Account gehackt

Oxigeon schreef op donderdag 26 december 2019 @ 09:31:
Wachtwoord managers heb ik nooit gebruikt. Heb veel verschillende wachtwoorden.

Dus je gebruikt de browser optie om de wachtwoorden op te slaan?

heb je overigens al contact gehad met Tweakers.net, die kunnen dan in de logfiles kijken waar de inlogger vandaan kwam. Tweakers heeft al eerder samengewerkt met politie waarbij ze gegevens van een gebruiker doorgegeven hebben dus wellicht kan dat hier ook.

[ Voor 15% gewijzigd door Verwijderd op 26-12-2019 17:48 ]

Oxigeon schreef op donderdag 26 december 2019 @ 09:31:
[...]


Beide programma hebben niets gevonden. Bedankt voor de tip. De melding bij de fraudehelpdesk is ook gedaan. Zal zodra de kleine in bed ligt een aangifte bij de politie doen.


Wachtwoord managers heb ik nooit gebruikt. Heb veel verschillende wachtwoorden. Maar nu we het er toch over hebben. Hoe werkt zoiets? Stel mijn computer crasht... Ben ik dan alle wachtwoorden kwijt? Stel ik wil op telefoon inloggen. Moet ik dan eerst de pc aanzetten om achter het wachtwoord te komen? Welke managers raden jullie aan?

Ik gebruik zelf al een jaar of 2 Enpass, en ben daar erg tevreden over. Opslag bepaal je zelf waar, zelf doe ik dit op mijn eigen cloud opslag, waar het bestand versleuteld staat te zijn.

Ik gebruik de iPhone app, en Windows cliënt. Browser-plug-ins zijn super handig. Via de cloud allemaal up-to-date.
Je kan verschillende categorieën maken, het heeft een ingebouwde password generator, en meer handige functies.

Er stond in het aanbiedingen topic dat ze momenteel 50% korting geven. Ik vond het zijn geld dubbel en dwars waard.

lordsnow schreef op donderdag 26 december 2019 @ 17:46:
[...]


Enkele weken geleden zijn meerdere tweakers account gehacked, en zijn er via die accounts op V&A dingen te koop aangeboden. Zie:

Gebruiker niet meer actief?
Deelnemer niet meer actief op tweakers?

Ik ben er helaas ook ingetrapt, en opgelicht.

@Microkid heeft destijds aangegeven dat tweakers hier van aangifte heeft gedaan bij de politie.

Dus de politie zou via tweakers de IP-adressen kunnen opvragen vanwaar ingelogd is op de diverse gehackte accounts. En aan de hand daarvan kijken bij welke Provider(s) de betreffende personsen zitten, en via die weg achterhalen wie ze zijn.

Hi Hugo,

Tweakers is slechts de partij die koper en verkoper bij elkaar brengt. Daarnaast is elke gebruiker van Tweakers zelf verantwoordelijk voor zijn eigen account (dus ook wachtwoord). Wij kunnen en willen dus geen verantwoording nemen als anderen misbruik maken van een account. Er zijn afgelopen jaren meerdere lijsten in omloop gekomen waarop mailadressen en wachtwoorden van diverse sites staan (zie https://haveibeenpwned.com/). Het is aan elke gebruiker om dit te checken en zo nodig zijn wachtwoord te wijzigen.
Aangezien wij niet benadeeld zijn zullen wij geen aangifte doen, dat zal de gedupeerde echt zelf moeten doen.
We gaan intern nadenken over mogelijke maatregelen om dit soort activiteiten te detecteren en zo mogelijk te blokkeren.
In alle gevallen blijven we benadrukken dat je als koper altijd goed moet opletten bij kopen op internet. Zie Over: (Veilig) tweedehands handelen

Mvg

(Naam weggehaald)

Dit vind ik zacht gezegd een opmerkelijke reactie

Ik ben erg dichtbij het volledig stoppen met het Tweakers forum en V&A...
V&A voorlopig in ieder geval tot hier iets verbeterd wordt w.b.t. de beveiliging, tenzij ik iets kan/wil afhalen bij een koper.

[ Voor 23% gewijzigd door HugoBoss1985 op 26-12-2019 18:28 ]

lordsnow schreef op donderdag 26 december 2019 @ 17:46:
[...]


Enkele weken geleden zijn meerdere tweakers account gehacked, en zijn er via die accounts op V&A dingen te koop aangeboden. Zie:

Gebruiker niet meer actief?
Deelnemer niet meer actief op tweakers?

Ik ben er helaas ook ingetrapt, en opgelicht.

@Microkid heeft destijds aangegeven dat tweakers hier van aangifte heeft gedaan bij de politie.

Dus de politie zou via tweakers de IP-adressen kunnen opvragen vanwaar ingelogd is op de diverse gehackte accounts. En aan de hand daarvan kijken bij welke Provider(s) de betreffende personsen zitten, en via die weg achterhalen wie ze zijn.

Waarom moeten we dit hier lezen, dit is toch iets waarvoor Tweakers ons had moeten waarschuwen lijkt mij. Want nu heb ik het gevoel dat dit dus voorkomen had kunnen worden met deze kennis.

HugoBoss1985 schreef op donderdag 26 december 2019 @ 17:57:
[...]


Het is aan elke gebruiker om dit te checken en zo nodig zijn wachtwoord te wijzigen.
Aangezien wij niet benadeeld zijn zullen wij geen aangifte doen, dat zal de gedupeerde echt zelf moeten doen.

Dit vind ik zacht gezegd een opmerkelijke reactie

Ik neem aan dat men hier bedoelt dat ze geen aangifte gaan doen namens jou ivm de oplichting - dat is aan jezelf om dat te doen. En dat lijkt mij juist.

Echter, voor zover ik weet (lees, dat is aangegeven) heeft tweakers wel aangifte gedaan vanwege het feit dat personsen zich ongeoorloofd toegang hebben verschaft tot meerdere tweakers accounts. Het zou vreemd zijn als tweakers dat niet deed, want anders zou men aangeven dat het hun niets uitmaakt dat mensen misbruik gemaakt hebben van hun platform.

anandus schreef op donderdag 26 december 2019 @ 17:08:
[...]

Vertrouw je mozilla? Dit is eenzelfde ding:
https://monitor.firefox.com

Dank je voor deze tip. Mozilla is een organisatie die ik vertrouw.

Tweakers is slechts de partij die koper en verkoper bij elkaar brengt. Daarnaast is elke gebruiker van Tweakers zelf verantwoordelijk voor zijn eigen account (dus ook wachtwoord). Wij kunnen en willen dus geen verantwoording nemen als anderen misbruik maken van een account.

Tweakers kan hier zeker wel verantwoording nemen door hun leden extra zekerheid te geven dmv 2FA.

Leden kunnen nu nog zo goed hun eigen veiligheid voor hun account op orde hebben, ik heb als lid nooit inzage over hoe andere leden dit voor zichzelf op orde hebben. En dus heb ik nu ook nooit de garantie dat ik veilig kan handelen met andere leden.
Ik vind dit nalatigheid van een website die zo'n affiniteit heeft met techniek, maar zelf op dit vlak gewoon behoorlijk achter loopt, een grote steek laat vallen, en bovendien ook nog eens z'n kop in het zand steekt.
Als leden zich er dan over beklagen wordt er eerst gezegd: zoek het zelf maar uit, eigen verantwoording. En pas later komt er vaag naar voren dat ze er misschien iets aan gaan doen.

Als het kalf verdronken is.....

Als ik Tweakers aansprakelijk kan stellen via mijn rechtsbijstand, zal ik dat zeker niet laten.

Nu graag oplossing gericht denken.

