Dat blijkt uit onderzoek van RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De gestolen database van Allekabels, met daarin de privégegevens van zo'n 3,6 miljoen mensen, is eind januari op een hackersforum te koop aangeboden voor een bedrag vanaf 15.000 euro.
De advertentie is maanden geleden al verwijderd, wat erop duidt dat de gegevens toen zijn verkocht. Inmiddels worden ze verhandeld onder cybercriminelen, en worden de gegevens actief misbruikt om mensen phishingberichten te sturen, op te lichten of te hacken.
Miljoenen wachtwoorden
Het gaat in totaal om zo'n 2,6 miljoen unieke e-mailadressen die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. De andere miljoen gegevens zijn persoonsgegevens van mensen die via een webshop als Bol.com en Amazon bij Allekabels hebben besteld. Van hen zijn geen e-mailadressen of wachtwoorden gelekt.
Het is het grootste datalek met wachtwoorden in Nederland ooit, zo stelt ethisch hacker Rickey Gevers. Hij is oprichter van Scattered Secrets, een website waar je kan opzoeken in welke datalekken jouw gegevens voorkomen. "Het Allekabels-lek is voor cybercriminelen ontzettend interessant en waardevol door alle wachtwoorden en gevoelige informatie", vertelt hij. Op de tweede plek staat prostitutiesite Hookers waarvan in 2019 zo'n 250.000 wachtwoorden zijn uitgelekt.
IBAN-nummers
Ook zijn zo'n 109.000 IBAN-nummers van Allekabels-klanten gestolen en verhandeld. Deze gegevens zijn goud waard voor criminelen omdat ze op twee manieren kunnen worden misbruikt. Allereerst worden de gegevens door bedrijven en organisaties gebruikt ter controle van je identiteit. Met zo'n IBAN-nummer wordt het gemakkelijk om identiteitsfraude te plegen.
Als tweede kunnen IBAN-nummers worden misbruikt voor zeer gerichte phishingaanvallen. Een crimineel kan een geloofwaardig phishingbericht opstellen door jouw naam, woonadres en rekeningnummer erin te verwerken. Als ontvanger zul je zo'n bericht sneller vertrouwen omdat jouw daadwerkelijke gegevens erin staan.
Bron: https://www.rtlnieuws.nl/(...)derlanders-op-straat
Dus mocht je daar iets besteld hebben, let zeer goed op je gegevens en pas op phising aanvallen.
Dus daarom is overal andere wachtwoorden gebruiken wel echt belangrijk.
Safe.quote:Op donderdag 15 april 2021 16:00 schreef babylon het volgende:
Hmm, uniek wachtwoord en geen telefoonnummer. Redelijk save dus.
Wordt ook over versleuteld gesproken in het artikel.quote:Op donderdag 15 april 2021 17:39 schreef ACT-F het volgende:
Dat ze de wachtwoorden in klare tekst opslaan...
quote:
Dat ze de wachtwoorden in klare tekst opslaan...
Overheen gelezenquote:Op donderdag 15 april 2021 17:48 schreef Tyr80 het volgende:
[..]
Wordt ook over versleuteld gesproken in het artikel.
Nu liggen mijn emailadres en IBAN-nummer dus op straat
https://autoriteitpersoon(...)s/boetes-en-sanctiesquote:
Waarom krijgen bedrijven geen boetes na een datalek?
Het is wel bijzonder magertjes zeg. Vooral boetes om het te laat melden van een datalek en een dwangsom bij onvoldoende verbetering.quote:Op donderdag 15 april 2021 19:21 schreef Aether het volgende:
[..]
https://autoriteitpersoon(...)s/boetes-en-sancties
Wmb pakken ze al die bedrijven keihard aan die maar bedelen om al onze gegevens om ze vervolgens kwijt te raken aan hackers.
Een half uur geleden was er al nauwelijks iets mee te beginnen, tijdens het aanpassen van het wachtwoord.
Blijkbaar.quote:Op donderdag 15 april 2021 19:33 schreef Starhopper het volgende:
Miljoenen wachtwoorden? Ik heb nog nooit van deze webshop gehoord? Is het zo'n grote speler dan?
Ze hadden binnen hun categorie nogal veel, voor acceptabele bedragen, en Trustpilot laat ook niet veel geks zien (vóór vandaag, dan), en dan kom je al snel bij die site uit als je zoiets zoekt.
