Account gehackt

Beste medetweakers,

Helaas is ook mijn account vandaag gehacked, gelukkig had ik het vrij snel in de gaten (2 uur na het plaatsen van de advertentie) en heb ik direct mijn wachtwoord gewijzigd en iedereen die een bericht had gestuurd gemeld dat mij account gehacked was en dat ze vooral niet moeten betalen. helaas was dat denk ik voor 2 personen te laat
Wellicht tijd voor two-factor authentication?

Met vriendelijke groet,

Dolf

totalnet schreef op maandag 30 december 2019 @ 21:14:
Wellicht tijd voor two-factor authentication?

Als slachtoffer van bovenstaande kan ik het hier alleen maar mee eens zijn.

totalnet schreef op maandag 30 december 2019 @ 21:14:
Beste medetweakers,

Helaas is ook mijn account vandaag gehacked, gelukkig had ik het vrij snel in de gaten (2 uur na het plaatsen van de advertentie) en heb ik direct mijn wachtwoord gewijzigd en iedereen die een bericht had gestuurd gemeld dat mij account gehacked was en dat ze vooral niet moeten betalen. helaas was dat denk ik voor 2 personen te laat
Wellicht tijd voor two-factor authentication?

Met vriendelijke groet,

Dolf

Wellicht tijd om wachtwoorden niet dubbel te gebruiken en met enige regelmaat haveibeenpwned.com te checken? 2FA is hier in de verste verte de heilige graal niet voor.

FirePuma142 schreef op maandag 30 december 2019 @ 21:42:
Wellicht tijd om wachtwoorden niet dubbel te gebruiken en met enige regelmaat haveibeenpwned.com te checken? 2FA is hier in de verste verte de heilige graal niet voor.

Als ik 2FA kan doen op mijn Homelab omgeving moet de meest vooraanstaande tech website van Nederlandstalig Europa dat ook kunnen, niet?

Shamalamadindon schreef op maandag 30 december 2019 @ 21:46:
[...]


Als ik 2FA kan doen op mijn Homelab omgeving moet de meest vooraanstaande tech website van Nederlandstalig Europa dat ook kunnen, niet?

Ik zeg niet dat het niet kan

FirePuma142 schreef op maandag 30 december 2019 @ 21:42:
[...]


Wellicht tijd om wachtwoorden niet dubbel te gebruiken en met enige regelmaat haveibeenpwned.com te checken? 2FA is hier in de verste verte de heilige graal niet voor.

F2A is natuurlijk niet meteen een 'Horaay the day is saved, nooit meer beveiliging problemen OOIT!', maar wel een 'Oh deze aantal keren zijn toch mooi voorkomen omdat men een tweede factor moet hebben, netjes hoor!'

Microkid schreef op maandag 30 december 2019 @ 09:38:
[...]

Helaas... dat gaat niet (altijd) op, want sommige hackers veranderen ook het mail adres in het account. Dus komt jouw activatielink nooit bij de rechtmatige eigenaar van het account aan.

Wacht even, op Tweakers kan je dus, in afwezigheid van 2Fa het e-mail adres aanpassen, zonder dat er een e-mail ter bevestig wordt gezonden naar het oude e-mail adres? Dit kunnen jullie niet menen. Dit is echt een security issue. Ga daar eens op security.nl een artikel aan wijden. Echt zo amateuristisch.

Je zou alleen een email adres kunnen wijzigen (omdat er maar 1 is) wanneer je toegang hebt tot je originele adres en indien dat niet mogelijk is door een admin/beheerder na controle van de identiteit. Of doormiddel van een 2FA of SMS. Maar nooit zo maar.

Dit is echt een grandioze fuckup, dit houdt in dat Tweakers gewoon geheel gecompromiteerd is zonder dat de account eigenaren dit weten (ze kunnen jaren lang inloggen terwijl hun account al lang is gekaapt en recovery e-mail is aangepast zonder dat ze dat dit direct kunnen zien.

Nu snap ik ook waarom Tweakers geen 2FA doet en dit iedere keer onderaan de lijst van prioriteiten zet. Ze zijn doodsbang dat dit het geval is en dat ze heel veel boze gebruikers over zich heen krijgen. En het zou zo maar kunnen dan het dus om een paar 1000 Accounts gaat, maar dat ze het zelf dus niet weten.

Dit is dus echt creapy en scary en ik raad dan ook aan om geen handel meer via Tweakers te bedrijven.

Overigens, je e-mail adres kan dus al heel lang aangepast zijn zonder dat je het merkt omdat het e-mail adres voor nieuwsbrieven en dergelijke gewoon het oude blijft. Dus wanneer je je eigen account niet controleert zal je het nooit merken.

[ Voor 9% gewijzigd door Wim-Bart op 30-12-2019 21:55 ]

Het vreemde is dat bij dit account de originele naam van de verkoper in zijn profiel te vinden is.
Het is altijd achteraf napraten, maar dan kun je dus als koper zien naar welke naam je het geld behoort over te maken, naam zal dan altijd voorkomen bij de banktransactie.
Misschien een idee dat je echte naam in je profiel staat, heb je in ieder geval 1 ding dicht getimmerd.
Ja ik weet het een koper moet dit dan wel eerst checken voordat hij geld over maakt

TheDylanSneaker schreef op maandag 30 december 2019 @ 21:49:
[...]


F2A is natuurlijk niet meteen een 'Horaay the day is saved, nooit meer beveiliging problemen OOIT!', maar wel een 'Oh deze aantal keren zijn toch mooi voorkomen omdat men een tweede factor moet hebben, netjes hoor!'

Voorkomen als in voorkomen als wachtwoorden niet hergebruikt worden bedoel je? De fout die leidt tot dit soort oplichting ligt bij de accounthouder. Dan kun je wel anderen de schuld geven, maar daar wordt het niet minder fout van.

