Datalek allekabels.nl, kabeltje.com, Dutchdo, etc.

dok33 schreef op vrijdag 16 april 2021 @ 09:40:
[...]


De hashes zijn al gelekt. Opnieuw hashen doet niks met het wachtwoord.

[Voor 32% gewijzigd door xh3adshotx op 16-04-2021 09:53]

Dostar schreef op vrijdag 16 april 2021 @ 09:23:
Vandaag even een check gedaan. Ik heb 100% zeker een account op Allekabels. Vreemd genoeg werkt mijn login niet meer en bij wachtwoord vergeten krijg ik ook geen mail van ze.
Hele vreemde zaak...
Kunnen criminelen met mijn login gegevens het mail adres wijzigen en NAW + IBAN behouden? Heb namelijk geen zin in straks een hoop bestellingen bij Allekabels op mijn naam en een deurwaarder aan de deur.

Capacitor schreef op Friday 16 April 2021 @ 09:45:
[...]

Ik heb hetzelfde als jij. Toevallig gisteren je wachtwoord preventief gewijzigd? Ik wel namelijk en ik heb het idee dat het daaraan ligt.
Dat wachtwoord is niet gelekt natuurlijk, een vorige wel.
Het wordt echt enorm slecht gecommuniceerd

[Voor 7% gewijzigd door TheVMaster op 16-04-2021 10:17]

[Voor 7% gewijzigd door Lethalis op 16-04-2021 10:34]

02:32u @ nieuw adres
Laten we beginnen om onze welgemeende excuses aan te bieden voor eventuele overlast welke gepaard gaat met dit datalek en het feit dat dit nu pas duidelijk is geworden. Gelukkig zijn uw gegevens NIET gelekt!

03:27u @ oud adres
Beste klant van Allekabels,

Uw wachtwoord is gelekt bij een datalek en hebben wij om deze reden gewist. Laten we beginnen om onze welgemeende excuses aan te bieden voor eventuele overlast welke gepaard gaat met dit datalek en het feit dat dit nu pas duidelijk is geworden.

[Voor 6% gewijzigd door Mawlana op 16-04-2021 10:51]

EnigmA-X schreef op vrijdag 16 april 2021 @ 09:47:
[...]


Snap eerlijk gezegd niet zo goed waarom deze neerbuigendheid nodig is, zeker niet op het forum hier...


[...]


Ik vind niet dat je het zo zwart/wit kan stellen. Als verkopende partij heb je in mijn optiek ook wel wat verplichtingen om data veilig op te slaan. Daarnaast lijkt het me een behoorlijke misconceptie om te denken dat de gemiddelde 'allekabels.nl'-klant uberhaupt iets afweet van wachtwoordcomplexiteit. Datzelfde geldt overigens ook voor de website van Libelle bijvoorbeeld.

Kennelijk is de organisatie achter allekabels wel ISAE3402 gecertificeerd, maar ik kan nergens een bewijs vinden van certificering op iso-27001. Met de datalekken van de laatste tijd mag dat wat mij betreft vanaf een bepaalde vormgrootte van een organisatie wel verplicht gesteld gaan worden.

Wat een puinhoop.

Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig is uw wachtwoord NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen.
Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld,
maar dat geldt dus niet voor u.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,
Constantijn Souren

fl1mpie schreef op vrijdag 16 april 2021 @ 11:02:
Ik kreeg dit net binnen:


[...]


Alles is kraakbaar met genoeg effort en tijd...

[Voor 7% gewijzigd door fl1mpie op 16-04-2021 11:06]

Plons_de_Kikker schreef op vrijdag 16 april 2021 @ 10:29:
Ook hier een oud account en een door mij recent gereset wachtwoord. Volgens de mail van allekabels gaat het niet om mijn wachtwoord, terwijl dat dus wel zo is...

Weet iemand waar je onafhankelijk kunt checken of je getroffen bent? Kent haveibeenpwned deze hack al?

[Voor 3% gewijzigd door Cheesy op 16-04-2021 11:08]

xh3adshotx schreef op vrijdag 16 april 2021 @ 09:50:
[...]


Nu opnieuw hashen zal niets meer uitmaken voor de gelekte hashes nee... Dat was @The Zep Man zijn punt ook niet volgens mij. De vraag is waarom ze de hashes van de oudere accounts niet opnieuw gehashed hebben vóór de hack.

