Marktplaats account "gehacked". - Privacy en beveiliging

dinsdag 13 augustus 2019 01:46

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Ik zag zojuist dat mijn wachtwoord van mijn inactieve Marktplaats account achterhaald is en er producten te koop aangeboden worden.
Ook is mijn naam veranderd en zie ik correspondentie tussen de "hacker" lees:dief/oplichter, en een verkoper.
Wat kan ik nu het beste doen, zodat ik hier zonder kleerscheuren vanaf kom en die gene eventueel gepakt wordt.

[ Voor 16% gewijzigd door BasGit op 13-08-2019 02:47 ]

dinsdag 13 augustus 2019 01:49

Acties:

+6 Henk 'm!

Room42

Ik zou je tekst aanpassen naar "Beste Marktplaats, [...]" en dat richting het contactformulier van Marktplaats sturen.

Bedoel je met 'gehackt' dat je wachtwoord geraden is? Ik zou je adressen even via https://haveibeenpwned.com/ checken en wellicht een passwordmanager gaan gebruiken. (Zie hiervoor [Password Managers] Discussie- en reviewtopic)

[ Voor 19% gewijzigd door Room42 op 13-08-2019 01:50 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 13 augustus 2019 01:55

Acties:

0 Henk 'm!

BasGit

Topicstarter

Op moment van schrijven, weet ik niet of nou enkel mijn marktplaats account gekraakt is, of dat de persoon of personen in kwestie, toegang tot meer dan mijn marktplaats account heeft.
Ik zag dat er ingelogd was, toen ik net mijn mail van een minder belangrijk account zat te controleren.

dinsdag 13 augustus 2019 01:58

Acties:

+1 Henk 'm!

Room42

Daarom, check eerst even wat er precies gelekt is. En check daarna de beveiliging van je systemen (telefoon, computers, etc.). En verander je wachtwoorden, als je je zorgen maakt sowieso slim. En gebruik unieke wachtwoorden per login.

[ Voor 13% gewijzigd door Room42 op 13-08-2019 02:00 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 13 augustus 2019 02:04

Acties:

+1 Henk 'm!

BasGit

Topicstarter

Lekker handig dat ik recent activity niet kan inzien bij outlook omdat daar een oud nummer geregistreerd staat. Wijzigen kan wel, duurt 30 dagen. Recent activity is ook maar voor 30 dagen, dus dat schiet lekker op.
Ook wachtwoord kan daardoor niet gewijzigd worden.

De email adres gekoppeld aan de Mp account heeft enkele breaches @Room42 .
De MP ww is niet hetzelfde als de ww van mijn email.
Kan moeilijk bepalen wat die allemaal weet.
Heeft al ong 3 dagen toegang tot mijn MP account in ieder geval.
Vraag me af of ik met de politie contact zou moeten nemen, of mailen vanuit een ander mail, omdat ik niet weet of de "hacker" ook in mijn outlook zit.

Edit: Kreeg de tip van de sterke arm der wet om mijn account te verwijderen en anders het wachtwoord te veranderen.
Uitleg: Gebeurt heel veel, geen mankracht voor.

[ Voor 63% gewijzigd door BasGit op 13-08-2019 02:38 ]

dinsdag 13 augustus 2019 03:48

Acties:

+5 Henk 'm!

Verwijderd

Verlaten MP accounts die al vele jaren bestaan zijn populair en simpel te kraken met mailadres en gelekt password die online te vinden zijn.

dinsdag 13 augustus 2019 11:55

Acties:

+2 Henk 'm!

Hindelaufen

Als je niet zeker weet of de "hacker" in je outlook "zit". Dan wijzig je je wachtwoord en log je alle sessies uit. Dan weet je zeker dat je in je eentje in outlook "zit".

[ Voor 8% gewijzigd door Hindelaufen op 13-08-2019 11:55 ]

dinsdag 13 augustus 2019 12:00

Acties:

+1 Henk 'm!

indigo79

Hindelaufen schreef op dinsdag 13 augustus 2019 @ 11:55:
Als je niet zeker weet of de "hacker" in je outlook "zit". Dan wijzig je je wachtwoord en log je alle sessies uit. Dan weet je zeker dat je in je eentje in outlook "zit".

