Scoupy datalek

Pagina: 1
Acties:

Acties:
  • +1 Henk 'm!

Anoniem: 1638126

Topicstarter
Beste Gebruiker,

Scoupy heeft de veiligheid van klantgegevens hoog in het vaandel staan. We doen er alles aan om onze databases en technologie maximaal te beveiligen. Toch hebben we gisteravond helaas geconstateerd dat we het slachtoffer zijn geworden van een cyberaanval met een datalek. Het lek is gevonden en meteen gedicht en we willen je met deze email informeren over het voorval en de mogelijke gevolgen voor jou.

Wat is er gebeurd?

Cyber criminelen hebben zich toegang verschaft tot persoonsgegevens op onze systemen. Er is een kans dat dit ook jouw gegevens betreft. Het betreft de volgende gegevens: naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum, kassabonnen en versleuteld wachtwoord en versleuteld bankrekeningnummer (IBAN). Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen.

Wat doen wij hieraan?

We hebben onmiddellijk een gespecialiseerd cybersecurity bedrijf ingehuurd om ons te helpen het lek te vinden en te dichten. Er is uitgebreid advies ingewonnen om correct en adequaat op deze situatie te reageren en de juiste stappen te zetten. Dit incident is gemeld bij de Autoriteit Persoonsgegevens en ook hebben we aangifte gedaan bij de politie. Het lek is gevonden en gedicht.

Wat voor gevolgen heeft dit voor jou?

Het kan zijn dat er contact met je wordt opgenomen via buitgemaakte contactgegevens om te proberen je op te lichten. Iemand kan zich bijvoorbeeld voordoen als een bankmedewerker en proberen om pincodes en/of wachtwoorden te verzamelen of je te verleiden om op een link te klikken. Ook bestaat de kans dat je ongewenste berichten via e-mail, sms of whatsapp ontvangt.

Wat kun je doen?

Wij adviseren je om de komende tijd extra alert te zijn voor pogingen tot oplichting. Zoals aangegeven is je Scoupy-wachtwoord door ons versleuteld opgeslagen. Dat betekent dat eventueel buitgemaakte wachtwoorden zeer waarschijnlijk niet te gebruiken zijn. Desondanks is het belangrijk je wachtwoord regelmatig te wijzigen.

En nu?

Helaas is gebleken dat dit soort incidenten ook met de grootste zorg voor een goede beveiliging niet altijd te voorkomen zijn. Daar balen we enorm van. Op basis van gedane bevindingen zijn we keihard bezig onze systeembeveiliging nog verder aan te scherpen. Dat zullen we de komende tijd blijven doen. Daardoor kan het voorkomen dat de beschikbaarheid van de app en de website minder is dan je gewend bent. Onze oprechte excuses voor eventueel ongemak dat je als gevolg hiervan ondervindt.

Meer informatie?

We hebben een speciale pagina op onze website gezet met vragen en antwoorden over dit incident. Mochten er nieuwe feiten aan het licht komen, dan zetten we die in ieder geval op deze FAQ. De FAQ kan je vinden op deze pagina.

Met vriendelijke groet,
Team Scoupy

Acties:
  • +1 Henk 'm!

  • zynex
  • Registratie: Mei 2007
  • Laatst online: 10-05 11:33
Ze hebben naar eigen zeggen meer dan 2 miljoen gebruikers. Dat maakt dit een zeer omvangrijke datalek als alle gebruikers getroffen zijn. Dat vermelden ze niet, maar helaas kun je daar vaak wel vanuit gaan. Ze geven verder geen informatie over de type beveiliging van de wachtwoorden en rekeningnummers. We weten dus nog steeds niet zeker of deze goed zijn versleuteld.

Al met al is dit weer de zoveelste datalek bij een bedrijf dat kennelijk niet de beveiliging op orde heeft. Het vervelende aan Scoupy is alleen dat ze een vrij compleet profiel hebben met naam, adresgegevens, geboortedatum, email, telefoonnummer en bankrekeningnummer. Daarmee is er een reëel risico op identiteit fraude. Combineer deze data met diverse andere lekken en je kan een eng gedetailleerd profiel van iemand hebben. Toch jammer dat dit weer gebeurd en ook 1 van de redenen dat ik op zo min mogelijk plekken mijn gegevens probeer achter te laten, maar helaas ontkom je er niet altijd aan. Bijvoorbeeld bij webshops, maar ook als daar een telefoonnummer verplicht is vermeld ik eigenlijk altijd een nep nummer.