Het is aan de ene kant wel begrijpelijk dat Tweakers natuurlijk zegt dat je moet opletten wanneer je eigenlijk denkt, dit is wel een koopje.
Maar aan de andere kant kom je ook koopjes voorbij op meerdere sites en als er dan een naam bij staat die al geregistreerd staat sinds 2008, dan denk je, dat zit wel goed.
Dus dan mag Tweakers wel het voortouw nemen vind IK, om er voor te zorgen dat dit niet meer kan gebeuren, door gewoon een andere beveiliging in te bouwen op wat voor manier dan ook.
Het lijkt me voor Tweakers ook een goede zaak om er voor te zorgen dat dit gedeelte van V&A in goede banen word geleid en dat de beveiliging gewoon goed is!
Dit is nu de vierde keer dat ik met aangiftes heb te maken via Tweakers, januari 2012 was de eerste keer met Niels van Bers, tweede keer met Kristof Jacobs, derde keer heb ik het geld na aangifte en een kennis van de oplichter dit zag, het geld terug ontvangen, dit is dus de vierde keer.

Om hierop terug te komen, ik vind het best wel lastig om te begrijpen dat sites als https://www.opgeletopinternet.nl uit de lucht zijn gehaald na een aantal jaren.
Daar staat vaak veel info die je nu niet meer kunt inzien, veel oplichters vallen in herhaling en dan kun je van dit soort sites nog steeds veel info vandaan halen.

[ Voor 14% gewijzigd door BPU Killroy op 26-12-2019 20:24 ]

Microkid schreef op donderdag 26 december 2019 @ 11:19:
[...] Misschien daarom tijd om sites als Have I been pnwd eens serieus te nemen en het wachtwoord te veranderen? Er zijn afgelopen jaren meerdere lijsten met mail-adressen en wachtwoorden in omloop gekomen. Als men daar niets mee doet, tja....

Mag ik Tweakers vragen om bij mislukte login pogingen een email te sturen???
Dan weten we wanneer er iets geprobeert wordt. Graag met ip en eventueel geolokatie.

En dan bied tweaker tweestaps aan, waarna iemands ervoor kiest om dat niet aan te zetten, en schiet je er als slachtoffer nog steeds niks mee op...

onetime schreef op donderdag 26 december 2019 @ 21:27:
[...]

Mag ik Tweakers vragen om bij mislukte login pogingen een email te sturen???
Dan weten we wanneer er iets geprobeert wordt. Graag met ip en eventueel geolokatie.

Eventueel aangevuld met lijst waar je ingelogd bent met het account, IP + locatie + Tijd.

2FA, graag. Heb ik waar het kan aanstaan.
Aanzetten is verantwoordelijkheid van de gebruiker. Sommige websites verplichten het. Binnen ons bedrijf ben je verplicht 2FA te gebruiken op Office365 en aangesloten systemen.

lordsnow schreef op donderdag 26 december 2019 @ 19:57:
[...]


Ik neem aan dat men hier bedoelt dat ze geen aangifte gaan doen namens jou ivm de oplichting - dat is aan jezelf om dat te doen. En dat lijkt mij juist.

Echter, voor zover ik weet (lees, dat is aangegeven) heeft tweakers wel aangifte gedaan vanwege het feit dat personsen zich ongeoorloofd toegang hebben verschaft tot meerdere tweakers accounts. Het zou vreemd zijn als tweakers dat niet deed, want anders zou men aangeven dat het hun niets uitmaakt dat mensen misbruik gemaakt hebben van hun platform.

Aangezien mijn hond niet benadeeld is...

Zo kan ik ook voorwaarden opstellen als ik een dienst aanbied.

Achteraf heb ik nooit een hond gehad, maar dat weet niemand vooraf.

42erik schreef op donderdag 26 december 2019 @ 21:57:
En dan bied tweaker tweestaps aan, waarna iemands ervoor kiest om dat niet aan te zetten, en schiet je er als slachtoffer nog steeds niks mee op...

Verplicht stellen als je advertentie wil plaatsen.

MicroVAX3400 schreef op donderdag 26 december 2019 @ 20:07:
[...]

Dank je voor deze tip. Mozilla is een organisatie die ik vertrouw.

Ze gebruiken bij Mozilla de data van HaveIBeenPwned, zie:
https://thenextweb.com/se...-have-i-been-pwned-clone/
Is opgericht door Troy Hunt, een bekende beveiligingsonderzoeker.

mugenmarco schreef op donderdag 26 december 2019 @ 13:55:
Wat is eigenlijk de reden dat Tweakers anno 2019 nog geen 2FA autenticatie heeft ingesteld? is het moeilijk om dit in te bouwen of zien ze geen reden 'want je bent zelf verantwoordelijk voor wat je koopt'?

Kom op van een site als Tweakers verwacht ik dus wel een 2FA.

Vind het eigenlijks best zielig dat ze het nog niet hebben. Grootste tech site van nl/benelux.
Maar totaal niet bij de tijd..
En er word wat gelinkt naar iamowned..

Ergste is in dit geval dat oplichter waarschijnlijk zonder zorgen verder gaat mer zijn leven. Politie doet waarschijnlijk niks, want onderbezet. Banken geven je geld ook niet terug, of terug halen (vind ik ook nog iets ouderwets dat het niet kan..) en verzekeringen die doen er ook weinig mee... Rechtbijstand is hierin ook iets waar je niks mee kan, hooguit juridische hulp/advocaat, marja, dan ben je weer afhankelijk van de politie...

Suc6 met geheel iig.

Renegade666 schreef op donderdag 26 december 2019 @ 22:45:
[...]


Vind het eigenlijks best zielig dat ze het nog niet hebben. Grootste tech site van nl/benelux.
Maar totaal niet bij de tijd..
En er word wat gelinkt naar iamowned..

Ergste is in dit geval dat oplichter waarschijnlijk zonder zorgen verder gaat mer zijn leven. Politie doet waarschijnlijk niks, want onderbezet. Banken geven je geld ook niet terug, of terug halen (vind ik ook nog iets ouderwets dat het niet kan..) en verzekeringen die doen er ook weinig mee... Rechtbijstand is hierin ook iets waar je niks mee kan, hooguit juridische hulp/advocaat, marja, dan ben je weer afhankelijk van de politie...

Suc6 met geheel iig.

We zitten gelukkig achter de schermen niet stil. We, de gedupeerden, hebben een dader in beeld. Het is even afwachten hoe het een en ander zich ontwikkeld de komende 24 uur.
Maar er lijkt gelukkig schot in de zaak te zitten!

https://tweakers.net/my.tnet/sessions/

Hier nog wat onbekende apparaten en/of ip adressen te zien?

Ik ben ook voor 2FA, al zou een email met nieuwe login (+ IP, locatie en tijdstip) opzicht een goed alternatief kunnen zijn. Maar om dit elke keer terug te lezen lijkt me niet erg hulpzaam voor de oplichting die nu is gebeurd. Beter laten we de gedupeerde dit oplossen en kijkt T.net mee of er toch niet iets zou moeten worden veranderd.

@Verwijderd

Ik hoop het voor jullie.
Dit soort tuig mag mij aan de hoogste boom aan een touw hangen...

Bij mij was dit ook het geval, maar OM wou op het laatste moment niet mee werken en hem op (laten) pakken. Ondanks al het bewijs..

Renegade666 schreef op donderdag 26 december 2019 @ 22:45:
[...]


Ergste is in dit geval dat oplichter waarschijnlijk zonder zorgen verder gaat mer zijn leven. Politie doet waarschijnlijk niks, want onderbezet. Banken geven je geld ook niet terug, of terug halen (vind ik ook nog iets ouderwets dat het niet kan..) en verzekeringen die doen er ook weinig mee... Rechtbijstand is hierin ook iets waar je niks mee kan, hooguit juridische hulp/advocaat, marja, dan ben je weer afhankelijk van de politie...

Suc6 met geheel iig.

- Meestal worden er katvangers gebruikt, dus ja de oplichter zelf gaat vrolijk door.
- Geld heb je zelf overgemaakt, heb je zelf expliciet toestemming voor gegeven, alleen de ontvanger kan het geld terugstorten.
Ze kunnen wel snel rekeningen blokkeren als er aangiftes komen, normaal gesproken komt een aangifte die je online doet ook aan bij de bank en kan er gelijk actie worden ondernomen, zelfs al bij 1 aangifte.
Maarja het betreft hier Bunq als bank en dat zijn prutsers en bieden ook nog eens 25 rekeningnummers aan, hier wordt dus flink misbruik van gemaakt door oplichters.
- Wat verwacht je dat rechtsbijstand voor je doet hierin? Die kunnen ook niet het geld terug toveren ofzoiets maar soms vergoeden ze jouw schade direct.
- Politie doet wel wat maar inderdaad onderbemand, maar er moet ook voldoende bewijs zijn van een strafbaar feit.
In de basis zijn dit namelijk ook gewoon civiele zaken.

