website gehacked, duizenden paswoorden gelekt, wat doen?

zaterdag 9 februari 2019 15:37

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Voor alle duidelijkheid: het gaat niet over een website van mezelf!
Ik ben erachter gekomen dat een website blijkbaar werd gehacked en dat er duizenden emailadressen en wachtwoorden op straat liggen. Ik ben een van de getroffenen. Gelukkig gebruik ik dit wachtwoord nergens anders.
Het bedrijf met het lek heeft hierover nooit gecommuniceerd, ik weet niet of ze zelfs al op de hoogte zijn, ik vond het eerder toevallig via een lijst van gelekte accounts. De andere logins in de lijst lijken ook te werken.
Wat moet ik hiermee? Ik wil dit graag melden aan een officiële instantie.
Het gaat om een website van een buitenlands bedrijf, maar binnen de EU, en gericht op professionele gebruikers binnen hun niche.
Ze hebben overduidelijk hun veiligheid niet in orde: in de account pagina op hun site wordt het huidige wachtwoord in plain text weergegeven...
Ik zou het niet erg vinden als het bedrijf hiervoor zwaar aangepakt zou worden...

zaterdag 9 februari 2019 15:42

Acties:

0 Henk 'm!

Ivysaur

Door sturen naar de reactie van Tweakers, met bewijs enzo. Want dit is nieuws

Of melden bij https://autoriteitpersoon...ing/meldplicht-datalekken

Edit: Andersom dus

[ Voor 12% gewijzigd door Ivysaur op 09-02-2019 16:58 ]

zaterdag 9 februari 2019 15:48

Acties:

+4 Henk 'm!

SgtElPotato

Ivysaur schreef op zaterdag 9 februari 2019 @ 15:42:
Door sturen naar de reactie van Tweakers, met bewijs enzo. Want dit is nieuws

Of melden bij https://autoriteitpersoon...ing/meldplicht-datalekken

Andersom! Als eerste melden bij de site, en wellicht later aan de redactie bij Tweakers.

Zucht...

zaterdag 9 februari 2019 15:50

Acties:

+1 Henk 'm!

Goldman

SgtElPotato schreef op zaterdag 9 februari 2019 @ 15:48:
[...]

Andersom! Als eerste melden bij de site, en wellicht later aan de redactie bij Tweakers.

Dit dus! Als een nieuws site schrijft: website abc is kwetsbaar voor aanval X, wat Denk je wat er gebeurd.

Een beetje het zelfde als je ziet een ongeluk gebeuren en je gaat eerst filmpjes maken en je vrienden bellen ipv de hulpdiensten gaat bellen...

_{Sjeessss waar gaan we heen toch in deze wereld}

Tjaaaaa...c[_] <- een lege care cup! - D3 Profile

zaterdag 9 februari 2019 15:55

Acties:

0 Henk 'm!

Pazzie

Je kan hierover contact opnemen met het bedrijf zelf. Zij zijn vervolgens verplicht om dit datalek bij de autoriteiten te melden (in Nederland is dat de Autoriteit Persoonsgegevens).

Het is ook mogelijk om zelf een tip in te dienen bij de Autoriteit Persoonsgegevens:
https://autoriteitpersoon...-persoonsgegevens/tip-ons
Het is verstandig om daarna telefonisch contact op te nemen met de Autoriteit Persoonsgegevens, omdat het anders een tijd kan duren voordat de tip verwerkt wordt.

Verder heb je nu geconstateerd dat de logingegevens van andere gebruikers ook werken. Het is verstandig om nu te stoppen met het inloggen middels de inloggegevens van andere gebruikers. Als je hiermee verder gaat loop je het risico om hiervoor vervolgd te worden (nieuws: Rechter legt geen straf op aan it'er die werd vervolgd na melden van ...).

zaterdag 9 februari 2019 16:31

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Kan ik zelf ergens opzoeken of het al ergens gemeld werd?
Het lek dateert mogelijks van voor de gdpr, heeft dat invloed?

zaterdag 9 februari 2019 16:56

Acties:

+1 Henk 'm!

SgtElPotato

Verwijderd schreef op zaterdag 9 februari 2019 @ 16:31:
Kan ik zelf ergens opzoeken of het al ergens gemeld werd?
Het lek dateert mogelijks van voor de gdpr, heeft dat invloed?

Advies is om contact op te nemen met Autoriteit Persoon Gegevens. Daar melden dat je een lek gevonden hebt en er flink wat e-mailadressen en wachtwoorden op straat liggen, voor of na de AVG maar niks uit.

Als je daar geen tijd voor hebt of iets mag je ook de info PM'en meld ik het voor je, helaas vaker moeten doen..

