Mogelijk datalek Lightspeed webshops

Patsie75 schreef op dinsdag 23 februari 2021 @ 10:22:

Aangezien het email adres wat voor de spam gebruikt is dus eenmalig en alleen voor deze webshop is gebruikt, kan ik dus met zekerheid zeggen dat het wel van hun webshop moet zijn gelekt.

Wat zijn goede vervolgstappen die ik hier in zou kunnen nemen?

Vorkie schreef op dinsdag 23 februari 2021 @ 11:19:
Maar hoe zit je mailadres in elkaar?.

<leverancier>@domeinnaam.nl of <dsdssfer>@domeinnaam.nl

Bij de eerste is het gewoon simpel te verklaren, in zo verre, coolblue@domeinnaam.nl bol@domeinnaam.nl etc kunnen spammers allemaal proberen.

[ Voor 28% gewijzigd door DataGhost op 23-02-2021 11:35 ]

DataGhost schreef op dinsdag 23 februari 2021 @ 11:20:

Dit is een veelgehoord argument (vooral van bedrijven die de beschuldiging van een datalek ontvangen) en in de praktijk gebeurt dit (bij mij) niet. Ik heb monitoring op welke niet-bestaande adressen geprobeerd worden op mijn domein en er worden vrijwel geen adressen geprobeerd buiten info@ support@ web@ postmaster@ enzovoort. Ook volgens het formaat wat ik voor bedrijfsspecifieke adressen gebruik zie ik geen random pogingen binnenkomen. En er zijn meerdere adressen gelekt (o.a. via Adobe) dus onbekend ben ik niet.

Jonathan schreef op vrijdag 16 april 2021 @ 08:54:
Wel ineens spam gekregen op een nieuw uniek e-mailadres (met wifimedia2 in de naam) wat ik voor het klantenservice contact heb gebruikt...

• Ik heb begin 2018 een bestelling gedaan bij KNO-winkel.nl
• Het e-mailadres is uniek en eenmalig gebruikt
• Het e-mailadres is beveiligd met 2FA
• KNO-winkel geeft aan geen gegevens te delen met derde partijen
• Zover ik kan beoordelen zijn mijn apparaten verder spyware- en virusvrij
• De webshop maakt gebruik van Lightspeed, ik vond ook dit wellicht gerelateerde topic
• Ik heb ook van PostNL destijds een mailtje gehad op dit adres m.b.t. de bezorging, zij hebben het adres dus ook in hun bezit

[ Voor 7% gewijzigd door rnark op 05-05-2021 16:36 ]

rnark schreef op woensdag 5 mei 2021 @ 16:14:
Vanmorgen ontving ik spam op een adres dat ik enkel gebruik voor KNO-winkel.nl: knowinkel@mijndomeinhier.nl.

Jazzy schreef op woensdag 5 mei 2021 @ 16:21:
[...]

If it looks like a duck, walks like a duck... Dit lijkt me een prima indicatie dat er inderdaad sprake van een lek is. Het verweer lijkt me onwaarschijnlijk, alsof iemand gaat raden of jij misschien een uniek mailadres gebruikt hebt om daar vervolgens spam aan te versturen. Ben benieuwd hoe dit uitpakt.

Het mailadres al eens in Have I been Owned gegooid?

[ Voor 15% gewijzigd door rnark op 05-05-2021 16:34 ]

pagani schreef op woensdag 5 mei 2021 @ 16:58:
KNO-Winkel zit óók op bol.com, heb je niet toevallig bij hun besteld via het Bol platform?

Jazzy schreef op woensdag 5 mei 2021 @ 17:31:
[modbreak]@rnark Ik heb je topic even samengevoegd met het vorige topic dat je aanhaalde in je startpost. Aangezien het niet beperkt is tot één webshop maar lijkt te gaan om meerdere klanten van Lightspeed geeft het een beter beeld als we alle informatie in één topic hebben.[/]

rnark schreef op woensdag 5 mei 2021 @ 16:27:
Dit lijkt trouwens al wat langer te spelen, ik kreeg net vanuit de webwinkel nog een linkje naar dit topic op de Lightspeed community. De onderste reactie vanuit Lightspeed is exact het bericht dat ik via de webwinkel toegestuurd kreeg.

vanaalten schreef op woensdag 12 mei 2021 @ 08:19:
Hmmm, vanochtend ontving ik dus spam op 'batterijenstunter@<mijndomein>'.

Dus even de broncode van batterijenstunter.nl in de webbrowser bekeken:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14

<!DOCTYPE html> <!--[if IE 8]> <html class="ie8" lang="nl"> <![endif]--> <!--[if IE 9]> <html class="ie9" lang="nl"> <![endif]--> <!--[if !IE]><!--> <html lang="nl"> <!--<![endif]--> <head> <meta charset="utf-8"/> <!-- [START] 'blocks/head.rain' --> <!-- (c) 2008-2021 Lightspeed Netherlands B.V. http://www.lightspeedhq.com Generated: 12-05-2021 @ 08:14:24 ...