En je zet 2FA aan, indien mogelijk.

dinsdag 13 augustus 2019 12:26

Acties:

0 Henk 'm!

BasGit

Topicstarter

@Hindelaufen
Weet niet hoe ik overal kan uitloggen, een heleboel dingen kan ik nu geen gebruik van maken, omdat de beveiliging gegevens gewijzigd zijn (nummer).

@indigo79
Duurt volgens mij ook 30 dagen voordat ik dit kan.

@Verwijderd
Ja, kan ik begrijpen..

Had wel gehoopt dat ze de hacker zouden proberen te pakken, maar zelfs een poging gaan ze niet wagen.

[ Voor 23% gewijzigd door BasGit op 13-08-2019 12:29 ]

dinsdag 13 augustus 2019 13:14

Acties:

+1 Henk 'm!

rens-br

Admin IN & Moderator Mobile

BasGit schreef op dinsdag 13 augustus 2019 @ 12:26:
Had wel gehoopt dat ze de hacker zouden proberen te pakken, maar zelfs een poging gaan ze niet wagen.

Wie is 'ze' in deze zin?

dinsdag 13 augustus 2019 15:02

Acties:

+1 Henk 'm!

Krulliebol

rens-br schreef op dinsdag 13 augustus 2019 @ 13:14:
[...]

Wie is 'ze' in deze zin?

'de sterke arm der wet'

dinsdag 13 augustus 2019 15:37

Acties:

0 Henk 'm!

Valorian

Ik hoor vaak dat mp accounts “gehacked” worden. Die van mij bestaat alweer 17 jaar... is er nog een manier om dit hacken te voorkomen of is het gewoon “pech” als dat gebeurt? Mijn wachtwoord verander ik met enige regelmaat en bevat kleine- en hoofdletters en cijfers en symbolen. Meer kan ik niet doen toch?

dinsdag 13 augustus 2019 15:38

Acties:

0 Henk 'm!

Farabi

Valorian schreef op dinsdag 13 augustus 2019 @ 15:37:
Meer kan ik niet doen toch?

Nee.

dinsdag 13 augustus 2019 15:40

Acties:

+1 Henk 'm!

tdjnl2006

Valorian schreef op dinsdag 13 augustus 2019 @ 15:37:
Ik hoor vaak dat mp accounts “gehacked” worden. Die van mij bestaat alweer 17 jaar... is er nog een manier om dit hacken te voorkomen of is het gewoon “pech” als dat gebeurt? Mijn wachtwoord verander ik met enige regelmaat en bevat kleine- en hoofdletters en cijfers en symbolen. Meer kan ik niet doen toch?

Twee staps authenticatie d.m.v. je mobiele telefoonnummer?
Marktplaats > Mijn profiel > Beveiligingscontrole

[ Voor 5% gewijzigd door tdjnl2006 op 13-08-2019 15:45 ]

dinsdag 13 augustus 2019 15:40

Acties:

+1 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Valorian schreef op dinsdag 13 augustus 2019 @ 15:37:
Ik hoor vaak dat mp accounts “gehacked” worden. Die van mij bestaat alweer 17 jaar... is er nog een manier om dit hacken te voorkomen of is het gewoon “pech” als dat gebeurt? Mijn wachtwoord verander ik met enige regelmaat en bevat kleine- en hoofdletters en cijfers en symbolen. Meer kan ik niet doen toch?

Nee, totdat MP 2FA gaat ondersteunen o.i.d. niet nee. Gebruik gewoon een wachtwoordmanager, per site een uniek wachtwoord en fatsoenlijk sterke wachtwoorden en lekt er dan ooit ergens iets dan hoef je alleen maar 't gelekte wachtwoord te wijzigen en door te gaan met je leven.

tdjnl2006 schreef op dinsdag 13 augustus 2019 @ 15:40:
[...]

Twee staps authenticatie d.m.v. je mobiele telefoonnummer?
Marktplaats > Mijn profiel > Beveiligingscontrole

Dat is geen 2FA (vziw) maar alleen ter controle bij 't wijzigen / vergeten van je wachtwoord. Ik kan iig. zonder problemen inloggen op MP zonder 2FA (en mijn nummer staat bij die instelling)

njitter schreef op dinsdag 13 augustus 2019 @ 15:40:
En zorg ervoor dat je belangrijkste accounts zoals je Mail en Facebook gebruik maken van 2FA.