Amazon, Bol. CoolBlue, Aliexpress, etc. Ik ken geen enkele webwinkel waar betalingsinformatie (CC) wordt opgeslagen waar een tweede factor bij inloggen verplicht is. Maar Tweakers moet dat wel doen? Want ik geloof er niet zo veel van dat je wel wachtwoorden hergebruikt en 2FA gebruikt. Die twee gaan erg moeilijk samen.

FirePuma142 schreef op maandag 30 december 2019 @ 21:57:
[...]


Voorkomen als in voorkomen als wachtwoorden niet hergebruikt worden bedoel je? De fout die leidt tot dit soort oplichting ligt bij de accounthouder. Dan kun je wel anderen de schuld geven, maar daar wordt het niet minder fout van.

Amazon, Bol. CoolBlue, Aliexpress, etc. Ik ken geen enkele webwinkel waar betalingsinformatie (CC) wordt opgeslagen waar een tweede factor bij inloggen verplicht is. Maar Tweakers moet dat wel doen? Want ik geloof er niet zo veel van dat je wel wachtwoorden hergebruikt en 2FA gebruikt. Die twee gaan erg moeilijk samen.

Mijn excuses, ik bedoelde dingen voorkomen zoals accounts die worden overgenomen!

ING is ook geweldig...

Website:
Ben je het slachtoffer van fraude of diefstal? Meld dit dan direct via de Alarmlijn. Wij kunnen je dan het beste helpen en eventuele verdere schade voorkomen (ook voor andere klanten).

Bel ik, "ja kunnen we niks mee, aangifte doen, daaaag"

Waarom dan in godsnaam op je website zetten dat je moet bellen!

V/A tijdelijk platleggen dat een optie?

Wim-Bart schreef op maandag 30 december 2019 @ 21:49:
[...]


Wacht even, op Tweakers kan je dus, in afwezigheid van 2Fa het e-mail adres aanpassen, zonder dat er een e-mail ter bevestig wordt gezonden naar het oude e-mail adres? Dit kunnen jullie niet menen. Dit is echt een security issue. Ga daar eens op security.nl een artikel aan wijden. Echt zo amateuristisch.

Je krijgt wel een mail daarvan op je oude adres sinds vanochtend...

Overigens was dat puur een oversight; we hebben er simpelweg nooit bij stilgestaan totdat we er recentelijk op gewezen werden. Naar aanleiding van de recente ontwikkelingen hebben we dit maar geëscaleerd aangezien dit een relatief eenvoudige toevoeging was.

hoi, ik zit nu dus ook 75 in de min door die zogenaamde amd ryzen 2600x
heeft iemand toevallig informatie over de persoon die dit heeft gedaan?
mogelijk een adres of ip adres?

crisp schreef op maandag 30 december 2019 @ 22:09:
[...]

Je krijgt wel een mail daarvan op je oude adres sinds vanochtend...

Overigens was dat puur een oversight; we hebben er simpelweg nooit bij stilgestaan totdat we er recentelijk op gewezen werden. Naar aanleiding van de recente ontwikkelingen hebben we dit maar geëscaleerd aangezien dit een relatief eenvoudige toevoeging was.

Top, maar je moet het ook bevestigen dat het adres aangepast mag worden of is het alleen een notificatie. Want bij dat laatste is het eigenlijk al te laat, maar wel een verbetering.

Mooie zou zijn dat je op oude adres moet bevestigen dat e-mail adres is omgezet, of dat daar een knop in zit waarmee je oude e-mail adres kan reverten.

Aardig al wat accounts die gehacked zijn als ik dit topic zo lees.
Sowieso (voorlopig?) alleen spullen kopen die je zelf gaat ophalen en on the spot afrekenen.
Nu spullen laten opsturen lijkt me uiterst riskant.

Hey, ik ben ook een gedupeerde van totalnet's gehackte account. Hoewel ik inderdaad meer had kunnen doen om mezelf te beschermen, (vragen om meer bewijs, naam van bankrekening controleren met naam van profiel, etc.) denk ik dat, zoals de rest van de thread laat zien, dat er meer accountbescherming kan zijn.

Hoewel sommige gebruikers het niet geheel mee eens zijn, lijkt mij een 2FA wel een handige toevoeging voor tweakers. Dit is inderdaad geen complete beveiliging, en sterke en niet-herhaalde wachtwoorden blijven nog altijd belangrijk, maar volgens google research kan het wel degelijk helpen. (https://security.googlebl...w-effective-is-basic.html)

Wat betreft dat webwinkels geen 2FA gebruiken; kunnen op deze sites ook individuen (met gehackte accounts) advertenties plaatsen en betalingen regelen? Op Tweakers V/A is dit namelijk wel het geval, en kunnen gehackte accounts misbruikt worden.

Ivysaur schreef op maandag 30 december 2019 @ 22:08:
V/A tijdelijk platleggen dat een optie?

het is hier geen reddit

[ Voor 18% gewijzigd door Microkid op 01-01-2020 21:02 ]

Hamazaki schreef op maandag 30 december 2019 @ 22:19:
[...]


[Afbeelding]

Nog wat zinnigs toe te voegen?

Deze tekst staat er voor het wijzigen van je e-mailadres.

Bij wijziging van het e-mailadres wordt er een nieuwe activatiemail verstuurd. Wees er dus zeker van dat het nieuwe e-mailadres juist is ingevuld, anders kan je niet meer inloggen met je account!
Het e-mailadres dat bij Tweakers bekend is voor het versturen van de nieuwsbrief of voor de communicatie rondom het testpanel, wordt hierdoor niet aangepast.

Dus als je nu alleen notificatie krijgt op je oude adres is het bestaande systeem nog steeds waardeloos imho.

Misschien een echte Noob reactie van mij. Ik kan inloggen met mijn gebruikersnaam en wachtwoord. Als hacker heb je dan al in principe 50% binnen want de gebruikersnaam heb je al.

Misschien is een simpele handige stap al om inloggen alleen te maken met e-mailadres en wachtwoord?