Zelfs als gebruikers niet opnieuw inloggen en je het plain-text wachtwoord niet hebt zou je nog de MD5 hash kunnen hashen met Aragon2. Vervolgens als iemand inlogt kan je eerst Aragon2(plain-text, db-hash) vergelijken met de database en vervolgens Aragon2(md5(plain-text), db-hash). Liever niet want je hebt dan in feite "twee" wachtwoorden die zouden werken, maar dat zou nog veiliger zijn dan dit.

JackSparrow schreef op vrijdag 16 april 2021 @ 10:15:
[...]


Die kans is best groot. Heb het gisteren gelijk gewijzigd toen ik de kans kreeg. Blijft natuurlijk slordig dat ze kijken naar de laatste wachtwoord wijziging datum in plaats van de registratiedatum. ik zag net dat mijn eerste bestelling al in 2014 was, dus dat zouden ze moeten kunnen zien.

Anoniem: 736981 schreef op vrijdag 16 april 2021 @ 12:10:
Hier ook mailtje gekregen dat ik er niet bij ben. Maar ik wil dit weekend toch werk maken van die eigen domein en unieke adressen. Zoveel spam sinds de recente lekken dat ik mijn privé adres ook zal moeten switchen

NLxDoDge schreef op vrijdag 16 april 2021 @ 12:37:
Ik heb zelf ook een account aangemaakt een half jaar terug, maar is die dan ook gelekt?
Ik heb tevens ook nooit een e-mail erover gehad als het namelijk wel zo is

Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

virtualjoe schreef op vrijdag 16 april 2021 @ 12:41:
Ik wil mijn account met 1 druk op de knop kunnen verwijderen in dit soort gevallen. Die optie bieden ze echter niet...

Anoniem: 736981 schreef op vrijdag 16 april 2021 @ 12:10:
Hier ook mailtje gekregen dat ik er niet bij ben. Maar ik wil dit weekend toch werk maken van die eigen domein en unieke adressen. Zoveel spam sinds de recente lekken dat ik mijn privé adres ook zal moeten switchen

virtualjoe schreef op vrijdag 16 april 2021 @ 12:41:
Ik wil mijn account met 1 druk op de knop kunnen verwijderen in dit soort gevallen. Die optie bieden ze echter niet...

Kan ik mijn gegevens laten verwijderen uit de systemen?
Ja, dat kan! Stuur hiervoor een mail naar info@allekabels.nl en zij zullen dan de gegevens conform de AVG richtlijnen (Algemene Verordening Gegevensbescherming)/GDPR-richtlijnen uit het systeem verwijderen.

virtualjoe schreef op vrijdag 16 april 2021 @ 12:41:
Ik wil mijn account met 1 druk op de knop kunnen verwijderen in dit soort gevallen. Die optie bieden ze echter niet...

[Voor 9% gewijzigd door Oon op 16-04-2021 12:47]

Room42 schreef op vrijdag 16 april 2021 @ 12:46:
[...]


[...]

#RTFF dus

Oon schreef op vrijdag 16 april 2021 @ 12:45:
[...]

Ik heb een tijdje geleden sub-addressing mogelijk gemaakt op mijn eigen mailserver en zo langzamerhand dus mijn emailadressen ook aan het aanpassen op verschillende websites. In veel gevallen bijvoorbeeld <naam>+tweakers2021@<domein>, zodat ik ook meteen weet om welk jaar het gaat. Die zal ik zeker niet ieder jaar aanpassen, maar dat biedt wel weer wat extra info over hoe oud de gegevens zijn die gelekt zijn.

Nu alleen op zoek naar een manier om dat ook makkelijk te beheren. Ben nog steeds bezig met hele oude wachtwoorden vervangen (zijn er 1421 die volgens LastPass 'at-risk' zijn), en dan maar eens over naar Bitwarden. Nog heel wat opruimwerk te gaan, maar met al die datalekken tegenwoordig zeker wel de moeite waard.

offtopic:
Het pas op met het opruimen, in Bitwarden is dat echt een rampenplan! Ik twijfel om mijn vault te exporteren, dan op te schonen en weer te importeren.

Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

Joao schreef op vrijdag 16 april 2021 @ 12:56:
Ik kreeg vannochtend een email van Allekabels.nl waarin staat:

[...]

