NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Oh mijn god, nu zijn er idioten die ook de leak gaan doorplaatsten op X met daarbij een link die je via een normale browser kunt downloaden.
Echt letterlijk met erbij: Ja nee, want alleen de pers mag zeker de lek hebben, man man man.
Echt letterlijk met erbij: Ja nee, want alleen de pers mag zeker de lek hebben, man man man.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Wat erg! Mag ik een link zodat ik met eigen ogen kan zien hoe erg het is?quote:Op donderdag 26 februari 2026 17:15 schreef raptorix het volgende:
Oh mijn god, nu zijn er idioten die ook de leak gaan doorplaatsten op X met daarbij een link die je via een normale browser kunt downloaden.
Echt letterlijk met erbij: Ja nee, want alleen de pers mag zeker de lek hebben, man man man.
Die doen nooit wat.quote:
Dit krijgt alleen zn verdiende loon zodra wij als klant weg stappen. Niemand krijgt ook persoonlijk de zwarte piet. Niemand.
'Je gaat het pas zien als je het doorhebt'
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
Klopt kijk maar toeslagen affaire niemand gestraftquote:
Die doen nooit wat.
Dit krijgt alleen zn verdiende loon zodra wij als klant weg stappen. Niemand krijgt ook persoonlijk de zwarte piet. Niemand.
AP
Doet mij altijd denken aan Ernie met banaan in zijn oor tegen de krokodillen
Hier ook dezelfde redenering
AP doet niks dus is er niks gebeurd kwestie opgelost
Nou ja de halve wereld heeft het al dus: https://tinyurl.com/253v2tfbquote:
[..]
Wat erg! Mag ik een link zodat ik met eigen ogen kan zien hoe erg het is?
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Die gladjakker in de straat was nog erger, brrrr wat een engerd bahquote:
Die CEO heeft echt een rotkop.
Bedankt! Net gedownload, zoveel data, heerlijk!quote:
[..]
Nou ja de halve wereld heeft het al dus: https://tinyurl.com/253v2tfb
Ik heb helemaal geen mail gehad. Dat zou kunnen suggereren dat mijn gegevens niet gelekt zijn. Echter, ik schat de kans op incompetentie bij Odido hoger in.quote:
Er stond dit onder het eerste mailtje van Odido over het lek. Søren bedankt!
Nogmaals, wij betreuren deze situatie enorm en zetten ons volledig in om je van alle noodzakelijke ondersteuning te voorzien.
Je bent onze klant, en je belang staat bij ons voorop.
Søren Abildgaard
CEO van Odido
Salesforce. Alle customer information van de hele wereld zit zo ongeveer in Salesforce.
I am not omniscient, but I know a lot.
- Goethe, “Faust”
- Goethe, “Faust”
Nog een ander nieuwtje: Er zijn ook gegevens van politie medewerkers in, o.a 1 met een flinke betalingsachterstand.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik heb net het bestand van die link van de gelekte files gedownload, 10 GB en dat is nog maar het begin, ze hebben alles van elke klant vermoed ik.quote:Op donderdag 26 februari 2026 17:31 schreef JopieKlaassen het volgende:
[..]
Ik heb helemaal geen mail gehad. Dat zou kunnen suggereren dat mijn gegevens niet gelekt zijn. Echter, ik schat de kans op incompetentie bij Odido hoger in.
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Het kan toch niet zo zijn dat de gegevens van miljoenen mensen worden gelekt en dat dat klote-bedrijf daar niet keihard voor wordt aangepakt. Het gaat mij niet om de rechtspersoon of andere menselijke juridische verzinsels. Ik wil mensen van vlees en bloed die de handel besturen zien bloeden. Wie gaat die lui eindelijk eens stevig ter verantwoording roepen?quote:
Het OM zal hier achteraan moeten.quote:
[..]
Het kan toch niet zo zijn dat de gegevens van miljoenen mensen worden gelekt en dat dat klote-bedrijf daar niet keihard voor wordt aangepakt. Het gaat mij niet om de rechtspersoon of andere menselijke juridische verzinsels. Ik wil mensen van vlees en bloed die de handel besturen zien bloeden. Wie gaat die lui eindelijk eens stevig ter verantwoording roepen?
