Account Gehackt...

Deze advertentie dus: V&A aangeboden: EVGA GTX 1070 Ti 8GB FTW2 Gaming iCX

En de vorige Tweaker :

Account gehackt

Begint een patroon te worden ? Gelukkig heeft Tweakers 2FA.....ow nee, toch niet

Hallo,

Je bent niet de eerste en niet de laatste.
Meestal valt de hacker erg op, omdat hij altijd incl in de adv heeft als je hem dan vraagt wat ie aangetekend kost komt er 11 euro bii of andere vage opmerkingen. Waardoor het al heel snel heel vreemd word. Jammer. Denk dat iedereen op tweakers prefentief hun ww en mail ww moeten veranderen.

Zojuist ook opgelicht via een andere tweaker die is gehacked. via het account van HannoOttens HannoOttens. het ging hierbij om de volgende advertentie V&A aangeboden: Gigabyte GeForce GTX 1080 WINDFORCE OC 8G en het geld is overgemaakt naar IBAN NL38KNAB0259740098

toeval dat er zoveel accounts recent "gehacked" zijn?

Kan iemand bij Tweakers ook zien welk IP adres er in deze gevallen is gebruikt door de hacker(s)?
Of dit toevallig hetzelfde IP adres is als in ons geval.

Anoniem: 1314870 schreef op zondag 29 december 2019 @ 19:10:
[...]


Dataleak bij Tweakers misschien..?

Je zou het bijna denken.. Maar goed, Tweakers heeft al aangegeven dat ze gaan kijken naar iets van oplossingen, hoewel er over 2FA weinig concrete uitspraken over worden gedaan (logisch ook, elke uitspraak wordt gelijk gefileerd en terug geserveerd als er ook maar een komma verkeerd staat)

Heeft Tweakers de laatste tijd een oud werknemer ontslagen o.i.d.??
Het hacken gaat nu wel heel erg snel.

Ja of iemand heeft gewoon een databestand met wachtwoorden gevonden en besloten om zich nu op tweakers te richten.

Wellicht een nieuwsbanner bovenaan de site + forum dat iedereen preventief zijn ww moet veranderen, en/of gewoon een algehele willekeurige verplichte wachtwoord-reset/verandering zodat inactieve accounts ook een andere wachtwoord hebben.

Dat laatste klinkt me logischer... @Anoniem: 1314870 @GijsWitteman : gebruiken jullie uniek wachtwoorden per site? (en voor hoeveel jaar niet gewijzigd)

Ondertussen krijg ik een ban tegen me aan vanwege mijn preventieve advertentie zodat men niet nog meer van mijn gehackte account koopt... (TempAcc1112 trouwens..)

[ Voor 8% gewijzigd door TempAcc-1113 op 29-12-2019 19:21 ]

JvS schreef op zondag 29 december 2019 @ 19:16:
Ja of iemand heeft gewoon een databestand met wachtwoorden gevonden en besloten om zich nu op tweakers te richten.

Dat zou kunnen maar de 3 accounts die nu al de sjaak zijn hebben wel opvallende dingen
Tijdje lid van Tweakers
Erg veel groene sterren.
Perfect voor de oplichter om de deal sneller rond te krijgen en flink te cashen.

Wat ik mij afvraag zou de oplichter dit filteren/checken om succesvoller te zijn?

@Ivysaur prima idee iedereen reset om oude inactive accounts uit te sluiten.

@Anoniem: 1271350 Ik heb 6 verschillende ww. Laatst nog een aantal vervangen, maar die van tweakers nog niet. Dat ga ik nu maar ook even doen...

TempAcc-1113 schreef op zondag 29 december 2019 @ 19:21:
Ondertussen krijg ik een ban tegen me aan vanwege mijn preventieve advertentie zodat men niet nog meer van mijn gehackte account koopt... (TempAcc1112 trouwens..)

En nog een ban... Wat is dit nou? Rustig aan Tweakers, als men niet eens een overduidelijk probleem mag aankaarten...

Jah het is wel erg opvallend dat het dan wel toevallig goede accounts zijn. En niet vrij nieuwe account. Lijkt net of ze het gewoon voor het uitkiezen hebben.

Sinds er 1 a 2 maanden geleden de eerste gehackte accounts gemeld werder verander ik nu preventief elke keer mijn ww op tweakers. Mijn mail heeft beveiliging dus betwijfel dat ze daar in kunnen zonder bevesting en controleer ook vaak de machines die aangemeld staan.

Op tweakers zit er helaas momenteel niet anders op dan even 2x in de week je ww te veranderen.
Is zoiets als bij google prompt dat je moet aangeven dat jij degene bent die ingelogd is geen optie op tweakers? Of is dat een dure/moeilijke opgave?

Anoniem: 1314918 schreef op zondag 29 december 2019 @ 19:25:
[...]


En nog een ban... Wat is dit nou? Rustig aan Tweakers, als men niet eens een overduidelijk probleem mag aankaarten...

Je hebt waarschijnlijk ook een mail gekregen met waarom je gebanned bent. Waarschijnlijk vanwege je dubbele account.

Ik heb deze gekickt; misschien goed de OP even een +1 te geven.
2FA / FIDO U2F Support?

[ Voor 13% gewijzigd door Room42 op 29-12-2019 19:28 ]

Anoniem: 1314918 schreef op zondag 29 december 2019 @ 19:28:
[...]


Niet perse uniek, maar wel vrij.. extensief, het is geen 'PasswordTweaker-123'.

Als je wachtwoord in een van de gelekte databases staat, is die vrij makkelijk op andere sites te testen. Als die dan niet uniek zijn, zijn ze snel binnen.

Ik denk dat er nog een hoop accounts in gebruik zijn met oude credentials die in eerdere lekken van andere websites al lang en breed bekend zijn. Zie haveibeenpwned.com.

Tweakers was eerder wellicht geen target, maar nu er dusdanig actief misbruik wordt gemaakt lijkt me een algehele password reset afdwingen geen overbodige luxe.

dutchgio schreef op zondag 29 december 2019 @ 19:31:
[...]

Tweakers was eerder wellicht geen target, maar nu er dusdanig actief misbruik wordt gemaakt lijkt me een algehele password reset afdwingen geen overbodige luxe.

Ja, in ieder geval na x dagen niet actief, inderdaad.

@Anoniem: 1314918 is inmiddels ook gebanned, zie ik.

[ Voor 90% gewijzigd door Room42 op 29-12-2019 19:34 ]

Room42 schreef op zondag 29 december 2019 @ 19:33:
[...]

Ja, in ieder geval na x dagen niet actief, inderdaad.

@Anoniem: 1314918 is inmiddels ook gebanned, zie ik.

Maar de posters hier en in het andere topic zijn ook gewoon recent actieve gebruikers, het is niet zo dat het ook om verouderde accounts gaat.

Ik heb een vrij sterk uniek wachtwoord voor Tweakers welke ik niet gebruik op andere sites, maar toch maar eens https://tweakers.net/my.tnet/sessions/ in de gaten houden.

Ik zie de laatste tijd veel mensen gehackt worden hier
Iedereen wel zeggen van ja, tweakers moet 2FA gaan ondersteunen (Zit misschien wat in)
Maar gebruiken mensen hier niet gewoon een te simpel of een hergebruik wachtwoord?
Gebruik een wachtwoord manager en generate een wachtwoord (Keepass etc)
Dan lijkt me de kans dat je gehackt word een stuk kleiner!
Mocht je nog steeds gehackt worden, scan je pc`s/apparaten eens voor echt uit te sluiten dat het niet aan jou ligt
Dan pas ga Tweakers aanspreken van ja jullie doen te weinig ter preventie/of dat Tweakers een lek heeft
Kijk eerst wat je zelf kan doen! voor dat je klaagt bij anderen!