Ik heb geen verstand van hacken maar zie de laatste tijd meer van dit soort topics. Iets klopt er niet. Of het inloggen is te makkelijk of er is een db gestolen.

wodkabuikje schreef op maandag 30 december 2019 @ 22:29:
Misschien een echte Noob reactie van mij. Ik kan inloggen met mijn gebruikersnaam en wachtwoord. Als hacker heb je dan al in principe 50% binnen want de gebruikersnaam heb je al.

Misschien is een simpele handige stap al om inloggen alleen te maken met e-mailadres en wachtwoord?

Ik heb geen verstand van hacken maar zie de laatste tijd meer van dit soort topics. Iets klopt er niet. Of het inloggen is te makkelijk of er is een db gestolen.

Ik denk dat juist de emailadressen zijn gebruikt om in te loggen.

Wim-Bart schreef op maandag 30 december 2019 @ 22:14:
[...]

Top, maar je moet het ook bevestigen dat het adres aangepast mag worden of is het alleen een notificatie. Want bij dat laatste is het eigenlijk al te laat, maar wel een verbetering.

Mooie zou zijn dat je op oude adres moet bevestigen dat e-mail adres is omgezet, of dat daar een knop in zit waarmee je oude e-mail adres kan reverten.

Een belangrijkste aanleiding om je e-mailadres te wijzigen lijkt me als je oude adres om wat voor reden dan ook niet meer werkt, dus vooralsnog is het nu enkel een extra kennisgeving.

djmuggs schreef op maandag 30 december 2019 @ 22:23:
Deze tekst staat er voor het wijzigen van je e-mailadres.


[...]


Dus als je nu alleen notificatie krijgt op je oude adres is het bestaande systeem nog steeds waardeloos imho.

Nee, de notificatie gaat naar het oude adres, de activatielink naar het nieuwe.

wodkabuikje schreef op maandag 30 december 2019 @ 22:29:
Misschien een echte Noob reactie van mij. Ik kan inloggen met mijn gebruikersnaam en wachtwoord. Als hacker heb je dan al in principe 50% binnen want de gebruikersnaam heb je al.

Misschien is een simpele handige stap al om inloggen alleen te maken met e-mailadres en wachtwoord?

Ik heb geen verstand van hacken maar zie de laatste tijd meer van dit soort topics. Iets klopt er niet. Of het inloggen is te makkelijk of er is een db gestolen.

Bijna alle gelekte wachtwoorden van hacks zijn juist in combinatie met het e-mailadres.

crisp schreef op maandag 30 december 2019 @ 22:39:

Bijna alle gelekte wachtwoorden van hacks zijn juist in combinatie met het e-mailadres.

Niet een idee om dat uit te schakelen? Dus enkel nog inloggen met je gebruikersnaam.
Ben je de gebruikersnaam vergeten, dan vraag je die op door je emailadres in te vullen en dan ontvang je je gebruikersnaam via email.

JohanNL schreef op maandag 30 december 2019 @ 22:41:
[...]


Niet een idee om dat uit te schakelen? Dus enkel nog inloggen met je gebruikersnaam.
Ben je de gebruikersnaam vergeten, dan vraag je die op door je emailadres in te vullen en dan ontvang je je gebruikersnaam via email.

Helemaal geen gek idee en eigenlijk heel eenvoudig te implementeren. Voordeel is dat je alles wat een juiste e-mail/wachtwoord combinatie heeft in een hack database direct onschadelijk maakt en een extra stap vereist, achterhalen van e-mail plus wachtwoord plus nickname combinatie.

Daarnaast een grace periode van bijvoorbeeld een week dat je geen V&A mag doen na wijzigen e-mail adres of wachtwoord.

Wim-Bart schreef op maandag 30 december 2019 @ 22:51:
Daarnaast een grace periode van bijvoorbeeld een week dat je geen V&A mag doen na wijzigen e-mail adres of wachtwoord.

Dus mensen die nu maar eens bedenken dat hetzelfde mailadres/wachtwoordcombi op meerdere sites gebruiken niet slim is en hun wachtwoord aanpassen wil je straffen met een graceperiod terwijl je dat gedrag juist aan zou willen moedigen...

Lijkt me niet handig idd, er moet gewoon 2FA komen om dat op te lossen.

JohanNL schreef op maandag 30 december 2019 @ 22:36:
[...]


Ik denk dat juist de emailadressen zijn gebruikt om in te loggen.

Inderdaad is dat vaak de combinatie die gemaakt wordt bij gelekte databases. Mail en wachtwoord dat op meerdere plekken gebruikt is.
Oplichters checken dan op MP en ook op Tweakers of die combinatie werkt.

42erik schreef op maandag 30 december 2019 @ 22:58:
[...]

Dus mensen die nu maar eens bedenken dat hetzelfde mailadres/wachtwoordcombi op meerdere sites gebruiken niet slim is en hun wachtwoord aanpassen wil je straffen met een graceperiod terwijl je dat gedrag juist aan zou willen moedigen...

Je wilt voorkomen dat het misbruik plaats vindt voordat de eigenaar van een account er achter komt dat het account gehacked is. Dus moet je zo iets inbouwen. Kan ook 24 uur zijn of 48 uur. Ik lees mijn privé mail bijvoorbeeld maar 1 keer per dag, omdat ik ook andere dingen te doen heb. Wanneer mijn account om 2 uur s'nachts gehacked wordt, dan weet ik dat pas de volgende avond tussen 19:00 en 22:00. Tweakers mag er niet van uit gaan dat mail het zelfde is als een directe notificatie. En ik ga mijn leven niet aanpassen vanwege mogelijke e-mails.

Zonder grace periode is het eigenlijk nog veel complexer.

Stel een account is gehacked, de eigenaar heeft een e-mail notificatie gekregen. Ik ben opgelicht via het account. Nu kan ik mijn schade verhalen op de eigenaar van het account want die was op de hoogte en heeft niet op tijd maatregelen genomen. Dus waarom zou ik mijn geld bij de hacker halen wan de de gehackte had het kunnen voorkomen wanneer hij/zij de eerste e-mail maar had gelezen, dat die persoon daar een paar uur mee wacht heb ik geen boodschap aan.