[ x ]
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Ff kijken wie wint, mijn haat voor odido nu, of mijn luiheid om elke dag te zeggen; ik stap morgen wel over.quote:
Opgeblazen gevoel of winderigheid? Zo opgelost met Rennie!
Nu is het Oidido maar wie zegt mij dat alle aanbieders niet exact dezelfde werkwijze hanteren? Data is goud waard.
@Jetten, actie.
@Jetten, actie.
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Dit is dus ook mijn probleem.quote:Op donderdag 26 februari 2026 17:56 schreef Eyjafjallajoekull het volgende:
[..]
Ff kijken wie wint, mijn haat voor odido nu, of mijn luiheid om elke dag te zeggen; ik stap morgen wel over.
Appears.
Je bent een Heraclied, of je bent het niet!
Je bent een Heraclied, of je bent het niet!
Mijn bedrijf is ook Odido klant, onze gegevens zijn echter niet gelekt.quote:
Ben odido klant en derhalve rete nieuwsgierig of ik er bij zit.
Op haveibeenpwned is nog geen odido data opgenomen.
En zelf zoeken via VPN en Tor lukt ook niet echt, daar ben ik niet handig genoeg in.
Dus maar braaf afwachten en de bankafschriften in de gaten houden.
.
Kierkegaard: Life Can Only Be Understood Backwards, But It Must Be Lived Forwards
Omdat Oidido dat zegt?quote:
[..]
Mijn bedrijf is ook Odido klant, onze gegevens zijn echter niet gelekt.
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Je moet gewoon even een dagje wachten en er is van alles te vinden, inclusief "lek checkers".quote:
[..]
Mijn bedrijf is ook Odido klant, onze gegevens zijn echter niet gelekt.
Ik sta er nog niet tussen heb ik net gezien.
[ Bericht 5% gewijzigd door quo_ op 26-02-2026 21:12:29 ]
-
Niet? Of nog niet?quote:
[..]
Mijn bedrijf is ook Odido klant, onze gegevens zijn echter niet gelekt.
Nog niet, want we zijn pas bij dag 1. Mijn gegevens zijn al gelekt, maar is nog te overzien omdat het zakelijke gegevens zijn die grotendeels openbaar zijn. Ik vind het vooral klote vanwege het e-mailadres en mobiele nummer. Het is wachten op spam.quote:
Ik dacht dat zakelijk sowieso niet gelekt was.quote:
Opgeblazen gevoel of winderigheid? Zo opgelost met Rennie!
Link naar de parser ajb?quote:
Zojuist de data eens bekeken met een op tweakers gepostte parser.
Holy shit
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
@jettenquote:
Nu is het Oidido maar wie zegt mij dat alle aanbieders niet exact dezelfde werkwijze hanteren? Data is goud waard.
@:Jetten, actie.
@Rob
I am not omniscient, but I know a lot.
- Goethe, “Faust”
- Goethe, “Faust”
Klopt. Ik heb niet de illusie dat mijn gegevens bij een andere aanbieder veel veiliger zouden zijn. Triest genoeg.quote:
Nu is het Oidido maar wie zegt mij dat alle aanbieders niet exact dezelfde werkwijze hanteren? Data is goud waard.
@:Jetten, actie.
Wilde eigenlijk eerst niet eens overstappen ofzo, maar met name door de communicatie en hoe Odido ermee omgaat ga ik het toch maar doen denk ik.
Ook Odido-klant btw, dus goed opletten. En/of overstappen.
Hadden ze in m'n eerste telefoon destijds maar een KPN-simkaartje gedaan ipv eentje van T-Mobile (de oude naam van Odido). Want tja, zo ben ik er ooit beland. Voorheen gaf het btw geen problemen.
''Wilde niet door een Belg geholpen worden''quote:
[ link | afbeelding ]
Ook Odido-klant btw, dus goed opletten. En/of overstappen.
Hadden ze in m'n eerste telefoon destijds maar een KPN-simkaartje gedaan ipv eentje van T-Mobile (de oude naam van Odido). Want tja, zo ben ik er ooit beland. Voorheen gaf het btw geen problemen.