Moet ik mij hier zorgen om maken? Als de wachtwoorden gehashed zijn, welke hash gebruikten zij dat het bij klanten voor 1 september 2018 te kraken is...

[Voor 17% gewijzigd door Room42 op 16-04-2021 12:59]

Room42 schreef op vrijdag 16 april 2021 @ 12:58:
[...]

Als dit de enige site is waar je dat bewuste wachtwoord gebruikt hebt, hoef je je daar geen zorgen om te maken. De rest van de gemelde persoonsgegevens liggen op straat. Als je je wachtwoord hergebruikt hebt, moet je overal dat wachtwoord wijzigen. Het liefst meteen overal naar een unieke.

Hoe het gehashed was, maakt niet meer uit. Het is 'gekraakt', dus nu ligt de bal bij jou.

Joao schreef op vrijdag 16 april 2021 @ 13:01:
[...]

Ik ben ook benieuwd welke encryptie gebruikt is aangezien die van voor 09-2018 te kraken zijn... Zal toch niet zijn dat het een hele lage dichtbij plaintext encryptie is.
Als dit het geval is hoop ik dat zij een mega boete krijgen en de deur kunnen sluiten.

Joao schreef op vrijdag 16 april 2021 @ 13:01:
[...]

Ik ben ook benieuwd welke encryptie gebruikt is aangezien die van voor 09-2018 te kraken zijn... Zal toch niet zijn dat het een hele lage dichtbij plaintext encryptie is.
Als dit het geval is hoop ik dat zij een mega boete krijgen en de deur kunnen sluiten.

Rannasha schreef op vrijdag 16 april 2021 @ 13:03:
[...]

MD5. Eigenlijk dus min of meer plain text.

Op basis van uw melding zijn we op onderzoek uitgegaan en gelukkig hebben we geen lek kunnen ontdekken binnen onze eigen systemen.

Wel hebben we geconstateerd dat we de e-mailadressen van onze klanten delen met onze partners zonder verdere encryptie. Denk hierbij aan PostNL en review partners.
We hebben dan ook een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.

Zodra de nieuwe gecrypte e-mail database online is gegaan, zullen we u een bericht sturen.

Het blijft natuurlijk vreemd dat mijn unieke mail adres "xxxxxxxxx@xxxxxxxxxx.xxx" phishing mail ontvangt. Omdat ik overal unieke mailadressen gebruik zou het mij opvallen als ik dezelfde spam/phishing op meerdere verschillende email addressen ontvang. Dan zit het lek bij mij zelf. Dat was hier niet het geval. Dus dan is het veel waarschijnlijker dat het lek extern zit. Mijn spam filter ving de phishing wel af, dus derhalve zou het goed kunnen dat jullie niet meer klachten ontvangen hebben. Een lek bij postnl vind ik ook wel een dingetje en zie ik ook niet terug in vergelijkbare phishing mailtjes. Ik zou dan ook van andere bedrijven waar ik bestel met postnl ongewenste mail moeten krijgen. Dat is ook niet het geval. Het encryptie van een verbinding is alleen relevant als deze afgeluisterd zou worden.... m.a.w. als ik een beetje aan kansrekening doe, dan zou ik als ik jullie was echt heel goed kijken of het niet bij jullie zit!!!

Gratis tip: zet een uniek mail adres van jezelf in jullie database (op alle plekken waar klant email adressen staan, incl de backups, unieke mailaddressen per plek is nog slimmer) dan zie je zelf (in spam) wanneer er iets mis gaat.

Room42 schreef op vrijdag 16 april 2021 @ 13:09:
[...]

Wachtwoorden worden over het algemeen niet 'encrypted' maar gehashed. Dat is eenrichtingsversleuteling. Je kunt ze dus niet ontsleutelen. Dat betekent dat ze alleen te vergelijken zijn door ze opnieuw te hashen.

Om de opslag iets veiliger te maken, wordt een random 'salt' string toegevoegd aan het wachtwoord voordat deze gehashed wordt. Echter is dus blijkbaar de salt ook gestolen en is dus het wachtwoord samen met de salt te halen uit zogenaamde rainbow tables dan wel relatief goedkoop te 'brute forcen', tegenwoordig. MD5 is niet sterk genoeg meer.