Ik weet niet precies of en wat mijn rechtsbijstand kan doen, maar dit staat op hun website:

Ik begrijp dat 2fa niet zomaar geïmplementeerd is maar het zou mooi zijn als de grotere sites in nederland hetzelfde truukje doen als de aanvallers:

- Kijken of de gelekte credentials op je site werken

Het liefst doe je dit continu geautomatiseerd maar eenmalig de check doen obv de beschikbare databases is een goede start. Of gebruik een dienst als https://www.enzoic.com/

Uiteindelijk is het een lappenmiddel en wil je 2fa (en afscheid nemen van wachtwoorden) maar dat kan idd tijd kosten.

Maar miss doet tweakers dit al en stond het wachtwoord van de ts gewoon niet op een van de password lijsten.

[ Voor 32% gewijzigd door laurens0619 op 26-12-2019 23:36 ]

Ik begrijp niet helemaal waarom mensen denken dat 2fa de oplossing hier is. Ik ben groot voorstander van 2fa en heb het voor veel zaken aan staan (steam, bank, email, paypal) maar ga het zeker niet aanzetten voor een site als tweakers want weinig over mij te vinden. MFA is ook alleen een oplossing wanneer iedereen verplicht wordt dit te gebruiken (MFA verplichten voor wanneer je V&A wilt gebruiken is niet voldoende, dat kun je instellen wanneer een account gehacked is en is dus schijnveiligheid). Iedereen verplichten MFA te gebruiken gaan niet lukken zonder dat heel veel gebruikers weglopen, dit zal tweakers niet willem. Hoe vervelend het ook is voor de gedupeerden, ik denk dat dit inherent is aan handelen via internet. Tweakers kan hier weinig aan doen, dus begrijp ik niet waarom tweakers (door sommigen) verweten wordt te weinig te doen, want tweakers heeft een repurtatie (anders dan nu helpen met logfiles bestuderen en te hopen dat de hacker geen VPN heeft gebruikt.)

@[Roland] Enkel dat je via een link of code je een nieuw apparaat moet autoriseren, die je op je emailadres ontvangt, dat lijkt me niet al teveel moeite en zou geen gebruikers weg moeten jagen.
Het hoeft echt geen ingewikkeld systeem te zijn en het kan ook gewoon optioneel zijn voor als je niet van V&A gebruik maakt.

Ik denk dat MFA zeker meerwaarde zal bieden. Optioneel. Bij vraag en aanbod kan er dan eventueel weergegeven worden dat een verkoper MFA gebruikt om zo beter in te kunnen schatten of deze verkoper er alles aan gedaan heeft om hacken van zijn/haar account tegen te gaan.

Tweakers is maar een derde en kan er niets aan doen, hoewel Tweakers een keuze maakt om de minder veilige manier qua inloggen te gebruiken, vind ik het ook ergens onbegrijpelijk. Niet dat ik de schuld bij Tweakers leg maar een extra laag beveiliging had wel iets meer kunnen voorkomen. Ik weet dat in de achterkant soms IP-adressen geblokkeerd worden maar je kan niet altijd alles voorkomen.
Misschien is het een idee voordat een advertentie geplaatst wordt, hierbij meer verificatie toe te passen en deze eerst goed te keuren.
Ik ben ook zo blij met 2FA vooral als je telefoon het niet meer doet. Notificatie op e-mail vind ik alsnog een mooie oplossing, SMS beter of een push naar telefoon toe nog de mooiste oplossing via een MFA app zoals MS het doet.
Ik kreeg laatst ook een melding dat vanuit Marokko was ingelogd met Netflix, hmmm vreemd, maar dan weet je het wel en meteen kan je actie ondernemen.

En wat betreft op adressen blokkeren, er zijn steeds meer mensen met een VPn.
Als ze elke keer moeten uitloggen bij hun VPN account, om in te kunnen loggen bij. tweakers.net, dan zullen we zeker mensen minder op tweakers kijken schat ik zo in.

Als ik cookies verwijderd heb op mijn pc met bijv een schoonmaak programma en weer wil inloggen bij marktplaats, krijg ik tegenwoordig eerst een sms met een code die ik in moet vullen.
Maar of dit nu de oplossing is voor dit probleem bij het inloggen bij tweakers.net , vraag ik mij af.

onetime schreef op donderdag 26 december 2019 @ 21:27:
[...]
Mag ik Tweakers vragen om bij mislukte login pogingen een email te sturen???
Dan weten we wanneer er iets geprobeert wordt. Graag met ip en eventueel geolokatie.

@Microkid Na het zien van mijn sessie historie; ook een emailtje bij het starten van een nieuwe sessie?
(edit: met tijd vanzelfsprekend...)
Dan verraad een ongeautoriseerde inlogger zich meteen, ook met correct wachtwoord...
Als ik mijn cookies heb weggegooid, krijg ik hem dan ook? Of herkent tweakers mij ook zonder cookies?

[ Voor 3% gewijzigd door onetime op 27-12-2019 14:03 ]

onetime schreef op vrijdag 27 december 2019 @ 14:01:
[...]

@Microkid Na het zien van mijn sessie historie; ook een emailtje bij het starten van een nieuwe sessie?
(edit: met tijd vanzelfsprekend...)
Dan verraad een ongeautoriseerde inlogger zich meteen, ook met correct wachtwoord...
Als ik mijn cookies heb weggegooid, krijg ik hem dan ook? Of herkent tweakers mij ook zonder cookies?

Goed idee. Deze hadden we toevallig ook al op ons lijstje met suggesties staan. In het kader van extra notificaties bij inloggen zijn natuurlijk vele opties te bedenken. Intern verzamelen we nu alles en dan mag men zich er over buigen hoe daar verder mee te gaan. Het heeft zeker onze aandacht en persoonlijk ben ik het zeker met jullie eens dat er een paar dingen aangescherpt kunnen worden qua inlogbeleid.

HugoBoss1985 schreef op donderdag 26 december 2019 @ 14:39:
Misschien is het nog een idee om een groeps chat aan te maken in de DM zodat alle relevante info wél gedeeld kan worden.

Ik ben nu met 5 verschillende mensen aan het DM'en… wat voor niemand handig is

Iedereen in ieder geval contact opnemen met BUNQ bank, ze vragen hierbij ook om de aangifte!
Misschien nog een kans dat het geld retour kan?

Hoewel ik me volledig bij je aan kan sluiten wat betreft je advies, even een reality check. Een bank kan niet zomaar op eigen houtje besluiten geld van een rekening van een klant af te boeken. Ook niet als ze een heel sterk vermoeden hebben dat de betreffende klant een crimineel is. Ik weet dat bunq ontzettend fel is in het blokkeren van frauduleuze accounts, maar meer dan het bevriezen van de tegoeden zullen ze niet kunnen doen. Zonder gerechtelijk bevel kunnen ze niet aan het geld komen. En dat is maar goed ook.

Als mensen dit "ouderwets" vinden, dan moet je maar een tussenpartij zoals PayPal gebruiken die ook bemiddeling doet. Maar goed, dat bemiddelen pakt ook niet altijd goed uit en is dus ook weer een risico. Precies de reden dat je niet wilt dat banken dat voor al je transacties gaan doen.

Helaas is er niet een ei van Columbus. Je bent afhankelijk van de politie, en inderdaad die zijn chronisch onderbemand.

Blijkbaar is de Bunq rekening van de oplichter toch bevroren. Mijn geld was onderweg en zou vandaag op die rekening worden gestort.
Maar vanmiddag zag ik dat het, wegens technische redenen, weer terug was gestort op mijn eigen rekening.

