoop dat hij/zij die opent.

- Mogelijke schade
- Het slachtoffer kan in een botnet worden opgenomen.
- Er kunnen bestanden van de computer worden verwijderd/gegijzeld of gedownload.
- Er kunnen dubieuze websites worden geopend.
- Er kunnen e-mail en social media wachtwoorden onderschept worden.
- Foto's en video's op de computer kunnen worden bekeken en men kan worden gechanteerd met genânte foto's.
- Er kunnen webcam en microfoon opnames worden gemaakt zonder dat je dit door hebt.

Wij hebben een video gemaakt waarop jij te zien bent en je zelf bevredigd.
Met een druk op de knop kan wij deze sturen naar alle e-mail contacten en social media contacten.

Als je dit wil voorkomen maak je een bedrag van 500 euro naar onze bitcoin wallet.

16ZatBLBrrgZuPNqUS4ma9vtc9D48HyXzf

- Wij geven je 24 uur de tijd als de betaling niet binnen is word het filmpje verspreid.
- Aangifte doen heeft geen zin wij zijn volledig anoniem en onvindbaar wij maken gebruik van een tor router en VPN.
- Als je aangifte doet of dit bericht deelt word de video meteen verspreid wij kunnen alles zien!

Groeten,
http://hackteamnederland.com/
hacknl@protonmail.com

[Reactie gewijzigd door hoi3344 op 22 juli 2024 18:12]

maikel124 @hoi3344 • 23 maart 2018 13:57

Was deze kerel niet al gepakt?
https://www.ad.nl/binnenl...-met-truc-terug~a2885086/

Stranger__NL @maikel124 • 23 maart 2018 14:15

Briljant.
Ik wens de lowlife afperser vele jaartjes toe in een kleine cel.

thePiett

@maikel124 • 25 maart 2018 21:59

Man wat geniaal! Thanks voor het delen.

walteij @hoi3344 • 23 maart 2018 14:13

Ik gebruik overigens een passwordmanager met identieke passwords voor elk account

Wat voor nut heeft de password manager dan?
Als je hetzelfde wachtwoord overal gebruikt, hoeveel moeite is het dan om een wachtwoord met 24 karakters uit je hoofd te leren?

Ik heb op mijn werk meerdere wachtwoorden nodig. Voor mijn gewone account is dit iets korter, maar mijn admin wachtwoord is 16 karakters lang. Ook wachtwoorden van specifieke accounts (local admin op systemen in de DMZ) hebben minimaal die lengte. Als ik deze een keer of 10 gebruikt heb, ken ik het wel uit mijn hoofd.

Nu zou dat ook een afwijking in mijn hersens kunnen zijn, maar als ik een stuk of 8 wachtwoorden van 16 karakters (uppercase, lowercase, cijfers en vreemde tekens) kan onthouden, moet het toch ook te doen zijn om 1 wachtwoord met 24 karakters te onthouden (toch?)

[Reactie gewijzigd door walteij op 22 juli 2024 18:12]

Miks @walteij • 23 maart 2018 14:27

Totdat je op vakantie bent geweest, dan ken je die wachtwoorden opeens niet meer zo goed

walteij @Miks • 23 maart 2018 14:36

Daar heb je een punt. Ik ben ook gelukkig niet de enige beheerder die deze wachtwoorden moet onthouden, dus ze staan zeker wel in een wachtwoord database. Ik hoef deze database alleen veel minder vaak te bezoeken dan mijn collega's.

Toevallig vorige week nog een wachtwoord moeten gebruiken dat ik 2 maanden lang niet gebruikt had. Het kwam blind uit mijn vingers.
De collega's noemen mij dus ook een wachtwoord autist......

dasiro @walteij • 23 maart 2018 14:41

Wat voor nut heeft de password manager dan

het is moeilijker om unieke accountnames te vinden en dan heb je direct een trace naar de bron.
Als je op je tweakers.net@mijndomein.xxx met pwd 123&é"azeAZE plots spam binnen krijgt, weet je direct welke site compromised is ipv ikke@mijndomein.xxx met pwd Tw34k3rs.n3t

Het lastige is dan wel dat je voor die ene site je unieke paswoord niet meer kan gebruiken.

walteij @dasiro • 23 maart 2018 14:46

Het unieke e-mail adres is iets dat ik ook gebruik bij webshops waar ik iets eenmaligs bestel, of websites die ik niet helemaal vertrouw.
Meestal bestaat dat unieke e-mail adres trouwens dan maar een week of 2, waarna ik het weer verwijder uit mijn alias-lijst.

hoi3344 @walteij • 23 maart 2018 14:26

excuus. Unieke passwords.

roches @hoi3344 • 23 maart 2018 13:57

Ik zou ze veel succes wensen. Vooral met die video's omdat er helemaal geen camera aan mijn computer zit.