En volgens het Nederlandse strafrecht ben je gewoon medeplichtig indien je op de hoogte was en er wat aan had kunnen doen.

[ Voor 26% gewijzigd door Wim-Bart op 30-12-2019 23:11 ]

Wim-Bart schreef op maandag 30 december 2019 @ 23:04:
[...]

Je krijgt geen mail van een hack he, maar van een wachtwoordwijziging. Dus kan de hacker het ww ook gewoon niet wijzigen.

Op MP krijg ik een mail wanneer ik al met zelfde PC en IP en andere browser inlog.
Ander IP zou zeker even mail moeten zijn lijkt me.

[ Voor 29% gewijzigd door Verwijderd op 30-12-2019 23:26 ]

42erik schreef op maandag 30 december 2019 @ 23:20:
[...]

Je krijgt geen mail van een hack he, maar van een wachtwoordwijziging. Dus kan de hacker het ww ook gewoon niet wijzigen.

Dat is wat er bij mij gebeurde overigens, kwam er alleen achter door de plotselinge vele reacties...

42erik schreef op maandag 30 december 2019 @ 23:20:
[...]

Je krijgt geen mail van een hack he, maar van een wachtwoordwijziging. Dus kan de hacker het ww ook gewoon niet wijzigen.

Ze kunnen het wel wijzigen. En dan krijg je een e-mail. Een net mailtje die duidelijk aangeeft wat er is gebeurd. Nu zat ik er op te wachten, maar normaal zie ik dat mailtje pas tussen 20:00-22:00 wanneer ik de tijd neem om mijn mail af te handen, en in het weekeinde heeft e-mail al helemaal geen prioriteit.

Dus een grace periode van 24-48 uur zou best wel welkom zijn, anders moet ik constant met mijn telefoon in de hand mijn mail checken en kan ik ook niet meer slapen want er kan een mail binnenkomen die belangrijk is.

[ Voor 3% gewijzigd door Wim-Bart op 30-12-2019 23:34 ]

Verwijderd schreef op maandag 30 december 2019 @ 23:25:
Op MP krijg ik een mail wanneer ik al met zelfde PC en IP en andere browser inlog.
Ander IP zou zeker even mail moeten zijn lijkt me.

Daar gaan we ook zeker nog naar kijken, maar is iets minder triviaal om goed te implementeren...

Het is wel erg veel van het informeren, terwijl je dat zou moeten blokkeren totdat de gebruiker zelf (via mail, sms, etc.) toestemming geeft om door te gaan. De 2FA.
En dat geldt wijzigingen aan het wachtwoord, email en nieuw ingelogde IP/browser.
Als je niet 24/7 je mail controleert wordt je alsnog gehackt.

Wim-Bart schreef op maandag 30 december 2019 @ 23:32:
[...]


Ze kunnen het wel wijzigen. En dan krijg je een e-mail. Een net mailtje die duidelijk aangeeft wat er is gebeurd. Nu zat ik er op te wachten, maar normaal zie ik dat mailtje pas tussen 20:00-22:00 wanneer ik de tijd neem om mijn mail af te handen, en in het weekeinde heeft e-mail al helemaal geen prioriteit.

Dus een grace periode van 24-48 uur zou best wel welkom zijn, anders moet ik constant met mijn telefoon in de hand mijn mail checken en kan ik ook niet meer slapen want er kan een mail binnenkomen die belangrijk is.

Laat maar, je leest niet wat ik zeg

dutchgio schreef op maandag 30 december 2019 @ 23:40:
Het is wel erg veel van het informeren, terwijl je dat zou moeten blokkeren totdat de gebruiker zelf (via mail, sms, etc.) toestemming geeft om door te gaan. De 2FA.
En dat geldt wijzigingen aan het wachtwoord, email en nieuw ingelogde IP/browser.
Als je niet 24/7 je mail controleert wordt je alsnog gehackt.

Informatieve mails sturen bij bepaalde acties zijn gewoon makkelijker te implementeren dan 2FA, vandaar dat we daar mee begonnen zijn. Dat wil niet zeggen dat we niet meer naar 2FA gaan kijken natuurlijk (een e-mailbevesting voor het plaatsen van een V&A advertentie kan overigens ook een 2FA oplossing zijn).

We zullen intern moeten kijken welke mix van maatregelen uiteindelijk het beste resultaat geeft.

crisp schreef op maandag 30 december 2019 @ 23:45:
(een e-mailbevesting voor het plaatsen van een V&A advertentie kan overigens ook een 2FA oplossing zijn).

Lijkt me prima oplossing op korte termijn.

Een simpele beveiliging zou zijn om account email onwijzigbaar te maken , alleen via staff

Microkid schreef op donderdag 26 december 2019 @ 10:03:
[mbr]Discussieren is prima, maar geen NAW gegevens aub.[/mbr]

Logisch. Wat doet tweakers eigenlijk om dit soort fraude te voorkomen? Via V&A wordt het er wel een platform voor geboden namelijk.

[ Voor 2% gewijzigd door franssie op 31-12-2019 01:21 . Reden: spelft ]

crisp schreef op maandag 30 december 2019 @ 23:33:
[...]

Daar gaan we ook zeker nog naar kijken, maar is iets minder triviaal om goed te implementeren...

Je kunt toch zodra er een nieuwe sessie gestart wordt een mailtje sturen?

42erik schreef op maandag 30 december 2019 @ 23:40:
[...]

Laat maar, je leest niet wat ik zeg

Ik lees wel wat je schrijft, en natuurlijk kan een hacker het wachtwoord wel of niet wijzigen net zoals het e-mail adres. Maar op het moment dat je een mailtje krijgt weet je dat het fout zit. Het is gewoon een eerste begin van nog vele stappen die gemaakt moeten worden.

En ja, een hacker hoeft al die zaken niet aan te passen dat klopt.

Room42 schreef op dinsdag 31 december 2019 @ 02:13:
[...]

Je kunt toch zodra er een nieuwe sessie gestart wordt een mailtje sturen?