Wow, wat een geluk. Dat komt echt zelden voor in dit soort gevallen. Althans bij mij nooit.. 2 weken terug ook 2 maal opgelicht via tweakers. Contact met 1 van de 2 en die geeft doodleuk aan dat hij het was, in Indonesië zit (klopt ook) en dat de politie in NL toch niks gaat doen en we maar lekker aangifte moeten doen..

Als banken niet gaan samenwerken om dit op te lossen, blijft dit een eeuwig probleem ben ik bang.

Hekelpunt hier op Tweakers is ook wel dat, zoals nu dit feit hier is gebeurt. Maar als de gedupeerden dan NAW gegevens en of rekeningnr. bekend maken, dan worden die gegevens hier weggeknipt.
Tweakers is hierin dus ook niet echt meewerkend, eerder tegenwerkend.
En waarschijnlijk doet Tweakers dit onder het mom van privacy, maar het lullige is dan wel dat hier op Tweakers blijkbaar dus privacy geldt en op het forum van Tros Opgelicht niet.

Waarom is dit verschillend? Zeker in dergelijke kwesties zou het zoveel makkelijker en duidelijker zijn naar iedereen toe, wat er fout gaat (of is gegaan), wie het gedaan heeft (waar mensen op moeten letten) en hoe mogelijk te voorkomen.
Maar nee, Tweakers neemt de oplichters min of meer in bescherming en laat eigen leden die slachtoffer zijn geworden aan hun lot over.

Inzake de privacy wil ik even wijzen op onze Algemene Voorwaarden:

4.6 Het Lid mag (ter uitsluitende beoordeling van Tweakers.net) geen Content op de Website plaatsen:

iii. die de privacy of persoonlijke levenssfeer van andere Leden of bezoekers van de Website schendt;

Ook ik houdt niet van oplichters, maar totdat er onomstotelijk bewijs is gaan we geen NAW gegevens delen en geen stempels zetten. En het doen van een uitspraak over oplichting laat ik graag over aan de daarvoor bedoelde overheidsinstantie.

[ Voor 4% gewijzigd door Microkid op 29-12-2019 12:20 ]

@Microkid Er zijn mensen opgelicht doordat ze geld hebben overgemaakt naar een specifiek rekeningnr.
Dat is een keihard feit!!

Waarom dan toch dat rekeningnr. wegknippen? Dat is toch tegenwerken? Mag je andere leden niet waarschuwen om geen geld over te maken naar dat specifieke rekeningnr.? Hoeft er niet eens een naam aan verbonden te zijn of hier vermeld te worden.

Omdat dat misbruikt kan worden om iemand te pakken.
Dus stel ik heb een hekel aan ene "Michel" en ik weet zijn rekeningnummer, kan ik op t.net een verhaal houden over opgelicht zijn met zijn rekeningnummer erbij.

In dit geval zijn er meerdere mensen de sjaak, allemaal door hetzelfde rekeningnr.
Er zijn aangiftes gedaan en banken ingelicht.
Maar nog is het niet voldoende om hier duidelijk te zijn naar andere leden.

Trieste zaak, best wel.

Oxigeon schreef op donderdag 26 december 2019 @ 09:31:
[...]
Wachtwoord managers heb ik nooit gebruikt. Heb veel verschillende wachtwoorden. Maar nu we het er toch over hebben. Hoe werkt zoiets? Stel mijn computer crasht... Ben ik dan alle wachtwoorden kwijt? Stel ik wil op telefoon inloggen. Moet ik dan eerst de pc aanzetten om achter het wachtwoord te komen? Welke managers raden jullie aan?

Precies doen wat je altijd doet als je PC crashed, dan zet je een backup terug

Zelf gebruik ik Keepass als password manager, ben er wel tevreden over, maar er zijn ook andere. grote voordeel van die managers is dat je echt moeilijke wachtwoorden kunt gebruiken.

Kun je iets meer vertellen over je vorige wachtwoord, lengte moeilijkheidsgraad, persoonlijke verwijzing?

Verwijderd schreef op zondag 29 december 2019 @ 12:44:
In dit geval zijn er meerdere mensen de sjaak, allemaal door hetzelfde rekeningnr.
Er zijn aangiftes gedaan en banken ingelicht.
Maar nog is het niet voldoende om hier duidelijk te zijn naar andere leden.

Trieste zaak, best wel.

Het rekeningnummer is toch geblokkeerd dus waarom moet er nog voor gewaarschuwd worden?
En dat Tweakers niet over oplichting wil spreken begrijp ik heel goed, dat is het feitelijk ( nog ) niet totdat een rechter hier uitspraak over doet.
Die willen hun vingers hier dus niet aan branden.

In ons geval is het rekeningnummer idd geblokkeerd, maar er worden dagelijks nog mensen opgelicht. En bovendien kan deze oplichter misschien ergens anders weer een rekening openen en vrolijk zijn praktijken voortzetten.
Hoe dan ook, ik blijf het een slappe houding vinden van Tweakers. Ze geven de oplichters vrijspel en de slachtoffers worden weggemoffeld in de kast, zoek het maar uit.

Doek dan gewoon het hele V&A gebeuren op.

Verwijderd schreef op zondag 29 december 2019 @ 14:09:
In ons geval is het rekeningnummer idd geblokkeerd, maar er worden dagelijks nog mensen opgelicht. En bovendien kan deze oplichter misschien ergens anders weer een rekening openen en vrolijk zijn praktijken voortzetten.
Hoe dan ook, ik blijf het een slappe houding vinden van Tweakers. Ze geven de oplichters vrijspel en de slachtoffers worden weggemoffeld in de kast, zoek het maar uit.

Doek dan gewoon het hele V&A gebeuren op.

Er worden vaak katvangers gebruikt dus dan heeft het openbaren van de persoonlijke gegevens van de rekeninghouder ook zo goed als geen nut.

Maar als je het zo graag online hebt willen staan; op opgelicht.nl mogen ze wel gedeeld worden.

JohanNL schreef op zondag 29 december 2019 @ 14:22:
[...]


Er worden vaak katvangers gebruikt dus dan heeft het openbaren van de persoonlijke gegevens van de rekeninghouder ook zo goed als geen nut.

Maar als je het zo graag online hebt willen staan; op opgelicht.nl mogen ze wel gedeeld worden.

Ik kan het fout hebben, maar volgens mij zijn katvangers evengoed crimineel en dus schuldig?
Maar goed, dat het op opgelicht.nl wel gedeeld mag worden dat wist ik al, daar gaat dit pleidooi ook over. Waarom mag en kan het daar wel, maar hier dus niet? Mensen vallen hier in een valkuil, maar je mag andere mensen niet wijzen op die valkuil. En Tweakers gooit de valkuil ook niet dicht.

Ik blijf het raar vinden, maar goed, dat is mijn mening. Zal er verder over ophouden, heb mijn punt wel gemaakt nu.

Verwijderd schreef op zondag 29 december 2019 @ 15:31:
[...]
Ik blijf het raar vinden, maar goed, dat is mijn mening.

Het zou niet voor het eerst zijn dat er moord en brand geschreeuwd wordt (al dan niet door meerdere mensen), terwijl achteraf de vork iets anders in de steel bleek te zitten. Is het echt zo raar dat Tweakers zich gewoon op het standpunt stelt niet op de stoel van de rechter te willen gaan zitten met wanneer wel en wanneer niet toestaan van dit soort privacy-gevoelige info? En da's nog afgezien van de algemene voorwaarden waar Tweakers zich ook gewoon aan te houden heeft en die het gewoon uitsluiten.....

naitsoezn schreef op zondag 29 december 2019 @ 15:36:
[...]

Het zou niet voor het eerst zijn dat er moord en brand geschreeuwd wordt (al dan niet door meerdere mensen), terwijl achteraf de vork iets anders in de steel bleek te zitten. Is het echt zo raar dat Tweakers zich gewoon op het standpunt stelt niet op de stoel van de rechter te willen gaan zitten met wanneer wel en wanneer niet toestaan van dit soort privacy-gevoelige info? En da's nog afgezien van de algemene voorwaarden waar Tweakers zich ook gewoon aan te houden heeft en die het gewoon uitsluiten.....

