NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Dat is strafbaar, maar goed snap wel dat men wil inzien of, en welke gegevens er van jou gelekt zijn.quote:Op donderdag 26 februari 2026 17:15 schreef raptorix het volgende:
Oh mijn god, nu zijn er idioten die ook de leak gaan doorplaatsten op X met daarbij een link die je via een normale browser kunt downloaden.
Echt letterlijk met erbij: Ja nee, want alleen de pers mag zeker de lek hebben, man man man.
Maar goed, met een beetje zoekwerk kan je dat bestand zelf ook wel vinden
Nou ja ze gaan het toch lekken. Vind de houding van Odido wel kwalijk. Het eerste smsje heb ik vorige week al gehad dat er een transactie verdacht was een of ik via een linkje op ING wilde inloggen.
Hoe komen ze aan de hele database?
Kan iedere helpdesk medewerker daar bij?
Als je het mij vraagt is het gewoon nalatigheid van Odido
Kan iedere helpdesk medewerker daar bij?
Als je het mij vraagt is het gewoon nalatigheid van Odido
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
ligt geheel aan het helpdesk systeem en de inrichting daarvanquote:
Hoe komen ze aan de hele database?
Kan iedere helpdesk medewerker daar bij?
mentions en alerts staan uit, pm/dm mij
Misschien is en lek zoals deze wel een keer goed om mensen, bedrijven en de overheid echt eens wakker te schudden. Al denk ik dat men hier alsnog niks van leert en dit ongetwijfeld vaker gaat gebeurenquote:Op donderdag 26 februari 2026 21:00 schreef Joopklepzeiker het volgende:
Deze cybercriminelen moeten naakt vastgebonden worden en volgesmeerd worden met stroop bij een nest vleesetende mieren.
Zou niet alleen bepaalde ITers daarbij moeten kunnen komen?quote:
[..]
ligt geheel aan het helpdesk systeem en de inrichting daarvan
Die weten wat de risico's zijn
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Wat doet Fok om lekken te voorkomen?
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Mjah, ja en nee, overrigens zullen de meeste toch wel te dom zijn om te weten hoe je een 10GB bestand doorzoekt.quote:
[..]
Dat is strafbaar, maar goed snap wel dat men wil inzien of, en welke gegevens er van jou gelekt zijn.
Maar goed, met een beetje zoekwerk kan je dat bestand zelf ook wel vinden
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
ctrl-f ?quote:
[..]
Mjah, ja en nee, overrigens zullen de meeste toch wel te dom zijn om te weten hoe je een 10GB bestand doorzoekt.
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Nee het is niet dat ze direct bij de database komen, ik zal het proberen uit te leggen, deze medewerkers werken met een systeem genaamd Salesforce, Salesforce is een platform wat zeer veel bedrijven gebruiken voor allerlei hande diensten, je kunt er als het ware vrij snel werkende software in maken, waarin je kunt zoeken, velden bewerken, lijsten draaien, etc. Kortom moet je morgen een nieuw veld hebben: Fokpremium, dan is het een questie van extra veld aanmaken, en klaar, je hoeft dus geen nieuwe release te doen.quote:
Hoe komen ze aan de hele database?
Kan iedere helpdesk medewerker daar bij?
Als je het mij vraagt is het gewoon nalatigheid van Odido
Maar hoe komen ze dan aan de data? Doorgaans werkt moderne software op zo een manier, dat als jij de gegevens van een persoon ophaalt, je niet de hele pagina wilt verversen, maar alleen een call wilt doen op de API, bijvoorbeeld zoals dit, wat de temperatuur ophaalt:
https://api.open-meteo.co(...)&timeformat=unixtime
Maar hoe doen de hackers dit dan? Nou de hackers kennen salesforce, en aangezien de API voor iedereen het zelfde is kunnen ze via een script vrij snel al die persoons gegevens ophalen, dat gaat iets van:
/salesforce/users/list?start=10&end=50
/salesforce/users/list?start=100&end=150
Maar hoe weten ze het wachtwoord dan?
Nou dat hebben ze ontfutselt van medewerkers, wanneer ze inloggen met dat account krijg je een zogenaamd: Token, en met dat token kun je dus de API aanroepen, en dat hoef je niet van de computer van die gebruiker te doen, dat kun je doen vanaf een snelle server.