Ja. Ik heb er ook gekocht. Klotecriminelen.quote:
Miljoenen wachtwoorden? Ik heb nog nooit van deze webshop gehoord? Is het zo'n grote speler dan?
Ze hadden inderdaad op zijn minst een bericht kunnen sturen naar de gedupeerden. Nu komt het over alsof ze dit een onder pet probeerden te houden. Hopelijk krijgen ze hier nog een tik voor van de autoriteit persoonsgegevens.quote:
Vooral hoe zij ermee omgaan is beschamend. In principe heeft de data-roof al in augustus 2020 plaatsgevonden. Zij hadden het toen over van 5.000 klanten (ja precies dat) gelekte gegevens. Nu wat maanden later blijkt het the crime of the century te zijn met heel andere grootheden. Bijzonder k*tbedrijf. Ze verkopen kabels maar voornamelijk smoesjes.
Sorry, die wachtwoorden gaan ze nooit krijgen.
Beetje storm in een glas water.
Kan geen mails van die partij vinden, dus blijkbaar nooit een account aangemaakt daar.
Ff gekeken en de website ken ik ook al wel ja. Heb daar vorig jaar blijkbaar een kabel besteldquote:
[..]
Blijkbaar.
Ze hadden binnen hun categorie nogal veel, voor acceptabele bedragen, en Trustpilot laat ook niet veel geks zien (vóór vandaag, dan), en dan kom je al snel bij die site uit als je zoiets zoekt.
Ik heb geen account aangemaakt voor mijn bestelling, dat is dus achteraf een goede keuze geweest Op T.net is een topic over dat ze vanaf februari van dit jaar naar emailadressen of gebruikersnamen die "AlleKabels" erin hadden een mail hebben gestuurd. Daar spraken ze over "5000" gehackte records. Wel good thinking omdat juist gegevens met "AlleKabels" daarin makkelijk terug te voeren zijn tot hun eigen hack... Als die gegevens misbruikt worden door derden is het duidelijk wat de bron is. Gaat dus om klanten die voor iedere webshop een terug te leiden gebruikersnaam en/of emailadres gebruiken.quote:
[..]
Ze hadden inderdaad op zijn minst een bericht kunnen sturen naar de gedupeerden. Nu komt het over alsof ze dit een onder pet probeerden te houden. Hopelijk krijgen ze hier nog een tik voor van de autoriteit persoonsgegevens.
Ze hebben dus met een list aan schadebeperking proberen te doen. En tevens verzwegen hoe groot de schade echt was.
Klinkt allemaal heel veilig. Maar de salt was ook gewoon te vinden. Al met al stelde het niets voor hoor.quote:
Ook dat nog. Helaas, er zat een bestelling uit juli tussen.
Wat kunnen ze met een IBAN? Niet veel toch neem ik aan?quote:
[ tweet ]
Ook dat nog. Helaas, er zat een bestelling uit juli tussen.
Misschien storten ze wel een miljoen euro op mn rekening
Ik ben al aan het googelen. Misschien is dit interessant. --> https://www.consumentenbond.nl/internet-privacy/identiteitsfraudequote:
[..]
Wat kunnen ze met een IBAN? Niet veel toch neem ik aan?
Misschien storten ze wel een miljoen euro op mn rekening
Bedrijven gebruiken een IBAN soms om je identiteit te controleren. Ook kun je wat meer geloofwaardige phisingmails e.d. krijgen als ze je IBAN wetenquote:
[..]
Wat kunnen ze met een IBAN? Niet veel toch neem ik aan?
Misschien storten ze wel een miljoen euro op mn rekening
edit: zie nu het linkje hierboven
de lieden die zo panisch reageren nadat er miljoenen accounts bij Facebook waren uitgelekt zouden zich helemaal achter hun oren moeten krabben.
Mijn mailadres staat er in, maar je moet registreren voor je kan zien welk wachtwoord dan bekend is.
Ik denk okay, prima.
Staat er een wachtwoord bekend wat ik nooit als wachtwoord waar dan ook gebruikt heb.
Wel als gebruikersnaam, maar dat is dus uit onbekende bron, volgens de site, ooit toegevoegd alsof het een gelekt wachtwoord zou betreffen.
Verder niks bekend over mij qua wachtwoorden.
Thnx! ff lezenquote:
[..]
Ik ben al aan het googelen. Misschien is dit interessant. --> https://www.consumentenbond.nl/internet-privacy/identiteitsfraude
Nog nooit meegemaakt dat ze mijn IBAN hebben gebruikt mijn identiteit te controleren. De gerichte phisingmails is wel een goede idd! Daar zal ik wel op lettenquote:
[..]