Achja, het is eigenlijk om te janken allemaal.
Meer in deze X-draad, btw.
https://x.com/IntCyberDigest/status/2027024508456996923
(Het kan zijn dat anderen het ook al probeerden te posten, maar X-berichten worden vaak niet goed weergegeven.)
https://x.com/IntCyberDigest/status/2027024508456996923
(Het kan zijn dat anderen het ook al probeerden te posten, maar X-berichten worden vaak niet goed weergegeven.)
Ik denk niet dat niet-Nederlands sprekers de nuance van VUILE KANKERLIJERS begrijptquote:
Meer in deze X-draad, btw.
https://x.com/IntCyberDigest/status/2027024508456996923
(Het kan zijn dat anderen het ook al probeerden te posten, maar X-berichten worden vaak niet goed weergegeven.)
In Google Translate krijgen ze iets als 'dirty cancer sufferers' te zien.quote:
[..]
Ik denk niet dat niet-Nederlands sprekers de nuance van VUILE KANKERLIJERS begrijpt
Inderdaad, niet echt.
Straks denken ze nog dat er een tbc epidemie hier in Nederland gaande isquote:
[..]
In Google Translate krijgen ze iets als 'dirty cancer sufferers' te zien.
Inderdaad, niet echt.
quote:
[ link | afbeelding ]
Ook Odido-klant btw, dus goed opletten. En/of overstappen.
Hadden ze in m'n eerste telefoon destijds maar een KPN-simkaartje gedaan ipv eentje van T-Mobile (de oude naam van Odido). Want tja, zo ben ik er ooit beland. Voorheen gaf het btw geen problemen.
Ook nog slechte telefoonverbindingquote:Ik hoor aan de stem van de klant dat dit niet iemand is uit 1994.
When the student is ready, the teacher will appear.
When the student is truly ready, the teacher will disappear.
When the student is truly ready, the teacher will disappear.
Als de bank die gegevens nou overneemt hoef ik ook die moeite niet meer te doen.
Appears.
Je bent een Heraclied, of je bent het niet!
Je bent een Heraclied, of je bent het niet!
Deze cybercriminelen moeten naakt vastgebonden worden en volgesmeerd worden met stroop bij een nest vleesetende mieren.
Niet. Ligt aan de manier waarop de accounts aangemaakt zijn. Niet op persoonlijke naam.quote:
Kierkegaard: Life Can Only Be Understood Backwards, But It Must Be Lived Forwards
Wat moeten die mieren met stroop als ze vlees eten?quote:
Deze cybercriminelen moeten naakt vastgebonden worden en volgesmeerd worden met stroop bij een nest vleesetende mieren.
Zit er niet bij volgens die tool. Maar nog 16 dagen te gaan hé.
A Robin Redbreast in a Cage Puts all Heaven in a Rage.
En die top bij Odido danquote:
Deze cybercriminelen moeten naakt vastgebonden worden en volgesmeerd worden met stroop bij een nest vleesetende mieren.
Extra bonus?
Promotie?
Salaris verhoging?
Immuniteit?
Of gewoon
Eruit trappen
Kaalplukken
Beroepsverbod
Misschien dat Steven Berghius ze kan helpen aan de context.quote:
[..]
Ik denk niet dat niet-Nederlands sprekers de nuance van VUILE KANKERLIJERS begrijpt
Zie het als een soort saus.quote:
[..]
Wat moeten die mieren met stroop als ze vlees eten?
Zoiets als curry over een frikandel.
Opdoeken die handel en aan het werk zetten bij de Mac.quote:Op donderdag 26 februari 2026 21:12 schreef ikweethetookniet het volgende:
[..]
En die top bij Odido dan
Extra bonus?
Promotie?
Salaris verhoging?
Immuniteit?
Of gewoon
Eruit trappen
Kaalplukken
Beroepsverbod
Bijna goed, volgieten met melk en honing, en het (naakte) lichaam insmeren met de restanten.quote:
Deze cybercriminelen moeten naakt vastgebonden worden en volgesmeerd worden met stroop bij een nest vleesetende mieren.