WhatsappHack

Websites en community's

@roches • 23 maart 2018 14:15

Met een speciale methode krijgen ze het voor elkaar om je scherm in een camera te veranderen. Heus waar, is echt zo! Gehoord van een betrouwbare en zeer hooggeplaatste bron in Nigeria.

roches @WhatsappHack • 23 maart 2018 15:34

Stond op faceliegbook.

mjz2cool @hoi3344 • 23 maart 2018 14:15

je bedoelt unieke passwords per account? want identieke passwords voor elk account klinkt een beetje raar in je verhaal

hoi3344 @mjz2cool • 23 maart 2018 14:26

excuus. Unieke passwords. :-)

ChemoNL @hoi3344 • 23 maart 2018 14:56

Ik heb deze ook ontvangen, exact dezelfde e-mail maar dan van een enkele persoon met als afzender een gespoofde noreply@ziggo.nl

Heb de e-mail helaas verwijderd, anders konden we de bitcoin adressen vergelijken,

Jw_vdB @ChemoNL • 24 maart 2018 01:06

De mail van Michael. Die had ik ook ontvangen afgelopen donderdag. De mail heb ik nog staan, want was nog van plan aangifte te gaan doen tegen die clown wegens afpersing / afdreiging.
Het Bitcoinadres dat hij/zij gebruikte was

1LzkkQ9GHRzcNvujCTgtti3rYS6hy8fjey

ChemoNL @Jw_vdB • 28 maart 2018 17:44

Ja, die flippo ja.

En heb je aangifte gedaan?

dehardstyler @hoi3344 • 23 maart 2018 13:52

Goed om te zien dat er geen geld op het BTC adres binnenkomt. Wat een sneue mensen zijn het ook...

StefanJanssen @hoi3344 • 23 maart 2018 14:09

een passwordmanager met identieke passwords voor elk account

Ik verwacht dat je bedoeld "uniek" in plaats van "identiek"?

Maxjj4 @hoi3344 • 23 maart 2018 14:26

Als iemand in een dergelijke mail één taalfout maakt neem ik het al niet serieus, maar van deze mail zou ik echt misselijk worden.

Nauwelijks één zin is getypt in correct Nederlands; hoe kan deze persoon verwachten dat hij serieus genomen wordt?

JohanNL @hoi3344 • 23 maart 2018 14:35

Nou, kom maar op met die beelden zou ik zeggen, als ze echt iets hebben sturen ze dat wel mee.
Ik heb veel soorten spam ontvangen maar dit slaat alles

Anoniem: 293879 @hoi3344 • 23 maart 2018 14:51

Mijn mail was heel anders verwoord en ook niet vermeld over hackteamnederland. Lijkt wel dat iemand hetzelfde probeert, wellicht kun je adhv domeinnaam achterhalen wie de domeinnaam beheert?

Indoubt @hoi3344 • 23 maart 2018 15:00

Die heb ik idd ook gehad maar ja, geen camera op de PC

Ik ben inmiddels ook genotificeerd door Tweakers. Daar heb ik inderdaad nooit mijn password vervangen sinds ik op tweakers zit. Is ook niet zo belangrijk natuurlijk alhoewel het vervelend zou zijn als iemand anders iets uit je naam zou posten. Inmiddels aangepast natuurlijk

totaalgeenhard @manolito • 23 maart 2018 13:58

Elke dag belletje van Microsoft...

Belde me gisteren wakker zou ze graag face2face willen ontmoeten.

SinergyX @manolito • 23 maart 2018 14:41

Dat is gewoon spam, niets bijzonders. Ding hebben wij op het werk nu al kleine 150x binnengekregen op diverse adressen.

celshof @manolito • 23 maart 2018 16:12

Al vanaf begin maart gaan dit soort mails het internet over.

Ynst2003 @manolito • 23 maart 2018 16:30

Je bent schijnbaar niet de enige die die mail heeft gehad:
https://www.nu.nl/interne...meldingen-afpersmail.html

De politie heeft honderden meldingen ontvangen over een afpersmail, waarin wordt gedreigd met het verzenden van een intieme video.

Landelijk zijn er inmiddels "enkele honderden meldingen" ontvangen, vertelt rechercheur Robert Weedage aan Tubantia. Slechts een handjevol van de ontvangers zou de oplichters na de dreigmail geld hebben betaald.