Bedrijven gebruiken een IBAN soms om je identiteit te controleren. Ook kun je wat meer geloofwaardige phisingmails e.d. krijgen als ze je IBAN weten
edit: zie nu het linkje hierboven
https://www.rtlnieuws.nl/(...)rote-spelers-uit-het
Ook wel een leuk stuk, uit 2011:
https://twinklemagazine.n(...)ekabels.nl/index.xml
Ik heb jouw wachtwoordquote:
En waar de fuck kun je checken of jouw wachtwoord gelekt is??
Voor dit lek zijn slechts de gehashte wachtwoorden gelekt.quote:
En waar de fuck kun je checken of jouw wachtwoord gelekt is??
Voor andere wachtwoorden kun je hier checken: https://scatteredsecrets.com/
Dan krijg je ze zelfs te zien.
Absoluut geen storm in een glas water. MD5 als salt is al jaren een no-go.quote:
Hashed, m5+salt en/of bcrypt.
Sorry, die wachtwoorden gaan ze nooit krijgen.
Beetje storm in een glas water.
Kan geen mails van die partij vinden, dus blijkbaar nooit een account aangemaakt daar.
Als ze bcrypt hadden gebruikt was het iets minder erg geweest.
Maar welke idioot slaat de salt code op bij de passwords.
Het is helemaal niet zo vreemd om de salt bij de gehashde wachtwoorden op te slaan.quote:
[..]
Absoluut geen storm in een glas water. MD5 als salt is al jaren een no-go.
Als ze bcrypt hadden gebruikt was het iets minder erg geweest.
Maar welke idioot slaat de salt code op bij de passwords.
Is precies wat er bij mij gebeurd is. Ik kreeg op 4 februari een mail van allekabels dat er geggevens van ca. 5000 klanten gelekt waren via een thuiswerkende medewerker, terwijl er twee dagen eerder op dat specifieke adres al een phishingmail was binnen gekomen.quote:Het vermoeden is dat Allekabels wel degelijk op de hoogte was van de hack, zo stellen verschillende experts en klanten. Dat zit zo: sommige klanten gebruiken een uniek e-mailadres voor Allekabels, zoals allekabels@jouwdomein.nl of jouwnaam+allekabels@gmail.com. Op die manier weten klanten wanneer en waar hun gegevens zijn gelekt of doorverkocht: ze ontvangen dan phishing- of spamberichten op dat unieke e-mailadres.
RTL Nieuws heeft meer dan dertig mensen uit de database opgebeld om de gelekte gegevens te controleren. De klanten met zo'n uniek e-mailadres hebben van Allekabels allemaal een bericht gehad dat hun gegevens zijn gelekt - volgens Allekabels zaten zij allemaal toevallig tussen de 5000 gegevens die deze ex-medewerker had gestolen.
Om opheldering gevraagd wat er dan precies gelekt was maar nooit antwoord op gehad.
Vrij standaard om salt bij hash op te slaan.quote:
[..]
Absoluut geen storm in een glas water. MD5 als salt is al jaren een no-go.
Als ze bcrypt hadden gebruikt was het iets minder erg geweest.
Maar welke idioot slaat de salt code op bij de passwords.
Wtf er staat een wachtwoord tussen dat ik alleen voor FOK! heb gebruiktquote:
[..]
Voor dit lek zijn slechts de gehashte wachtwoorden gelekt.
Voor andere wachtwoorden kun je hier checken: https://scatteredsecrets.com/
Dan krijg je ze zelfs te zien.
Berenpak1 ?quote:
[..]
Wtf er staat een wachtwoord tussen dat ik alleen voor FOK! heb gebruikt
quote:
Nee maar echt serieus
Source unknown zeker?quote:
Dat zijn vaak wachtwoorden afkomstig uit afluisteren op openbare WiFi, of malware op je pc etc. Zeker dat eerste zou zomaar kunnen aangezien Fok vrij lang geen beveiligde verbinding aanbood
Wat een dooddoener.quote:
Achja. tot 2018 was er elk jaar een groot, dik boek verkrijgbaar met allemaal telefoonnummers en adressen. Als je dat boek nu zou hebben, zou je die gegevens ook kunnen verkopen? Allemaal privégegevens.
de lieden die zo panisch reageren nadat er miljoenen accounts bij Facebook waren uitgelekt zouden zich helemaal achter hun oren moeten krabben.