  • Ryan_
  • Registratie: Februari 2009
  • Laatst online: 22:50
FAQ staat inmiddels ook online

  • g0tanks
  • Registratie: Oktober 2008
  • Laatst online: 10-05 11:55

g0tanks

Moderator CSA
Anoniem: 1638126 schreef op donderdag 16 september 2021 @ 20:01:
Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen.
Hoe werkt dat precies? Heeft Scoupy niet het onversleutelde bankrekeningnummer nodig om de cashback over te maken? Ik ben overigens zelf geen gebruiker van die website.

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW


  • zynex
  • Registratie: Mei 2007
  • Laatst online: 10-05 11:33
Via de website lijkt het (op dit moment?) onmogelijk om je account te verwijderen. Natuurlijk is dit te laat, maar toch vind ik het niet meer wenselijk om met deze partij in zee te gaan. Hun automatisch contact formulier geeft inmiddels ook informatie over het lek.
Bedankt voor je bericht!

Zoals je wellicht weet hebben wij te maken met een cyberaanval en als gevolg daarvan is er een datalek geconstateerd. Daarover krijgen wij momenteel natuurlijk veel reacties en vragen. Dat snappen we natuurlijk, maar we hopen op je begrip dat we al deze berichten nu niet individueel kunnen beantwoorden.

We hebben speciaal hiervoor een FAQ pagina opgezet die we up-to-date houden als er nieuwe informatie beschikbaar komt. Deze FAQ pagina vind je hier:
https://klantenservice.sc...utions/folders/5000308715

Alvast hartelijk dank voor je begrip, we werken er keihard aan om dit probleem opgelost te krijgen.

  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 08-05 18:55
g0tanks schreef op donderdag 16 september 2021 @ 20:30:
[...]


Hoe werkt dat precies? Heeft Scoupy niet het onversleutelde bankrekeningnummer nodig om de cashback over te maken? Ik ben overigens zelf geen gebruiker van die website.
In de meeste gevallen staan de sleutels ook ergens op een plek dat deze voor processing decrypt kunnen worden. De hoop is dat deze dus niet mee zijn gekomen in 't lek.
Overigens hoop ik dat "versleutelde" hier een verkeerde term is voor de wachtwoorden, je wilt natuurlijk dat dit een nutteloze hash is. Of misschien is dat in Nederlands prima verbruik, maar ik zou graag zien wat ze hebben gebruikt voor de wachtwoorden zoals argon2 oid.

  • SO-DIMM
  • Registratie: Januari 2020
  • Laatst online: 02-05 18:47
Weet iemand wanneer je via een Google account inlogt en dus wordt doorverwezen naar een Gmail inlogscherm. Er ook een risico is dat het wachtwoord gelekt is?
Ik herinner mij dat dit via een soort tokens werkt. Misschien toch maar het wachtwoord veranderen?

  • SunnieNL
  • Registratie: Maart 2002
  • Laatst online: 00:18
Sinds vannacht rond 0200 heb ik ook een constante doorvoer van spammail. Elke minuut komen er bijna 2 binnen, veel dezelfde.
Helaas hadden zij mijn normale mailadres, waardoor ik niet kan controleren of dit nu door hen komt of wat anders. Maar de 100 spamberichten die ik nu per uur had, had ik eerder nog niet eens per week.

Acties:
  • 0 Henk 'm!

  • silverfaustx
  • Registratie: Juni 2005
  • Niet online
waarom is dit niet op het journaal geweest als er 2 miljoen gegevens zijn gestolen

Acties:
  • 0 Henk 'm!

  • lucatoni
  • Registratie: Juni 2007
  • Laatst online: 09-05 16:11
Scoupy communicatie is ook vrij beperkt. Zijn de wachtwoorden nu gereset bijvoorbeeld?

Acties:
  • 0 Henk 'm!

  • hbvdh
  • Registratie: Juli 2000
  • Laatst online: 30-03 23:24
Ik kreeg de mail ook, alleen en heb gezocht, heb nog nooit zaken met Scoupy gedaan. Weet dus niet hoe ze aan mijn gegevens komen. lijkt mij een dus ook een overtreding van de AVG.

Iemand een idee?

Acties:
  • 0 Henk 'm!

  • dvdrip1
  • Registratie: Juli 2014
  • Laatst online: 05-01 00:54
Ik heb ook inderdaad een mail gehad over dit lek, maar herken(de) de naam van het bedrijf niet. Ik vermoed dat er ooit een cashback van bijv. een product uit een supermarkt is geweest, die afgehandeld is door dit bedrijf.

Ik heb geen wachtwoord e.d. kunnen terugvinden, dus wellicht is maar een deel van de genoemde gegevens gelekt in mijn geval. Nevertheless niet acceptabel vanzelfsprekend.