Niet alleen je belangrijkste accounts. Gewoon altijd doen als 't kan. Je weet nooit hoe men via een "onbelangrijk account" weer een "hop" maakt naar een belangrijk(er) account enz.

[ Voor 37% gewijzigd door RobIII op 13-08-2019 15:42 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 13 augustus 2019 15:40

Acties:

0 Henk 'm!

njitter

Gewoon ervoor zorgen dat je wachtwoord voldoende lang is en compleet random. En geen wachtwoorden hergebruiken op andere sites. En zorg ervoor dat je belangrijkste accounts zoals je Mail en Facebook gebruik maken van 2FA.

dinsdag 13 augustus 2019 15:44

Acties:

0 Henk 'm!

tdjnl2006

RobIII schreef op dinsdag 13 augustus 2019 @ 15:40:
[...]

Dat is geen 2FA (vziw) maar alleen ter controle bij 't wijzigen / vergeten van je wachtwoord. Ik kan iig. zonder problemen inloggen op MP zonder 2FA (en mijn nummer staat bij die instelling)

My bad. Ik dacht dat het 2FA was. Ik heb geen mobiel nummer ingevoerd dus ook nooit getest.

dinsdag 13 augustus 2019 15:44

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

tdjnl2006 schreef op dinsdag 13 augustus 2019 @ 15:44:
[...]

My bad. Ik dacht dat het 2FA was. Ik heb geen mobiel nummer ingevoerd dus ook nooit getest.

Nee, my bad. Het lijkt wel degelijk 2FA te zijn zoals ik de uitleg lees. Ik hoefde denk ik geen 2FA te doen omdat mijn browser al bekend is/was.

Edit: hmmm, hoewel ik in een in-private sessie ook geen 2FA hoef te doen...

En ook niet in een browser waarmee ik nog nooit op MP ben geweest...

[ Voor 12% gewijzigd door RobIII op 13-08-2019 15:55 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 13 augustus 2019 20:17

Acties:

0 Henk 'm!

Verwijderd

RobIII schreef op dinsdag 13 augustus 2019 @ 15:44:
[...]hmmm, hoewel ik in een in-private sessie ook geen 2FA hoef te doen... En ook niet in een browser waarmee ik nog nooit op MP ben geweest...

Check check, dubbel check. Bevestigd.

Daarna via een 4G zendmast met Huawei apparatuur nogmaals geprobeerd: moet dan wel SMS inkloppen

Deze 2FA lijkt dus IP gebonden te zijn. Wel fijn als een bedrijf als MP/eBay dat ook vermeldt. Op deze manier “waan” je je veilig, maar blijk je bij een gedeeld IP alsnog geen 2FA nodig te hebben

Los daarvan: 2FA met SMS is beter dan niets. Maar een telefoonnummer is niet echt iets wat je “bezit”. Sterker nog, je telefoonnummer kan worden hergebruikt etc.
Zou m.i. beter zijn als MP de 2FA authorisatie via hun app laat lopen. Dat is tenminste device gebonden. Of wacht, die app is geen native app zie ik nu

Mag ik de discussie een zwieper geven? Is het nog van deze tijd dat een partij als MP 2FA optioneel maakt? Of moeten we daar een apart topic voor openen?

woensdag 14 augustus 2019 01:45

Acties:

0 Henk 'm!

BasGit

Topicstarter

@Verwijderd
Van mij mag je.
Vind het een interessant topic.

maandag 30 september 2019 15:51

Acties:

+1 Henk 'm!

VPIPPFR

Volgens mij is er een berg gegevens van Marktplaats gelekt.

Op PasteBin staat een dump met alleen maar Nederlandse emailadressen en wachtwoorden.

Die van mij stond er ook tussen, met het wachtwoord wat ik alleen voor Marktplaats heb gebruikt. Ook een rare inlog vanuit de USA gehad op mijn account deze week.

Vanuit Marktplaats niets officieels vernomen...

maandag 30 september 2019 16:01

Acties:

0 Henk 'm!

The_Worst

Unox

@VPIPPFR Heb je dit al gemeld aan Marktplaats met een link naar de Pastebin?

If you hide your whole life, you'll forget who you even are. Uplay: TheWorstNL | Steam + Origin + PSN: The_Worst_NL

maandag 30 september 2019 17:56

Acties:

0 Henk 'm!

VPIPPFR

The_Worst schreef op maandag 30 september 2019 @ 16:01:
@VPIPPFR Heb je dit al gemeld aan Marktplaats met een link naar de Pastebin?