Damn, het valt wel op zeg!
Ik ben vorige week zelf 200 euro kwijtgeraakt door een gehackt account met goede reviews hier.

Ik raad andere aan om voorlopig hier niets meer te laten versturen.

@coolbvrobin
Daar heb ik niks aan, ik heb alles beveiligd.
Dat account was jaren actief en had goede reviews.
Het v&a is gegroeid en heeft veel betere beveiliging nodig willen mensen nog zaken opsturen.

[ Voor 66% gewijzigd door Bassbounce op 29-12-2019 20:35 ]

Anoniem: 1314870 schreef op zondag 29 december 2019 @ 18:18:
Gegroet Tweakers,

Ik ben er vrij kort geleden achter gekomen dat mijn account 'TheDylanSneaker' ( TheDylanSneaker ) gehackt is. Men heeft een videokaart (een EVGA 1070 ti voor 225 euro om precies te zijn) aangeboden en mogelijk is deze zelfs al betaald, zou dit A.U.B zo snel mogelijk afgehandeld kunnen worden zodat er niet nog meer gescamd word?

Mvg,

(de echte..) Dylan

Account is weer 'recovered'! Even heel erg eng..

TheDylanSneaker schreef op zondag 29 december 2019 @ 20:32:
[...]


Account is weer 'recovered'! Even heel erg eng..

Geen vreemde berichten in je DM box? Of sporen van je hacker?

M!chel schreef op zondag 29 december 2019 @ 20:39:
[...]

Geen vreemde berichten in je DM box? Of sporen van je hacker?

Geen spoor en niets, men heeft alleen een tikkie link gestuurd, dat is alles.
Qua vreemde berichten, afgezien van reacties op de scam-advertentie, no dice...

@TheDylanSneaker Staat er een rekeningnr in dat tikkiebericht?

Bassbounce schreef op zondag 29 december 2019 @ 20:27:

@coolbvrobin
Daar heb ik niks aan, ik heb alles beveiligd.
Dat account was jaren actief en had goede reviews.
Het v&a is gegroeid en heeft veel betere beveiliging nodig willen mensen nog zaken opsturen.

Dat ligt dan niet aan jou maar aan de verkoper (slecht wachtwoord etc)
Wat wel aan je zelf ligt is Handelen met verstand.
Is het te mooi voor waard te zijn, Dan is het ook hoog waarschijnlijk.

Ik haal btw alles altijd op (als het om een groot bedrag gaat), of laat het ophalen
Altijd contant + ik controleer altijd de briefjes
De kans dat ik opgelicht word is Minimaal dan

coolbvrobin schreef op zondag 29 december 2019 @ 20:43:
[...]

Is het te mooi voor waard te zijn, Dan is het ook hoog waarschijnlijk.

Dit is niet altijd het geval. Een oplichter kan ook iets voor een normale prijs aanbieden. Dit was ook gebeurd.
Alles zag er normaal uit.

Phomer ook gehackt? Erg veel PlayStation ads online. Maar misschien zie ik spoken of sla ik door.

Hij heeft het over 10 jaar lid + goede beoordeling van marktplaats. We zitten op Tweakers!

In een totaal andere ad van november typt hij die zin niet en oude ads ook niet te lezen.

[ Voor 25% gewijzigd door RobbyTown op 29-12-2019 20:56 ]

coolbvrobin schreef op zondag 29 december 2019 @ 20:43:
[...]

De kans dat ik opgelicht word is Minimaal dan

Famous last words...

Maar fijn dat jij het allemaal precies weet.

[ Voor 10% gewijzigd door Room42 op 29-12-2019 20:47 ]

Lijkt me toch echt tijd worden voor op zijn minst een algehele wachtwoord reset vanuit Tweakers

coolbvrobin schreef op zondag 29 december 2019 @ 20:25:
Ik zie de laatste tijd veel mensen gehackt worden hier
Iedereen wel zeggen van ja, tweakers moet 2FA gaan ondersteunen (Zit misschien wat in)
Maar gebruiken mensen hier niet gewoon een te simpel of een hergebruik wachtwoord?
Gebruik een wachtwoord manager en generate een wachtwoord (Keepass etc)
Dan lijkt me de kans dat je gehackt word een stuk kleiner!
Mocht je nog steeds gehackt worden, scan je pc`s/apparaten eens voor echt uit te sluiten dat het niet aan jou ligt
Dan pas ga Tweakers aanspreken van ja jullie doen te weinig ter preventie/of dat Tweakers een lek heeft
Kijk eerst wat je zelf kan doen! voor dat je klaagt bij anderen!

Je hebt inderdaad zelf de verantwoordelijkheid om unieke wachtwoorden te gebruiken. Maar ik vind dat Tweakers zeker ook enige verantwoordelijkheid heeft richting haar gebruikers. Ik heb eigenlijk altijd vertrouwd op de reviews van de Tweaker. Als het om wat duurdere dingen ging, ook even de IBAN door een checker gehaald. Maar inmiddels zijn er meerdere accounts met goede reviews gehackt, waardoor het reviewsysteem een beetje inlevert op zijn functionaliteit en het eigenlijk hetzelfde wilde westen als op Marktplaats wordt. 2FA kan een hack makkelijk voorkomen. Het implementeren zal inderdaad manuren kosten, maar het maakt V&A wel weer bruikbaar.

M!chel schreef op zondag 29 december 2019 @ 20:42:
@TheDylanSneaker Staat er een rekeningnr in dat tikkiebericht?

Tot nu toe een 'infinite loading screen' als ik de link open.

Room42 schreef op zondag 29 december 2019 @ 20:47:
[...]

Famous last words...

Maar fijn dat jij het allemaal precies weet.

Je kan natuurlijk ook knock-out geslagen worden

Ik zeg niet dat het me nooit kan gebeuren
Maar ik zorg er zelf altijd voor dat de kans erg klein is

coolbvrobin schreef op zondag 29 december 2019 @ 21:07:
[...]

Je kan natuurlijk ook knock-out geslagen worden

Ik zeg niet dat het me nooit kan gebeuren
Maar ik zorg er zelf altijd voor dat de kans erg klein is

Alleen ga je voor iets wat te koop staat voor 100 euro niet het hele land door. Dat zou de prijs dermate verhogen dat je het artikel misschien beter nieuw kunt kopen.
Dus je theorie gaat niet helemaal op.

M!chel schreef op zondag 29 december 2019 @ 21:09:
[...]

Alleen ga je voor iets wat te koop staat voor 100 euro niet het hele land door. Dat zou de prijs dermate verhogen dat je het artikel misschien beter nieuw kunt kopen.
Dus je theorie gaat niet helemaal op.

Is het dan niet beter zo wie zo nieuw te kopen? (garantie etc)
Maar goed je hebt gelijk

Hebben de gehackte Tweakers toevallig een account op Github/gatehub of hoe die crypto site ook heet? die schijnt tijdje terug gehackt te zijn waarbij een DB vol accounts buit is gemaakt.

Miss moet ik ook maar mijn ww aanpassen.