Acties:
  • 0 Henk 'm!

  • DM89
  • Registratie: November 2011
  • Laatst online: 04:44
zynex schreef op donderdag 16 september 2021 @ 20:37:
Via de website lijkt het (op dit moment?) onmogelijk om je account te verwijderen. Natuurlijk is dit te laat, maar toch vind ik het niet meer wenselijk om met deze partij in zee te gaan. Hun automatisch contact formulier geeft inmiddels ook informatie over het lek.


[...]
Ik heb zojuist Via de website ingelogd en daar mijn account kunnen verwijderd bij account instellingen/gegevens.

‘Gelukkig’ stond alleen mijn email adres erin, verder nooit wat met scoupy gedaan.
SunnieNL schreef op donderdag 16 september 2021 @ 23:28:
Sinds vannacht rond 0200 heb ik ook een constante doorvoer van spammail. Elke minuut komen er bijna 2 binnen, veel dezelfde.
Helaas hadden zij mijn normale mailadres, waardoor ik niet kan controleren of dit nu door hen komt of wat anders. Maar de 100 spamberichten die ik nu per uur had, had ik eerder nog niet eens per week.
Ik krijg hier ook redelijk wat spam binnen. :(

[ Voor 6% gewijzigd door DM89 op 17-09-2021 06:57 ]


Acties:
  • 0 Henk 'm!

  • Dacuuu
  • Registratie: Maart 2009
  • Laatst online: 17:26
lucatoni schreef op vrijdag 17 september 2021 @ 00:13:
Scoupy communicatie is ook vrij beperkt. Zijn de wachtwoorden nu gereset bijvoorbeeld?
Nee. Ik kan nog gewoon inloggen, ik heb mijn wachtwoord nog niet veranderd.

Acties:
  • 0 Henk 'm!

  • PatrickPR
  • Registratie: Februari 2010
  • Laatst online: 09-05 08:45
Voor degene die het wachtwoord willen wijzigen. Bij het opslaan krijg je waarschijnlijk een foutmelding dat er iets mis is gegaan 'op de servers'. Het nieuwe wachtwoord is echter wel opgeslagen. Ik heb dit gisteravond gehad en zojuist weer. Ondanks de foutmelding wordt het wachtwoord dus wel aangepast. Je moet met het nieuwe wachtwoord inloggen.

Dit geldt voor zowel het wijzigen via de app danwel via de website.

[ Voor 9% gewijzigd door PatrickPR op 17-09-2021 08:26 ]


Acties:
  • 0 Henk 'm!

  • Tweezitsbank
  • Registratie: December 2016
  • Niet online

Tweezitsbank

Relax...

DM89 schreef op vrijdag 17 september 2021 @ 05:07:
Ik heb zojuist Via de website ingelogd en daar mijn account kunnen verwijderd bij account instellingen/gegevens.
Mij is het ook zonder problemen gelukt zojuist:

"Je verzoek tot verwijderen van je Scoupy account is opgeslagen. Binnen 7 dagen ontvang je een bevestiging per mail dat je account werkelijk is verwijderd."

Uiteraard te laat maar gebruikte Scoupy al een tijd niet meer (en mocht ik de gegevens toch nog eens nodig hebben kan ik binnenkort vast terecht bij pastebin ofzo ;)).

Acties:
  • 0 Henk 'm!

  • lucatoni
  • Registratie: Juni 2007
  • Laatst online: 09-05 16:11
Hoe is het mogelijk dat Scoupy niet alle wachtwoorden heeft gereset? Dit geeft de hackers toch de mogelijkheid om in te loggen, wanneer de wachtwoorden data versleuteld is....

Ik kan mijn wachtwoord niet resetten....

Acties:
  • 0 Henk 'm!

  • psy
  • Registratie: Oktober 1999
  • Laatst online: 09-05 12:35

psy

dvdrip1 schreef op vrijdag 17 september 2021 @ 01:25:
Ik heb ook inderdaad een mail gehad over dit lek, maar herken(de) de naam van het bedrijf niet. Ik vermoed dat er ooit een cashback van bijv. een product uit een supermarkt is geweest, die afgehandeld is door dit bedrijf.

Ik heb geen wachtwoord e.d. kunnen terugvinden, dus wellicht is maar een deel van de genoemde gegevens gelekt in mijn geval. Nevertheless niet acceptabel vanzelfsprekend.
Ik constateer precies hetzelfde.

Nooit geregistreerd. Niets bekend in mijn emailaccount.

Enige wat van mij bekend is, is de "naam/voornaam" van het emailadres. En het geboortejaar. Merkwaardig hoor.