...lightspeed dus.

Via het contactformulier aan de webshop laten weten, maar er was daar niets bekend van een mogelijk datalek.

Namelijk, hebben onze specialisten deze meldingen grondig onderzocht en daaruit is gebleken dat er geen datalek is geweest binnen Lightspeed of onze servers.

Jazzy schreef op donderdag 20 mei 2021 @ 17:27:
Er kan geen twijfel over bestaan dat het probleem bij Lightspeed zit.

downtime schreef op maandag 26 april 2021 @ 13:21:
[...]

Ik heb nog steeds maar 1 mail n.a.v. het AK lek gehad.

Kwam er gisteren wel achter dat weer een ander bedrijf mijn gegevens gelekt heeft. Kreeg op dat adres een mail waarin beweerd werd dat ik gratis iets van BOL krijg mits ik zelf even de verzendkosten betaal. Het gaat maar door.

[ Voor 16% gewijzigd door FlipFluitketel op 21-05-2021 08:12 ]

Vorkie schreef op dinsdag 23 februari 2021 @ 11:19:
Maar hoe zit je mailadres in elkaar?.

<leverancier>@domeinnaam.nl of <dsdssfer>@domeinnaam.nl

Bij de eerste is het gewoon simpel te verklaren, in zo verre, coolblue@domeinnaam.nl bol@domeinnaam.nl etc kunnen spammers allemaal proberen.

Verwijderd schreef op donderdag 20 mei 2021 @ 19:53:
[...]

Ik hoor mensen dit vaker roepen maar ik heb echt nog nooit spam gehad op iets anders dan gelekte prefixen @example.com en op adressen zoals info@example.com

Ik ben al een tijdje online maar nog niet meegemaakt dat een random spammer dacht "hey weet je wat, we gaan spam sturen naar goudvisthuis.nl@example.com"

vanaalten schreef op zaterdag 22 mei 2021 @ 16:48:
Zelf houdt men het op geen datalek, maar mogelijk een app die gegevens heeft gedeeld met een spammer (zie ik bij mij als onwaarschijnlijk, want op iOS is dat niet eenvoudig te doen voor zover ik weet) of social engineering, wat ik zelf niet als heel waarschijnlijk zie.

vanaalten schreef op dinsdag 21 september 2021 @ 13:35:
Zojuist een spammail ontvangen (zo'n standaard Bol 'u ontvangt van ons een geschenk' bericht). En nog steeds gebruik ik een catch-all mailadres zodat ik aan het adres waarop ik het ontvang, kan zien waar mijn gegevens zijn gelekt.

Dit keer: beterbatterij(@)mijndomein.tld. Juist ja. En niet verrassend: beterbatterij is een webwinkel met, jawel, een Lightspeed systeem.

Geen idee wanneer ik daar ooit iets besteld heb (kan enkel m'n account met adresgegevens zien, geen bestelhistorie). Ik ga ook niet de moeite nemen van het melden van een lek, geen vertrouwen dat het ook maar tot iets gaat leiden. In elk geval wel webshops met Lightspeed backend in de toekomst negeren.

[ Voor 8% gewijzigd door mgizmo op 27-09-2021 20:17 ]

vanaalten schreef op dinsdag 21 september 2021 @ 13:35:
... Ik ga ook niet de moeite nemen van het melden van een lek, geen vertrouwen dat het ook maar tot iets gaat leiden. In elk geval wel webshops met Lightspeed backend in de toekomst negeren.

Brahiewahiewa schreef op maandag 27 september 2021 @ 16:47:
[...]

Aangezien dit topic al een half jaar loopt, mogen we dus aannemen dat alle Lightspeed backend shops ondertussen wel geharvest zijn. Terwijl alle professioneel betrokkenen het halstarrig blijven ontkennen. Lekker dan

vanaalten schreef op maandag 27 september 2021 @ 19:49:
[...]

Ik gok eigenlijk - gezien de webshops die er achter zitten - dat de webshops zelf gewoon een standaard pakket afnemen zonder enige kennis van zaken en klachten naar Lightspeed zelf doorspelen. Dus de enige professioneel betrokkenen zullen bij Lightspeed zitten.

DJMaze schreef op maandag 27 september 2021 @ 23:20:
Ik lees oude e-mailadressen en dat men jaren geleden besteld had.
Kan dus net zo goed toen een Woocommerce, Magento of anders zijn geweest, en deze shops zijn overgestapt.

Hebben jullie wel aan de betreffende shops gevraagd hoe oud jullie gegevens zijn, en welk commerce platform toendertijd gebruikt werd?

vikkoo schreef op dinsdag 28 september 2021 @ 14:28:
[...]