En hier zit dus het probleem, als je een goede beveiliging hebt, zal je monitoren of er onverwacht vaak API calls plaatsvinden, als 1 user dus 100K users per uur op haalt zouden de alarmbellen af moeten gaan, wat ik vermoed is dat ze heel sneaky op vrijdagavond zijn gestart in een bloedtempo, en op zondag klaar waren, als er al monitoring was dan lag waarschijnlijk iemand te pitten, en kwam er op maandag achter dat er 10 Miljoen API calls waren gedaan, mensen die roepen dat het lang duurt: Mehoela, ik bouw zelf ook dit soort tools en om deze gegevens te downloaden zou ik dat nog wel met 1 simpele PC in een weekend kunnen, echter ik denk dat ze het veel efficienter gedaan hebben en misschien wel 200 systemen hebben gebruikt en in een uurtje klaar waren.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
die zijn net zo vatbaar voor social engineeringquote:
[..]
Zou niet alleen bepaalde ITers daarbij moeten kunnen komen?
Die weten wat de risico's zijn
mentions en alerts staan uit, pm/dm mij
Zou er niet een limiet gebruikt moeten worden?quote:
[..]
Nee het is niet dat ze direct bij de database komen, ik zal het proberen uit te leggen, deze medewerkers werken met een systeem genaamd Salesforce, Salesforce is een platform wat zeer veel bedrijven gebruiken voor allerlei hande diensten, je kunt er als het ware vrij snel werkende software in maken, waarin je kunt zoeken, velden bewerken, lijsten draaien, etc. Kortom moet je morgen een nieuw veld hebben: Fokpremium, dan is het een questie van extra veld aanmaken, en klaar, je hoeft dus geen nieuwe release te doen.
Maar hoe komen ze dan aan de data? Doorgaans werkt moderne software op zo een manier, dat als jij de gegevens van een persoon ophaalt, je niet de hele pagina wilt verversen, maar alleen een call wilt doen op de API, bijvoorbeeld zoals dit, wat de temperatuur ophaalt:
https://api.open-meteo.co(...)&timeformat=unixtime
Maar hoe doen de hackers dit dan? Nou de hackers kennen salesforce, en aangezien de API voor iedereen het zelfde is kunnen ze via een script vrij snel al die persoons gegevens ophalen, dat gaat iets van:
/salesforce/users/list?start=10&end=50
/salesforce/users/list?start=100&end=150
Maar hoe weten ze het wachtwoord dan?
Nou dat hebben ze ontfutselt van medewerkers, wanneer ze inloggen met dat account krijg je een zogenaamd: Token, en met dat token kun je dus de API aanroepen, en dat hoef je niet van de computer van die gebruiker te doen, dat kun je doen vanaf een snelle server.
En hier zit dus het probleem, als je een goede beveiliging hebt, zal je monitoren of er onverwacht vaak API calls plaatsvinden, als 1 user dus 100K users per uur op haalt zouden de alarmbellen af moeten gaan, wat ik vermoed is dat ze heel sneaky op vrijdagavond zijn gestart in een bloedtempo, en op zondag klaar waren, als er al monitoring was dan lag waarschijnlijk iemand te pitten, en kwam er op maandag achter dat er 10 Miljoen API calls waren gedaan, mensen die roepen dat het lang duurt: Mehoela, ik bouw zelf ook dit soort tools en om deze gegevens te downloaden zou ik dat nog wel met 1 simpele PC in een weekend kunnen, echter ik denk dat ze het veel efficienter gedaan hebben en misschien wel 200 systemen hebben gebruikt en in een uurtje klaar waren.
Lijkt mij database 101
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Ja dat zou moeten, nu ben ik geen Salesforce expert, maar ik zie dat ze ook een product hebben als Addon wat dit soort gedrag detecteert, alleen kost dat geld en of ze waren te zuinig, of ze hebben het product niet goed ingericht.quote:
[..]
Zou er niet een limiet gebruikt moeten worden?