Vervolgens vastbinden in een roeibootje en er een ander roeibootje omgekeerd bovenop leggen.
Water op duwen.
En indien nodig na een aantal herhalen.
Het idee erachter is dat de ongelukkige door het mengsel aan de dunne raakt, wat weer allerlei insecten aantrekt en het lichaam binnendringen, en je zo een langzame dood bezorgen op termijn.
Erg populaire executie methode in bepaalde regionen in andere tijden.
https://historiek.net/ronddobberen-in-je-eigen-diarree/40640/
Perhaps you've seen it, maybe in a dream.
A murky, forgotten land.
A murky, forgotten land.
Ik zit bij Ben en die zijn zeer summier met het delen van informatie m.b.t. de gelekte gegevens.
Zelf even gespiekt in wat er nu online staat en mijn gegevens zitten er (nog) niet bij.
Zelf even gespiekt in wat er nu online staat en mijn gegevens zitten er (nog) niet bij.
Huilen dan.
Volgens welke tool ?quote:
Zit er niet bij volgens die tool. Maar nog 16 dagen te gaan hé.
Ga fietsen jij !! ikke niet hoor..
quote:
Bekijk deze YouTube-video
Wel je tekst ff goed hebben
Iemand die ff kan knutselen met Odido en dan
Broer wil je opzeggen of niet
quote:
[..]
Bekijk deze YouTube-video
Wel je tekst ff goed hebben
Iemand die ff kan knutselen met Odido en dan
Broer wil je opzeggen of niet
Nog niet gelektquote:
[..]
Mijn bedrijf is ook Odido klant, onze gegevens zijn echter niet gelekt.
trustpilotquote:
https://nl.trustpilot.com/review/odido.nl
Going down going down
mentions en alerts staan uit, pm/dm mij
Ik ken er ook een. Ook iets met racekak veroorzaken en ondersteboven ophangen. Die van jou is ook leuk!quote:
[..]
Bijna goed, volgieten met melk en honing, en het (naakte) lichaam insmeren met de restanten.
Vervolgens vastbinden in een roeibootje en er een ander roeibootje omgekeerd bovenop leggen.
Water op duwen.
En indien nodig na een aantal herhalen.
Het idee erachter is dat de ongelukkige door het mengsel aan de dunne raakt, wat weer allerlei insecten aantrekt en het lichaam binnendringen, en je zo een langzame dood bezorgen op termijn.
Erg populaire executie methode in bepaalde regionen in andere tijden.
https://historiek.net/ronddobberen-in-je-eigen-diarree/40640/
'Je gaat het pas zien als je het doorhebt'
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
'Ieder nadeel heb zijn voordeel'
We zullen je nooit, nooit vergeten
1947-2016
Waarom denk je dat er zoveel lui zijn met Lebara prepaid kaartjes, dat zijn allemaal figuren die nergens meer abbo krijgen vanwege wanbetaling.quote:
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Maar ohwee als je hier bepaalde conclusies uit trektquote:
[..]
Waarom denk je dat er zoveel lui zijn met Lebara prepaid kaartjes, dat zijn allemaal figuren die nergens meer abbo krijgen vanwege wanbetaling.
Dat is strafbaar, maar goed snap wel dat men wil inzien of, en welke gegevens er van jou gelekt zijn.quote:
Oh mijn god, nu zijn er idioten die ook de leak gaan doorplaatsten op X met daarbij een link die je via een normale browser kunt downloaden.
Echt letterlijk met erbij: Ja nee, want alleen de pers mag zeker de lek hebben, man man man.
Maar goed, met een beetje zoekwerk kan je dat bestand zelf ook wel vinden
Nou ja ze gaan het toch lekken. Vind de houding van Odido wel kwalijk. Het eerste smsje heb ik vorige week al gehad dat er een transactie verdacht was een of ik via een linkje op ING wilde inloggen.
Hoe komen ze aan de hele database?
Kan iedere helpdesk medewerker daar bij?
Als je het mij vraagt is het gewoon nalatigheid van Odido
Kan iedere helpdesk medewerker daar bij?