Stond daar je email, IBAN en wachtwoord ook bij?Inderdaad, andere proporties.quote:
[..]
Wat een dooddoener.
Die FB leak is wel ideaal trouwens, kan nu makkelijk mee mobiele nummers aan namen koppelen en vv.
Dát is een hele goeie. Het is inderdaad een wachtwoord van mn oudste account.quote:
[..]
Source unknown zeker?
Dat zijn vaak wachtwoorden afkomstig uit afluisteren op openbare WiFi, of malware op je pc etc. Zeker dat eerste zou zomaar kunnen aangezien Fok vrij lang geen beveiligde verbinding aanbood
Goeie, thx!
Mjah...quote:
Voor dit lek zijn slechts de gehashte wachtwoorden gelekt.
Ik checkte het even en schrok wel toen chrome inloggegevens voorstelde...bleek dat ik er toch wat heb gekocht eind vorig jaar. Dus qua IBAN wel safe denk ik, maar mijn naam & mail hebben ze dus mooi.quote:
Hashed, m5+salt en/of bcrypt.
Sorry, die wachtwoorden gaan ze nooit krijgen.
Beetje storm in een glas water.
Kan geen mails van die partij vinden, dus blijkbaar nooit een account aangemaakt daar.
Alhoewel...als die salt idd klopt, hebben ze mijn ww ook.
Niet eens zozeer een probleem dat de salt bekend is, normaal staat die altijd gewoon in de tabel met gehashte wachtwoorden.quote:
Wat wel een probleem is is dat die salt voor elke user hetzelfde is. Én die wachtwoorden die je daar ziet zijn echt om te janken natuurlijk.
[ Bericht 0% gewijzigd door Drekkoning op 15-04-2021 23:17:16 ]
Tja, een salt die voor iedereen gelijk is maakt het een stuk minder veilig...quote:
quote:
Niet eens zozeer een probleem dat de salt bekend is, normaal staat die altijd gewoon in de tabel met gehashte wachtwoorden.
Wat wel een probleem is is dat die hash voor elke user hetzelfde is. Én die wachtwoorden die je daar ziet zijn echt om te janken natuurlijk.
Dat lijkt dus zo te zijn.quote:
Tja, een salt die voor iedereen gelijk is maakt het een stuk minder veilig...
En idd die wachtwoorden...
_!opel01...
Kies dan konein of øpèl01quote:
[..]
[..]
Dat lijkt dus zo te zijn.
En idd die wachtwoorden...
opel01...
Gewoon Bitwarden aan het werk zetten: 5s@f7aR8z4wAeyquote:
Ja, genoeg (gratis) alternatieven. Lastpass, 1Password etc.quote:
[..]
Gewoon Bitwarden aan het werk zetten: 5s@f7aR8z4wAey
Aparte is dat er nog genoeg websites zijn die een limiet hebben en sommige karakters niet accepteren in een wachtwoord.
In keepass kan bij het wachtwoord genereren aangeven aan welke voorwaarden moet voldoenquote:
[..]
Ja, genoeg (gratis) alternatieven. Lastpass, 1Password etc.
Aparte is dat er nog genoeg websites zijn die een limiet hebben en sommige karakters niet accepteren in een wachtwoord.
Is een standaard feature in al die managers.quote:
In keepass kan bij het wachtwoord genereren aangeven aan welke voorwaarden moet voldoen
Ja, dat kunnen o.a. Lastpass en Bitwarden ook.quote:
[..]
In keepass kan bij het wachtwoord genereren aangeven aan welke voorwaarden moet voldoen
Ik vind het alleen apart dat je geen $ of % zou mogen gebruiken in een wachtwoord.
Maar ik weet niet meer welk wachtwoord ik daarvoor gebruikte, en of ik dat dus elders ook nog gebruikte.. nu staat er een gegenereerd uniek ww, maar of dat daarvoor ook zo was...
quote:4 feb 2021:
Beste,
Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).
Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst.
We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.
Zodra de nieuwe encrypted e-mail database online is gegaan, zullen we u een bericht sturen.
Met vriendelijke groet,
Constantijn Souren
En het is de klant die een schadevergoeding dient te krijgen, niet de staat.quote:
[..]
Het is wel bijzonder magertjes zeg. Vooral boetes om het te laat melden van een datalek en een dwangsom bij onvoldoende verbetering.