Dat is dus het hele punt, als je mensen niet mag waarschuwen voor de valkuil (uit privacy overwegingen), gooi dan op z'n minst de valkuil dicht. (door 2FA in te voeren bijvoorbeeld)

Verwijderd schreef op zondag 29 december 2019 @ 15:39:
[...]

Dat is dus het hele punt, als je mensen niet mag waarschuwen voor de valkuil (uit privacy overwegingen), gooi dan op z'n minst de valkuil dicht. (door 2FA in te voeren bijvoorbeeld)

2FA gooit de valkuil niet dicht, dat punt is al meerdere malen gemaakt in dit topic. Met 2FA heb je zelf wat meer zekerheid over je eigen account, niet over het account waarmee je handelt. Bovendien is zoiets ook niet in één dag of één week geïmplementeerd, en gaan de mods en admins van V&A er niet over welke features geïmplementeerd worden. Maar goed, het gaat een beetje in cirkeltjes op deze manier

Dan heeft V&A hier dus geen meerwaarde over bijv. marktplaats.nl.
Kunnen we daar beter onze handel voeren, bereiken we ook nog een breder publiek!
Voor de veiligheid maakt het niet uit, het is allemaal 1 pot nat.

Verwijderd schreef op zondag 29 december 2019 @ 15:39:
[...]

Dat is dus het hele punt, als je mensen niet mag waarschuwen voor de valkuil (uit privacy overwegingen), gooi dan op z'n minst de valkuil dicht. (door 2FA in te voeren bijvoorbeeld)

Volgens mij is het grootste valkuil nog steeds dat mensen op te-mooi-om-waar-te-zijn-aanbiedingen ingaan en er dan voor kiezen het geld vooraf over te maken in de hoop dat de tegenpartij het opstuurt.
Daar gaat 2FA/MFA niets aan veranderen en de oplichters verzinnen dan wel weer wat nieuws om aan een account met goede reputatie te komen, zoals die bij TS in dit geval.

Verwijderd schreef op zondag 29 december 2019 @ 15:44:
Dan heeft V&A hier dus geen meerwaarde over bijv. marktplaats.nl.
Kunnen we daar beter onze handel voeren, bereiken we ook nog een breder publiek!
Voor de veiligheid maakt het niet uit, het is allemaal 1 pot nat.

Geen enkel platform kan een 100% zekerheid bieden dus in dat opzicht is het allemaal hetzelfde ja.

Deze persoon in kwestie, de oplichter dus, staat al vermeld met naam en toenaam op deze site:

https://opgelicht.avrotro...iewtopic.php?f=26&t=36760

Verwijderd schreef op zondag 29 december 2019 @ 15:44:
Dan heeft V&A hier dus geen meerwaarde over bijv. marktplaats.nl.
Kunnen we daar beter onze handel voeren, bereiken we ook nog een breder publiek!
Voor de veiligheid maakt het niet uit, het is allemaal 1 pot nat.

Je hoeft geen gebruik te maken van V&A. Als jij je beter beschermd voelt bij MP moet je vooral daar je advertenties plaatsen. Gelukkig hebben ze daar ook een fijn forum waar je kan discussiëren en een admin team dat op de achtergrond echt wel zaken verzet om gebruikers te beschermen tegen malafide verkopers.

@Microkid Je hoeft je niet persoonlijk aangevallen te voelen hoor.

Maar idd, op marktplaats kun je ook geen NAW gegevens of rekeningnr. kwijt als je bent opgelicht.
Daarin zijn Tweakers en Marktplaats dus ook gelijk, net als de beveiliging.

JohanNL schreef op zondag 29 december 2019 @ 14:22:
[...]


Er worden vaak katvangers gebruikt dus dan heeft het openbaren van de persoonlijke gegevens van de rekeninghouder ook zo goed als geen nut.

Maar als je het zo graag online hebt willen staan; op opgelicht.nl mogen ze wel gedeeld worden.

In dit geval biedt de persoon in kwestie aan om het geld "contant" terug te geven...
Klinkt wel heel schuldig in ieder geval, en niet als een katvanger.
+De naam is al ergens anders gepost i.v.m. een vergelijkbare zaak.

@Microkid

Vol verwachting klopt ons hart... het helpt niet echt als Tweakers.net aangeeft geen aangifte te zullen doen.
Ik neem aan dat jullie het gebruikte IP-adres kunnen achterhalen en doorgeven aan de Politie i.c.m. een aangifte?
Of blijf Tweakers.net er bij dat Tweakers.net niet "benadeeld" is?

[ Voor 21% gewijzigd door HugoBoss1985 op 29-12-2019 17:45 ]

HugoBoss1985 schreef op zondag 29 december 2019 @ 17:38:
[...]
Ik neem aan dat jullie het gebruikte IP-adres kunnen achterhalen en doorgeven aan de Politie i.c.m. een aangifte?

Indien de politie ons hierom vraagt zullen wij de nodige medewerking verschaffen, zoals we al jaren doen.

Microkid schreef op zondag 29 december 2019 @ 17:48:
[...]

Indien de politie ons hierom vraagt zullen wij de nodige medewerking verschaffen, zoals we al jaren doen.

Een waarom doet Tweakers.net geen (pro-actief) aangifte?
Jullie platform wordt nota-bene gebruikt voor oplichting en identiteitsfraude.

[ Voor 4% gewijzigd door HugoBoss1985 op 29-12-2019 17:51 ]

Omdat zij geen partij zijn in de transactie. Alleen maar facilitator. Waarom zou Tweakers aangifte moeten doen van iets waar zij alleen maar zelf melding van hebben gekregen maar voor de rest geen enkel vaststaand feit hebben? Wat stopt een groepje mensen om valse profielen aan te maken, zich enkele weken/maanden rustig op deze site bezig te houden met die profielen om dan in groep ineens te gaan klagen bij Tweakers dat persoon X hen heeft opgelicht waarna Tweakers de aangifte zou moeten gaan doen?

Juist doordat het slachtoffer aangifte doet heb je het bijkomende voordeel dat ook het slachtoffer bekend is en dus heeft aangegeven betrokken partij te zijn bij de juiste instanties.

Blokker_1999 schreef op zondag 29 december 2019 @ 18:09:
Wat stopt een groepje mensen om valse profielen aan te maken, zich enkele weken/maanden rustig op deze site bezig te houden met die profielen om dan in groep ineens te gaan klagen bij Tweakers dat persoon X hen heeft opgelicht waarna Tweakers de aangifte zou moeten gaan doen?

Serieus? Ga je dit nu echt omdraaien? Dat wij valse profielen zouden hebben aangemaakt om dit alles in scene te zetten?

Het wordt hier met het uur triester.

Oke, je verhaal hoeft dan niet perse op ons groepje te slaan, maar je zoek het wel erg ver hoor.

[ Voor 8% gewijzigd door Verwijderd op 29-12-2019 18:18 ]

En de volgende Tweaker meldt zich aan:

Account Gehackt...

Kan iemand bij Tweakers zien of toevallig hetzelfde IP aders is gebruikt door deze hacker als in ons geval?

Verwijderd schreef op zondag 29 december 2019 @ 18:15:
[...]

Serieus? Ga je dit nu echt omdraaien? Dat wij valse profielen zouden hebben aangemaakt om dit alles in scene te zetten?

Het wordt hier met het uur triester.

Oke, je verhaal hoeft dan niet perse op ons groepje te slaan, maar je zoek het wel erg ver hoor.

Ja, ik zit hier al 14 jaar om met kerst 2019 toe te slaan !

En het regent weer berichten over gehackte accounts... nee ik doe voorlopig even geen grote uitgaven meer via Tweakers.net V&A.

[ Voor 12% gewijzigd door HugoBoss1985 op 29-12-2019 19:12 ]

GijsWitteman in "Account Gehackt..." en nr3 is ook gehackt. Gaat plots wel in een rap tempo.... en erg toevallig dat het om profielen gaat met goede feedback + tijdje lid... Dan slaagt het oplichten nog eens sneller.