Ik denk dat je als gebruiker netwerken/ips waarvan je vaker inlogd moet kunnen whitelisten zodat je daar niet continue mailtjes van krijgt. Ook zou je (en mods) beter inzicht willen hebben in je sessie-historie, ook als sessies niet meer actief zijn. Vandaar dat dit nog wat nadenkwerk vereist.

Wim-Bart schreef op dinsdag 31 december 2019 @ 02:34:
[...]

Ik lees wel wat je schrijft, en natuurlijk kan een hacker het wachtwoord wel of niet wijzigen net zoals het e-mail adres. Maar op het moment dat je een mailtje krijgt weet je dat het fout zit. Het is gewoon een eerste begin van nog vele stappen die gemaakt moeten worden.

En ja, een hacker hoeft al die zaken niet aan te passen dat klopt.

Dat mailtje krijg je al. Alleen jij hebt het gekke idee dat je mensen die dat nav dit gedoe doen wil bestraffen, en dat is gewoon niet handig. Als ik middenin een va-gesprek zou zitten zou ik nu dus juist niet mijn ww veranderen. Dat wil je juist niet

crisp schreef op dinsdag 31 december 2019 @ 07:45:
[...] Ik denk dat je als gebruiker netwerken/ips waarvan je vaker inlogd moet kunnen whitelisten zodat je daar niet continue mailtjes van krijgt. Ook zou je (en mods) beter inzicht willen hebben in je sessie-historie, ook als sessies niet meer actief zijn. Vandaar dat dit nog wat nadenkwerk vereist.

Ik snap de gedachte, maar dan zet je de deur open voor huisgenoten...

crisp in "Account gehackt"crisp schreef op maandag 30 december 2019 @
Nee, de notificatie gaat naar het oude adres, de activatielink naar het nieuwe.
[...]

Dus dan ben je nog steeds de lul als gebruiker want je bent account nog steeds onherstelbaar kwijt.

Op het moment dat je het mailtje ziet (volgende ochten, einde vd werkdag als je je privé mail weer checked) is je account mogelijk al een aantal uur over genomen.

Dan mag je dus tweakers gaan mailen, gaan overtuigen dat inderdaad je account gestolen is maar ondertussen staan er al advertenties online.

Waarom niet de activatielink naar je oude adres. Een mailtje als:

"er is een verzoek om je email adres te wijzigen van <EMAIL> naar <EMAIL> klik <hier> om deze wijziging te activeren.

Heb je dit verzoek niet verzonden klik dan <hier>, heb je een fout gemaakt probeer het dan opnieuw"

Dat is er zelfs nog in te kludgen met de huidige activatielink en wat linkjes naar contact of faq paginas

Dan heb je een methode om een accountovername tegen te gaan, een recovery als het fout gaat en je hoeft alleen nog de mensen te helpen die geen toegang meer hebben tot hun email adres.

[ Voor 12% gewijzigd door Rmg op 01-01-2020 18:38 ]

De Hr. K lijkt nu ook een slachtoffer te hebben gemaakt op een andere manier.

Ook ik ben een tweaker (Tweaker ID = 143221), maar ik zelf ben niet opgelicht. Mijn moeder wel. Via whaling (een contact heeft zich onder mijn naam uitgegeven en mijn moeder benaderd via whatsapp en zo haar vertrouwen gekregen om geld over te maken).
Heel stom natuurlijk.

Ik ben een dossier aan het aanmaken voor de politie en de Rabobank en kwam nu tegen dat jij geld zou hebben overgemaakt naar NL18BUNQ.................... achternaam: K, D.J.C.
Mijn moeder heeft geld over gemaakt naar NL23ABNA.........................met de naam DJC K.
Mogelijk dezelfde persoon dus.

Persoon in kwestie gaat dus gewoon verder met de volgende bankrekening.............

[ Voor 16% gewijzigd door Microkid op 01-01-2020 21:01 . Reden: geen NAW ]

@BPU Killroy Vergeet niet aangifte te doen.
En inderdaad ze kunnen hier mee doorgaan totdat ze elke bank hebben gehad of totdat er een bank is die het nodig acht om diegene in het Incidentenwaarschuwingssysteem Financiële Instellingen te zetten, dan mag diegene de komende 8 jaar zijn/haar geld onder een bed of in een sok stoppen.
Maar dat wordt meestal niet gedaan behalve als er ook sprake is van andere vormen van fraude, bankfraude, vervalsing van documenten, rekening laten gebruiken voor phishing en wat andere zwaardere vergrijpen.

Politie en justitie moet hier uiteindelijk iets mee doen, maar daardoor heb je je geld nog niet terug...

Dit was het verhaal van gallery: MarkieNL

Die heeft via het avrotros oplichtings stie contact met me opgenomen

onetime schreef op woensdag 1 januari 2020 @ 18:16:
[...]

Ik snap de gedachte, maar dan zet je de deur open voor huisgenoten...

Vertrouw je die ook niet?

Rmg schreef op woensdag 1 januari 2020 @ 18:31:
Dus dan ben je nog steeds de lul als gebruiker want je bent account nog steeds onherstelbaar kwijt.
[...]

Het is in ieder geval ook belangrijk dat we zeker weten dat het nieuwe e-mailadres ook werkt, dat is de reden dat we daar dus ook een activatiemail naar sturen. Verder lijkt me dat de voornaamste reden om je e-mailadres te wijzigen juist is omdat je oude niet meer werkt...

Maar nogmaals: op zichzelf zijn dit natuurlijk geen volledige oplossingen. Het kan helpen om misbruik (eerder) te herkennen, maar het zijn sowieso geen oplossingen om misbruik te voorkomen. Daar is simpelweg meer voor nodig, zoals 2FA, betere detectie aan onze kant, betere gewaarwording bij gebruikers etc. Dat zijn dan ook zaken waar we naar gaan kijken. De notificatiemailtjes bij e-mail- en wachtwoordwijzigingen waren gewoon een paar dingen die we snel konden implementeren.

crisp schreef op woensdag 1 januari 2020 @ 22:30:
Vertrouw je die ook niet?