MerijnB schreef op vrijdag 16 april 2021 @ 13:13:
[...]


Toch snap ik dit niet helemaal. Rainbow tables gaat tot 8 karakters, de gelekte salt (allekabels.2005) is al langer dan 8. De hashes zijn dus nooit in een een rainbowtable te vinden, dus waarom is het zo erg dat in dit geval de salt ook naar buiten is gekomen?

Room42 schreef op vrijdag 16 april 2021 @ 13:15:
[...]

Met een paar stevige AWS instances is het niet zo moeilijk en duur om de wachtwoorden even opnieuw te brute-forcen, denk ik.

[Voor 38% gewijzigd door MerijnB op 16-04-2021 13:19]

Oon schreef op vrijdag 16 april 2021 @ 12:45:
[...]

Ik heb een tijdje geleden sub-addressing mogelijk gemaakt op mijn eigen mailserver en zo langzamerhand dus mijn emailadressen ook aan het aanpassen op verschillende websites. In veel gevallen bijvoorbeeld <naam>+tweakers2021@<domein>, zodat ik ook meteen weet om welk jaar het gaat. Die zal ik zeker niet ieder jaar aanpassen, maar dat biedt wel weer wat extra info over hoe oud de gegevens zijn die gelekt zijn.

Nu alleen op zoek naar een manier om dat ook makkelijk te beheren. Ben nog steeds bezig met hele oude wachtwoorden vervangen (zijn er 1421 die volgens LastPass 'at-risk' zijn), en dan maar eens over naar Bitwarden. Nog heel wat opruimwerk te gaan, maar met al die datalekken tegenwoordig zeker wel de moeite waard.

MerijnB schreef op vrijdag 16 april 2021 @ 13:16:
[...]

Ik denk dat je dit heel zwaar onderschat.

Als dat zo makkelijk is, waarom gaan de rainbow tables dan niet verder dan 8 karakters?

Of is de conclusie dat je dan nieuwe rainbowtables gaat genereren waar je deze salt meeneemt?
Iemand een idee hoe lang dat duurt?

Dan zou je moeten concluderen dat als je wachtwoord al langer dan 8 karakters was het nog steeds niet op straat ligt.

Anoniem: 736981 schreef op vrijdag 16 april 2021 @ 13:21:
[...]
Eigen mailserver etc hoeft nu ook wel niet, ik zat gewoon aan een domein te denken via GoDaddy met een office licentie in, dan kan ik 400 aliassen maken en dit is ruim voldoende maar eigenlijk weet ik niet zo goed wat de beste aanpak hiervoor is

Kevin Mol schreef op vrijdag 16 april 2021 @ 13:23:
[...]


OT vraag, is het niet makkelijker om bij een gigantische DB zoals dit is om de salt proberen te bruteforcen? de resultaten scannen op 'logische' woorden zoals maanden / namen e.d.

Het is totaal niet mijn vakgebied, ben gewoon benieuwd of dit mogelijk is.

Rannasha schreef op vrijdag 16 april 2021 @ 13:24:
[...]

Een hosting provider pakken waar je een catch-all email kunt instellen. Daarmee gaat alle mail naar @domein.tld (behalve eventuele aliassen die je hebt ingesteld) naar 1 specifiek emailadres. Zo kun je al deze mail automatisch op een punt ontvangen zonder dat je voor iedere registratie bij een nieuw bedrijf opnieuw naar je control panel moet om een nieuwe alias aan te maken.

MerijnB schreef op vrijdag 16 april 2021 @ 13:26:
[...]


Wat bedoel je met de salt brufeforcen? Hoe zie je dat voor je met de data die op straat ligt?

Kevin Mol schreef op vrijdag 16 april 2021 @ 13:36:
[...]


Ik dacht dat een salt bijvoorbeeld altijd 10 tekens is. In een DB van 2 mil wachtwoorden is het best 'aannemelijk' dat er een match zit op eerdere leks (mensen veranderen niet het ww)

Stel user 1 heeft email user1@gmail.com het wachtwoord konijn123! bij datalek X
Ook user 1 komt in dit lek (lek Y) voor met user1@gmail.com.

Kan je niet konijn123! +random salt 'bruteforcen' tot je op dezelfde value komt als de value in lek Y?

Of is dit hoe normaal salts worden 'gehacked'?