[ Voor 49% gewijzigd door RobbyTown op 29-12-2019 19:13 ]

Ook fijn om te lezen dat Tweakers kennelijk nu herhaaldelijk “klokkenluiders” die niet meer bij de eigen accounts kunnen, proactief staat te bannen omdat ze een nieuw account hebben aangemaakt en staan te berichten over het hacken

Edit: zoals hieronder aangeven kan dit ook een anti-spam maatregel zijn die nu juist averechts werkt....

TempAcc-1113 in "Account Gehackt..."

[ Voor 29% gewijzigd door Breezers op 29-12-2019 19:44 ]

Breezers schreef op zondag 29 december 2019 @ 19:40:
Ook fijn om te lezen dat Tweakers kennelijk nu herhaaldelijk “klokkenluiders” die niet meer bij de eigen accounts kunnen, proactief staat te bannen omdat ze een nieuw account hebben aangemaakt en staan te berichten over het hacken

Gewoon je kop in het zand steken, vingers in je oren, heel hard Lalalala zingen en weg lopen van je eigen verantwoordelijkheid

Ik verwacht dat die bans van dubbele accounts automatisch zijn. (@crisp? @Kees?)

Denk dat hackers doorhebben dat Tweakers geen 2FA gebruikt en dus gemakkelijk accounts in kunnen komen.

Dus... Nalatigheid van Tweakers.net?
Aangezien dit volledig voorkomen had kunnen worden.

Coffee2Code schreef op zondag 29 december 2019 @ 20:02:
Denk dat hackers doorhebben dat Tweakers geen 2FA gebruikt en dus gemakkelijk accounts in kunnen komen.

Dus... Nalatigheid van Tweakers.net?
Aangezien dit volledig voorkomen had kunnen worden.

2FA / FIDO U2F Support?
Navel Knop in "two-factor authentificatie"

Implementatie is blijkbaar lastig .

[ Voor 8% gewijzigd door RobbyTown op 29-12-2019 20:08 ]

RobbyTown schreef op zondag 29 december 2019 @ 20:06:
[...]

2FA / FIDO U2F Support?
Implementatie is blijkbaar lastig .

Valt dus reuze mee, zou een persoon in minder dan een week kunnen implementeren.

Het is dus zeker zinvol dat iedereen die een goede score heeft bij V&A nu zijn wachtwoord wijzigt en in alle overige sessies uitlogt. En dat zolang Tweakers de noodzaak van 2FA niet inziet dit zeer regelmatig te doen.

Gé Brander schreef op zondag 29 december 2019 @ 20:35:
Het is dus zeker zinvol dat iedereen die een goede score heeft bij V&A nu zijn wachtwoord wijzigt en in alle overige sessies uitlogt. En dat zolang Tweakers de noodzaak van 2FA niet inziet dit zeer regelmatig te doen.

En dan zelfs als je maar een paar vijf sterren reviews hebt, ben je alsnog niet veilig, zoals hier getoond: Account Gehackt...

Ik begin me nu ook zorgen te maken dat mijn account straks aan de beurt zou kunnen zijn. Heb m'n beveiliging goed in orde, maar het is nu niet duidelijk hoe deze accounts opengebroken zijn. Dat Tweakers, zoals gewoonlijk, zeer achterloopt, terwijl het ironisch genoeg een tech site is, begint nu dus echt een probleem te worden voor de gebruikers. Jammer dat het maar niet opschiet, een hele frontpage verbouwing waar niemand om vroeg kon afgelopen jaar wel, maar goede beveiliging laat maar op zich wachten...

Lijkt me toch echt tijd worden voor op zijn minst een algehele wachtwoord reset vanuit Tweakers want enige bescherming mogen jullie toch wel bieden voor er meer slachtoffers vallen

Wachtwoordbeheer blijft uiteindelijk natuurlijk de verantwoordelijkheid van de gebruiker.. Maar is de mogelijkheid van een "lek" in de code volledig uitgesloten?

2FA staat al een tijdje op onze wishlist, maar helaas moeten we keuzes maken en kunnen we niet alles bouwen (daarnaast zoeken we nog naar nieuwe developers). Ook zal 2FA zeker niet alle problemen oplossen, want niet iedereen zal het willen gebruiken. Veel users zien hun Tweakers-account als onbelangrijk, maar beseffen niet dat hun account misbruikt kan worden voor oplichting op V&A.

crisp schreef op zondag 29 december 2019 @ 21:58:
[...]

Dus bij elke databreach van een andere site waarbij plaintext wachtwoorden + e-mails worden gelekt zouden wij dan alle accounts moeten resetten vanwege de mogelijkheid dat mensen hun e-mail en wachtwoord hier hergebruikt hebben? Dat lijkt me nogal ver gaan en vooral vervelend voor de velen die wel netjes unieke wachtwoorden gebruiken.

Overigens hebben we al eens accounts gereset op basis van e-mail matches met de haveibeenpwned lijst

Laat ik het zo stellen, ik denk dat er behoefte is aan duidelijkheid. Er zijn opvallend veel meldingen van gehackte accounts nu waar direct mee aan de haal wordt gegaan om andere tweakers op te lichten.

Er is geen duidelijkheid wát er fout gaat, is dit nu puur toeval ineens, of is er wel degelijk iets gelekt bij tweakers?

Dat de oplossing tweezijdig is is duidelijk; zorg voor je eigen passwords, inclusief moeilijkheidsgraad, uniek, etc. Anderzijds, kan er in ieder geval vermeld worden wat er niet al dan wel is fout gegaan?

Dat 2FA handig is weten we allemaal, feit is dat dat er nu niet is. Voor hetzelfde geld hadden de gehackte users als die mogelijkheid er was, die optie alsnog niet gebruikt, no one knows. Ik hoop wel dat er snel iets mee gebeurt.

crisp schreef op zondag 29 december 2019 @ 21:58:
[...]

Dus bij elke databreach van een andere site waarbij plaintext wachtwoorden + e-mails worden gelekt zouden wij dan alle accounts moeten resetten vanwege de mogelijkheid dat mensen hun e-mail en wachtwoord hier hergebruikt hebben? Dat lijkt me nogal ver gaan en vooral vervelend voor de velen die wel netjes unieke wachtwoorden gebruiken.

Overigens hebben we al eens accounts gereset op basis van e-mail matches met de haveibeenpwned lijst

Vervelend voor velen , maar veel vervelender is als er over 2 dagen 20 slachtoffers zijn , het is maar waar jullie prioriteiten leggen/verantwoording nemen.

Ikzelf zou het geen probleem vinden om een resetmail te krijgen voor dit soort incidenten

ik heb voor ieder account, waar dan ook, een ander wachtwoord. Met voor mij een systeem in de wachtwoorden. Ik ga dat niet uitleggen, maar daardoor kan ik de veel door mij gebruikte wachtwoorden onthouden. De andere wachtwoorden zijn off-line genoteerd... al gebruik ik ook Firefox om logins te onthouden.

onetime schreef op zondag 29 december 2019 @ 23:24:
[...] al gebruik ik ook Firefox om logins te onthouden.

Wel met een master-password, mag ik hopen? Anders is het nogal makkelijk uit te lezen door elk proces dat bij je profieldirectory kan, en dat is elk proces dat je uitvoert. Ook zonder adminrechten, natuurlijk. Dit geldt ook voor Chrome en IE, overigens, hoor.

[ Voor 6% gewijzigd door Room42 op 29-12-2019 23:35 ]

crisp schreef op zondag 29 december 2019 @ 21:58:
[Dus bij elke databreach van een andere site waarbij plaintext wachtwoorden + e-mails worden gelekt zouden wij dan alle accounts moeten resetten vanwege de mogelijkheid dat mensen hun e-mail en wachtwoord hier hergebruikt hebben? Dat lijkt me nogal ver gaan en vooral vervelend voor de velen die wel netjes unieke wachtwoorden gebruiken.

Op basis van enkel mailadres is het natuurlijk niet zinnig, maar jullie kunnen uitstekend nagaan of het plaintextwachtwoord toevallig óók overeenkomt.

In dat laatste geval zou ik het - in afwezigheid van 2FA - nalatig vinden als er nu nog accounts zijn die óók in de welbekende massale dumps staan (LinkedIn, Adobe, whatnot) voor zover daar mailadres/username & wachtwoord in voorkomt, juist vanwege de V&A-functie van Tweakers.