Edit: ww aangepast

[ Voor 4% gewijzigd door mugenmarco op 29-12-2019 23:00 ]

mugenmarco schreef op zondag 29 december 2019 @ 22:59:
Hebben de gehackte Tweakers toevallig een account op Github/gatehub of hoe die crypto site ook heet? die schijnt tijdje terug gehackt te zijn waarbij een DB vol accounts buit is gemaakt.

Miss moet ik ook maar mijn ww aanpassen.


Edit: ww aangepast

Gatehub, en nop!

TheDylanSneaker schreef op zondag 29 december 2019 @ 23:01:
[...]


Gatehub, en nop!

En https://haveibeenpwned.com?

TheDylanSneaker schreef op zondag 29 december 2019 @ 23:01:
[...]


Gatehub, en nop!

Je zou denken dat iemand een account DB van tweakers heeft gejat wel heel toevallig dat het vrijwel alleen maar accounts zijn die veel positieve V&A beoordelingen hebben

Heeft iemand al een reactie van een Mod gehad m.b.t. de IP adressen waarvan die berichten zijn gestuurd etc?

@moderators Misschien een banner bovenaan Tweakers plaatsen met die haveibeenpwned website of het advies het ww aan te passen?

[ Voor 18% gewijzigd door mugenmarco op 29-12-2019 23:09 ]

@Microkid @Anoniem: 27535 Is dit voor jullie?

EDIT: Lees net dat zijn account weer hersteld is. Jammer dat hierover niks wordt gecommuniceerd in dit topic (door 'm op slot te zetten, account te herstellen en daarna de gebruiker op de hoogte stellen bijvoorbeeld...)

Misschien is het tijd om een procedure op te zetten wat een gebruiker moet doen wanneer een account gehackt is?

[ Voor 151% gewijzigd door sypie op 29-12-2019 23:13 ]

mugenmarco schreef op zondag 29 december 2019 @ 23:06:
[...]


Je zou denken dat iemand een account DB van tweakers heeft gejat wel heel toevallig dat het vrijwel alleen maar accounts zijn die veel positieve V&A beoordelingen hebben

Heeft iemand al een reactie van een Mod gehad m.b.t. de IP adressen waarvan die berichten zijn gestuurd etc?

@moderators Misschien een banner bovenaan Tweakers plaatsen met die haveibeenpwned website of het advies het ww aan te passen?

Misschien dat men juist 'makkelijk-mee-te-werken' accounts uit die mogelijke DB heeft genomen? Heb ook nog geen bericht gehad over IP's of iets dergelijks.

Alhoewel lichtelijk offtopic maar ik ben al een tijdje opzoek naar wat onderdelen en ik heb het gevoel dat er op v&a momenteel relatief veel oplichters actief zijn.

Er zijn heel veel accounts die producten net onder de gangbare prijs aanbieden en zelf een of twee positieve beoordeling en een zeer beperkt aantal posts hebben.

Als je de accounts wat verder onderzoekt, zie je dat dit vaak reltief jonge accounts zijn en dat dat voor de beoordelaars hetzelfde geldt.

Ik zou er bijna geld op inzetten dat als je beoordelingen gaat volgen dat je dan in een cirkeltje terecht komt.

Vat mij vooral opvalt is dat het lijkt alsof er steeds meer moeite ingestoken wordt en dat er soms wel een jaar overheen gaat voordat er een advertentie gepost wordt.

jbhc schreef op zondag 29 december 2019 @ 23:38:
Alhoewel lichtelijk offtopic maar ik ben momenteel opzoek naar wat onderdelen en ik heb het gevoel dat er op v&a momenteel relatief veel oplichters actief zijn.

Er zijn heel veel accounts die producten net onder de gangbare prijs aanbieden en zelf een of twee positieve beoordeling en een zeer beperkt aantal posts hebben.

Als je de accounts vat verder onderzoekt, zie je dat dit vaak reltief jonge accounts zijn en dat dat voor de beoordelaars hetzelfde geldt.

Ik zou er bijna geld op inzetten dat als je beoordelingen gaat volgen dat je dan in een cirkeltje terecht komt.

Vat mij vooral opvalt is dat het lijkt alsof er steeds meer moeite ingestoken wordt en dat er soms wel een jaar overheen gaat voordat er een advertentie gepost wordt.

Dat eerste zag ik ook met mijn Mx. Hacker.. een 1070 ti aanbieden voor 225, niet bepaald 'Overduidelijk-niet-goed' laag, maar ook geen echt normale prijs...

jbhc schreef op zondag 29 december 2019 @ 23:38:
Alhoewel lichtelijk offtopic maar ik ben momenteel opzoek naar wat onderdelen en ik heb het gevoel dat er op v&a momenteel relatief veel oplichters actief zijn.

Er zijn heel veel accounts die producten net onder de gangbare prijs aanbieden en zelf een of twee positieve beoordeling en een zeer beperkt aantal posts hebben.

Als je de accounts vat verder onderzoekt, zie je dat dit vaak reltief jonge accounts zijn en dat dat voor de beoordelaars hetzelfde geldt.

Ik zou er bijna geld op inzetten dat als je beoordelingen gaat volgen dat je dan in een cirkeltje terecht komt.

Vat mij vooral opvalt is dat het lijkt alsof er steeds meer moeite ingestoken wordt en dat er soms wel een jaar overheen gaat voordat er een advertentie gepost wordt.

Een slimme Tweaker kijkt niet alleen naar het aantal goede beoordelingen maar ook of de persoon in kwestie al een tijdje actief is en ook posts etc plaatst. Doe ik wel en ben gelukkig nog nooit opgelicht en ik koop/verkoop toch wel regelmatig wat via Tweakers V&A

Ik koop en verkoop regelmatig via Tweakers, maar ook via Marktplaats.
Op Marktplaats ben ik nog nooit opgelicht, wel twijfel gevalletje heling. (maar iig wel iets ontvangen )
Tweakers werkte ook altijd goed, tot afgelopen 1e Kerstdag.

Spullen verkopen durf ik hier nog wel aan, maar durft een ander nog bij mij te kopen?
En spullen bij een ander kopen, voorlopig alleen in de regio en dan haal ik het persoonlijk wel op.

[ Voor 28% gewijzigd door M!chel op 29-12-2019 23:50 ]

mugenmarco schreef op zondag 29 december 2019 @ 23:06:
[...]

Je zou denken dat iemand een account DB van tweakers heeft gejat wel heel toevallig dat het vrijwel alleen maar accounts zijn die veel positieve V&A beoordelingen hebben

TS heeft 12 positieve beoordelingen, de op de eerste pagina genoemde andere persoon, die gehackt zou zijn, Hanno Ottens, eveneens 12, en Oxigeon, de TS van het andere topic, 13. Dat is niet echt veel.
Wanneer iemand een account DB van Tweakers zou hebben, en dus de vrije keuze zou hebben tussen vele accounts, lijkt me, dat hij eerder 'n slachtoffer zou kiezen met een feedback score van minimaal 40 á 50 stuks?

Tientallen berichten en geen modje te bekennen die er ook maar iets zinnigs over kan zeggen. In het gelinkte topic hierboven schuiven ze het af door te zeggen dat je op een site moet kijken of je gepowned bent, en het te vergelijken met Marktplaats (want die heeft toch ook geen 2FA). Dat heet afschuiven en Tweakers zou er goed aan doen 2FA in te zetten.

Wat een aanfluiting vanuit Tweakers. Kom op zeg. Een tech site welke schijnbaar makkelijk te hacken is en geen enkele vorm van 2FA heeft en het probleem afschuift. Lachertje.