Ja.

Althans, ik heb een poging gedaan. De enige manier van contact leggen is via een uiterst waardeloze chatbot die absoluut geen idee heeft waar je het over hebt.

maandag 30 september 2019 19:09

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

VPIPPFR schreef op maandag 30 september 2019 @ 17:56:
[...]
Ja.

Althans, ik heb een poging gedaan. De enige manier van contact leggen is via een uiterst waardeloze chatbot die absoluut geen idee heeft waar je het over hebt.

Er staat een mailadres van de data protection officer op https://www.marktplaats.n...beleid/privacyverklaring/

Je kunt m.i. in gevallen als dit daar contact mee opnemen - en antwoord & actie verwachten op basis van de AVG.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 2 oktober 2019 06:42

Acties:

0 Henk 'm!

Snowmiss

The_Worst schreef op maandag 30 september 2019 @ 16:01:
@VPIPPFR Heb je dit al gemeld aan Marktplaats met een link naar de Pastebin?

Ik kan de pastebin niet vinden, een link hier mag ook wel.

woensdag 2 oktober 2019 06:46

Acties:

+1 Henk 'm!

xinix03

Snowmiss schreef op woensdag 2 oktober 2019 @ 06:42:
[...]

Ik kan de pastebin niet vinden, een link hier mag ook wel.

Euhh Nee..

Dat lijkt me geen strak plan.

maandag 2 december 2019 22:35

Acties:

0 Henk 'm!

AndromedaM31

https://www.waldnet.nl/wn...te_koop_op_Instagram.html

LEEUWARDEN - Gebruikersnamen en wachtwoorden van Marktplaatsaccounts worden gewoon verhandeld op Instagram. Dat bleek maandag tijdens de strafzaak tegen een Drachtster (20) die terechtstond voor oplichting en computervredebreuk.

zaterdag 14 december 2019 20:32

Acties:

0 Henk 'm!

BasGit

Topicstarter

AndromedaM31 schreef op maandag 2 december 2019 @ 22:35:
https://www.waldnet.nl/wn...te_koop_op_Instagram.html

[...]

Raar dat ik je reactie niet zag bij mijn notificatie's. Waarschijnlijk gemist..
Anyways, mijn wachtwoord lag dus een tijd op straat, lekker handig..

Nog bedankt voor je post.

zaterdag 28 december 2019 09:47

Acties:

0 Henk 'm!

MisterEagle

VPIPPFR schreef op maandag 30 september 2019 @ 15:51:
Volgens mij is er een berg gegevens van Marktplaats gelekt.

Op PasteBin staat een dump met alleen maar Nederlandse emailadressen en wachtwoorden.

Die van mij stond er ook tussen, met het wachtwoord wat ik alleen voor Marktplaats heb gebruikt. Ook een rare inlog vanuit de USA gehad op mijn account deze week.

Vanuit Marktplaats niets officieels vernomen...

heb je hier ooit wat op vernomen?
Vannacht heb ik zelf een email gehad met een inlogpoging vanuit Amerika, mijn vriendin heeft een mail gehad en mijn moeder ook... Zit respectievelijk een uur en 3 uur tussen de inlogpogingen in.

maandag 6 januari 2020 20:00

Acties:

+1 Henk 'm!

Craven

Zojuist ook een inlogpoging gehad. Vanuit New York via een Xiaomi Redmi note 3 om specifiek te zijn. Dit was overigens de laatste website uit het tijdperk waarin ik nog een statisch wachtwoord gebruik.

Wachtwoord natuurlijk eerst aangepast. En even in lastpass gedoken om te checken of ik het niet echt nog ergens anders had gebruikt. Daarna met wat geworstel met de chatbot een medewerker van marktplaats te spreken gekregen die mij prima te woord stond (best netjes rond deze tijd vond ik zo). Ze zag geen verdacht gedrag op mijn account. Dit had ik zelf ook niet gezien. Ze kon mij nog wel vertellen dat bij een password reset alle bestaande sessie uitgelogd worden.

Edit: dubbelchecked, bij een password reset worden bestaande sessie uitgelogd.

[ Voor 5% gewijzigd door Craven op 06-01-2020 20:04 ]