Modulo de juridische harigheden omtrent het bezitten en/of gebruiken van dit soort leaks

Overigens hebben we al eens accounts gereset op basis van e-mail matches met de haveibeenpwned lijst

Het adres dat ik hier gebruik zeker op haveibeenpwned, maar ik kan me geen geforceerde reset heugen. Lijkt me ook een slechte keuze om de reden die je zelf aandraagt.

Wel kun je er vergif op innemen dat er iemand dankbaar gebruik maakt van het feit dat er klaarblijkelijk overlap bestaat tussen de accountdatabase van Tweakers en een verzameling leaks (of een slimme combinatie daarvan: plaintext password breach combineren met iets met emails/users & hashes).

Voorkomen is beter dan genezen. Ik ben voor een algehele ww gezet van alle accounts.

koku schreef op zondag 29 december 2019 @ 22:50:
2FA staat al een tijdje op onze wishlist, maar helaas moeten we keuzes maken en kunnen we niet alles bouwen (daarnaast zoeken we nog naar nieuwe developers). Ook zal 2FA zeker niet alle problemen oplossen, want niet iedereen zal het willen gebruiken. Veel users zien hun Tweakers-account als onbelangrijk, maar beseffen niet dat hun account misbruikt kan worden voor oplichting op V&A.

Ik begrijp wat je zegt, niet iedereen zal het willen gebruiken. Maar de keuze bestaat op dit moment ook niet. Wegen de nadelen het van de voordelen of is de exacte know-how niet aanwezig? De vraag is er nadrukkelijk wel, ook bij mij als oud-gediende.

SkyStreaker schreef op maandag 30 december 2019 @ 02:21:
[...]


Ik begrijp wat je zegt, niet iedereen zal het willen gebruiken. Maar de keuze bestaat op dit moment ook niet. Wegen de nadelen het van de voordelen of is de exacte know-how niet aanwezig? De vraag is er nadrukkelijk wel, ook bij mij als oud-gediende.

Het is een kwestie van capaciteit en prioriteiten die ergens anders liggen/lagen. Maar naar aanleiding van dit topic (en het andere gelijknamige topic), zullen we zeker weer bespreken of dit niet ergens bovenaan ons lijstje moet komen. Dit is natuurlijk geen belofte dat het er ook gaat komen.

Toevallig heb ik ook vlak voor de kerstvakantie nog gesproken met collega's over andere functionaliteiten om dit soort misbruik te voorkomen.
En zoals @crisp al aangaf hebben we ook al vaker wachtwoord resets gedaan op basis van gelekte wachtwoordlijsten (zie bijvoorbeeld deze .plan). Een wachtwoord reset voor alle accounts, zoals hier werd geopperd, lijkt mij wat rigoreus.

crisp schreef op zondag 29 december 2019 @ 21:58:
[...]

Overigens hebben we al eens accounts gereset op basis van e-mail matches met de haveibeenpwned lijst

Met een beetje goed zoeken is het vrij gemakkelijk om de lijst binnen te halen van een paar miljard e-mailadressen met de gelekte (en dus openbare) wachtwoorden. Is recentelijk nog een match gedaan tussen deze data en alle T/net username-ww combinaties?

Deze check kan vrij gemakkelijk worden geïmplementeerd en kan daarmee ook periodiek worden uitgevoerd.

Al voorkom je daarmee niet dat een oplichter een T.net wachtwoord kan wijzigen omdat deze op de email van de user heeft kunnen inloggen en zo een paswordreset kan doen.

Theo schreef op maandag 30 december 2019 @ 07:51:
[...]


Met een beetje goed zoeken is het vrij gemakkelijk om de lijst binnen te halen van een paar miljard e-mailadressen met de gelekte (en dus openbare) wachtwoorden. Is recentelijk nog een match gedaan tussen deze data en alle T/net username-ww combinaties?

Deze check kan vrij gemakkelijk worden geïmplementeerd en kan daarmee ook periodiek worden uitgevoerd.

Al voorkom je daarmee niet dat een oplichter een T.net wachtwoord kan wijzigen omdat deze op de email van de user heeft kunnen inloggen en zo een paswordreset kan doen.

Laatste keer was in februari 2018, dus het word weer eens tijd om er weer eentje te draaien. (liefst voor 1 januari, daarna is heb hebben van die lijsten al strafbaar )

Redelijk recent heb ik nog wel van ~350 accounts het wachtwoord gereset omdat ik zag dat er een derde partij op was ingelogt, daar is ook aangifte van gedaan (welke ook echt is opgepakt).

[ Voor 3% gewijzigd door Kees op 30-12-2019 08:12 ]

Kees schreef op maandag 30 december 2019 @ 08:11:
[...]

Laatste keer was in februari 2018, dus het word weer eens tijd om er weer eentje te draaien. (liefst voor 1 januari, daarna is heb hebben van die lijsten al strafbaar )

Redelijk recent heb ik nog wel van ~350 accounts het wachtwoord gereset omdat ik zag dat er een derde partij op was ingelogt, daar is ook aangifte van gedaan (welke ook echt is opgepakt).

Weet je, dit inspireert mij eigenlijk tot de vraag: "Tweakers.net - behind the scenes", ben al 17 jaar lid van jullie en afgezien van de incidentele stukken, zou ik wellicht een kleine serie wel appreciëren (geschreven, film, combi daarvan, et cetera), pure nieuwsgierigheid, eigenlijk. Of is er al iets dergelijks geweest? Zo ja, hoelang geleden al en is dat nog representatief?

koku schreef op zondag 29 december 2019 @ 22:50:
Veel users zien hun Tweakers-account als onbelangrijk, maar beseffen niet dat hun account misbruikt kan worden voor oplichting op V&A.

Je zou meer (tijdelijke) awareness kunnen creëren door op de frontpage hierover te posten.

SkyStreaker schreef op maandag 30 december 2019 @ 08:28:
[...]


Weet je, dit inspireert mij eigenlijk tot de vraag: "Tweakers.net - behind the scenes", ben al 17 jaar lid van jullie en afgezien van de incidentele stukken, zou ik wellicht een kleine serie wel appreciëren (geschreven, film, combi daarvan, et cetera), pure nieuwsgierigheid, eigenlijk. Of is er al iets dergelijks geweest? Zo ja, hoelang geleden al en is dat nog representatief?

Ik heb wel eens een stukje geschreven

En meer:
reviews: Tweakers 21 jaar: in gesprek met de oprichters
reviews: Communitybijdragen op Tweakers: Statistieken over twee decennia aan ...
reviews: Een ddos'er betrapt: hoe de aanvaller tegen de lamp liep

Wellicht is een relatief eenvoudige oplossing, om een activatielink te gaan gebruiken, voordat een advertentie in V&A zichtbaar wordt. Zo’n link wordt dan gestuurd naar het emailadres, wat is gekoppeld aan het account. Na het klikken op de link vanuit de email, wordt de advertentie actief.

Mocht een account dan worden misbruikt c.q. zijn gehacked, dan valt het vermoedelijk sneller op bij de eigenaar van dat account (binnenkomende emails om advertenties te plaatsen) en kan een advertentie niet zo maar meer geplaatst worden.

Leut schreef op maandag 30 december 2019 @ 09:30:
Wellicht is een relatief eenvoudige oplossing, om een activatielink te gaan gebruiken, voordat een advertentie in V&A zichtbaar wordt. Zo’n link wordt dan gestuurd naar het emailadres, wat is gekoppeld aan het account. Na het klikken op de link vanuit de email, wordt de advertentie actief.

Mocht een account dan worden misbruikt c.q. zijn gehacked, dan valt het vermoedelijk sneller op bij de eigenaar van dat account (binnenkomende emails om advertenties te plaatsen) en kan een advertentie niet zo maar meer geplaatst worden.

Helaas... dat gaat niet (altijd) op, want sommige hackers veranderen ook het mail adres in het account. Dus komt jouw activatielink nooit bij de rechtmatige eigenaar van het account aan.