Als je het mij vraagt is het gewoon nalatigheid van Odido
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
ligt geheel aan het helpdesk systeem en de inrichting daarvanquote:
Hoe komen ze aan de hele database?
Kan iedere helpdesk medewerker daar bij?
mentions en alerts staan uit, pm/dm mij
Misschien is en lek zoals deze wel een keer goed om mensen, bedrijven en de overheid echt eens wakker te schudden. Al denk ik dat men hier alsnog niks van leert en dit ongetwijfeld vaker gaat gebeurenquote:
Deze cybercriminelen moeten naakt vastgebonden worden en volgesmeerd worden met stroop bij een nest vleesetende mieren.
Zou niet alleen bepaalde ITers daarbij moeten kunnen komen?quote:
[..]
ligt geheel aan het helpdesk systeem en de inrichting daarvan
Die weten wat de risico's zijn
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Wat doet Fok om lekken te voorkomen?
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Mjah, ja en nee, overrigens zullen de meeste toch wel te dom zijn om te weten hoe je een 10GB bestand doorzoekt.quote:
[..]
Dat is strafbaar, maar goed snap wel dat men wil inzien of, en welke gegevens er van jou gelekt zijn.
Maar goed, met een beetje zoekwerk kan je dat bestand zelf ook wel vinden
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
ctrl-f ?quote:
[..]
Mjah, ja en nee, overrigens zullen de meeste toch wel te dom zijn om te weten hoe je een 10GB bestand doorzoekt.
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Nee het is niet dat ze direct bij de database komen, ik zal het proberen uit te leggen, deze medewerkers werken met een systeem genaamd Salesforce, Salesforce is een platform wat zeer veel bedrijven gebruiken voor allerlei hande diensten, je kunt er als het ware vrij snel werkende software in maken, waarin je kunt zoeken, velden bewerken, lijsten draaien, etc. Kortom moet je morgen een nieuw veld hebben: Fokpremium, dan is het een questie van extra veld aanmaken, en klaar, je hoeft dus geen nieuwe release te doen.quote:
Hoe komen ze aan de hele database?
Kan iedere helpdesk medewerker daar bij?
Als je het mij vraagt is het gewoon nalatigheid van Odido
Maar hoe komen ze dan aan de data? Doorgaans werkt moderne software op zo een manier, dat als jij de gegevens van een persoon ophaalt, je niet de hele pagina wilt verversen, maar alleen een call wilt doen op de API, bijvoorbeeld zoals dit, wat de temperatuur ophaalt:
https://api.open-meteo.co(...)&timeformat=unixtime
Maar hoe doen de hackers dit dan? Nou de hackers kennen salesforce, en aangezien de API voor iedereen het zelfde is kunnen ze via een script vrij snel al die persoons gegevens ophalen, dat gaat iets van:
/salesforce/users/list?start=10&end=50
/salesforce/users/list?start=100&end=150
Maar hoe weten ze het wachtwoord dan?
Nou dat hebben ze ontfutselt van medewerkers, wanneer ze inloggen met dat account krijg je een zogenaamd: Token, en met dat token kun je dus de API aanroepen, en dat hoef je niet van de computer van die gebruiker te doen, dat kun je doen vanaf een snelle server.
En hier zit dus het probleem, als je een goede beveiliging hebt, zal je monitoren of er onverwacht vaak API calls plaatsvinden, als 1 user dus 100K users per uur op haalt zouden de alarmbellen af moeten gaan, wat ik vermoed is dat ze heel sneaky op vrijdagavond zijn gestart in een bloedtempo, en op zondag klaar waren, als er al monitoring was dan lag waarschijnlijk iemand te pitten, en kwam er op maandag achter dat er 10 Miljoen API calls waren gedaan, mensen die roepen dat het lang duurt: Mehoela, ik bouw zelf ook dit soort tools en om deze gegevens te downloaden zou ik dat nog wel met 1 simpele PC in een weekend kunnen, echter ik denk dat ze het veel efficienter gedaan hebben en misschien wel 200 systemen hebben gebruikt en in een uurtje klaar waren.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
die zijn net zo vatbaar voor social engineeringquote:
[..]
