Recente LiteBit hack en het gebrek aan transparantie - Persoonlijke financiën, studie en loopbaan

woensdag 9 augustus 2017 15:40

Acties:

0 Henk 'm!

Topicstarter

Nadat onlangs in het nieuws is gekomen dat LiteBit mogelijk een datalek heeft gehad (of in ieder geval onbevoegden op hun servers hebben gehad) heb ik contact gehad met LiteBit met de vraag wat er is gebeurd en de vraag welk hashing algortime ze gebruiken voor de wachtwoorden van de gebruikeraccounts. Helaas is het antwoord en de discussie die daarna is ontstaan het zoveelste bewijs dat er totaal geen transparantie is als het gaat om hoe organisaties met onze gegevens omgaan. Er wordt alleen maar teruggegrepen op "wij geven geen details van onze infrastructuur" en "wij hebben u duidelijk gemeld wat er is gebeurd en wat we eraan gedaan hebben om het probleem in de toekomst te voorkomen". Vooral dat laatste is totaal niet gedaan. De enige informatie die naar buiten is gebracht is dit, en dat is op z'n zachts gezegd totaal niet duidelijk.

Het jeukt bij mij al heel lang dat er organisaties hiermee wegkomen. Of er wel of niet geprutst is aan hun kan is niet duidelijk, want er is in zijn geheel geen informatie wat er gebeurd is, maar er wordt wel vermeld dat mogelijk onze persoonsgegevens op straat liggen.

In veel situaties is het prima mogelijk om meer informatie te geven, zonder dat daarbij de veiligheid van je infrastructuur op het spel komt te staan. Het aangeven welk hashing algortime je gebruikt voor de wachtwoorden van je gebruikers is sowieso al iets wat de veiligheid van je infrastructuur niet echt aantast (tenzij je echt aan het prutsen bent). Zeker dat laatste zou van mij best via rechtswege verplicht gesteld mogen worden aan organisaties die persoonsgegevens opslaan, dat er in hun privacy statement opgenomen moet worden welke beveiligings technologien gebruikt worden. En dan uiteraard niet diepgaande details over de algehele infrastructuur, maar zaken als hashing algortime voor wachtwoorden zou best publiekelijke informatie mogen zijn. Bij een private kluisje weet je immers ook welk type kluis er gebruikt wordt. Dat doet aan de veiligheid van die kluis niets af.

Anyway. Ik ben op zoek naar andere mensen die ook een LiteBit account hebben, en ook meer transparantie wensen met betrekking tot wat er gebeurd is. Vervolgens wil ik gaan zien of er juridische wegen te bewandelen zijn om LiteBit ertoe te zetten transparanter te zijn omtrent de situatie want met alleen "De oorzaak van het lek is bekend, en de problemen zijn inmiddels opgelost." vind ik dat ze er iets te gemakkelijk mee wegkomen.

woensdag 9 augustus 2017 15:50

Acties:

0 Henk 'm!

Stoelpoot

Juridische wegen, mits ze inderdaad bij de Autoriteit Persoonsgegevens een melding hebben gemaakt, zullen er niet zijn. Verder lijken ze ook redelijk te zijn beveiligd, met netjes een EV certificaat standaard ingeschakeld. Mag je gewoon verwachten uiteraard. Verder geven ze aan dat onderzoeken en verbeteringen aan de beveiliging nog bezig zijn. Misschien zijn ze nog bezig met een goed statement waar ze eerst meer informatie voor willen.

Ten slotte, als je werkelijk zo begaan bent met de veiligheid van je wachtwoorden (wat eigenlijk het enige is waar onduidelijkheid over is qua gelekte gegevens), hoef je je niet druk te maken dat de hackers een hash, of zelfs een encrypted wachtwoord hebben. Je kan je wachtwoord nu veranderen en je hebt geen zorgen meer hierover. Als je op meerdere plaatsen hetzelfde wachtwoord gebruikt... ja sorry dat ik het zeg, maar dan vraag je erom dat je ze ooit allemaal moet veranderen. Gebruik dan deze mogelijkheid om een wachtwoordmanager in te stellen en er voor te zorgen dat het je niet nogmaals overkomt.

woensdag 9 augustus 2017 15:51

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Bij een private kluisje weet je immers ook welk type kluis er gebruikt wordt. Dat doet aan de veiligheid van die kluis niets af.