Ik heb met behulp van archive.org weten te achterhalen dat alle (inmiddels 3) webshops draaiden op SEOshop rond 2015 toen ik de bestellingen heb gedaan, te weten:

- oordopjesonline.nl
- lowlandoutdoor.nl
- bordenspellen.nl

SEOshop is in 2015 overgenomen door lightspeed, en in 2016 hernoemd naar lightspeed.

vanaalten schreef op maandag 27 september 2021 @ 19:49:
[...]

Ik vind het wel opvallend hoe weinig spam ik ontvang op de gelekte adressen. Zou verwachten dat ik wel meerdere spammails per week zou ontvangen, maar het is tot nu toe beperkt tot een stuk of drie per winkel.

FlipFluitketel schreef op donderdag 20 mei 2021 @ 19:49:
Hmm.. 9 mei kreeg ik een mail van "bol.com" over "Ongebruikt tegoed" in mijn account op een webshopnaam@mijndomein-mailadres. Nu zag ik dit topic en de reactie van @vanaalten en toen ik op op de site van de webshop in de bron keek zag ik dus ook lightspeed. Oké, duidelijk dus..

Bestelling bij de betreffende webshop is van maart 2018.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

<html lang="en">
  <head>
    <!--
    InStijl Media Ultimate Theme
    Theme by InStijl Media
    https://www.instijlmedia.nl
    
    If you are interested in our special offers or some customizaton, please contact us at info@instijlmedia.nl.
    -->
    <!-- Google Tag Manager -->
    <script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
    new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
    j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
    'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
    })(window,document,'script','dataLayer','GTM-WZWHDV4');</script>
    <!-- End Google Tag Manager -->
    <script id="mcjs">!function(c,h,i,m,p){m=c.createElement(h),p=c.getElementsByTagName(h)[0],m.async=1,m.src=i,p.parentNode.insertBefore(m,p)}(document,"script","https://chimpstatic.com/mcjs-connected/js/users/3477e6b9f53e8d837ad227ccd/b59a03be0a72de9c7c7046fad.js");</script>

    <meta charset="utf-8"/>
<!-- [START] 'blocks/head.rain' -->
<!--

  (c) 2008-2021 Lightspeed Netherlands B.V.
  http://www.lightspeedhq.com
  Generated: 25-10-2021 @ 14:02:46

-->
<link rel="canonical" href="https://www.wifimedia.eu/en/"/>
<link rel="alternate" href="https://www.wifimedia.eu/en/index.rss" type="application/rss+xml" title="New products"/>
<link href="https://cdn.webshopapp.com/assets/cookielaw.css?2021-06-28" rel="stylesheet" type="text/css"/>
<meta name="robots" content="noodp,noydir"/>
<meta name="google-site-verification" content="MRIw7gXcCemsQ7cVdp1J144rZWw4kSfILF0hS8nNw28"/>
<meta property="og:url" content="https://www.wifimedia.eu/en/?source=facebook"/>
<meta property="og:site_name" content="Wifimedia"/>
<meta property="og:title" content="Wifimedia - The future is now!"/>
<meta property="og:description" content="Wifimedia is a specialist shop in streaming audio and video, wireless networks and network storage systems."/>
<script>

RichieB schreef op woensdag 3 november 2021 @ 17:44:
Heeft de eigenaar van de webshops ooit gereageerd?

Graag geef ik nog een update over het onderzoek wat we hebben uitgevoerd en de daarbij behorende resultaten. Namelijk, hebben onze specialisten deze meldingen grondig onderzocht en daaruit is gebleken dat er geen datalek is geweest binnen Lightspeed of onze servers.

Na onderzoek zien we geen tekenen dat onze systemen zijn gecompromitteerd en zijn er ook geen incidenten geweest die kunnen leiden tot deze conclusie. Na analyse van de e-mails van een aantal verschillende klanten hebben we daarbij ook een enkele overeenkomende patronen gevonden die ik hieronder graag toelicht.

• Alle e-mails vallen onder dezelfde noemer “Bol-geschenk”.
• Alle e-mails zijn een imitatie van een geschenk naar aanleiding van een bezoek aan een website.
• De spam/phishing campagnes die zich voordoen als “bol.com” lopen al sinds 2017/18 in het wild, en zijn gericht op voornamelijk en/of uitsluitend Nederlandse klanten (niet beperkt tot Lightspeed-klanten). Dit betekent in de eerste plaats dat het niet exclusief is voor Lightspeed of voor een Lightspeed potentiële inbreuk. Wanneer het namelijk zou gaan om een Lightspeed specifieke inbreuk, zouden alleen onze klanten het doelwit geweest zijn van dergelijke campagnes.
• Aangezien dit in het Nederlands en enkel binnen de Nederlandse markt lijkt te zijn, is de kans groot dat dit probleem zich voordoet bij de manier waarop de gegevens van de retailers worden gedeeld over de 3de partijen/aggregators/platforms, enz.