De e-mail in kwestie werd begin deze maand opgemerkt door de Fraudehelpdesk. In het bericht wordt beweerd dat hackers zijn ingebroken op de computer van het slachtoffer en dat met de webcam videobeelden zijn gemaakt bij het bezoeken van een pornosite.

De verzenders dreigen die beelden naar vrienden van het slachtoffer te sturen, tenzij er 500 euro aan bitcoin wordt overgemaakt.
Bluf

Volgens de politie wordt in het bericht gebluft. De oplichters zouden niet werkelijk zijn ingebroken op computers, maar dit beweren in de hoop dat iemand geld overmaakt. Slechts een handjevol mensen zou de oplichters tot nu toe hebben betaald.

Volgens Weedage neemt de politie de zaak hoog op, omdat de e-mails voor veel onrust en angst zorgen. "Er wordt gesproken over gehackte computers. Dat geeft mensen een onveilig gevoel."

[Reactie gewijzigd door Ynst2003 op 22 juli 2024 18:12]

AOC 23 maart 2018 13:43

Meteen mn wachtwoord gewijzigd en in keepass gezet. Alhoewel ik mij afvraag of het opslaan van mijn ww database op mn webhosting ftp wel veilig genoeg is?

asing @AOC • 23 maart 2018 13:55

Wat denk je zelf?

Je hack begint met een port scan. Daarna wordt met banner grabbing en andere technieken gekeken welke FTP server je gebruikt. Daarna kan er een brute force of dictionary attack plaatsvinden. Als je anonymous access aan hebt staan ben je hier al het haasje. Mocht dat niet werken dan heeft een hacker altijd nog MetaSploit om kwetsbaarheden van je FTP server te misbruiken.

Daarna is je wachtwoordbestand in handen van de hacker en is het afhankelijk van de kwaliteit van je wachtwoordmanager om je wachtwoorden veilig te houden.

Weet niet hoor, maar ik zou het anders gaan doen.

AOC @asing • 23 maart 2018 19:02

Ah, wist eerlijk gezegd niet dat ftp onveilig is. Gebruikte het 15 jaar terug veel en sindsdien tijden niet naar omgekeken totdat ik laatst het eea op mn server wilde zetten

zal wel kijken naar sftp of andere alternatieven

asing @AOC • 23 maart 2018 20:48

Onveilig is een groot woord, het is uiteraard een veelgebruikt protol. Als je hier kijkt, dan zie je dat er mogelijkheden zijn om te misbruiken. Ik had er een tijdje eentje en in de loggings zie je iedere paar minuten wel een poging om binnen te komen.

Dus de vuistregels :
- patch je FTP server naar de laatste versie
- gebruik een stevig wachtwoord met aan ander account dan root of admin
- zet er geen data op die je niet op het net wilt hebben

Er is overigens een ander risico, en dat is dat hackers je FTP server gaan gebruiken voor hun doelen. Dan zetten ze hem vol met hoogst illegale zaken. Als je hem niet nodig hebt is het beter om hem uit te zetten. Anders goed beveiligen

MuddyMagical @AOC • 23 maart 2018 14:05

Waarom niet lokaal zetten? Ik heb hem op elke pc en laptop staan én op mijn NAS. Met Keepass kan je je wijzigingen syncen met een andere file dus geen noodzaak om hem online te zetten.

AOC @MuddyMagical • 23 maart 2018 19:00

De gedachte erachter was dat als mn laptop of pc gestolen wordt diegene dan mn pw-database heeft

en ik dacht dat om het te syncen je 1 hoofdbestand moest hebben. Nu heb ik op mijn mobiel, desktop en tablet altijd de meest recente. Met lokaal opslaan zag ik niet echt de mogelijkheid om handig naar mobiel te syncen

Groax @AOC • 23 maart 2018 14:01

als je gebruikt maakt van een SSL verbinding met FTP en je webhosting niet openbaar hebt staan dan zou je op zich wel goed moeten zitten.

RoestVrijStaal @AOC • 23 maart 2018 14:07

Nee.

FTP heeft plain-text authorisation. Dus je verstuurt je login en wachtwoord plain-text. Dus als ze je verbinding sniffen kunnen ze dus lekker bij die wachtwoorden database en andere bestanden die je erop hebt staan en dan hoeven ze enkel te wachten totdat er voor elke encryptiealgoritme die je gebruikt een zwakheid is gevonden.

En dan heb ik nog niet eens over het feit dat je je wachtwoorden database bij een externe actor hebt staan en hoe dat is geïmplementeerd.

[Reactie gewijzigd door RoestVrijStaal op 22 juli 2024 18:12]

tinustate 23 maart 2018 13:43

Begrijp ik het goed dat de gevonden wachtwoorden plain text zijn? Want anders kun je niet een login simuleren.