Zucht...

zaterdag 9 februari 2019 17:01

Acties:

0 Henk 'm!

bonzz.netninja

Niente baffi

Ik zou het niet erg vinden als het bedrijf hiervoor zwaar aangepakt zou worden...

want?

vuistdiep in het post-pc tijdperk van Steve  | Joepie joepie. Dat ging echt toppie! | https://www.dedigitaletuin.nl

zaterdag 9 februari 2019 17:53

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

bonzz.netninja schreef op zaterdag 9 februari 2019 @ 17:01:
[...]

want?

euh... want ze hebben mijn (samen met duizenden andere) email/paswoord laten lekken door een belachelijk slechte beveiliging (cfr. paswoorden opgeslagen in plain text, dan wel eenvoudig terug om te zetten).

zondag 10 februari 2019 16:19

Acties:

0 Henk 'm!

Jester-NL

... pakt een botte bijl

Verwijderd schreef op zaterdag 9 februari 2019 @ 17:53:
[...]

euh... want ze hebben mijn (samen met duizenden andere) email/paswoord laten lekken door een belachelijk slechte beveiliging (cfr. paswoorden opgeslagen in plain text, dan wel eenvoudig terug om te zetten).

Dan ga je dus naar de Autoriteit Persoonsgegevens. Dat is namelijk de club die (eventueel) met boetes mag slaan. Iedere andere partij (Tweakers, Facebook, Telegraaf, Geen Stijl...) is niet alleen overeenkomstig met eerst (uitgebreid) gaan staan filmen bij een ongeluk voordat je eens aan 112 denkt, maar biedt het bedrijf ook de ruimte om jou aan te klagen (iets met 'laster').
(Overigens... het zou niet heel veel pijn moeten doen dat er een wachtwoord van je uitlekt... tenzij je dat wachtwoord natuurlijk al ettelijke malen gebruikt hebt. Maar dat kun je de eigenaar van die website natuurlijk niet kwalijk nemen

)

* Jester-NL vraagt zich af waarom dat überhaupt uitgelegd moet worden...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

zondag 10 februari 2019 16:25

Acties:

+3 Henk 'm!

Verwijderd

Topicstarter

Ik vind het toch wel bijzonder dat ik hier nu blijkbaar mezelf moet verdedigen terwijl ik ontegensprekelijk het slachtoffer ben.

* rodolvo vraagt zich af waarom sommigen over zichzelf praten in de derde persoon en waarom hij hier beschuldigd wordt van laster

zondag 10 februari 2019 16:29

Acties:

+2 Henk 'm!

Montaner

Verwijderd schreef op zaterdag 9 februari 2019 @ 16:31:
Kan ik zelf ergens opzoeken of het al ergens gemeld werd?
Het lek dateert mogelijks van voor de gdpr, heeft dat invloed?

Nee en nee. Gewoon melden bij de eigenaar en de autoriteit persoonsgegevens, en vooral niet meer druk om maken wat hier wordt gepost.

maandag 11 februari 2019 13:13

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Verwijderd schreef op zondag 10 februari 2019 @ 16:25:
Ik vind het toch wel bijzonder dat ik hier nu blijkbaar mezelf moet verdedigen terwijl ik ontegensprekelijk het slachtoffer ben.

* rodolvo vraagt zich af waarom sommigen over zichzelf praten in de derde persoon en waarom hij hier beschuldigd wordt van laster

Je wordt niet beschuldigt van laster; er wordt alleen opgemerkt dat je aan het bedrijf in kwestie, een reden geeft om jou te beschuldigen van laster of - erger nog - computervredebreuk. Want je bent te ver gegaan door andere accounts ook te proberen

offtopic:
die derde persoon is een feature van tweakers.net; de zogeheten me-tag. Wij tweakers vinden dat humoristisch

QnJhaGlld2FoaWV3YQ==

maandag 11 februari 2019 13:28

Acties:

0 Henk 'm!

mcDavid

Verwijderd schreef op zaterdag 9 februari 2019 @ 15:37:

Het bedrijf met het lek heeft hierover nooit gecommuniceerd, ik weet niet of ze zelfs al op de hoogte zijn, ik vond het eerder toevallig via een lijst van gelekte accounts. De andere logins in de lijst lijken ook te werken.
Wat moet ik hiermee? Ik wil dit graag melden aan een officiële instantie.

Stap 1 is sowieso opzoeken of het bedrijf een responsible disclosure policy heeft. Zo niet, dan direct contact opnemen en daarom vragen. Zolang je het bedrijf zelf niet op de hoogte stelt, gaat er niets verbeteren en kun je verder ook vrij weinig doen.

Pas als de partij in kwestie je niet serieus neemt of weigert de situatie te verbeteren, is het tijd om de autoriteiten of media erbij te betrekken.

Vraag

Alle reacties