MerijnB schreef op vrijdag 16 april 2021 @ 13:44:
[...]


Als de salt bekend is, en er is al een wachtwoord van je bekend uit een vorig lek (lek X), en je hebt op de site van het nieuwe lek (lek Y) hetzelfde wachtwoord gebruikt, zou je op deze manier kunnen bevestigen dat deze ditzelfde wachtwoord ook in lek Y voorkomt.

Kevin Mol schreef op vrijdag 16 april 2021 @ 13:53:
[...]


Ah je kan dus niet proberen om konijn123! + xxxxxxxxx = SHA256 value te matchen met de SHA256 value die al encrypted hebt van lek Y?

Waarbij xxxxxxxxx dus steeds 1 getal / letter aangepast wordt? Of duurt deze manier van brute forcen gewoon te lang omdat er te veel opties zijn?

Herko_ter_Horst schreef op vrijdag 16 april 2021 @ 14:08:
Zojuist een mail van AlleKabels ontvangen met de volgende titel: "Wij hebben onmiddellijk maatregelen genomen om u als klant te beschermen". Lol, wie denken ze hiermee voor de gek te houden?

Rannasha schreef op vrijdag 16 april 2021 @ 13:24:
[...]

Een hosting provider pakken waar je een catch-all email kunt instellen. Daarmee gaat alle mail naar @domein.tld (behalve eventuele aliassen die je hebt ingesteld) naar 1 specifiek emailadres. Zo kun je al deze mail automatisch op een punt ontvangen zonder dat je voor iedere registratie bij een nieuw bedrijf opnieuw naar je control panel moet om een nieuwe alias aan te maken.

Anoniem: 736981 schreef op vrijdag 16 april 2021 @ 13:21:
[...]


Eigen mailserver etc hoeft nu ook wel niet, ik zat gewoon aan een domein te denken via GoDaddy met een office licentie in, dan kan ik 400 aliassen maken en dit is ruim voldoende maar eigenlijk weet ik niet zo goed wat de beste aanpak hiervoor is

sverzijl schreef op vrijdag 16 april 2021 @ 14:59:
Ik begin me wel af te vragen waarom ik me ueberhaupt nog registreer op webshops. Voortaan maar gewoon als guest afrekenen. Maar dan zullen mijn gegevens ook nog wel op straat komen te liggen. Zal niet alleen om wachtwoorden gaan vermoed ik.

The Zep Man schreef op vrijdag 16 april 2021 @ 15:27:
[...]
Grapjas. Alsof dat bij elke webshop kan.

Spoiler: dat kan maar bij sommige webshops, en is eerder uitzondering dan regel.

[Voor 5% gewijzigd door sverzijl op 16-04-2021 15:29]

martijn946 schreef op vrijdag 16 april 2021 @ 15:43:
En dan nog. Je gegevens staan alsnog in de database. Zonder gebruikersnaam en wachtwoord weliswaar, maar de rest wel.

sverzijl schreef op vrijdag 16 april 2021 @ 15:47:
[...]

ja klopt, dat zei ik al. Hebben ze alleen het password niet. Dus zal niet veel uitmaken.

slaay schreef op vrijdag 16 april 2021 @ 16:10:
Gisteren meteen verzoek gestuurd om mijn account verwijderen. Kreeg daarop tweemaal bericht dat ze mijn account gaan verwijderen. Daarbij viel op dat ze een pixel laden via een http verbinding..

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

*knip Beste,<br /> <br /> Bedankt voor uw bericht.<br /> <br /> Wij zullen uw account laten verwijderen door onze IT afdeling.<br /> Wij willen u adviseren alle facturen goed te bewaren ten behoeve van garantie, deze kunnen wij na het verwijderen niet meer inzien.<br /> <br /> Wij hopen u hiermee van dienst te zijn geweest.<img src="http://mail.allekabels.nl/ticket_pix.php?id=19259xx&aid=5xx" width="0" height="0"><br /> <br /> Met vriendelijke groet,<br /> Teun<br /> <br /> Heeft u nog vragen naar aanleiding van dit antwoord? Wij helpen u graag verder, houd daarvoor uw ticketnummer bij de hand: xxxxxx<br /> <br /> U kunt ook in uw <a href="https://www.allekabels.nl/member/ticketHistory.php">persoonlijke account</a> uw bestellingen en eerder gestelde vragen gemakkelijk terugvinden. <br /> <br /> <br /> *knip

xx=uniek nummer

Beste klant van Allekabels,

Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden. Gelukkig is uw wachtwoord NIET gelekt!