Anoniem: 235591 schreef op maandag 30 december 2019 @ 00:09:
Tientallen berichten en geen modje te bekennen die er ook maar iets zinnigs over kan zeggen. In het gelinkte topic hierboven schuiven ze het af door te zeggen dat je op een site moet kijken of je gepowned bent, en het te vergelijken met Marktplaats (want die heeft toch ook geen 2FA). Dat heet afschuiven en Tweakers zou er goed aan doen 2FA in te zetten.

Wat een aanfluiting vanuit Tweakers. Kom op zeg. Een tech site welke schijnbaar makkelijk te hacken is en geen enkele vorm van 2FA heeft en het probleem afschuift. Lachertje.

Hoe kom je aan die wijsheid? De accounts worden gehacked, maar de inloggegevens komen waarschijnlijk van eerdere lekken er is geen enkele aanwijzing dat Tweakers gehacked zou zijn.

Maar inderdaad 2fa is de oplossing volgens velen, terwijl je in geen enkel geval 2fa kan verplichten voor de eindgebruikers. Dus zodra een user geen 2fa heeft ben je alsnog de sjaak.

Dus je rant raakt kant noch wal tuintje.

Dan nog valt er weinig te melden door de V&A admins behalve dat je aangifte moet doen. Zij kunnen ook niet direct zien wie er gehacked zijn of worden maar er zal best wel een hogere alertheid zijn bij nieuwe advertenties. Achter de schermen zal er vast veel besproken worden hieromtrent en daarbij is er al aangegeven dat er serieus gekeken gaat worden naar een mfa oplossing.

[ Voor 18% gewijzigd door InFamous op 30-12-2019 00:21 ]

Anoniem: 235591 schreef op maandag 30 december 2019 @ 00:09:
Tientallen berichten en geen modje te bekennen die er ook maar iets zinnigs over kan zeggen. In het gelinkte topic hierboven schuiven ze het af door te zeggen dat je op een site moet kijken of je gepowned bent, en het te vergelijken met Marktplaats (want die heeft toch ook geen 2FA). Dat heet afschuiven en Tweakers zou er goed aan doen 2FA in te zetten.

Wat een aanfluiting vanuit Tweakers. Kom op zeg. Een tech site welke schijnbaar makkelijk te hacken is en geen enkele vorm van 2FA heeft en het probleem afschuift. Lachertje.

De cookiewall die ze gebruiken is ook tegen de wet maar boeit ze ook niks. Het is er niet beter op geworden sinds ze lekker commercieel gegaan zijn inderdaad.

InFamous schreef op maandag 30 december 2019 @ 00:13:
[...]

Maar inderdaad 2fa is de oplossing volgens velen, terwijl je in geen enkel geval 2fa kan verplichten voor de eindgebruikers. Dus zodra een user geen 2fa heeft ben je alsnog de sjaak.

Is er ook niet iets te maken dat een gebruiker die actief 2FA gebruikt een icoontje of iets dergelijks op z'n profiel krijgt? Zodat andere gebruikers kunnen zien wie wel/niet extra veiligheidsmaatregelen neemt?

InFamous schreef op maandag 30 december 2019 @ 00:13:
Maar inderdaad 2fa is de oplossing volgens velen, terwijl je in geen enkel geval 2fa kan verplichten voor de eindgebruikers. Dus zodra een user geen 2fa heeft ben je alsnog de sjaak.

Mwah, verplichte 2FA voordat je V&A kunt gebruiken klinkt redelijk.

De reden waarom men V&A prefereert boven Marktplaats was vroegâh (nog steeds?) het gebrek aan user feedback. Nu blijkt dat die ook regelmatig niet te vertrouwen valt lijkt actie vanuit Tweakers me gepast.

@M!chel geen idee ik werk niet voor Tweakers.

@Thralas je moet nou niet doen alsof er door 2fa geen oplichting meer voorkomt, er worden geen gehackte accounts meer gebruikt maar nog steeds zal oplichting voorkomen.

Hell er zijn momenteel 3 (of 4) gehackte accounts die gebruikt zijn voor oplichting en ik durf stellig te beweren dat oplichting zonder gehackte accounts tientallen keren zo hoog is op een jaar gezien.

Even flink offtopic maar het gebeurt vaker de laatste tijd: https://www.fraudehelpdes...accounts-kleding-webshop/

Niet alle verantwoordelijkheid ligt bij de websites, mensen met een account moeten ook een klein beetje eigen verantwoordelijkheid nemen voor hun online identiteit.

Bij https://haveibeenpwned.com/ kan je jouw e-mailadres opgeven en zodra deze voorkomt in een breach of paste ontvang je een e-mail, je kan een password manager gebruiken en regelmatig je wachtwoorden aanpassen. Gebruik nooit dubbele wachtwoorden of categoriseer ze op belangrijk of niet belangrijk.

Geen van mijn accounts zijn ooit gehackt, terwijl deze wel voorkomen in breaches en zelfs in pastes. Puur en alleen omdat ik denk om mijn online identiteit en dus per website een random wachtwoord heb.

[ Voor 49% gewijzigd door InFamous op 30-12-2019 00:43 ]

InFamous schreef op maandag 30 december 2019 @ 00:25:
@Thralas je moet nou niet doen alsof er door 2fa geen oplichting meer voorkomt, er worden geen gehackte accounts meer gebruikt maar nog steeds zal oplichting voorkomen.

Dat is wel een enorme stroman die je daar gebruikt . Dat suggereer ik nergens. Kom nou.

Hell er zijn momenteel 3 (of 4) gehackte accounts die gebruikt zijn voor oplichting en ik durf stellig te beweren dat oplichting zonder gehackte accounts tientallen keren zo hoog is op een jaar gezien.

Dat ben ik met je eens.

Maar de grap is natuurlijk wel dat je aan verkoophistorie en postieve feedback enorm veel vertrouwen zou moeten kunnen ontlenen: als iemand tientallen 5-sterren reviews heeft kun je veilig €100 overmaken met een verwaarloosbare kans dat je 'genaaid' wordt.

Tot accounts blijken te worden misbruikt door 'hackers'.

De typische voorbeelden die jij aanhaalt zijn in 99% van de gevallen situaties waar je uberhaupt geen aanzienlijke bedragen zou moeten overboeken omdat de oplichter totaal geen feedback heeft. Dáár intrappen is een héél ander probleem.

Thralas schreef op maandag 30 december 2019 @ 00:43:
[...]


Dat is wel een enorme stroman die je daar gebruikt . Dat suggereer ik nergens. Kom nou.

Mwah, verplichte 2FA voordat je V&A kunt gebruiken klinkt redelijk.

Bovenstaande las ik wel op die manier, mijn excuses als dat verkeerd is begrepen.

[...]


Dat ben ik met je eens.

Maar de grap is natuurlijk wel dat je aan verkoophistorie en postieve feedback enorm veel vertrouwen zou moeten kunnen ontlenen: als iemand tientallen 5-sterren reviews heeft kun je veilig €100 overmaken met een verwaarloosbare kans dat je 'genaaid' wordt.

Tot accounts blijken te worden misbruikt door 'hackers'.

De typische voorbeelden die jij aanhaalt zijn in 99% van de gevallen situaties waar je uberhaupt geen aanzienlijke bedragen zou moeten overboeken omdat de oplichter totaal geen feedback heeft. Dáár intrappen is een héél ander probleem.

Er zijn in het verleden al meerdere oudere accounts geweest die ineens het verkeerde pad opgingen, zelfs Groeneveld had accounts met tientallen positieve feedbacks waarna er toch weer oplichting plaatsvond.