8.960 Wp - 16 kW Daikin L/W - 2 x MHI L/L - gasloos sinds 2017 - Loxone - SAP/IS-U/ABAP - rijdt nog LPG ;-)


Acties:
  • 0 Henk 'm!

  • SunnieNL
  • Registratie: Maart 2002
  • Laatst online: 00:18
psy schreef op vrijdag 17 september 2021 @ 08:46:
[...]


Ik constateer precies hetzelfde.

Nooit geregistreerd. Niets bekend in mijn emailaccount.

Enige wat van mij bekend is, is de "naam/voornaam" van het emailadres. En het geboortejaar. Merkwaardig hoor.
Op zich niet zo raar als je weet hoe scoupy vroeger werkte en wie ze hebben opgekocht.
Vroeger werkte scoupy met een systeem waar je geen account nodig had. Gewoon je gegevens invullen, kassebon opsturen en je was klaar. Tevens hebben ze een hele tijd facebook koppelingen gehad. Meerdere cashback bedrijven zijn opgekocht door/samengegaan met scoupy. Vaak was bij die cashback bedrijven ook de pagina van de cashback branded naar het bedrijf waar het product vandaan kwam. Dus je hebt waarschijnlijk niet eens in de gaten gehad dat scoupy hier achter zat.

Acties:
  • 0 Henk 'm!

  • bwerg
  • Registratie: Januari 2009
  • Niet online

bwerg

Internettrol

Zebby schreef op donderdag 16 september 2021 @ 21:34:
Overigens hoop ik dat "versleutelde" hier een verkeerde term is voor de wachtwoorden, je wilt natuurlijk dat dit een nutteloze hash is. Of misschien is dat in Nederlands prima verbruik, maar ik zou graag zien wat ze hebben gebruikt voor de wachtwoorden zoals argon2 oid.
Ik ben zelf geen scoupy-gebruiker dus ik weet niet waar ze dat bankrekeningnummer voor gebruiken, maar als dat is voor (terug)betalingen of vooraf ergens voor je invullen kunnen ze natuurlijk geen hash gebruiken.

Hashen werkt natuurlijk alleen bij wachtwoorden of andere gegevens die de gebruiker bij gebruik ten alle tijden alsnog zelf moet invullen, niet bij gegevens die later gebruikt moeten kunnen worden zonder dat de gebruiker ze opnieuw hoeft in te typen.

Heeft geen speciale krachten en is daar erg boos over.


Acties:
  • 0 Henk 'm!

  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 08-05 18:55
bwerg schreef op vrijdag 17 september 2021 @ 09:17:
[...]

Ik ben zelf geen scoupy-gebruiker dus ik weet niet waar ze dat bankrekeningnummer voor gebruiken, maar als dat is voor (terug)betalingen of vooraf ergens voor je invullen kunnen ze natuurlijk geen hash gebruiken.

Hashen werkt natuurlijk alleen bij wachtwoorden of andere gegevens die de gebruiker bij gebruik ten alle tijden alsnog zelf moet invullen, niet bij gegevens die later gebruikt moeten kunnen worden zonder dat de gebruiker ze opnieuw hoeft in te typen.
Klopt, maar daarom benoem ik ook specifiek "voor de wachtwoorden". Een IBAN versleutelen is op zich prima, kun je dan ook weer leesbaar maken voor 't processen.

Acties:
  • 0 Henk 'm!

  • bwerg
  • Registratie: Januari 2009
  • Niet online

bwerg

Internettrol

Zebby schreef op vrijdag 17 september 2021 @ 10:20:
[...]


Klopt, maar daarom benoem ik ook specifiek "voor de wachtwoorden". Een IBAN versleutelen is op zich prima, kun je dan ook weer leesbaar maken voor 't processen.
Negeer mij, ik las om een of andere wazige reden dat je het over rekeningnummers. 8)7

Heeft geen speciale krachten en is daar erg boos over.


Acties:
  • 0 Henk 'm!

  • amx
  • Registratie: December 2007
  • Laatst online: 22-03 13:43

amx

Ik heb/had een account, maar heb geen mail ontvangen en ook geen account meer. Ik heb wel nog de mails waarin het aanmaken van mijn account wordt bevestigd, maar als ik een wachtwoord reset aanvraag, bestaat mijn account niet. Het kan zijn dat ik een tijd terug een gdpr verzoek heb gedaan daar om mijn account te laten verwijderen maar heb daar geen mails van dus blijft nogal vaag.

Gelukkig wel een dummy mail account gebruikt en een gegenereerd wachtwoord.
Pagina: 1