Wilbert de Vries @tinustate • 23 maart 2018 13:48

Nee, dat begrijp je dus verkeerd

We willen benadrukken dat de wachtwoorden van Tweakers niet in plaintext zijn opgeslagen en niet zijn uitgelekt op internet.

tinustate @Wilbert de Vries • 23 maart 2018 13:50

Ik bedoelde hier de gevonden wachtwoorden, dus die 1.6 miljard.
Als die niet of een deel niet plain text waren dan simuleer je een login met geencrypte wachtwoorden wat niet echt nuttig is.

Wilbert de Vries @tinustate • 23 maart 2018 13:55

Ah juist. Ik begreep je verkeerd, sorry. Die file met miljoen miljard wachtwoorden was inderdaad plain text.

tinustate @Wilbert de Vries • 23 maart 2018 14:02

Oei, 1.6 miljard wachtwoorden "eenvoudig online te vinden".
Ik had verwacht dat ze wel achter een betaalmuurtje zaten maar als ze zomaar door iedereen te downloaden en te lezen zijn is dat niet best...

xiphoid @tinustate • 23 maart 2018 18:03

Nee hoor, er zijn twitter accounts, tumblr pages, tor paginas, dump sites, noem het maar op waar gewoon mensen met trots de dumps aanbieden - meestal is het 't nieuwe spul dat soms paar dagen te koop staat (helemaal als het iets exclusiefs is), maar het is eigenlijk te gemakkelijk om deze leaks/dumps etc te vinden voor download.

raro007 @tinustate • 23 maart 2018 13:49

Lees de artikel nog een keer a.u.b.
Ze zeggen
We willen benadrukken dat de wachtwoorden van Tweakers niet in plaintext zijn opgeslagen en niet zijn uitgelekt op internet.
Ook wel als mensen hun mail + wachtwoord op 10 sites gebruiken en 1 van die site lekt die dan heb je gelijk alle 10 websites lek.
Dus gebruik nooit dezelfde mail + wachtwoord op websites

ACM Software Architect @tinustate • 23 maart 2018 13:51

Ja en nee. In de file die we hebben gedownload staan ze wel plain text. In de database van Tweakers niet, maar dat hoefde ook niet. We konden tenslotte gewoon een login simuleren, waarbij het plain text wachtwoord uit die file vergeleken kan worden met wat er versleuteld in onze database zit.

Kees BOFH @tinustate • 23 maart 2018 13:52

Ja, dat heb je goed begrepen.

Ik heb twee lijsten op het internet gevonden met daarin ruim 1,65 miljard emailadress en de wachtwoorden in plain tekst. Toen was het een kwestie van de 'inlogfunctie' aanroepen met die twee gegevens en kijken bij wie ik een 'je bent nu ingelogt' terugkreeg.

(Onze wachtwoorden zijn uiteraard wel goed gehashed

)

[Reactie gewijzigd door Kees op 22 juli 2024 18:12]

ANdrode

@tinustate • 23 maart 2018 13:53

De gevonden gebruikersnamen en wachtwoorden zijn plaintext.

De door tweakers opgeslagen wachtwoorden niet. Met de plaintext kan daarom getest worden of het wachtwoord overeenkomt.

kuurtjes 23 maart 2018 14:03

Na een korte zoekactie vonden we inderdaad enkele bestanden met ruim 1,65 miljard e-mailadressen en wachtwoorden.

Ik denk niet dat jullie dat mogen.

Kees BOFH @kuurtjes • 23 maart 2018 14:16

Ik weet niet precies hoe dit legaal zit. Aan de ene kant moeten wij onze gebruikers beschermen van de wet (en hen erop wijzen dat hun tweakers-inloggegeven open en bloot op straat liggen hoort daar imo bij).

Aan de andere kant is het inderdaad wel een grijs gebied omdat je gestolen gegevens download. Maar zoals iemand vaakt roept: Data is juridisch niets.

Maar als je goede argumenten voor/tegen hebt dan hoor ik dat graag.

dasiro @Kees • 23 maart 2018 15:03

het feit dat je illegaal verkregen materiaal test op de database van je eigen bedrijf zorgt ervoor dat je plots iemand zijn actuele paswoord weet, wat een inbreuk op die persoon zijn gegevens betekend, terwijl die zijn gegevens voordien dus nog veilig waren tegen jullie.

Simpel gezegd: je hackt je eigen database met een illegale dictionary en daarvoor kan elke geteste gebruiker jullie aanklagen.

Kees BOFH @dasiro • 23 maart 2018 15:09

Daar heb je wel een punt.