Juist wel, als er bekend is met welke encryptie (en soort salt) is gewerkt, kan daar voor alle andere wachtwoorden ook gebruik van worden gemaakt.

Net zoals bij een kluis, als er een type is waar mogelijk fouten in zitten, wanneer je weet welke dat is, kan je er potentieel misbruik van maken.

Netter zou zijn als er een 'index' zou zijn van mate van encryptie (zoals ook met bv papiervernietiging), zodat bij zo'n geval ze enkel hoeven aan te geven welk niveau encryptie zij hadden en dat genoeg moet zijn voor mogelijk gevolg schade.

Maar per saldo, doet dit er toe? Maakt het uit of het MD5+salt of SHA512 gebruikt is? Je wachtwoord is potentieel niet meer veilig en zou gewoon niet meer gebruikt moeten worden (en rest aangepast).

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

woensdag 9 augustus 2017 15:55

Acties:

0 Henk 'm!

Stoelpoot

SinergyX schreef op woensdag 9 augustus 2017 @ 15:51:
[...]

Juist wel, als er bekend is met welke encryptie (en soort salt) is gewerkt, kan daar voor alle andere wachtwoorden ook gebruik van worden gemaakt.

Net zoals bij een kluis, als er een type is waar mogelijk fouten in zitten, wanneer je weet welke dat is, kan je er potentieel misbruik van maken.

Netter zou zijn als er een 'index' zou zijn van mate van encryptie (zoals ook met bv papiervernietiging), zodat bij zo'n geval ze enkel hoeven aan te geven welk niveau encryptie zij hadden en dat genoeg moet zijn voor mogelijk gevolg schade.

Maar per saldo, doet dit er toe? Maakt het uit of het MD5+salt of SHA512 gebruikt is? Je wachtwoord is potentieel niet meer veilig en zou gewoon niet meer gebruikt moeten worden (en rest aangepast).

In de meeste moderne hashes zit al een flag die aangeeft wat het algo is. Dit wordt gedaan zodat de hash algo kan worden aangepast zonder in 1x alle wachtwoorden te resetten. Lengte van de hash kan ook aangeven welk algo er is gebruikt. Dit hoef je dus echt niet te verbergen.

^{Overigens zeg je een paar keer 'encryptie': Hashing is geen encryptie, en encryptie van wachtwoorden is per definitie fout omdat dit altijd omkeerbaar is. Hashing is onomkeerbaar.}

woensdag 9 augustus 2017 21:42

Acties:

0 Henk 'm!

Ronnerd

Topicstarter

Stoelpoot schreef op woensdag 9 augustus 2017 @ 15:50:
Juridische wegen, mits ze inderdaad bij de Autoriteit Persoonsgegevens een melding hebben gemaakt, zullen er niet zijn. Verder lijken ze ook redelijk te zijn beveiligd, met netjes een EV certificaat standaard ingeschakeld. Mag je gewoon verwachten uiteraard.

Een SSL certificaat op hun website zegt niet bijzonder veel over hoe ze met persoonsgegevens van klanten omgaan. Ook een EV cert zegt niet zoveel anders dan dat de uitgevende instantie heeft gecontroleerd dat het daadwerkelijk aan LiteBit in Zoetermeer uitgegeven wordt.

Verder geven ze aan dat onderzoeken en verbeteringen aan de beveiliging nog bezig zijn. Misschien zijn ze nog bezig met een goed statement waar ze eerst meer informatie voor willen

Ik heb uit de communicatie met hen niet de indruk dat dat de intentie is. Er is simpelweg geen transparante houding.

Ten slotte, als je werkelijk zo begaan bent met de veiligheid van je wachtwoorden (wat eigenlijk het enige is waar onduidelijkheid over is qua gelekte gegevens), hoef je je niet druk te maken dat de hackers een hash, of zelfs een encrypted wachtwoord hebben. Je kan je wachtwoord nu veranderen en je hebt geen zorgen meer hierover. Als je op meerdere plaatsen hetzelfde wachtwoord gebruikt... ja sorry dat ik het zeg, maar dan vraag je erom dat je ze ooit allemaal moet veranderen. Gebruik dan deze mogelijkheid om een wachtwoordmanager in te stellen en er voor te zorgen dat het je niet nogmaals overkomt.

Ik weet waar ik over praat. Ben zelfstandig ondernemer in de IT branch en gebruik nergens hetzelfde wachtwoord. Waar ik me simpelweg aan stoor is dat er toch iets niet goed heeft gezeten in hun setup waardoor nu gegevens op straat liggen die er niet horen te liggen, en dat als je er dan enigzins navraag over doet om zelf vanuit mijn professie te kunnen beoordelen of ze op andere gebieden niet ook aan het prutsen zijn, dan krijg je verschuilgedrag. En het is niet te beoordelen of dat is omdat ze hun infrastructuur willen beschermen of hun eigen fouten dan wel imago. Want laten we wel wezen, het publiek maken welke hashing algortimen je gebruikt is echt geen afbruik aan de veiligheid van je infra. Maar zelfs dat lijkt niet binnen te komen.

Er wordt gewoonweg te veel geprutst op IT gebied en ik ben dat een beetje zat aan het worden. Zoals gezegd vind ik serieus dat gebruikte hashing algoritmen best opgenomen mag worden in de privacy statements van organisaties, zodat je in ieder geval een indicatie hebt of ze enigzins weten wat ze aan het doen zijn, of er in ieder geval toe worden gedwongen om erover na te denken omdat het wettelijk verplicht is het te vermelden.

woensdag 9 augustus 2017 21:54

Acties:

+1 Henk 'm!

Ronnerd

Topicstarter

SinergyX schreef op woensdag 9 augustus 2017 @ 15:51:
[...]

Juist wel, als er bekend is met welke encryptie (en soort salt) is gewerkt, kan daar voor alle andere wachtwoorden ook gebruik van worden gemaakt.

Of ik interpreteer je zin niet correct of je begrijpt niet zo goed dat er geen risico is in het vermelden van gebruikt hashing algortime. Ik gebruik bij het ontwikkelen van applicaties over het algemeen altijd Bcrypt, en door dat nu aan te geven wordt geen enkele van die applicaties er zwakker van. Sterker nog, hier is de hash van m'n masterpassword van m'n password-manager:

$2a$10$XG6CCxrdC2s7fia8oNwpGOPugdtZ8LUSRf9MwpVpHht7hZLuUT.B6

Succes om er erachter te komen wat dat wachtwoord is. Gaat je niet lukken. Niet met rainbow-tables, niet met dictionary attacks en al zeker niet met brute-force.

Als een aanvaller namelijk de hashes in zijn bezit heeft is het een peulenschil om te achterhalen welk hashing algoritme is gebruikt. Het doet totaal niets af aan de veiligheid van je opgeslagen hashes als van buitenaf al bekend is welk algortime gebruikt wordt. Tenzij je algortimen gebruikt waarvan bekend zijn dat ze onveilig zijn. Dan zou het wellicht interessant zijn voor aanvallers om je database te willen bemachtigen omdat ze dan makkelijk aan veel e-mail/username/wachtwoord combinaties kunnen komen als ze je data weten te bemachtigen.

Net zoals bij een kluis, als er een type is waar mogelijk fouten in zitten, wanneer je weet welke dat is, kan je er potentieel misbruik van maken.

Als er van een type kluis bekend wordt dat daar mogelijk fouten in zitten, dan worden die kluizen vervangen of de problemen van de kluizen asap verholpen. Zo niet, dan neem ik aan dat je heeeeel snel je spullen eruit haalt en het elders gaat onderbrengen.

Maar per saldo, doet dit er toe? Maakt het uit of het MD5+salt of SHA512 gebruikt is? Je wachtwoord is potentieel niet meer veilig en zou gewoon niet meer gebruikt moeten worden (en rest aangepast).

Ja, dat doet er toe. Het is namelijk een indicator of een organisatie of de toeleverancier daarvan weet waar ze mee bezig zijn, en op z'n minst zou een verplichte openbaarmaking van gebruikte hashing algortimen organisaties ertoe zetten om erover na te denken. Want dat is naar mijn idee namelijk hetgene wat er in IT land vaak niet gedaan wordt. Nadenken over de gevolgen van keuzes die gemaakt worden. Vaak wel door de mensen op de werkvloer (gelukkig maar), helaas ook niet altijd, maar als op hoger niveau (lees, de mensen die dingen beslissen maar vaak niet veel diepte kennis over IT hebben) bekend is dat ze verplicht zijn om het te vermelden in hun privacy statements, dan wordt er iets langer (en wellicht beter) over nagedacht.

donderdag 10 augustus 2017 00:06

Acties:

0 Henk 'm!

Crasheeee

Ik heb al duidelijk aangegeven dat Litebit gewoon een prutsbedrijf is.

Als ik heel eerlijk ben interesseert mij het hashing algoritme op het wachtwoord niet. Ik heb nergens hetzelfde wachtwoord. Bij andere partijen had het wel effect kunnen hebben.

Wat mij meer zorgen maakt is het telefoonnummer, adres en IBAN.

Volgens mij beseffen een hoop mensen niet dat die drie zaken voor rottigheid kunnen zorgen.

donderdag 10 augustus 2017 09:15

Acties:

0 Henk 'm!

Ronnerd

Topicstarter

Crasheeee schreef op donderdag 10 augustus 2017 @ 00:06:
Ik heb al duidelijk aangegeven dat Litebit gewoon een prutsbedrijf is.

Als ik heel eerlijk ben interesseert mij het hashing algoritme op het wachtwoord niet. Ik heb nergens hetzelfde wachtwoord. Bij andere partijen had het wel effect kunnen hebben.

Wat mij meer zorgen maakt is het telefoonnummer, adres en IBAN.

Volgens mij beseffen een hoop mensen niet dat die drie zaken voor rottigheid kunnen zorgen.

Ik volg je niet op de voet dus dat jij al aangegeven hebt dat LiteBit een prutsbedrijf is is me even ontgaan

Het hashing algortime interesseert wel degelijk. Een intrusion op een systeem hoeft niet altijd alleen maar tot gevolg te hebben dat de data "op straat" ligt. Zeker op een platform als LiteBit zou het wellicht intressanter zijn dat als er een slecht algortime gebruikt is om de accounts zelf te misbruiken om crypto te jatten ipv de gegevens op straat te dumpen.

Waarom baart overigens het telefoonnummer, adres en IBAN jou meer zorgen? Wat denk je dat ze daarmee kunnen? Nederland heeft ongeveer 1 miljoen ZZP-ers, en die zouden dan allemaal een probleem hebben, want die informatie staat namelijk ook op hun briefpapier, websites, kvk registratie etc. Nee hoor, met alleen die info kun je niet zo gek veel, en gelukkig maar.

donderdag 10 augustus 2017 09:59

Acties:

0 Henk 'm!

Crasheeee

Dat snap ik dat je mij niet volgt

Mijn reactie was meer bedoeld dat ik mijn ongenoegen ook had geuit bij het nieuwsbericht.

Je hebt gelijk dat het wel degelijk interessant is welk algoritme zij gebruiken. Het geeft een idee of ze de beveiliging enigszins op orde hadden. De reden dat ik aangaf dat het voor mij geen prio heeft is dat ik compleet random wachtwoorden heb.

Waarom baart mij de anderen gegevens zorgen? Ik wil niet dat mijn naam, adres, telefoonnummer en wallet gegevens bij kwaadwillende bekend zijn.

Bij sommige instanties is de enige verificatiemethode naam, adres en geboortedatum. Kan wel allemaal andere doemscenario's verzinnen, maar dat is een beetje zinloos.

Het ging mij erom dat er (misschien) persoonlijke gegevens op straat liggen.

donderdag 10 augustus 2017 11:54

Acties:

+1 Henk 'm!

Ronnerd

Topicstarter

Crasheeee schreef op donderdag 10 augustus 2017 @ 09:59:

Je hebt gelijk dat het wel degelijk interessant is welk algoritme zij gebruiken. Het geeft een idee of ze de beveiliging enigszins op orde hadden. De reden dat ik aangaf dat het voor mij geen prio heeft is dat ik compleet random wachtwoorden heb.

Ik gebruik ook random wachtwoorden en nooit dezelfde op meerdere lokaties, maar dat is niet het punt wat ik maakte. Als een zwak hashing algoritme gebruikt wordt, dan is het voor kwaadwillenden wellicht veel lucratiever (zeker op een site als LiteBit) om de account gegevens eerst te bemachtigen, vervolgens de zwak gehashte wachtwoorden resolven (en met sommige zwakke algortimen is dat een peulenschil, ook van random wachtwoorden) en vervolgens met de accounts inloggen en de funds wegsluizen. Dus random wachtwoord of niet, het hashing algortime doet er altijd toe. Vandaar dat ik ook liever heb dat het wettelijk verplicht wordt om het te vermelden wat er gebruikt wordt. Dan kun je zelf bepalen of je ergens wel of niet een account wil registreren. En belangrijker nog, als het wettelijk verplicht wordt, dan worden organisaties gedwongen om erover na te gaan denken, want dat is wat er vaak mis gaat. Niet nadenken en simpelweg maar doen, omdat er totaal geen richtlijnen zijn waar ze zich aan moeten houden.

Waarom baart mij de anderen gegevens zorgen? Ik wil niet dat mijn naam, adres, telefoonnummer en wallet gegevens bij kwaadwillende bekend zijn.

Oh dat wil ik ook niet, maar dat is toch echt iets wat voor mij niet haalbaar is. Ben zelfstandig ondernemer, dus mijn naam, telefoonnummer, IBAN etc is allang publiekelijk beschikbaar. Wat belangrijker is is dat je met die gegevens bijzonder weinig kan. En gelukkig maar.

donderdag 10 augustus 2017 14:19

Acties:

0 Henk 'm!

Qwerty-273

Meukposter

***** ***

Ronnerd schreef op woensdag 9 augustus 2017 @ 21:54:
Het doet totaal niets af aan de veiligheid van je opgeslagen hashes als van buitenaf al bekend is welk algortime gebruikt wordt. Tenzij je algortimen gebruikt waarvan bekend zijn dat ze onveilig zijn. Dan zou het wellicht interessant zijn voor aanvallers om je database te willen bemachtigen omdat ze dan makkelijk aan veel e-mail/username/wachtwoord combinaties kunnen komen als ze je data weten te bemachtigen.

Een ander punt kan zijn dat men vermeldt dat men SHA-2 gebruikt. En men vervolgens zich moet verdedigen waarom geen MD6, SHA-3 of BLAKE2 gebruikt wordt. Of dat een concurrent het gebruikt met de melding dat zij wel SHA-3 gebruiken in tegenstelling tot het oudere SHA-2.
Het voegt weinig toe omdat ergens publiek te vermelden, al is het bij fintech natuurlijk wel iets gelikter om wat meer over de tech kant te vertellen. En met een communicatie contact persoon, loop je dan al gauw tegen een muur aan van wat kan men wel of niet vertellen (want we kunnen geen diepere details geven want bedrijfsgeheim.... al maakt dat technisch voor deze specifieke stelling natuurlijk niet uit)

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

donderdag 10 augustus 2017 22:48

Acties:

0 Henk 'm!

Ronnerd

Topicstarter

Qwerty-273 schreef op donderdag 10 augustus 2017 @ 14:19:
[...]

Een ander punt kan zijn dat men vermeldt dat men SHA-2 gebruikt. En men vervolgens zich moet verdedigen waarom geen MD6, SHA-3 of BLAKE2 gebruikt wordt. Of dat een concurrent het gebruikt met de melding dat zij wel SHA-3 gebruiken in tegenstelling tot het oudere SHA-2.
Het voegt weinig toe omdat ergens publiek te vermelden, al is het bij fintech natuurlijk wel iets gelikter om wat meer over de tech kant te vertellen. En met een communicatie contact persoon, loop je dan al gauw tegen een muur aan van wat kan men wel of niet vertellen (want we kunnen geen diepere details geven want bedrijfsgeheim.... al maakt dat technisch voor deze specifieke stelling natuurlijk niet uit)

Of ze zich "moeten" verdedigen is een ander punt, maar ik kan me best voorstellen dat het tussen concurrenten een wedstrijdje verpissen zou kunnen worden. En dat is op zich helemaal niet erg. Concurrenten steken elkaar altijd de troef met betere technieken, dus dat mogen ze wat mij betreft ook doen met hashing algortimen die ze gebruiken om de wachtwoorden van hun gebruikers te beschermen. Zolang er maar een trend begint te onstaan dat daar meer aandacht aan besteed wordt kan het alleen maar positief uitpakken.

Ik ben wel van mening dat het zeker van toegevoegde waarde gaat zijn als het verplicht zou worden het publiekelijk te vermelden. Het dwingt organisaties dan tot nadenken of het wel goed genoeg in elkaar zit ipv dat ze vertrouwen op prutsende medewerkers of toeleveranciers. Je wil niet weten welke bizarre situaties ik in m'n IT carriere al ben tegengekomen aangaande het opslaan van wachtwoorden of security in het algemeen. Het is echt te triest voor woorden en ik hoop dan ook dat daar wettelijk wat aan gedaan kan worden. Er zijn zoveel dingen bij wet geregeld die ervoor zorgen dat organisaties zorgvuldig met zaken om moeten gaan, en dat mogen ze gezien de tijd waarin we leven best uitbreiden, puur om organisaties ertoe te zetten erover na te moeten denken.

[ Voor 13% gewijzigd door Ronnerd op 10-08-2017 22:50 ]

woensdag 13 september 2017 16:37

Acties:

0 Henk 'm!

Deef_K

Zojuist een mail ontvangen dat er weer een cyberaanval is geweest en er persoonlijke informatie buit is gemaakt. Toevalligerwijs 2 weken geleden een account aangemaakt. Hoe ga je met dit soort dingen om?

woensdag 13 september 2017 16:49

Acties:

0 Henk 'm!

ErikRo

Staat er ook iets in over kopieën van ID kaarten die zijn buitgemaakt?
Die zijn ook digitaal zijn pijnlijk als die ook zijn buitgemaakt. Gelukkig gisteren gris van geld daar weggehaald.
Kan nu even niet bij mn mail komen om te lezen wat er is gebeurd.

[ Voor 6% gewijzigd door ErikRo op 13-09-2017 16:49 ]

"I don't have any solution but I certainly admire the problem." -- Ashleigh Brilliant

woensdag 13 september 2017 16:52

Acties:

0 Henk 'm!

Roksilis

Onderstaand de e-mail, belangrijkste dikgedrukt

Dear ,

We regret to inform you that on the 12th of september 2017 a supplier to LiteBit has become the victim of a cyberattack. Sadly, the attack also concerned a LiteBit server. We are currently investigating the scope of the attack. Sadly we have to conclude that an unauthorized person has had access to your; email address, hashed password, IBANs, phone number, address and portfolio data.

There has, however, been no breach on the LiteBit wallet servers. All coins belonging to customers are safe. Also, no verification documents have been accessed during the incident.

It is of high importance that you reset your 2FA settings, you can read more about this here: LiteBit 2FA

We understand that the recent problems at LiteBit and our supplier have damaged your trust in our organization. We want to show our deepest remorse. We have already taken measures and we will keep improving and expanding on these measures in the future in hope to regain your trust. We have reported this incident to the police and the Dutch Data Protection Authority.

Please do not hesitate to contact our helpdesk if you have any more questions!
Phone: +31 (0) 10 307 48 20
Email: support@litebit.eu

woensdag 13 september 2017 17:24

Acties:

0 Henk 'm!

Verwijderd

Ik vraag me nu af om welke toeleverancier het gaat.

woensdag 13 september 2017 17:32

Acties:

+1 Henk 'm!

u_nix_we_all

Verwijderd schreef op woensdag 13 september 2017 @ 17:24:
Ik vraag me nu af om welke toeleverancier het gaat.

Ik vraag me af waarom ze zich achter een toeleverancier proberen te verschuilen, want volgens mij is dat volledig irrelevant. Het is hun server die gehackt is, en daar zijn ze zelf verantwoordelijk voor.

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

woensdag 13 september 2017 19:24

Acties:

0 Henk 'm!

sypie

Roksilis schreef op woensdag 13 september 2017 @ 16:52:
Onderstaand de e-mail

Voor de mensen die liever Nederlands hebben:

Een toeleverancier van LiteBit is op 12 september 2017 slachtoffer geworden van een gerichte cyberaanval. Helaas heeft dit betrekking gehad op een server van LiteBit. De details van de cyberaanval worden momenteel onderzocht, maar wij kunnen concluderen dat een onbevoegd persoon toegang heeft gekregen tot uw: emailadres, gehasht wachtwoord, IBAN’s, telefoonnummer, adres en portfolio gegevens.

Deze aanval heeft nadrukkelijk geen invloed gehad op de tegoeden van gebruikers, alle munten van gebruikers staan veilig. Ook zijn er geen verificatie documenten (identiteitsgegevens) betrokken bij dit incident.

Het is van groots belang dat 2FA instellingen opnieuw ingesteld worden. Hier kunt u lezen hoe u dat kunt doen: LiteBit 2FA

Wij begrijpen dat de recente problemen bij LiteBit en haar toeleverancier een deuk slaan in het vertrouwen in onze organisatie. Hiervoor bieden wij onze oprechte excuses aan. Wij hebben direct maatregelen getroffen en wij zullen in de toekomst maatregelen blijven treffen om uw vertrouwen in LiteBit te herstellen. Er is aangifte gedaan bij de politie en een melding gemaakt bij de Autoriteit Persoonsgegevens.

woensdag 13 september 2017 20:01

Acties:

0 Henk 'm!

SteveWoz

Ik begin het vertrouwen ook wel te verliezen, helemaal na het lezen van dit stukje tekst onder 'Beveiliging' bij je accountinstellingen:

Google Authentication kan gedownload worden op de Google Play Store of op de Apple app store.

woensdag 13 september 2017 20:22

Acties:

0 Henk 'm!

ErikRo

Wel vervelend ik probeer nergens m'n nummer achter te laten. Hier moest ik wel en voila nu is m'n nummer dus binnenkort voor iedereen opzoekbaar en omgekeerd. Aan de hand van mijn nummer kan mijn adres gezocht worden al heb ik gelukkig geen vijanden

"I don't have any solution but I certainly admire the problem." -- Ashleigh Brilliant

woensdag 13 september 2017 20:29

Acties:

0 Henk 'm!

DiKkieDIKnr1

Ik had het ook al gepost op de FP, maar vanmiddag had ik er ook al een hard hoofd in toen er zogenaamd(achteraf gebleken) onderhoud was om een fysieke server te vervangen.

Ook is er nooit opvolging geweest van de eerste hack van 5 augustus, zoals wel aangegeven was in hun email aan de geregistreerde gebruikers.

https://www.litebit.eu/nl/statement-about-fifth-of-august

Deze pagina is nooit geupdated en is nu een 404.

woensdag 13 september 2017 20:31

Acties:

0 Henk 'm!

ApC_IcE

Aan elk einde zit een begin

Ik heb ze zojuist verzocht alles te wissen van mijn account aangezien ik er nu wel klaar mee ben. Het kwaad is al geschiet en ik zit nu overal mijn ww aan te passen. Als je weet hoeveel accounts ik totaal bezit met lang niet altijd dezelfde wachtwoorden is het gewoon een hoop gedoe.

Ben wel benieuwd in hoeverre ze verplicht zijn alles te verwijderen.

Pagina: 1

Reageer