Lijkt mij database 101
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik blijf erbij dat het nalatigheid is van Odido
Verwijtbaar
Verwijtbaar
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Ook IT engineers horen niet bij productie data te kunnen, ik werk zelf voor een bank, en hoewel ik wel software naar productie kan brengen kan ik geen data inzien, ik kan ook niet op productie systemen inloggen, alles dient volledig geautomatiseerd te gebeuren, ook als ik een nieuwe release moet doen moeten 3 andere mensen daar goedkeuring voor geven en staat elke nieuwe release geregistreerd in het centrale bank systeem, daarom kan werken voor een bank soms best frustrerend zijn omdat alles extreem veilig moet gebeuren, voor een nieuw software project moet ik door een traject dat 6-12 maanden duurt, kijken 5 commisies of het allemaal deugt, en daarna word alles continue gemonitored wat er gebeurt, ook hebben we automatische regels die moeten voorkomen dat iemand configuratie fouten maakt, zo is bijvoorbeeld volledig afgedekt dat een databron naar de buitenwereld kan openstaan, configureer ik dat per ongeluk wel, dan word voordat dat aangezet word al direct het proces automatisch afgebroken.quote:
[..]
die zijn net zo vatbaar voor social engineering
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Dat denk ik ook, maar hou er wel rekening mee dat hun beveiliging al beter is dan de meeste bedrijven, en ik werk best vaak in dit soort omgevingen, vaak zie je dat ze niet eens MFA voor dit soort medewerkers hebben.quote:
Ik blijf erbij dat het nalatigheid is van Odido
Verwijtbaar
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Idd..net zoals niet iedere ziekenhuis medewerker bij de medische gegevens van bn'ers horen te komen.quote:
[..]
Ook IT engineers horen niet bij productie data te kunnen, ik werk zelf voor een bank, en hoewel ik wel software naar productie kan brengen kan ik geen data inzien, ik kan ook niet op productie systemen inloggen, alles dient volledig geautomatiseerd te gebeuren, ook als ik een nieuwe release moet doen moeten 3 andere mensen daar goedkeuring voor geven en staat elke nieuwe release geregistreerd in het centrale bank systeem, daarom kan werken voor een bank soms best frustrerend zijn omdat alles extreem veilig moet gebeuren, voor een nieuw software project moet ik door een traject dat 6-12 maanden duurt, kijken 5 commisies of het allemaal deugt, en daarna word alles continue gemonitored wat er gebeurt, ook hebben we automatische regels die moeten voorkomen dat iemand configuratie fouten maakt, zo is bijvoorbeeld volledig afgedekt dat een databron naar de buitenwereld kan openstaan, configureer ik dat per ongeluk wel, dan word voordat dat aangezet word al direct het proces automatisch afgebroken.
Of iedereen bij strafdossiers
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Als dit echt de manier waarop ze die data hebben binnengeharkt mag er wel eens iemand achter zijn oren krabben waarom er geen rate limiting is toegepastquote:
[..]
Nee het is niet dat ze direct bij de database komen, ik zal het proberen uit te leggen, deze medewerkers werken met een systeem genaamd Salesforce, Salesforce is een platform wat zeer veel bedrijven gebruiken voor allerlei hande diensten, je kunt er als het ware vrij snel werkende software in maken, waarin je kunt zoeken, velden bewerken, lijsten draaien, etc. Kortom moet je morgen een nieuw veld hebben: Fokpremium, dan is het een questie van extra veld aanmaken, en klaar, je hoeft dus geen nieuwe release te doen.
Maar hoe komen ze dan aan de data? Doorgaans werkt moderne software op zo een manier, dat als jij de gegevens van een persoon ophaalt, je niet de hele pagina wilt verversen, maar alleen een call wilt doen op de API, bijvoorbeeld zoals dit, wat de temperatuur ophaalt:
https://api.open-meteo.co(...)&timeformat=unixtime
Maar hoe doen de hackers dit dan? Nou de hackers kennen salesforce, en aangezien de API voor iedereen het zelfde is kunnen ze via een script vrij snel al die persoons gegevens ophalen, dat gaat iets van:
/salesforce/users/list?start=10&end=50
/salesforce/users/list?start=100&end=150
Maar hoe weten ze het wachtwoord dan?
Nou dat hebben ze ontfutselt van medewerkers, wanneer ze inloggen met dat account krijg je een zogenaamd: Token, en met dat token kun je dus de API aanroepen, en dat hoef je niet van de computer van die gebruiker te doen, dat kun je doen vanaf een snelle server.