Maar ons alternatief zou zijn geweest om te wachten totdat de gebruiker gehacked werd door de bruteforce inlogger die de afgelopen week bezig is geweest (en al bij 500 accounts binnen was gekomen).

dasiro @Kees • 23 maart 2018 15:23

Je kan bvb zoals bij steam een mailtje sturen als er vanaf een unknown device een inlogpoging wordt gedaan. Zo kan de aanvaller helemaal niets controleren en zal je ook veel minder bruteforce attacks te verduren krijgen, zeker als je dit combineert met een blacklist van toestellen die in het verleden zulke pogingen hebben gedaan.

Dan verleg je het probleem naar de mailprovider, want als daar ook hetzelfde paswoord wordt gebruikt, dan zijn jullie tenminste niet meer verantwoordelijk voor de validatie van de gecompromitteerde gegevens (wat dus al minstens 500x is gedaan).

cracking cloud @Kees • 23 maart 2018 16:21

Goed om te horen dat er actief gemonitored wordt op de inlogpagina. Zouden meer mensen moeten doen

ACM Software Architect @kuurtjes • 23 maart 2018 14:16

Waarom niet? Die file is openbaar te vinden. En onze lijst accounts checken mag voor zover wij weten ook gewoon. Zeker als je beseft dat we het doen om misbruik (o.a. oplichting via V&A en spam) te voorkomen bij accounts die blijkbaar eenvoudig toegankelijk zijn geworden...

biglia @kuurtjes • 23 maart 2018 14:18

Ik zou anders die lijst ook eens willen hebben om te kijken welk paswoord er bij mijn e-mailadres hangt. Volgens Have I Been Powned sta ik er sowieso op.

Bij "Control Pedro" op de belgische zender vier.be, hebben ze die lijst ook gedownload. Ze hadden de test uitgevoerd bij 4 aanwezige bekende vlamingen en ze hadden 3 matches. Het bewuste fragment kan je hier bekijken (misschien ook beschikbaar voor NL'ers): https://www.vier.be/video...msonengert-als-wachtwoord

System 23 maart 2018 13:46

Is er een mogelijkheid de personen op de hoogte te brengen van wie zijn naam in die lijst staat?

Kees BOFH @System • 23 maart 2018 13:54

Ja, die krijgen een aparte mail met dit verhaal en een link om hun wachtwoord opnieuw in te voeren (want hun oude wachtwoord werkt niet meer)

System @Kees • 23 maart 2018 13:57

ok. Super

Dan hoor ik er niet bij

Kees BOFH @System • 23 maart 2018 13:59

ok. Super
Dan hoor ik er niet bij

Dat weet je nog niet, ik moet per gebruiker een mail sturen en ik zit nu pas op 5% van de totale notificatie.

Maar ik heb het even apart voor jou opgezocht, je zit er inderdaad niet tussen

System @Kees • 23 maart 2018 14:00

thnx

Teaclo @Kees • 23 maart 2018 15:03

Kees, dat meen je niet

waarom geen script?

Kees BOFH @Teaclo • 23 maart 2018 15:11

Het is een script. Alleen zijn het zoveel gebruikers dat het vrij lang duurt om de wachtwoorden te resetten (waarbij een van de stappen het opnieuw hashen van het wachtwoord is; wat zo zwaar is opgezet dat het minimaal 100ms duurt).

En die 1.65 miljard accounts heb ik ook echt niet met de hand doorzocht hoor

zonoskar @Kees • 23 maart 2018 16:00

En dan iedereen die op die link klikt een phishing waarschuwing sturen: klik nooit op links in emails!

Kees BOFH @zonoskar • 23 maart 2018 16:02

Ja, het is een kwestie van gebruikersgemak aan de ene kant en veiligheid aan de andere kant.

Daarom geef ik in de mail naast een link ook instructies hoe je het zelf kan oplossen zodat je niet op de link hoeft te clicken.

Source90 @System • 23 maart 2018 13:53

Dan is nu je wachtwoord gereset, als dat het geval was.

Anonymoussaurus @Source90 • 23 maart 2018 13:59

Maar hoe zit dat als je al ingelogd bent? Wordt je dan automatisch uitgelogd? Want ik log niet elke keer uit als ik Tweakers heb gebruikt.

ACM Software Architect @Anonymoussaurus • 23 maart 2018 14:32

Ja, een wachtwoord-reset verwijdert ook alle ingelogde sessies

Op dit item kan niet meer gereageerd worden.

Tweakers waarschuwt accounthouders opnieuw voor uitgelekte wachtwoorden

Lees meer

IT-banen

Reacties (347)

Sorteer op:

Weergave: