Website encrypt wachtwoord niet. En nu?

Goedendag tweakers

Ik zit met een situatie dat mij niet direct schaad maar ik vraag mij wel af wat ik hiermee moet doen

Situatie:
Ik heb een paar jaar geleden een account gemaakt op een profielen website. Ik heb jaren niet op dit account gekeken en ik kreeg vandaag een mail van ze

In deze e-mail gaven zij aan dat persoon x een bericht heeft achter gelaten op mijn profiel. Maar in deze mail stond ook er volgende

Je profielgegevens zijn:

gebruikersnaam: **
wachtwoord: **

Het wachtwoord was gewoon te lezen in deze e-mail, en kon hiermee ook gewoon inloggen.

Ik ben vervolgens in hun privacy verklaring gedoken en daaruit citeer ik het volgende

Bescherming van uw persoonlijke gegevens
We hebben maatregelen genomen om ervoor te zorgen dat uw informatie goed beveiligd is, onder andere door het aantal mensen dat fysiek toegang heeft tot onze databaseservers te beperken en door gebruik te maken van elektronische beveiligingssystemen en toegangscodes teneinde te voorkomen dat onbevoegden zichzelf toegang verschaffen tot de informatie

Maar ik weet nu inmiddels dat zij de wachtwoorden niet beveiligd opslaan omdat ze gewoon zonder moeite te lezen zijn

Nu is mijn vraag:
Wat moet ik hiermee? Moet ik dit ergens melden als datalek? Moet ik de website hiermee confronteren Zoja hoe pak ik dat het beste aan?

Of moet ik gewoon mijn account wissen en hier verder niks mee doen

Alvast bedankt voor het meedenken

Het heeft even geduurd voordat ik weer reageerde, dit heeft te maken dat ik op antwoord heb gewacht van de website.

Inmiddels heb ik deze binnen en deze deel ik dan ook hier, met daarbij wat dingen weggelaten dit ivm privacy en wil niet onnodig een website schade toebrengen .

Beste **​,

Dank voor je geduld! Mijn collega's van het technical support hebben jouw melding onderzocht. Uit dit onderzoek is gebleken dat een kleine batch van in 2013 geactiveerde profielen niet automatisch volledig is verwijderd. Zo zijn gebruikersnaam, e-mailadres en wachtwoord achtergebleven in ons systeem. Dit had niet moeten gebeuren en hier bieden wij dan ook graag onze excuses voor aan. De oorzaak van het niet automatisch verwijderen van deze profielen is anno 2018 niet meer exact te achterhalen, maar heeft naar alle waarschijnlijk te maken gehad met de toenmalige overgang naar een nieuw systeem. Sindsdien zijn zaken als de beveiliging van wachtwoorden tevens aangepast naar de huidige regelgeving.

Ondertussen heeft het technical support van *** alle betreffende profielen met terugwerkende kracht alsnog geheel verwijderd. Ik hoop je dit maal op deze wijze wel voldoende te hebben geïnformeerd, maar beantwoordt graag eventuele aanvullende vragen.

Met vriendelijke groet,
***

Freeaqingme schreef op maandag 3 december 2018 @ 18:38:
Lijkt me een nette reactie. Gaat dit toevallig om vip.nl? Daarbij kreeg ik een tijdje terug ook mijn eigen plaintext wachtwoord in de mail toen ik de wachtwoordvergeten functie gebruikte. Dat was een goede aanleiding om het laatste restje domeinen wat ik daar nog had staan ook weg te halen.

Over welke website het gaat, hou ik graag voor mij. Zoals ik eerder aangaf wil ik een website geen schade toebrengen.

Ook dit betrof geen wachtwoord vergeten aanvraag. Ik kreeg een email van een enorm oud account op die website, met de melding zoals boven staat beschreven. Wat ik erg vond is dat zij blijkbaar wachtwoorden in plaintext op gingen slaan.

Ook vind ik het een apart verhaal wat zij in deze mail hebben gezet, aangezien ik gewoon nog met dit account kon inloggen.

Lets find it schreef op maandag 3 december 2018 @ 18:44:
als je je account wil verwijderen, wijzig eerst je wachtwoord, behoudt het account 3 weken, en verwijder het dan pas. Dit is belangrijk, omdat je soms te maken hebt met medewerkers die het leuk vinden om de wachtwoorden te onthouden. En ja, dit heb ik 1 keer gehad.

Maar ik heb nooit mijn account verwijderd. Ik was überhaupt vergeten dat ik daar een account had. Ik kwam er dus achter nadat ik blijkbaar jaren later in 1x een email kreeg met dat ik een ongelezen bericht had. In deze email stond dus mijn gebruikersnaam incl wachtwoord. En hiermee kon ik ook gewoon inloggen.

Maar goed, ik neem genoegen met hun antwoord maar zet er wel vraagtekens bij.

Lets find it schreef op maandag 3 december 2018 @ 18:48:
[...]


Ik zeg als je dat wíl gaan doen, gezien je vertrouwen nu waarschijnlijk weg is...

Wíl, in de zin van gaan doen.

Excuus, dacht dat je het in algemene zin bedoelde bedankt.