Zou niet alleen bepaalde ITers daarbij moeten kunnen komen?
Die weten wat de risico's zijn
mentions en alerts staan uit, pm/dm mij
Zou er niet een limiet gebruikt moeten worden?quote:
[..]
Nee het is niet dat ze direct bij de database komen, ik zal het proberen uit te leggen, deze medewerkers werken met een systeem genaamd Salesforce, Salesforce is een platform wat zeer veel bedrijven gebruiken voor allerlei hande diensten, je kunt er als het ware vrij snel werkende software in maken, waarin je kunt zoeken, velden bewerken, lijsten draaien, etc. Kortom moet je morgen een nieuw veld hebben: Fokpremium, dan is het een questie van extra veld aanmaken, en klaar, je hoeft dus geen nieuwe release te doen.
Maar hoe komen ze dan aan de data? Doorgaans werkt moderne software op zo een manier, dat als jij de gegevens van een persoon ophaalt, je niet de hele pagina wilt verversen, maar alleen een call wilt doen op de API, bijvoorbeeld zoals dit, wat de temperatuur ophaalt:
https://api.open-meteo.co(...)&timeformat=unixtime
Maar hoe doen de hackers dit dan? Nou de hackers kennen salesforce, en aangezien de API voor iedereen het zelfde is kunnen ze via een script vrij snel al die persoons gegevens ophalen, dat gaat iets van:
/salesforce/users/list?start=10&end=50
/salesforce/users/list?start=100&end=150
Maar hoe weten ze het wachtwoord dan?
Nou dat hebben ze ontfutselt van medewerkers, wanneer ze inloggen met dat account krijg je een zogenaamd: Token, en met dat token kun je dus de API aanroepen, en dat hoef je niet van de computer van die gebruiker te doen, dat kun je doen vanaf een snelle server.
En hier zit dus het probleem, als je een goede beveiliging hebt, zal je monitoren of er onverwacht vaak API calls plaatsvinden, als 1 user dus 100K users per uur op haalt zouden de alarmbellen af moeten gaan, wat ik vermoed is dat ze heel sneaky op vrijdagavond zijn gestart in een bloedtempo, en op zondag klaar waren, als er al monitoring was dan lag waarschijnlijk iemand te pitten, en kwam er op maandag achter dat er 10 Miljoen API calls waren gedaan, mensen die roepen dat het lang duurt: Mehoela, ik bouw zelf ook dit soort tools en om deze gegevens te downloaden zou ik dat nog wel met 1 simpele PC in een weekend kunnen, echter ik denk dat ze het veel efficienter gedaan hebben en misschien wel 200 systemen hebben gebruikt en in een uurtje klaar waren.
Lijkt mij database 101
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Ja dat zou moeten, nu ben ik geen Salesforce expert, maar ik zie dat ze ook een product hebben als Addon wat dit soort gedrag detecteert, alleen kost dat geld en of ze waren te zuinig, of ze hebben het product niet goed ingericht.quote:
[..]
Zou er niet een limiet gebruikt moeten worden?
Lijkt mij database 101
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik blijf erbij dat het nalatigheid is van Odido
Verwijtbaar
Verwijtbaar
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Ook IT engineers horen niet bij productie data te kunnen, ik werk zelf voor een bank, en hoewel ik wel software naar productie kan brengen kan ik geen data inzien, ik kan ook niet op productie systemen inloggen, alles dient volledig geautomatiseerd te gebeuren, ook als ik een nieuwe release moet doen moeten 3 andere mensen daar goedkeuring voor geven en staat elke nieuwe release geregistreerd in het centrale bank systeem, daarom kan werken voor een bank soms best frustrerend zijn omdat alles extreem veilig moet gebeuren, voor een nieuw software project moet ik door een traject dat 6-12 maanden duurt, kijken 5 commisies of het allemaal deugt, en daarna word alles continue gemonitored wat er gebeurt, ook hebben we automatische regels die moeten voorkomen dat iemand configuratie fouten maakt, zo is bijvoorbeeld volledig afgedekt dat een databron naar de buitenwereld kan openstaan, configureer ik dat per ongeluk wel, dan word voordat dat aangezet word al direct het proces automatisch afgebroken.quote:
[..]
die zijn net zo vatbaar voor social engineering
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Dat denk ik ook, maar hou er wel rekening mee dat hun beveiliging al beter is dan de meeste bedrijven, en ik werk best vaak in dit soort omgevingen, vaak zie je dat ze niet eens MFA voor dit soort medewerkers hebben.quote:
Ik blijf erbij dat het nalatigheid is van Odido
Verwijtbaar
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Idd..net zoals niet iedere ziekenhuis medewerker bij de medische gegevens van bn'ers horen te komen.quote:
[..]
Ook IT engineers horen niet bij productie data te kunnen, ik werk zelf voor een bank, en hoewel ik wel software naar productie kan brengen kan ik geen data inzien, ik kan ook niet op productie systemen inloggen, alles dient volledig geautomatiseerd te gebeuren, ook als ik een nieuwe release moet doen moeten 3 andere mensen daar goedkeuring voor geven en staat elke nieuwe release geregistreerd in het centrale bank systeem, daarom kan werken voor een bank soms best frustrerend zijn omdat alles extreem veilig moet gebeuren, voor een nieuw software project moet ik door een traject dat 6-12 maanden duurt, kijken 5 commisies of het allemaal deugt, en daarna word alles continue gemonitored wat er gebeurt, ook hebben we automatische regels die moeten voorkomen dat iemand configuratie fouten maakt, zo is bijvoorbeeld volledig afgedekt dat een databron naar de buitenwereld kan openstaan, configureer ik dat per ongeluk wel, dan word voordat dat aangezet word al direct het proces automatisch afgebroken.
Of iedereen bij strafdossiers
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
Als dit echt de manier waarop ze die data hebben binnengeharkt mag er wel eens iemand achter zijn oren krabben waarom er geen rate limiting is toegepastquote:
[..]
Nee het is niet dat ze direct bij de database komen, ik zal het proberen uit te leggen, deze medewerkers werken met een systeem genaamd Salesforce, Salesforce is een platform wat zeer veel bedrijven gebruiken voor allerlei hande diensten, je kunt er als het ware vrij snel werkende software in maken, waarin je kunt zoeken, velden bewerken, lijsten draaien, etc. Kortom moet je morgen een nieuw veld hebben: Fokpremium, dan is het een questie van extra veld aanmaken, en klaar, je hoeft dus geen nieuwe release te doen.
Maar hoe komen ze dan aan de data? Doorgaans werkt moderne software op zo een manier, dat als jij de gegevens van een persoon ophaalt, je niet de hele pagina wilt verversen, maar alleen een call wilt doen op de API, bijvoorbeeld zoals dit, wat de temperatuur ophaalt:
https://api.open-meteo.co(...)&timeformat=unixtime
Maar hoe doen de hackers dit dan? Nou de hackers kennen salesforce, en aangezien de API voor iedereen het zelfde is kunnen ze via een script vrij snel al die persoons gegevens ophalen, dat gaat iets van:
/salesforce/users/list?start=10&end=50
/salesforce/users/list?start=100&end=150
Maar hoe weten ze het wachtwoord dan?
Nou dat hebben ze ontfutselt van medewerkers, wanneer ze inloggen met dat account krijg je een zogenaamd: Token, en met dat token kun je dus de API aanroepen, en dat hoef je niet van de computer van die gebruiker te doen, dat kun je doen vanaf een snelle server.
En hier zit dus het probleem, als je een goede beveiliging hebt, zal je monitoren of er onverwacht vaak API calls plaatsvinden, als 1 user dus 100K users per uur op haalt zouden de alarmbellen af moeten gaan, wat ik vermoed is dat ze heel sneaky op vrijdagavond zijn gestart in een bloedtempo, en op zondag klaar waren, als er al monitoring was dan lag waarschijnlijk iemand te pitten, en kwam er op maandag achter dat er 10 Miljoen API calls waren gedaan, mensen die roepen dat het lang duurt: Mehoela, ik bouw zelf ook dit soort tools en om deze gegevens te downloaden zou ik dat nog wel met 1 simpele PC in een weekend kunnen, echter ik denk dat ze het veel efficienter gedaan hebben en misschien wel 200 systemen hebben gebruikt en in een uurtje klaar waren.
https://github.com/datasafari-org/Odidoviewerquote:
[..]