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk om te weten dat het NIET om uw wachtwoord gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen.
Deze klanten zijn inmiddels van deze maatregelen op de hoogte gesteld,
maar dat geldt dus niet voor u.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,
Constantijn Souren

[Voor 16% gewijzigd door Groentjuh op 16-04-2021 17:19]

Uw wachtwoord is gelekt bij een datalek en hebben wij om deze reden
gewist.

[Voor 22% gewijzigd door SinergyX op 16-04-2021 17:44]

slaay schreef op vrijdag 16 april 2021 @ 16:10:
Gisteren meteen verzoek gestuurd om mijn account verwijderen. Kreeg daarop tweemaal bericht dat ze mijn account gaan verwijderen. Daarbij viel op dat ze een pixel laden via een http verbinding..

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

*knip Beste,<br /> <br /> Bedankt voor uw bericht.<br /> <br /> Wij zullen uw account laten verwijderen door onze IT afdeling.<br /> Wij willen u adviseren alle facturen goed te bewaren ten behoeve van garantie, deze kunnen wij na het verwijderen niet meer inzien.<br /> <br /> Wij hopen u hiermee van dienst te zijn geweest.<img src="http://mail.allekabels.nl/ticket_pix.php?id=19259xx&aid=5xx" width="0" height="0"><br /> <br /> Met vriendelijke groet,<br /> Teun<br /> <br /> Heeft u nog vragen naar aanleiding van dit antwoord? Wij helpen u graag verder, houd daarvoor uw ticketnummer bij de hand: xxxxxx<br /> <br /> U kunt ook in uw <a href="https://www.allekabels.nl/member/ticketHistory.php">persoonlijke account</a> uw bestellingen en eerder gestelde vragen gemakkelijk terugvinden. <br /> <br /> <br /> *knip

xx=uniek nummer

Weltschmerz schreef op vrijdag 16 april 2021 @ 17:45:
[...]


Ik ben niet zo bekend met wat dit betekent. Ze kunnen via die pixel je tracken? Zou je dat meer toe kunnen lichten?

[Voor 34% gewijzigd door SinergyX op 16-04-2021 17:49]

dutchnltweaker schreef op vrijdag 16 april 2021 @ 09:19:
Ik snap iets niet, ik heb net een mail ontvangen van allekabels.nl over de datalek. Ik kon me niet herinneren dat ik daar ooit wat besteld had behalve bij kabelshop.nl . Ik dus net gecheckt maar kan helemaal 0,0 vinden in me mail betreft het aanmelden bij deze toko of iets te hebben besteld.

Hoe komen ze aan mijn mail en waarom krijg ik deze mail is de vraag?

Edit: nogmaals gecheckt maar heb daadwerkelijk geen account bij deze toko, hoe komen ze erbij om mij te mailen ?

[Voor 9% gewijzigd door dutchnltweaker op 16-04-2021 18:04]

torretje2012 schreef op vrijdag 16 april 2021 @ 09:06:
Vanacht zijn deze mails eindelijk verzonden:

[Voor 20% gewijzigd door Raven op 16-04-2021 19:22]

[Voor 6% gewijzigd door aawe mwan op 16-04-2021 22:02]

[Voor 28% gewijzigd door Webgnome op 16-04-2021 21:11]

djdg schreef op vrijdag 16 april 2021 @ 21:59:
Ik ben vanavond al twee keer vanuit Namibië gebeld. Nummers meteen geblokkeerd. Zal wel geen toeval zijn.

Jazzy schreef op vrijdag 16 april 2021 @ 21:47:
[modbreak]Het delen van de persoonsgegevens van de medewerkers van allekabels.nl is uiteraard niet de bedoeling. Hetzelfde geldt voor het resetten van wachtwoorden van andere gebruikers. Een aantal mensen kunnen een PM verwachten.[/]

Osxy schreef op vrijdag 16 april 2021 @ 22:39:
[...]


Dit snap ik echter is het online hebben van betreffende pagina al best zorgwekkend, geeft een beeld van de release straat van hun platform. Geen goed beeld...