In welke universum zijn al je huisgenoten volledig betrouwbaar? Zeker in situaties als bijvoorbeeld studentenhuizen is dat helemaal niet zo. En dan heb ik het nog niet eens over alle mensen waarvan een gezinslid niet volledig te vertrouwen is. Je dacht toch niet dat alle oplichters en andere criminelen in hun eentje n een zelfstandige woning met eigen internetverbinding wonen

@JeroenE ik denk dat je sarcasmedetector stuk is

onetime schreef op woensdag 1 januari 2020 @ 18:16:
[...]

Ik snap de gedachte, maar dan zet je de deur open voor huisgenoten...

Dan moet je die niet whitelisten als je dat niet vertrouwd

crisp schreef op woensdag 1 januari 2020 @ 22:30:
[...] Vertrouw je die ook niet?
[...] Verder lijkt me dat de voornaamste reden om je e-mailadres te wijzigen juist is omdat je oude niet meer werkt...
Maar nogmaals: op zichzelf zijn dit natuurlijk geen volledige oplossingen. Het kan helpen om misbruik (eerder) te herkennen, maar het zijn sowieso geen oplossingen om misbruik te voorkomen. Daar is simpelweg meer voor nodig, zoals 2FA, betere detectie aan onze kant, betere gewaarwording bij gebruikers etc. Dat zijn dan ook zaken waar we naar gaan kijken.
De notificatiemailtjes bij e-mail- en wachtwoordwijzigingen waren gewoon een paar dingen die we snel konden implementeren.

Als ik nog student was zou ik die zeker niet vanzelfsprekent vertrouwen...
Ik begrijp de afwegingen en snap dat de simpele dingen snel zijn gedaan.

Maar V&A is geen marktplaats, het is slechts een kleine toevoeging voor in principe een niche, en niet het hoofddoel van tweakers. Eigen verstand gebruiken en zeker dure spullen ophalen / brengen.

edit:

koku schreef op donderdag 2 januari 2020 @ 08:33:
[...] Dan moet je die niet whitelisten als je dat niet vertrouwd

In studentenhuizen vaak zelfde IP... jammer dat een serieus onderwerp niet serieus behandeld wordt.

[ Voor 11% gewijzigd door onetime op 02-01-2020 12:33 ]

Je computer locken kost je ongeveer 0.1 seconde..

Shamalamadindon schreef op donderdag 2 januari 2020 @ 12:37:
Je computer locken kost je ongeveer 0.1 seconde..

Dat een keertje vergeten kost nog veel minder tijd, tenzij je collega's naar het hele bedrijf gevulde koeken namens jou beloofd heeft.

@onetime Ik zal het proberen het te verduidelijken, want ondanks de knipoog, was de reactie wel serieus.

@crisp scheef het volgende:

crisp schreef op dinsdag 31 december 2019 @ 07:45:
[...]

Ik denk dat je als gebruiker netwerken/ips waarvan je vaker inlogd moet kunnen whitelisten zodat je daar niet continue mailtjes van krijgt. Ook zou je (en mods) beter inzicht willen hebben in je sessie-historie, ook als sessies niet meer actief zijn. Vandaar dat dit nog wat nadenkwerk vereist.

Hij bedoelt hiermee dat je als Tweakers-gebruiker zelf kan bepalen welk IP je op de whitelist zet voor je eigen account. Als jij huisgenoten hebt die je niet vertrouwd, moet je die optie natuurlijk niet gebruiken. Dat is toch geen rare gedachte? En het is nog maar de vraag of deze optie er komt, het is een van de mogelijke oplossingen...

En daarnaast zijn de gevallen die in dit topic aan bod zijn gekomen zijn niet opgelicht door iemands huisgenoot, maar door iemand die wachtwoordlijsten heeft gebruikt. Dus het lijkt me handig als we ons eerst focussen op dit gebied, zodat we het grootste probleem hebben aangepakt...

[ Voor 4% gewijzigd door koku op 02-01-2020 12:58 ]

onetime schreef op donderdag 2 januari 2020 @ 12:27:
[...]


In studentenhuizen vaak zelfde IP... jammer dat een serieus onderwerp niet serieus behandeld wordt.

Dude, je maakt echt het enorm groot . Ten eerste er is niets besloten, ten tweede sluit je met het voorstelde maatregel alle deuren voor accountmisbruik, behalve voor de unieke situatie dat je EN je eigen ip whitelist EN dat een friggin huisgenoot fraude gaat plegen met je account...

Je zet er geen deuren wagenwijd mee open....

[ Voor 7% gewijzigd door JvS op 02-01-2020 13:50 ]

Room42 schreef op donderdag 2 januari 2020 @ 12:41:
[...]

Dat een keertje vergeten kost nog veel minder tijd, tenzij je collega's naar het hele bedrijf gevulde koeken namens jou beloofd heeft.

Leermomentje

Wat ik me afvraag is of al deze gehackte accounts door 1 of meerdere personen worden gehackt?
ALS men bij Tweakers via het IP adres de hacker kan achterhalen, dan lijkt het me iets wat hier wel bekend mag worden gemaakt. ( 1 of meerder hackers)
En tja als dezelfde hacker op verschillende punten inlogt en vanaf daar zijn werk doen lijkt me dat lastiger

BPU Killroy schreef op donderdag 2 januari 2020 @ 19:45:
Wat ik me afvraag is of al deze gehackte accounts door 1 of meerdere personen worden gehackt?
ALS men bij Tweakers via het IP adres de hacker kan achterhalen, dan lijkt het me iets wat hier wel bekend mag worden gemaakt. ( 1 of meerder hackers)
En tja als dezelfde hacker op verschillende punten inlogt en vanaf daar zijn werk doen lijkt me dat lastiger

Iedere wannabee hackert gebruikt wel een VPN of Tor om z'n IP adres te verstoppen.