Al de bovenstaande punten en het gedane onderzoek laat ons geloven dat er bij Lightspeed geen inbreuk is geweest op de data van jouw klanten. Hieronder geef ik graag nog wat meer informatie over hoe e-mails ook op andere manieren kunnen worden buitgemaakt.

• Social engineering.
• Derde partijen die adressen van klanten gebruiken (apps die zijn geïnstalleerd of integraties die je zelf hebt opgezet), aggregators, marketing campagnes etc.
• Wanneer er een informatielek of -diefstal heeft plaatsgevonden op een apparaat waarop je was ingelogd.
• Wanneer er data wordt gedeeld bij het registreren bij andere websites/diensten.
• Wanneer er geen kennis is genomen van de algemene voorwaarden van derden voordat deze werden geaccepteerd.
• Social media platformen.
• Bij het aanbieden van je producten via andere advertentie platformen.
• Externe of derde partijen/platformen die zelf worden gecompromitteerd.

JME schreef op donderdag 18 november 2021 @ 12:02:
Afgelopen zondag ook een phishing mail van "bol.geschenk" ontvangen op een uniek mailadres voor Wifimedia.eu. Spammers wisten tevens mijn voor- en achternaam, bestelling bij Wifimedia dateert uit januari 2018. Lekker dan.

[ Voor 6% gewijzigd door Woy op 18-11-2021 15:38 ]

Woy schreef op donderdag 18 november 2021 @ 15:36:
[...]

Ik heb exact hetzelfde (bol.com geschenk), maar dan bij kno-winkel.nl, ook een mail alias die alleen hier gebruikt is. Ik heb de betreffende webwinkel gemaild, en een melding gemaakt bij ACM.

JME schreef op maandag 22 november 2021 @ 12:36:

Wat moet ik hier mee? Volgens mij zegt Wifimedia eigenlijk gewoon "joh, rot voor je, we gaan er niets mee doen maar toch bedankt voor de melding". Kan dat zomaar?

[ Voor 8% gewijzigd door troftnom op 30-12-2021 01:05 ]

downtime schreef op dinsdag 23 februari 2021 @ 10:25:
[...]

Waarom ben je zo zeker? Heb je geen malware waardoor jij zelf het adres gelekt hebt? Hoe zeker ben je daarvan?

Als de webshop in kwestie niet toegeeft dat zij een lek hebben (gehad) is het gebruik van dat email adres wel heel mager bewijs aangezien er minstens twee partijen met kennis van dat email adres zijn.

maarten.v.g schreef op donderdag 21 april 2022 @ 10:51:
[...]


Ik heb net als original poster unieke e-mail adres voor iedereen met een catch all. Vaak wordt dan inderdaad gezegd: heb je geen malware. Maar probeer mij eens uit te leggen hoe dat dan werkt?

Ik vul eenmalig op een website een e-mail adres in: pipo@domein.nl. Deze gaat naar mijn catch-all, dus ik gebruik dit adres helemaal nergens voor, alleen om in te loggen op die betreffende site. Daarvoor gebruik ik LastPass. Als LastPass gehackt zou zijn of ik malware zou hebben, zouden alle (500+) e-mail adressen op straat liggen. Dat is niet het geval, het zijn altijd 1 of 2 specifieke adressen waar ik rotzooi op binnenkrijg.

Volgens mij is het dan toch duidelijk dat het aan de kant van de webshop zit, niet aan mijn kant?

Overigens: melden bij AP of Fraude Helpdesk helpt niet: ze mogen niet eens het e-mail adres of de webshop registreren omdat dit persoonsgegevens zijn... zelfs niet als er fraude gepleegd is. Puur een administratiekantoor die ergens een tellertje ophoogt, maar niets doet.

maarten.v.g schreef op donderdag 21 april 2022 @ 10:51:
[...]

Ik heb net als original poster unieke e-mail adres voor iedereen met een catch all. Vaak wordt dan inderdaad gezegd: heb je geen malware. Maar probeer mij eens uit te leggen hoe dat dan werkt?

Ik vul eenmalig op een website een e-mail adres in: pipo@domein.nl.

Het e-mailadres is wel degelijk bij ons achtergelaten. Dit kan door jezelf gedaan zijn of wellicht door iemand anders.

Ik heb hier zojuist direct zelf melding van gemaakt bij de autoriteit persoonsgegevens, [ ... ] en de partij waar onze webshop wordt gehost (Lightspeed).

We hebben uw zorgen onderzocht en we hebben geen enkel teken gevonden van een compromis met onze systemen. We hebben ook geen enkel bewijs gevonden van ongeautoriseerde toegang tot of gebruik van uw informatie.