En hier zit dus het probleem, als je een goede beveiliging hebt, zal je monitoren of er onverwacht vaak API calls plaatsvinden, als 1 user dus 100K users per uur op haalt zouden de alarmbellen af moeten gaan, wat ik vermoed is dat ze heel sneaky op vrijdagavond zijn gestart in een bloedtempo, en op zondag klaar waren, als er al monitoring was dan lag waarschijnlijk iemand te pitten, en kwam er op maandag achter dat er 10 Miljoen API calls waren gedaan, mensen die roepen dat het lang duurt: Mehoela, ik bouw zelf ook dit soort tools en om deze gegevens te downloaden zou ik dat nog wel met 1 simpele PC in een weekend kunnen, echter ik denk dat ze het veel efficienter gedaan hebben en misschien wel 200 systemen hebben gebruikt en in een uurtje klaar waren.
https://github.com/datasafari-org/Odidoviewerquote:
[..]
Open maar eens een text bestand van 10GB in notepad
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Voor een internet provider vind ik het iig vrij kwalijk.
Je zou verwachten dat die hun beveiliging op orde hebben.
Je zou verwachten dat die hun beveiliging op orde hebben.
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
in de ideale wereld wel ja... echter weet ik uit ervaring dat dat geen realistisch scenario is voor veel (net niet alle) bedrijvenquote:
[..]
Ook IT engineers horen niet bij productie data te kunnen, ik werk zelf voor een bank, en hoewel ik wel software naar productie kan brengen kan ik geen data inzien, ik kan ook niet op productie systemen inloggen, alles dient volledig geautomatiseerd te gebeuren, ook als ik een nieuwe release moet doen moeten 3 andere mensen daar goedkeuring voor geven en staat elke nieuwe release geregistreerd in het centrale bank systeem, daarom kan werken voor een bank soms best frustrerend zijn omdat alles extreem veilig moet gebeuren, voor een nieuw software project moet ik door een traject dat 6-12 maanden duurt, kijken 5 commisies of het allemaal deugt, en daarna word alles continue gemonitored wat er gebeurt, ook hebben we automatische regels die moeten voorkomen dat iemand configuratie fouten maakt, zo is bijvoorbeeld volledig afgedekt dat een databron naar de buitenwereld kan openstaan, configureer ik dat per ongeluk wel, dan word voordat dat aangezet word al direct het proces automatisch afgebroken.
mentions en alerts staan uit, pm/dm mij
Jawel, maar daar schat ik ze niet slim genoeg voor in.quote:
[..]
https://github.com/datasafari-org/Odidoviewer
Of:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | import duckdb con = duckdb.connect() con.execute(""" COPY ( SELECT json->>'Name' AS Name, json->>'BillingStreet' AS BillingStreet, json->>'BillingCity' AS BillingCity, json->>'BillingState' AS BillingState, json->>'BillingPostalCode' AS BillingPostalCode, json->>'BillingCountry' AS BillingCountry, json->>'Billing_Address__c' AS Billing_Address__c, FROM read_json_auto('odido_1m_shinyhunters.json') ) TO 'output.csv' WITH (FORMAT CSV, HEADER TRUE); """) print("Done!") |
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Daarom zouden dit soort bedrijven veel zwaarder gestraft moeten worden, daarnaast moeten we snel af van het idee dat bedrijven je gegevens op moeten slaan, dat zou gewoon via tokenbased systemen moeten verlopen waar je identiteit alleen gevalideerd word en niet opgeslagen, maar goed dan zijn we weer 10 jaar verder.quote:
[..]
in de ideale wereld wel ja... echter weet ik uit ervaring dat dat geen realistisch scenario is voor veel (net niet alle) bedrijven
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Interessant artikel.. hoe shinyhunters werkt
https://cybersecuritynews.com/shinyhunters-breaches/
Attackers utilize Salesforce's legitimate REST API endpoint /services/data/v62.0/query to perform bulk SOQL
Misschien zou Salesforce dit ook eens moeten verwijderen.....
[ Bericht 15% gewijzigd door HiDiHo op 27-02-2026 07:29:46 ]
https://cybersecuritynews.com/shinyhunters-breaches/
Attackers utilize Salesforce's legitimate REST API endpoint /services/data/v62.0/query to perform bulk SOQL
Misschien zou Salesforce dit ook eens moeten verwijderen.....
[ Bericht 15% gewijzigd door HiDiHo op 27-02-2026 07:29:46 ]
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