Leut schreef op maandag 30 december 2019 @ 09:30:
Wellicht is een relatief eenvoudige oplossing, om een activatielink te gaan gebruiken, voordat een advertentie in V&A zichtbaar wordt. Zo’n link wordt dan gestuurd naar het emailadres, wat is gekoppeld aan het account. Na het klikken op de link vanuit de email, wordt de advertentie actief.

Mocht een account dan worden misbruikt c.q. zijn gehacked, dan valt het vermoedelijk sneller op bij de eigenaar van dat account (binnenkomende emails om advertenties te plaatsen) en kan een advertentie niet zo maar meer geplaatst worden.

Tenzij de mail ook gehacked is, want geen 2FA actief, je zorgt gewoon dat de optie 2FA op tweakers.net zelf komt, geen activatielinkjes want dat is voor, gegarandeerd, velen al teveel moeite. Zelf zat ik al te denken bij V&A over filteren op aanbiederes/vragers die 2FA aan hebben, dan blijft er nog weinig over en ook recent gemaakte accounts kunnen 2FA aanvragen. Werkt ook niet, denk ik zo.

Het antwoord is niet makkelijk, want je gaat mensen voor hun gevoel tegenwerken. De vraag is dan, hoe zo weinig mogelijk? De wens, dat laat mijn thumbs-up score ook wel een klein, klein beetje zien aan net onder de start-post, is wel daadwerkelijk aanwezig voor 2FA.

Ivysaur schreef op maandag 30 december 2019 @ 02:01:
Voorkomen is beter dan genezen. Ik ben voor een algehele ww gezet van alle accounts.

Ik zeg preventief alle accounts bevriezen en alleen vrijgeven als iemand een goede motivatiebrief schrijft!

Verwijderd schreef op zondag 29 december 2019 @ 18:15:
[...]

Serieus? Ga je dit nu echt omdraaien? Dat wij valse profielen zouden hebben aangemaakt om dit alles in scene te zetten?

Het wordt hier met het uur triester.

Oke, je verhaal hoeft dan niet perse op ons groepje te slaan, maar je zoek het wel erg ver hoor.

Neen, absoluut niet! Dat was een reactie/redenering op HugoBoss die zich af vroeg waarom Tweakers niet zelf klacht gaat neerleggen maar dat het aan de slachtoffers is.

Microkid schreef op maandag 30 december 2019 @ 09:38:
[...]

Helaas... dat gaat niet (altijd) op, want sommige hackers veranderen ook het mail adres in het account. Dus komt jouw activatielink nooit bij de rechtmatige eigenaar van het account aan.

Ah ja, dan biedt het inderdaad niet echt veel soelaas.

Zou dan optie kunnen zijn, dat bij het wijzigen van het emailadres, er ook een bericht naar het oude emailadres wordt gestuurd? Voor zover dit niet al gebeurt natuurlijk.

Blijft sowieso wel een kip/ei-verhaal vermoedelijk...

Leut schreef op maandag 30 december 2019 @ 13:52:
[...]


Ah ja, dan biedt het inderdaad niet echt veel soelaas.

Zou dan optie kunnen zijn, dat bij het wijzigen van het emailadres, er ook een bericht naar het oude emailadres wordt gestuurd? Voor zover dit niet al gebeurt natuurlijk.

Blijft sowieso wel een kip/ei-verhaal vermoedelijk...

@crisp heeft vandaag een release gedaan, waarbij precies dat gebeurt. Bij wijziging e-mailadres of wachtwoord, krijg je een mailtje.

JohanNL schreef op zondag 29 december 2019 @ 15:52:
[...]


Volgens mij is het grootste valkuil nog steeds dat mensen op te-mooi-om-waar-te-zijn-aanbiedingen ingaan en er dan voor kiezen het geld vooraf over te maken in de hoop dat de tegenpartij het opstuurt.


[...]

Maar het gaat niet alleen meer over te mooi om waar te zijn aanbiedingen.
Het gaat nu ook om "reële" prijzen.

jbhc schreef op maandag 30 december 2019 @ 16:53:
[...]


Maar het gaat niet alleen meer over te mooi om waar te zijn aanbiedingen.
Het gaat nu ook om "reële" prijzen.

Da's ook waar, in dit geval wellicht, maar over het algemeen is de te-mooi-om-waar-te-zijn-aanbieding nog op 1 denk ik.
Echter zijn er meestal ook wel andere aanwijzingen die zouden moeten leiden tot extra voorzichtigheid, die waren er hier ook achteraf gezien zoals ik heb begrepen.

Oxigeon schreef op donderdag 26 december 2019 @ 09:31:
[...]

Wachtwoord managers heb ik nooit gebruikt. Heb veel verschillende wachtwoorden. Maar nu we het er toch over hebben. Hoe werkt zoiets? Stel mijn computer crasht... Ben ik dan alle wachtwoorden kwijt? Stel ik wil op telefoon inloggen. Moet ik dan eerst de pc aanzetten om achter het wachtwoord te komen? Welke managers raden jullie aan?

Ik gebruik al jaren KeePass, op de computer en mobiel. De encripted file (lang password) staat op Google. drive daardoor kan ik er overal vandaan bij. De password generator is ook handig, kan je een maximaal toegestane complex WW aanmaken, je hoeft het toch niet zelf in te typen.

JohanNL schreef op maandag 30 december 2019 @ 17:24:
[...]


Da's ook waar, in dit geval wellicht, maar over het algemeen is de te-mooi-om-waar-te-zijn-aanbieding nog op 1 denk ik.
Echter zijn er meestal ook wel andere aanwijzingen die zouden moeten leiden tot extra voorzichtigheid, die waren er hier ook achteraf gezien zoals ik heb begrepen.

Achteraf heb je niks aan. Het gaat om het moment dat jij of iemand anders besluit om geld over te maken.
Als dat lukt dan heeft de oplichter zijn doel bereikt.

Achteraf krijg je niks thuis, achteraf ben je je geld kwijt, achteraf had je het beter op kunnen halen....
Achteraf is het jammer(en).

Bij elke aankoop die ik hier doe, loop ik altijd ff de beoordelingen na.
Dat heb ik ook nu gedaan, het jammere is soms dat de persoon die wat gekocht heeft in die beoordeling niet de echte naam van de verkoper vermeld.
Ik heb de laatste 4 of 5 beoordelingen bekeken en daarna na het handelsgesprekje met de oplichter het geld overgemaakt.
Aangezien de oplichter mij een aantal malen belooft had om meteen de factuur van de kaart te mailen en die mail maar uitbleef, liep ik die beoordeling nog eens na en kwam tot de ontdekking bij 1 van de aller eerste beoordelingen, dat de echte verkoper een andere naam gebruikte dan waar ik het geld naar had overgemaakt, toen sloeg de twijfel al snel toe en ben ik de oplichter gaan volgen en zag dat hij ineens weer een advertentie met een processor had geplaatst die volgens mij echt te goedkoop was.
Toen was de twijfel over en heb ik meteen een negatieve beoordeling bij de account gezet om andere kopers te waarschuwen en ik bijna zeker was dat zijn account gehackt was

Ik had ook wel wat lichte twijfels, en sowieso een hekel aan betaalverzoeken.
Dat heeft me uiteindelijk gered, want heb als enigste tot nu toe mijn geld terug.

Geen integrale DM toegestaan

Achteraf lees je eigenlijk hoe de oplichter er van baalt dat het geld niet meteen op z'n rekening staat.
Ik hoop dat hij wel lol heeft gehad om mijn opmerking dat ik altijd wantrouwend ben naar betaalverzoeken, maar achteraf heb ik gelukkig zelf de grootste lol van ons tweeën.

[ Voor 10% gewijzigd door Microkid op 01-01-2020 21:03 ]

Oxigeon schreef op donderdag 26 december 2019 @ 08:19:
Uiteraard meteen mijn inbox gecheckt en jawel hoor. Een bericht of 25 van kopers die allemaal wat willen kopen van de advertenties die aangemaakt zijn. Op die berichten heb ik allemaal gereageerd. Dat de koop niet kan doorgaan omdat ik ben gehackt.

Microkid in "V&A Verkoper inactief na betaling"