BPU Killroy schreef op donderdag 2 januari 2020 @ 19:45:
Wat ik me afvraag is of al deze gehackte accounts door 1 of meerdere personen worden gehackt?
ALS men bij Tweakers via het IP adres de hacker kan achterhalen, dan lijkt het me iets wat hier wel bekend mag worden gemaakt. ( 1 of meerder hackers)
En tja als dezelfde hacker op verschillende punten inlogt en vanaf daar zijn werk doen lijkt me dat lastiger

Er zijn meerdere hackers, waarvan we er 1 recent hebben weten te traceren en waar we aangifte van hebben gedaan. Dat onderzoek loopt nog en is niet onderin een la verdwenen.

-The_Mask- schreef op donderdag 2 januari 2020 @ 20:21:
[...]
Iedere wannabee hackert gebruikt wel een VPN of Tor om z'n IP adres te verstoppen.

Yep, dat doen ze inderdaad.

[ Voor 15% gewijzigd door Kees op 03-01-2020 13:42 ]

Hier nog een gehackt account? Prijs komt erg overeen met alles wat ik hiervoor heb gezien...

https://tweakers.net/aanb...gtx-1080-gaming-x-8g.html

DJMickB schreef op vrijdag 3 januari 2020 @ 15:35:
Hier nog een gehackt account? Prijs komt erg overeen met alles wat ik hiervoor heb gezien...

https://tweakers.net/aanb...gtx-1080-gaming-x-8g.html

Mwah, een account hacken zonder positieve feedback is niet zo verschrikkelijk zinvol

DJMickB schreef op vrijdag 3 januari 2020 @ 15:35:
Hier nog een gehackt account? Prijs komt erg overeen met alles wat ik hiervoor heb gezien...

https://tweakers.net/aanb...gtx-1080-gaming-x-8g.html

False alert.

DJMickB schreef op vrijdag 3 januari 2020 @ 15:35:
Hier nog een gehackt account? Prijs komt erg overeen met alles wat ik hiervoor heb gezien...

https://tweakers.net/aanb...gtx-1080-gaming-x-8g.html

@Microkid Is er toch een heksenjacht bezig?

Carpento schreef op vrijdag 3 januari 2020 @ 16:16:
[...]

Mwah, een account hacken zonder positieve feedback is niet zo verschrikkelijk zinvol

En je videokaart dan ook nog aanbieden voor veel te veel geld. Dan weet je zeker dat niemand interesse heeft.

Verwijderd schreef op donderdag 26 december 2019 @ 09:31:
Ik heb 128,15 euro betaald voor de i7 processor. Verkoper zei dat hij het aangetekend ging versturen.
Vervolgens kreeg ik een betaalverzoek (hier ben ik altijd al huiverig van) maar heb dat links laten liggen.

Heb de gegevens uit het betaalverzoek gebruikt om direct via bank over te maken. Hierdoor staat het bedrag niet meteen op de tegenrekening (in dit geval omdat het om een Bunq rekening gaat).
Ik hoop dat door de aangifte de rekening vandaag nog bevroren wordt en mijn geld niet door komt. Dit zou pas morgen op die rekening staan.

Dat is wel heel eng inderdaad, want die betaal link kon net zo goed een neppe zijn waarbij ze gelijk je bankgegevens hebben, heb je nog geluk gehad wat dat betreft.

Vlizzjeffrey schreef op vrijdag 3 januari 2020 @ 23:57:
[...]


Dat is wel heel eng inderdaad, want die betaal link kon net zo goed een neppe zijn waarbij ze gelijk je bankgegevens hebben, heb je nog geluk gehad wat dat betreft.

Kleine nuance is dan wel dat je als slachtoffer in dat geval wél je schade vergoed kan krijgen door de bank.
Maar het ging hier gewoon om het geld direct op de rekening te hebben staan lijkt het.

JohanNL schreef op zaterdag 4 januari 2020 @ 01:15:
[...]


Kleine nuance is dan wel dat je als slachtoffer in dat geval wél je schade vergoed kan krijgen door de bank.
Maar het ging hier gewoon om het geld direct op de rekening te hebben staan lijkt het.

Ik betwijfel of je schade vergoed krijgt door de bank als je met betaalverzoek betaald, andere gedupeerden hebben dit wel gedaan en zijn hun geld dus wel kwijt. Niemand van hun krijgt iets terug van de bank.
De bank vroeg mij wel of ik via direct rekening, of met credit card had betaald.
Als ik met credit card had betaald had ik wel via de bank mijn geld terug kunnen halen. Met credit card ben je verzekerd.

Verwijderd schreef op zaterdag 4 januari 2020 @ 11:32:
[...]

Ik betwijfel of je schade vergoed krijgt door de bank als je met betaalverzoek betaald, andere gedupeerden hebben dit wel gedaan en zijn hun geld dus wel kwijt. Niemand van hun krijgt iets terug van de bank.
De bank vroeg mij wel of ik via direct rekening, of met credit card had betaald.
Als ik met credit card had betaald had ik wel via de bank mijn geld terug kunnen halen. Met credit card ben je verzekerd.

Het gaat erom of het phishing is of niet.
Denk bijvoorbeeld aan dat je denkt €100 over te maken, maar dat er in werkelijkheid €2345 wordt overgemaakt vanaf jouw rekening naar een andere rekening omdat je je bankgegevens achteraf gezien hebt ingevuld op een nep-bankwebsite.
In dit geval heeft iedereen daadwerkelijk toestemming gegeven het betreffende bedrag over te schrijven naar de rekening van de " verkoper ", dan kan de bank niets doen.

Wim-Bart schreef op maandag 30 december 2019 @ 21:49:
[...]


Wacht even, op Tweakers kan je dus, in afwezigheid van 2Fa het e-mail adres aanpassen, zonder dat er een e-mail ter bevestig wordt gezonden naar het oude e-mail adres? Dit kunnen jullie niet menen. Dit is echt een security issue. Ga daar eens op security.nl een artikel aan wijden. Echt zo amateuristisch.

Je zou alleen een email adres kunnen wijzigen (omdat er maar 1 is) wanneer je toegang hebt tot je originele adres en indien dat niet mogelijk is door een admin/beheerder na controle van de identiteit. Of doormiddel van een 2FA of SMS. Maar nooit zo maar.

Dan zal je ook maar een artikel kunnen wijden aan Netflix. Mijn account was daar ook “gehacked” doordat deze 1 van de 2 sites waren welke nog een oude wachtwoord gebruikte die in een breached site ook was gebruikt. (Account snel aangemaakt op tv met afstandsbediening, dus geen vervelend lange ww)

Normaal gesproken krijg ik een e-mail van alle vreemde logins. Alleen merkte de kids dat inloggen niet meer werkte. Bleek dat e-mailadres ook is aangepast. Bleek dus mogelijk te zijn zonder een notificatie te krijgen.

Was binnen half uur weer geregeld met een verificatiebelletje. Maar toch ook weer een wake up call dat niet alle (grote) sites hun zaken voor elkaar hebben. Aan andere kant, er is wel een balans tussen veiligheid en gemak (op de tv/app is een moeilijk wachtwoord kiezen niet makkelijk)


*en dit topic heeft me doen checken of m’n email hier nog wel klopt. Blijkt een e-mail te zijn die ik al 15 jaar niet meer heb gebruikt... toch even kunnen wijzigen naar een recente. Als je enkel kan wijzigen met toegang tot oude e-mail, dan kan ik best een probleem hebben.

Een idee voor kopers, vraag om een foto van het product met je DM zichtbaar op een scherm in de achtergrond. Is moeilijk genoeg om netjes geloofwaardig te photoshoppen op korte tijd.

Shamalamadindon schreef op dinsdag 7 januari 2020 @ 23:14:
Een idee voor kopers, vraag om een foto van het product met je DM zichtbaar op een scherm in de achtergrond. Is moeilijk genoeg om netjes geloofwaardig te photoshoppen op korte tijd.

Totdat iemand met kwade bedoelingen het product ook gewoon in huis heeft en jou op die manier kan overhalen vooraf geld over te maken.
Laatst bij een TV programma van Stegeman ook iemand die spullen verkocht op MP die hij daadwerkelijk in het bezit had, maar de koper niets of enkel troep leverde.
Er is gewoon geen manier om je hier volledig tegen te beschermen.

Nederlandse banken gaan namen en adressen van internetoplichters aan slachtoffers geven als zij daarom vragen. Daardoor kunnen consumenten die online zijn opgelicht voortaan hun geld via de rechter proberen terug te vorderen.

Een woordvoerder van de Nederlandse Vereniging van Banken bevestigde eerdere berichtgeving daarover in het AD. Hij verwacht dat banken eind februari zover zijn.

To nu toe stonden veel gedupeerden van bijvoorbeeld Marktplaats-fraude machteloos. Banken verstrekten vanwege de privacy geen persoonsgegevens en bij de politie ontbreekt het veelal aan mankracht om dit soort kleine criminaliteit aan te pakken.

Banken besloten vorig jaar om onder voorwaarden personalia wel te gaan verstrekken. Dat gebeurde na een gesprek met minister Ferd Grapperhaus van Justitie.

De gegevens van fraudeurs worden overigens niet lukraak verstrekt. Wie is opgelicht, moet eerst aangifte doen. Daarnaast zullen banken eerst vragen aan de fraudeur om het geld terug te storten. Daarvoor krijgt die persoon drie weken de tijd.

Spannend maar denk niet dat dit veel oplevert, de echte oplichters gebruiken katvangers en daarnaast vrees ik toch voor veel cowboy acties...

[ Voor 24% gewijzigd door Zuur.Pruim op 06-02-2021 17:57 ]

Zuur.Pruim schreef op zaterdag 6 februari 2021 @ 17:54:
Spannend maar denk niet dat dit veel oplevert, de echte oplichters gebruiken katvangers en daarnaast vrees ik toch voor veel cowboy acties...

Voor zover ik had gelezen in die nieuwsberichten waren er toch al wel wat successen geboekt.
En ook al zijn het katvangers, die kun je er alsnog verantwoordelijk voor houden, eventueel via een betalingsregeling of in geval van minderjarigen kunnen de ouders het meestal wel betalen.

Ik vraag mij alleen wel af hoe het zit met de privacywetgeving en of deze dit allemaal wel toelaat.
Banken konden namelijk nooit NAW gegevens verstrekken aan gedupeerden, maar nu ineens dus wel? nog wel nadat de AVG/GDPR wetgeving er helemaal doorheen is? Ik vind het wel bizar.

JohanNL schreef op zaterdag 6 februari 2021 @ 20:03:
[...]


Voor zover ik had gelezen in die nieuwsberichten waren er toch al wel wat successen geboekt.
En ook al zijn het katvangers, die kun je er alsnog verantwoordelijk voor houden, eventueel via een betalingsregeling of in geval van minderjarigen kunnen de ouders het meestal wel betalen.

Ik vraag mij alleen wel af hoe het zit met de privacywetgeving en of deze dit allemaal wel toelaat.
Banken konden namelijk nooit NAW gegevens verstrekken aan gedupeerden, maar nu ineens dus wel? nog wel nadat de AVG/GDPR wetgeving er helemaal doorheen is? Ik vind het wel bizar.

De AVG is in die zin niet anders dan zijn voorganger in NL, de Wbp.
Dat betekent dat je als bank een verstrekkingsgrondslag nodig hebt voor het delen van een naam. Die was er eigenlijk altijd al wel: het gerechtvaardigd belang van een derde om een rechtsvordering in te stellen. Blijkbaar vonden banken voor die tijd dat clientèle vertrouwelijkheid hoog in het vaandel staat, en daar valt natuurlijk best iets van te zeggen.
Privacywetgeving is vaak een kwestie van belangen afwegen. Het is makkelijk om je te verschuilen achter privacywetgeving terwijl de waarheid een stuk genuanceerder is.

[ Voor 4% gewijzigd door WouterL op 07-02-2021 22:11 ]