Het komt “altijd” voor, op allerlei manieren en er is veel aan te doen. Achter de schermen word echt gigantisch veel tijd besteed aan preventie van oplichting maar bij oplichting loop je in 99,9% van de gevallen achter de feiten aan en kan er pas ingegrepen worden als het fout gaat.

Helaas is dat de realiteit en je kan alles wel dicht blijven zetten maar daarmee plaatst je zulke gigantische barrières dat het vanzelf doodbloed omdat het niet normaal meer te gebruiken is.

InFamous schreef op maandag 30 december 2019 @ 00:51:
Bovenstaande las ik wel op die manier, mijn excuses als dat verkeerd is begrepen.

Als verduidelijking:

Het grote probleem van 'gehackte' accounts is dat je er klaarblijkelijk niet ééns meer vanuit kunt gaan dat de feedback en historie uberhaupt hoort bij de persoon waar je mee communiceert. Dan maakt het feitelijk weinig meer uit of een account 0 of 73 goede reviews heeft.

V&A biedt (of bood?) nu juist een hoop extra middelen om een zinnige inschatting te kunnen maken of je de andere persoon kunt vertrouwen op basis van historie.

Daarnaast vind ik dat je in 2019 als verkoopplatform extra scherp zou moeten zijn op zaken als 2FA (op z'n minst aanbieden) en gelekte wachtwoorden icm. password reuse (ik vreet m'n schoen op als dat hier niet aan de orde is).

Dat alles biedt nimmer garanties (zie de ongelukkige voorbeelden die je geeft), maar handelen met 'common sense' dekt 99%: althans, tot het met dit soort zaken onderuit wordt gehaald.

[ Voor 15% gewijzigd door Thralas op 30-12-2019 01:20 ]

2FA forceren voor het gebruik van V&A lost natuurlijk niet direct wat op. Het account kan nog steeds gehackt worden en dan kan de oplichter er zijn eigen 2FA op inschakelen en alsnog mensen proberen op te lichten.

Per definitie 2FA forceren zal ook wel moeilijk zijn.

Misschien iets in combinatie met bevestiging via e-mail voordat je je e-mailadres kan wijzigen of zo... Ingewikkeld!

InFamous schreef op maandag 30 december 2019 @ 00:13:
[...]


Hoe kom je aan die wijsheid? De accounts worden gehacked, maar de inloggegevens komen waarschijnlijk van eerdere lekken er is geen enkele aanwijzing dat Tweakers gehacked zou zijn.

Maar inderdaad 2fa is de oplossing volgens velen, terwijl je in geen enkel geval 2fa kan verplichten voor de eindgebruikers. Dus zodra een user geen 2fa heeft ben je alsnog de sjaak.

Dus je rant raakt kant noch wal tuintje.

Dan nog valt er weinig te melden door de V&A admins behalve dat je aangifte moet doen. Zij kunnen ook niet direct zien wie er gehacked zijn of worden maar er zal best wel een hogere alertheid zijn bij nieuwe advertenties. Achter de schermen zal er vast veel besproken worden hieromtrent en daarbij is er al aangegeven dat er serieus gekeken gaat worden naar een mfa oplossing.

Boeiend wie of wat gehackt is. Feit is dat mensen hier op iemand anders account kunnen en dat de beveiliging gewoon ruk is. 2FA kan en had dit kunnen voorkomen. Schuif het niet af op mijn onwetendheid want je weet dondersgoed wat ik bedoel.

Vreemd hoor, zoveel in een korte tijd. en veel verdachte advertenties als je er een beetje op gaat letten. Mijn paswoord maar weer veranderd en maar opletten als ik iets op het oog heb. Tweakers zou iig iets moeten doen om dit te voorkomen of op z'n minst een waarschuwing plaatsen op de frontpage.

Marly schreef op zondag 29 december 2019 @ 23:58:
[...]


TS heeft 12 positieve beoordelingen, de op de eerste pagina genoemde andere persoon, die gehackt zou zijn, Hanno Ottens, eveneens 12, en Oxigeon, de TS van het andere topic, 13. Dat is niet echt veel.
Wanneer iemand een account DB van Tweakers zou hebben, en dus de vrije keuze zou hebben tussen vele accounts, lijkt me, dat hij eerder 'n slachtoffer zou kiezen met een feedback score van minimaal 40 á 50 stuks?

Lijkt mij dat ze ook kijken hoe actief een bepaalde user is.

Als je het account gebruikt van iemand die 24/7 op tweakers zit, is de kans groot dat die de berichtrn direct binnen ziet komen, en actie onderneemt.

Iemand die minder actief is, heeft een hacker dus veel meer "tijd" bij om de transactie rond te krijgen, zonder op te vallen.

Een auto jatten uit een garage waar heel de dag de eigenaar rond loopt is ook lastiger dan wanneer deze maar eens per dag/x dagen een keertje daar komt.

Anoniem: 235591 schreef op maandag 30 december 2019 @ 01:29:
[...]

Boeiend wie of wat gehackt is. Feit is dat mensen hier op iemand anders account kunnen en dat de beveiliging gewoon ruk is. 2FA kan en had dit kunnen voorkomen.

Tja deze paar gevallen had voorkomen kunnen worden inderdaad, maar Tweakers heeft de huissleutel niet in het openbaar laten liggen om maar even een zijstraat te noemen.

Er word door Tweakers, tig andere website en campagnes al jaren gewaarschuwd om geen wachtwoorden her te gebruiken en blijkbaar is het Tweakers account voor velen niet belangrijk genoeg om het wachtwoord daarvoor te veranderen.

Waarom zou datzelfde Tweakers account dan ineens wel belangrijk genoeg zijn om 2fa aan te zetten?

Schuif het niet af op mijn onwetendheid want je weet dondersgoed wat ik bedoel.

Dan kan je wel op deze manier reageren maar blijkbaar weet je zelf niet eens wat je bedoeld?

In jouw ogen is dit hele gebeuren de fout van Tweakers omdat Tweakers blijkbaar alleen een wachtwoord gebruikt voor inloggen. Terwijl zij niet diegene zijn die het wachtwoord gelekt hebben.

Je geeft hiermee de maker van een slot de schuld dat een slot te makkelijk open gaat als iemand anders de sleutel gebruikt die je zelf bent verloren

En nee ik ben zeker niet tegen vooruitgang en nieuwe beveiligingstechnieken maar doen alsof het een heilige graal is is gewoon onzin en de volledige verantwoordelijkheid bij Tweakers neerleggen idem.

Regelmatig je WW veranderen,of voor hier een zgn uniek WW maken. Als je een account hebt gehackt kun je je eigen bev. aanpassen.
(uniek ww in de zin van nergens online dit ww gebruiken. vaak zie je dat men bij veel het zelfde WW gebruikt.)

Waarom wordt er overigens vanuit gegaan dat de accountgegevens elders gelekt zijn?

shoombak schreef op maandag 30 december 2019 @ 09:50:
Waarom wordt er overigens vanuit gegaan dat de accountgegevens elders gelekt zijn?

Dat is een reactie omdat iemand anders ervanuit ging dat de tweakers db op straat moest liggen .

Het punt is dat je het niet weet .

InFamous schreef op maandag 30 december 2019 @ 02:28:
[...]


Tja deze paar gevallen had voorkomen kunnen worden inderdaad, maar Tweakers heeft de huissleutel niet in het openbaar laten liggen om maar even een zijstraat te noemen.

Er word door Tweakers, tig andere website en campagnes al jaren gewaarschuwd om geen wachtwoorden her te gebruiken en blijkbaar is het Tweakers account voor velen niet belangrijk genoeg om het wachtwoord daarvoor te veranderen.

Waarom zou datzelfde Tweakers account dan ineens wel belangrijk genoeg zijn om 2fa aan te zetten?


[...]


Dan kan je wel op deze manier reageren maar blijkbaar weet je zelf niet eens wat je bedoeld?

In jouw ogen is dit hele gebeuren de fout van Tweakers omdat Tweakers blijkbaar alleen een wachtwoord gebruikt voor inloggen. Terwijl zij niet diegene zijn die het wachtwoord gelekt hebben.

Je geeft hiermee de maker van een slot de schuld dat een slot te makkelijk open gaat als iemand anders de sleutel gebruikt die je zelf bent verloren

En nee ik ben zeker niet tegen vooruitgang en nieuwe beveiligingstechnieken maar doen alsof het een heilige graal is is gewoon onzin en de volledige verantwoordelijkheid bij Tweakers neerleggen idem.

Fout van Tweakers? Misschien deels wel omdat ze te weinig doen om accounts beter te beveiligen. Dan kan je waarschuwen maar je kan ook zeggen laten we een betere beveiliging implementeren. En daar wordt al jaren om gevraagd. Te moeilijk, te weinig devs... altijd wel wel wat. Ik las dat de buren het ook hebben. Misschien eens vragen of je wat info kan uitwisselen?

Het enige wat ik merk is dat het steeds af- en vooruitgeschoven wordt en dat men het bagatelliseert.

shoombak schreef op maandag 30 december 2019 @ 09:50:
Waarom wordt er overigens vanuit gegaan dat de accountgegevens elders gelekt zijn?

Omdat we in het algemeen zien dat er heel erg veel mailadressen+ww combinaties geprobeerd worden waarvan een heleboel mailadressen niet bij ons bekend zijn. En er word dan telkens 1 poging gedaan om in te loggen en vervolgens probeert men het volgende mailadres.

Dat verteld ons dat:
a) men waarschijnlijk een lijst met mailadressen + wachtwoorden gebruikt
b) deze niet afkomstig zijn uit een lek van Tweakers gezien de grote hoeveelheid misses
c) de gegevens blijkbaar van een derde partij komen

Er zijn meerdere grote lijsten op het internet te vinden, ik zal binnenkort ook weer even een lijst downloaden en die langs onze database houden om te zien of we weer wat adressen moeten resetten.

Oplichter ook actief op Marktplaats, laat ID zien van Mendes Carvalho Silva, Roepnaam Jailson. Licht mensen op men o.a. tickets voor de Efteling.

Misschien een mededeling op de voorpagina dat iedereen zijn password moet veranderen?

Anoniem: 632581 schreef op maandag 30 december 2019 @ 13:04:
Misschien een mededeling op de voorpagina dat iedereen zijn password moet veranderen?

Heeft geen effect als je geen vaste bezoek bent. Meer effect is iedereen reset.

@Nogalwiedes heb je hier van foto's of linkjes? Want ik ben nog steeds aan het uitzoeken wie die man is die me heeft opgelicht.

En volgende slachtoffer via account van totalnet

Zelfde KNAB rekening die hier voorbij is gekomen.

In mijn geval was het een 2600X voor 80 euro.

[ Voor 13% gewijzigd door Shamalamadindon op 30-12-2019 21:35 ]

Anoniem: 632581 schreef op maandag 30 december 2019 @ 13:04:
Misschien een mededeling op de voorpagina dat iedereen zijn password moet veranderen?

Waarom? Tweakers is niet gehacked, er zijn geen wachtwoorden gestolen van deze site. Getroffen gebruikers hebben wachtwoorden hergebruikt op meerdere websites, iets waarvoor Tweakers in het verleden al achtergrondartikelen voor heeft voorzien. Gebruik een wachtwoordmanager en unieke, sterke wachtwoorden op elke site. Als je telkens wanneer iemand een lijst aan data probeerd op deze site een melding moet gaan geven of een geforceerde reset gaat doen dan kan je volgens mij elke paar weken wel weer aan de slag gaan. En dat is ook niet de bedoeling en jaagt ook weer gebruikers weg.

Inmiddels is er een nieuw account gehacked.

gallery: totalnet

De zwakke schakels zijn in dit geval ( waarschijnlijk) op meerdere plekken gebruikte username met wachtwoord en een waarschijnlijke hack bij een 3e partij. Als je alleen op op de frontpage zoekt, zijn er al vele artikelen van " miljoenen gelekte wachtwoorden"

Maak gebruik van een wachtwoordmanager ( elke website een unieke inlog, dus geen dubbele wachtwoorden en je hoeft er maar 1 te onthouden), gebruik zo uniek mogelijke inloggegevens als je account op een site belangrijk is ( dus bijvoorbeeld gebruiker+tweakers@gmail.com, dat +websitenaam maakt het eenvoudig en uniek. Zodra er wat wordt gelekt / gespammed, kun je ook eenvoudig zien waar is gelekt)

Het is makkelijk wijzen naar de inlogmethode, maar was hier gebruik gemaakt van een goede inlognaam met uniek wachtwoord (wachtwoordmanager!), dan had dit topic niet bestaan.
Jammer voor de betrokkenen dat het wel is gebeurd

janvanduschoten schreef op dinsdag 31 december 2019 @ 08:28:
De zwakke schakels zijn in dit geval ( waarschijnlijk) op meerdere plekken gebruikte username met wachtwoord en een waarschijnlijke hack bij een 3e partij. Als je alleen op op de frontpage zoekt, zijn er al vele artikelen van " miljoenen gelekte wachtwoorden"

Maak gebruik van een wachtwoordmanager ( elke website een unieke inlog, dus geen dubbele wachtwoorden en je hoeft er maar 1 te onthouden), gebruik zo uniek mogelijke inloggegevens als je account op een site belangrijk is ( dus bijvoorbeeld gebruiker+tweakers@gmail.com, dat +websitenaam maakt het eenvoudig en uniek. Zodra er wat wordt gelekt / gespammed, kun je ook eenvoudig zien waar is gelekt)

Het is makkelijk wijzen naar de inlogmethode, maar was hier gebruik gemaakt van een goede inlognaam met uniek wachtwoord (wachtwoordmanager!), dan had dit topic niet bestaan.
Jammer voor de betrokkenen dat het wel is gebeurd

Mee eens, tot een bepaalde hoogte. Als je we deze logica door gaan zetten:

1.) 2FA is nergens meer nodig. Want als iedereen goede inlognaam en uniek PW gebruikt, is het veilig
2.) Zijn gehackte accounts altijd de schuld van de gebruiker
etc
etc

Ik snap je strekking, maar gewoon de schuld over de schutting gooien en roepen "wij hoeven niks te doen, beveilig je account maar beter" is natuurlijk een beetje raar, zeker in een tijd waarin de meeste redelijke websites tenminste een mail sturen van een inlog poging of inlog succes.

corset schreef op dinsdag 31 december 2019 @ 08:46:
[...]


Mee eens, tot een bepaalde hoogte. Als je we deze logica door gaan zetten:

1.) 2FA is nergens meer nodig. Want als iedereen goede inlognaam en uniek PW gebruikt, is het veilig
2.) Zijn gehackte accounts altijd de schuld van de gebruiker
etc
etc

Vreemde voortzetting van logica. Het ligt echt totaal niet in het verlengde van wat @janvanduschoten zegt.

1.) Nee, want de tweede factor beschermt altijd wanneer de bron van het lek en het doel van de hack gelijk zijn.
2.) Nee, maar de gebruikte credentials zijn wel de verantwoordelijkheid van de gebruiker. Dat is wat anders.

Ik snap je strekking, maar gewoon de schuld over de schutting gooien en roepen "wij hoeven niks te doen, beveilig je account maar beter" is natuurlijk een beetje raar, zeker in een tijd waarin de meeste redelijke websites tenminste een mail sturen van een inlog poging of inlog succes.

Er is geen schutting, er is geen stellingname dat er niets hoeft te gebeuren. Je hebt wel een heel erg vrije interpretatie.

corset schreef op dinsdag 31 december 2019 @ 08:46:
[...]


Mee eens, tot een bepaalde hoogte. Als je we deze logica door gaan zetten:

1.) 2FA is nergens meer nodig. Want als iedereen goede inlognaam en uniek PW gebruikt, is het veilig
2.) Zijn gehackte accounts altijd de schuld van de gebruiker
etc
etc

Ik snap je strekking, maar gewoon de schuld over de schutting gooien en roepen "wij hoeven niks te doen, beveilig je account maar beter" is natuurlijk een beetje raar, zeker in een tijd waarin de meeste redelijke websites tenminste een mail sturen van een inlog poging of inlog succes.

Ik gooi het niet over de schutting ( ik spreek op eigen titel, ik heb niets te maken met de inlogprocedure van tweakers of wat dan ook), ik wil alleen benadrukken dat het zeer, zeer waarschijnlijk een inlognaam & wachtwoord is dat elders ook wordt gebruikt en hier wordt misbruikt. 2FA kan helpen, maar is ook weer drempelverhogend.
Een gehacked account is uiteraard niet de schuld van een gebruiker, het meerdere malen gebruiken van dezelfde wachtwoorden wel. Het blijft nog altijd zo dat de ketting zo sterk is als de zwakste schakel.

Ik ken zelf trouwens geen sites die een mail sturen als een inlogpoging doe en dat fout doe, via mail checken of ik degene ben die een wachtwoord / mailadres wil wijzigen wel.

janvanduschoten schreef op dinsdag 31 december 2019 @ 08:55:
[...]


Ik gooi het niet over de schutting ( ik spreek op eigen titel, ik heb niets te maken met de inlogprocedure van tweakers of wat dan ook), ik wil alleen benadrukken dat het zeer, zeer waarschijnlijk een inlognaam & wachtwoord is dat elders ook wordt gebruikt en hier wordt misbruikt. 2FA kan helpen, maar is ook weer drempelverhogend.
Een gehacked account is uiteraard niet de schuld van een gebruiker, het meerdere malen gebruiken van dezelfde wachtwoorden wel. Het blijft nog altijd zo dat de ketting zo sterk is als de zwakste schakel.

Ik ken zelf trouwens geen sites die een mail sturen als een inlogpoging doe en dat fout doe, via mail checken of ik degene ben die een wachtwoord / mailadres wil wijzigen wel.

Sites die het bij mij doen:

Google account logins
Steam
Square Enix
Blizzard
Epic Store

Natuurlijk ben ik het met je eens dat een goed wachtwoord beleid belangrijk is. Dat zal ik zeker niet ontkennen.

Kees schreef op maandag 30 december 2019 @ 12:11:
[...]

Omdat we in het algemeen zien dat er heel erg veel mailadressen+ww combinaties geprobeerd worden waarvan een heleboel mailadressen niet bij ons bekend zijn. En er word dan telkens 1 poging gedaan om in te loggen en vervolgens probeert men het volgende mailadres.

Dat verteld ons dat:
a) men waarschijnlijk een lijst met mailadressen + wachtwoorden gebruikt
b) deze niet afkomstig zijn uit een lek van Tweakers gezien de grote hoeveelheid misses
c) de gegevens blijkbaar van een derde partij komen

Er zijn meerdere grote lijsten op het internet te vinden, ik zal binnenkort ook weer even een lijst downloaden en die langs onze database houden om te zien of we weer wat adressen moeten resetten.

Is dat niet de reden waarvoor er Captcha's zijn uitgevonden? Ik heb nog al sites gezien: 2 keer mag je mis inloggen maar vanaf dan mag je lekker verkeerslichten en zebrapaden klasseren
10 keer mis inloggen? Temp IP ban of iets dergelijks.

@Malantur je bent me net voor, zat ook aan een fail2ban constructie te denken. Niet een permanente maar een time out variant.

Kees schreef op maandag 30 december 2019 @ 12:11:
[...]

Er zijn meerdere grote lijsten op het internet te vinden, ik zal binnenkort ook weer even een lijst downloaden en die langs onze database houden om te zien of we weer wat adressen moeten resetten.

Binnenkort? Even?

Als je ziet dat er nu al 4 accounts zijn overgenomen, en slachtoffers heeft gemaakt.
en nog eens ziet dat er veel aanmeldpogingen worden gedaan.

Is het dan geen tijd om dat "direct" te doen?
Desnoods doe je dit voor alle users, als het teveel werk is om lijsten naast elkaar te vergelijken.

Ik bedoel maar te zeggen, tweakers is het visite kaartje voor IT in Nederland, laat dan ook zien dat dat jullie weten wat te doen in zulke gevallen, en niet afwachten tot er meer slachtoffers vallen.

MaD_co schreef op dinsdag 31 december 2019 @ 09:44:
[...]


Binnenkort? Even?

Als je ziet dat er nu al 4 accounts zijn overgenomen, en slachtoffers heeft gemaakt.
en nog eens ziet dat er veel aanmeldpogingen worden gedaan.

Is het dan geen tijd om dat "direct" te doen?
Desnoods doe je dit voor alle users, als het teveel werk is om lijsten naast elkaar te vergelijken.

Ik bedoel maar te zeggen, tweakers is het visite kaartje voor IT in Nederland, laat dan ook zien dat dat jullie weten wat te doen in zulke gevallen, en niet afwachten tot er meer slachtoffers vallen.

Er wordt niet afgewacht, achter de schermen wordt er al druk aan gewerkt. Het is alleen niet handig om de opsporingsmethodes hier in het openbaar te gaan bespreken lijkt me

Malantur schreef op dinsdag 31 december 2019 @ 09:19:
[...]

Is dat niet de reden waarvoor er Captcha's zijn uitgevonden? Ik heb nog al sites gezien: 2 keer mag je mis inloggen maar vanaf dan mag je lekker verkeerslichten en zebrapaden klasseren
10 keer mis inloggen? Temp IP ban of iets dergelijks.

De laatste keer werden er 25.000 verschillende ip adressen gebruikt verspreid over meerdere dagen, dus al die beveiligingen gaan dan al niet meer op. We hebben de captcha wel nog strenger ingesteld voor buitenlandse ip adressen waardoor dit wat beter word opgevangen.

hoi1234 schreef op dinsdag 31 december 2019 @ 10:47:
[...]

Even een simpele vraag. Ik heb een gmailaccount en Hotmailaccount. Betekent dit dat ik voor iedere dienst een uniek emailadres moet aanmaken? Ik heb namelijk eens gehoord dat je op zekere hoogte het emailadres kan aanpassen, maar de mail alsnog naar jou wordt gemaild.