SinergyX schreef op vrijdag 16 april 2021 @ 17:44:
[...]

Dus ze hebben zelfs data van 2013 er nog gewoon instaan

Letterlijk uur voordat dat mailtje kwam, eerste inlogpoging op Spotify al gehad.

[Voor 123% gewijzigd door MJV op 17-04-2021 06:52]

Beste klant van Allekabels,

Uw wachtwoord is gelekt bij een datalek en hebben wij om deze reden
gewist. Laten we beginnen om onze welgemeende excuses aan te bieden voor
eventuele overlast welke gepaard gaat met dit datalek en het feit dat
dit nu pas duidelijk is geworden.

Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack
door cybercriminelen en heeft daar meteen melding van gemaakt bij de
Autoriteit Persoonsgegevens en de technologische beveiliging maximaal
opgeschroefd. Ondanks het feit dat de wachtwoorden van de klanten
zijn versleuteld werd hedenmorgen in de media melding gemaakt dat
er wachtwoorden van klanten zijn gekraakt. Uit intern onderzoek van
Allekabels is komen vast te staan dat het om een minderheid van de
klanten gaat. Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat.

Om de belangen van u als klant maximaal te beschermen heeft Allekabels
besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat
geldt dus ook voor uw wachtwoord. U zult bij uw eerste bezoek aan onze
website een nieuw wachtwoord moeten kiezen.

Het is denkbaar dat u de komende periode oneigenlijk wordt benaderd met
bijvoorbeeld phishing e-mail. Allekabels roept u dan ook op om extra
waakzaam te zijn, hetgeen in deze tijd sowieso verstandig is. Heeft u
hetzelfde wachtwoord elders gebruikt? Dan wordt dringend geadviseerd om
direct en overal een ander wachtwoord te kiezen.

Indien u hier aanvullende vragen over heeft verwijzen wij u graag naar
onze website https://www.allekabels.nl/faq-1504.php

. Op een speciaal
ingerichte informatiepagina zullen wij onze websitebezoekers up-to-date
houden omtrent dit datalek.

Wij zijn bijzonder geschrokken van deze cyberhack en zal de kwestie
diepgaand onderzoeken en alle noodzakelijke maatregelen nemen. We
stellen alles in het werk om de belangen van u als klant optimaal te
beschermen.
--
Met vriendelijke groet,
<NAAM>

Hameaux schreef op vrijdag 16 april 2021 @ 17:13:
Hier ook vanmiddag de mail ontvangen dat mijn gegevens geen onderdeel zijn van de Datalek.

Nog geen 10 min later een schimmige e-mail met bol.com logo of ik nog even verzendkosten wil betalen, gericht aan hificorner-mijncatchall-domein.nl.

Goemies schreef op zaterdag 17 april 2021 @ 08:33:
Hier vannacht om 01:55 deze mail ontvangen:


[...]


Geen enkel woord over andere gegevens dan enkel het dat het wachtwoord is gelekt. De doelgroep van allekabels lijkt me toch net iets technischer onderlegt dan een gemiddelde nederlander. Snap niet waarom ze nou alles zo willen verbloemen en doen alsof alleen het wachtwoord buitgemaakt is..

[Voor 100% gewijzigd door Anoniem: 1441478 op 17-04-2021 10:01]

JoeZuCK schreef op zaterdag 17 april 2021 @ 09:50:
Krijg nu ook mailtje van Allekabels. Ze hebben mijn wachtwoord verwijderd. Is er een manier om te achterhalen wat überhaupt mijn wachtwoord was? Ergens in 2017 wat besteld, maar zou niet weten wat mijn WW was.

MerijnB schreef op zaterdag 17 april 2021 @ 10:41:
[...]

Als je het zelf niet hebt genoteerd, nee. Allekabels blundert hier aan alle kanten, maar het is (lijkt) gelukkig niet zo erg dat ze je wachtwoord kunnen inzien.

Kedav schreef op zaterdag 17 april 2021 @ 07:01:
Heb vannacht ook de mail ontvangen dat mijn ww gelekt zou zijn maar was zelf in de veronderstelling dat ik nooit een account heb aangemaakt, wel 3x wat besteld maar dan gewoon als guest.

[Voor 33% gewijzigd door sig69 op 17-04-2021 12:27]