Wmb pakken ze al die bedrijven keihard aan die maar bedelen om al onze gegevens om ze vervolgens kwijt te raken aan hackers.
Dit kan echt nietquote:
Te listig als er straks een paar gewelddadige Tokkie-mafketels voor de deur staan. Politie doet immers nooit iets, we hebben wel een honkbalknuppel hier om een Tokkie de hersens mee in te slaan als het moet, maar liever is het gewoon niet nodig. Elke dag even oefenen buiten in de tuin met de familie tijdens een spelletje honkbal.
Reden te meer gewoon internet op te doeken, het is niet te beveiligen en ICT en Nederland gaan gewoon erg slecht samen.
Gelukkig heb ik daar nooit iets besteld, ik ken deze zaak niet eens. Nooit van gehoord.
Maar ik bestelde al bijna nooit iets online en ga dit nog minder doen. Ook niet als het gedwongen wordt door de overheid, want online bestellen is dus onveilig en de staat weigert pertinent iets aan beveiliging te doen en weigert ook op te treden wanneer er een stel agressieve Tokkies voor je deur staan.
Uit voorzorg dus niets online bestellen en uberhaupt zo min mogelijk online.
Dat wat ik 'de Chinese winkel' noem (XL Discount in Uden) had een trouwe klant aan me, en daar ligt ook een aardig aanbod aan kabeltjes; in veel soorten en maten. Maar nu bestel ik toch maar online.
Ik kreeg zojuist deze e-mail. Wat een lulkoekquote:Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig is uw wachtwoord NIET gelekt!
Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.
Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen.
Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld,
maar dat geldt dus niet voor u.
Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is.
Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.
Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
alsof dat niet de norm zou moeten zijn.Helaas zie je heel erg vaak dat websites op een voor dat moment veilig geachte manier worden ingericht en daarna niet meer worden aangepast.quote:
Gelukkig hebben ze de beveiliging direct maximaal opgeschroefd!
Wat een triest gebruik van de Nederlandse taal door deze droeftoeters.quote:
[..]
Ik kreeg zojuist deze e-mail. Wat een lulkoek
Ik kreeg dezelfde mail, maar sta wel degelijk al jaren geregistreerd; al lang voor 2018. Volgens m'n mailbox sinds 2015. Waarschijnlijk kan het dus wel worden gekraakt.quote:
[..]
Ik kreeg zojuist deze e-mail. Wat een lulkoek
Vreemd, ik heb een vergelijkbare mail gekregen met dat verschil dat er wel gemeld wordt dat mijn gegevens gekraakt kunnen zijn.quote:
Ik kreeg dezelfde mail, maar sta wel degelijk al jaren geregistreerd; al lang voor 2018. Volgens m'n mailbox sinds 2015. Waarschijnlijk kan het dus wel worden gekraakt.
Alleen staat nergens bij voor welk account dat geldt. Daarnaast heb ik in februari al mijn wachtwoord veranderd, na de eerste mail. Ik heb geen idee welk wachtwoord ik daarvoor gebruikte en welke dus gekraakt is. Daar kan ik dan toch niets mee?
Ze managen deze blamage wel echt slecht in mijn ogen.
Dank je, nu weet ik ook waar die email met een juist wachtwoord vandaan komt. Die komt uit 2018.quote:
[..]
Voor dit lek zijn slechts de gehashte wachtwoorden gelekt.
Voor andere wachtwoorden kun je hier checken: https://scatteredsecrets.com/
Dan krijg je ze zelfs te zien.
Niet alleen dat, het gebruik van de Nederlandse taal is ook op een teleurstellend niveau.quote:
Ik kreeg twee mails ( ik had twee accounts). 1 dat mijn wachtwoord niet gekraakt is, 1 dat die wel gekraakt is..
Alleen staat nergens bij voor welk account dat geldt. Daarnaast heb ik in februari al mijn wachtwoord veranderd, na de eerste mail. Ik heb geen idee welk wachtwoord ik daarvoor gebruikte en welke dus gekraakt is. Daar kan ik dan toch niets mee?
Ze managen deze blamage wel echt slecht in mijn ogen.
Geenkabels.nlquote:
Ik denk dat ik allekabels.nl lekker links laat liggen
Ik leg de lat voor mezelf ook (aanzienlijk) hoger maar het doet niet onder voor wat de gemiddelde HBO-er van tegenwoordig produceert qua geschreven teksten.quote:
[..]
Wat een triest gebruik van de Nederlandse taal door deze droeftoeters.