Bijv. Hoi1234@gmail.com is mijn emailadres. Kan ik dan op Tweakers het niet bestaande e-mailadres hoi1234.tweakers@gmail.com gebruiken?

Ik heb het net even snel opgezocht https://lifehacking.nl/to...dres-voor-slimme-filters/ ( als de info nog steeds klopt). Puntjes werken dacht ik niet zo, een " +" met de websitenaam @gmail.com zeker wel.

Als je spam of iets dergelijks krijgt, dan weet je direct wie de boosdoener is.

Edit 1: Dus in je voorbeeld, Hoi1234+tweakers@gmail.com moet werken, de versie met " ." niet.

Edit 2: Het belangrijkste blijft een uniek wachtwoord waarbij een wachtwoordmanager je erg goed bij kan helpen. Ik gebruik zelf Lastpass op m'n PC ( chrome extensie) en op Android. Die syncen met elkaar, dus overal heb ik achter 1 sterk wachtwoord m'n inloggegevens van elke site die ik gebruik.

[ Voor 19% gewijzigd door janvanduschoten op 31-12-2019 10:54 ]

janvanduschoten schreef op dinsdag 31 december 2019 @ 10:50:
[...]


Ik heb het net even snel opgezocht https://lifehacking.nl/to...dres-voor-slimme-filters/ ( als de info nog steeds klopt). Puntjes werken dacht ik niet zo, een " +" met de websitenaam @gmail.com zeker wel.

Als je spam of iets dergelijks krijgt, dan weet je direct wie de boosdoener is.

Edit 1: Dus in je voorbeeld, Hoi1234+tweakers@gmail.com moet werken, de versie met " ." niet.

Edit 2: Het belangrijkste blijft een uniek wachtwoord waarbij een wachtwoordmanager je erg goed bij kan helpen. Ik gebruik zelf Lastpass op m'n PC ( chrome extensie) en op Android. Die syncen met elkaar, dus overal heb ik achter 1 sterk wachtwoord m'n inloggegevens van elke site die ik gebruik.

Ik heb lastpass gisteren weer verlengd. Ik gebruik al jaren een wachtwoordmanager (eerst keepass sinds half jaar lastpass). Al mijn wachtwoorden in lastpass zijn uniek.

Jouw tip is denk ik alleen om spammers en leks op te sporen? Ik bedoel een hacker begrijpt ook wel dat hij mijn originaccount kan hacken met hoi1234@gmail.com ipv hoi1234.tweakers@gmail.com

Unieke e-mailadressen snap ik ook nog niet helemaal. Hoe veilig zijn die? Ik zou pas veel te laat merken dat ze gehackt zijn, omdat ik er nooit op kom. Om nou een domein te huren voor dit soort zaken, lijkt me ook overkill.

[quote][b][m

[ Voor 98% gewijzigd door Verwijderd1 op 21-10-2021 09:00 ]

hoi1234 schreef op dinsdag 31 december 2019 @ 11:01:
[...]

Ik heb lastpass gisteren weer verlengd. Ik gebruik al jaren een wachtwoordmanager (eerst keepass sinds half jaar lastpass). Al mijn wachtwoorden in lastpass zijn uniek.

Jouw tip is denk ik alleen om spammers en leks op te sporen? Ik bedoel een hacker begrijpt ook wel dat hij mijn originaccount kan hacken met hoi1234@gmail.com ipv hoi1234.tweakers@gmail.com

Unieke e-mailadressen snap ik ook nog niet helemaal. Hoe veilig zijn die? Ik zou pas veel te laat merken dat ze gehackt zijn, omdat ik er nooit op kom. Om nou een domein te huren voor dit soort zaken, lijkt me ook overkill.

De toevoeging aan het mailadres zijn ( voor mij iig) om te kunnen zien waar eventuele spam vandaan komt.

Gmail heeft een aantal handigheidjes qua email. Het maakt in Gmail niet uit of je wel of geen puntjes gebruikt. Je kunt met de volgende email adressen inloggen op Gmail en er email naar versturen: voornaamachternaam@gmail.com voornaam.achternaam@gmail.com v.o.o.r.n.a.a.m.a.c.h.t.e.r.n.a.a.m@gmail.com

Daarnaast kun je een + toevoegen achteraan je email adres. Op die manier kun je dus (per account) een apart email adres toevoegen. Ik maak daar gebruik van zodat ik de inkomende berichten kan sorteren op basis van hun suffix:
voornaamachternaam+tweakers@gmail.com
voornaamachternaam+twitter@gmail.com
voornaamachternaam+facebook@gmail.com
voornaamachternaam+bol@gmail.com
voornaamachternaam+jumbo@gmail.com

Alles achter de + wordt door Gmail genegeerd. Helaas zijn er sommige websites die geen + accepteren als "geldig email adres". Daar moet ik het dus helaas doen met voornaamachternaam@gmail.com en dan filteren op de afzender.

Verwijderd1 schreef op dinsdag 31 december 2019 @ 11:07:
[...]


Als je hoi1234.tweakers@gmail.com dan moet de hacker wel weten dat je dat gebruikt om in jouw Tweakers account te komen. In plaats van .tweakers kan je natuurlijk ook een code gebruiken die alleen jouw passwoordmanager (en je mailbox) bijhoudt. Je zou zelfs twee passwordmanagers aan kunnen houden, een voor je wachtwoorden en een voor je custom mailadressen (die wel allemaal naar dezelfde mailbox leiden, bijvoorbeeld met die plusjes). Dan is zelfs een gekraakte passwordmanager (ervan uitgaande dat die geen toegang tot je mail geeft) geen volledige buit.

Dat is een goede. 2 passwordmanagers vind ik onzin. Wordt erg duur (78 euro per jaar) en is compleet gebruikersonvriendelijk.Het zal z'n gang wel niet lopen...

Anoniem: 235591 schreef op maandag 30 december 2019 @ 00:09:
Tientallen berichten en geen modje te bekennen die er ook maar iets zinnigs over kan zeggen. In het gelinkte topic hierboven schuiven ze het af door te zeggen dat je op een site moet kijken of je gepowned bent, en het te vergelijken met Marktplaats (want die heeft toch ook geen 2FA). Dat heet afschuiven en Tweakers zou er goed aan doen 2FA in te zetten.

Wat een aanfluiting vanuit Tweakers. Kom op zeg. Een tech site welke schijnbaar makkelijk te hacken is en geen enkele vorm van 2FA heeft en het probleem afschuift. Lachertje.

Doe niet zo raar. Dit is helemaal geen teken dat Tweakers makkelijk te hacken is. Een aantal mensen hebben hun wachtwoord laten slingeren of hergebruikt op andere websites en daarmee wordt ingelogd.

De definitie van hacken is volgens Ensie:

Hacken is het illegaal inbreken in computers of computernetwerken door het omzeilen van beveiligingsmaatregelen.

Beveiligingsmaatregelen zijn niet omzeild, want de oplichter had gewoon de correcte inloggegevens. Hoe is Tweakers hiervoor aansprakelijk?

Goed, ze hadden 2fa aan kunnen bieden. Ik weet echter uit de praktijk dat mensen dat pas gaan gebruiken na het moment dat het nodig was. Dan blijf je nog steeds vatbaar voor die 90% die 2fa nog niet actief zetten. Met het verplichten jaag je weer een grote groep users weg.

Er is niet direct een juiste oplossing dat dit probleem volledig gaat verhelpen. En claimen dat Tweakers makkelijk te hacken is en het probleem afschuift helpt niemand.