Open maar eens een text bestand van 10GB in notepad
Voor de dagelijkse Trumprotzooi: https://reportersonline.nl/auteur/kirsten-verdel/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Kijk live hoe Trump zijn eigen land sloopt: https://www.project2025.observer/
Voor een internet provider vind ik het iig vrij kwalijk.
Je zou verwachten dat die hun beveiliging op orde hebben.
Je zou verwachten dat die hun beveiliging op orde hebben.
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
in de ideale wereld wel ja... echter weet ik uit ervaring dat dat geen realistisch scenario is voor veel (net niet alle) bedrijvenquote:
[..]
Ook IT engineers horen niet bij productie data te kunnen, ik werk zelf voor een bank, en hoewel ik wel software naar productie kan brengen kan ik geen data inzien, ik kan ook niet op productie systemen inloggen, alles dient volledig geautomatiseerd te gebeuren, ook als ik een nieuwe release moet doen moeten 3 andere mensen daar goedkeuring voor geven en staat elke nieuwe release geregistreerd in het centrale bank systeem, daarom kan werken voor een bank soms best frustrerend zijn omdat alles extreem veilig moet gebeuren, voor een nieuw software project moet ik door een traject dat 6-12 maanden duurt, kijken 5 commisies of het allemaal deugt, en daarna word alles continue gemonitored wat er gebeurt, ook hebben we automatische regels die moeten voorkomen dat iemand configuratie fouten maakt, zo is bijvoorbeeld volledig afgedekt dat een databron naar de buitenwereld kan openstaan, configureer ik dat per ongeluk wel, dan word voordat dat aangezet word al direct het proces automatisch afgebroken.
mentions en alerts staan uit, pm/dm mij
Jawel, maar daar schat ik ze niet slim genoeg voor in.quote:
[..]
https://github.com/datasafari-org/Odidoviewer
Of:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | import duckdb con = duckdb.connect() con.execute(""" COPY ( SELECT json->>'Name' AS Name, json->>'BillingStreet' AS BillingStreet, json->>'BillingCity' AS BillingCity, json->>'BillingState' AS BillingState, json->>'BillingPostalCode' AS BillingPostalCode, json->>'BillingCountry' AS BillingCountry, json->>'Billing_Address__c' AS Billing_Address__c, FROM read_json_auto('odido_1m_shinyhunters.json') ) TO 'output.csv' WITH (FORMAT CSV, HEADER TRUE); """) print("Done!") |
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Daarom zouden dit soort bedrijven veel zwaarder gestraft moeten worden, daarnaast moeten we snel af van het idee dat bedrijven je gegevens op moeten slaan, dat zou gewoon via tokenbased systemen moeten verlopen waar je identiteit alleen gevalideerd word en niet opgeslagen, maar goed dan zijn we weer 10 jaar verder.quote:
[..]
in de ideale wereld wel ja... echter weet ik uit ervaring dat dat geen realistisch scenario is voor veel (net niet alle) bedrijven
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Interessant artikel.. hoe shinyhunters werkt
https://cybersecuritynews.com/shinyhunters-breaches/
Attackers utilize Salesforce's legitimate REST API endpoint /services/data/v62.0/query to perform bulk SOQL
Misschien zou Salesforce dit ook eens moeten verwijderen.....
[ Bericht 15% gewijzigd door HiDiHo op 27-02-2026 07:29:46 ]
https://cybersecuritynews.com/shinyhunters-breaches/
Attackers utilize Salesforce's legitimate REST API endpoint /services/data/v62.0/query to perform bulk SOQL
Misschien zou Salesforce dit ook eens moeten verwijderen.....
[ Bericht 15% gewijzigd door HiDiHo op 27-02-2026 07:29:46 ]
Aan mijn uitspraken kunnen geen rechten ontleend worden
Uitspraken uit het verleden geven geen garantie voor de toekomst
Uitspraken uit het verleden geven geen garantie voor de toekomst
