Toon posts:

Datalek bij sollicitatie via Homerun

Pagina: 1
Acties:

  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
Hola allemaal! Heeft een van jullie ook deze mail gekregen? Blijkbaar is er een datalek geweest in de sollicitatieprodecure bij softwareclubje Q42 (via hun sollicitatieplatform homerun). Ook moeten ze dus nu met de billen bloot dat de data dus te lang blijft staan (het AP zegt "max 4 weken"):
Beste,

We mailen je omdat je ooit gesolliciteerd hebt bij Q42. Om het sollicitatieproces zo goed mogelijk te doen maken wij gebruik van de software van Homerun.

Op vrijdag 29 oktober 2021 heeft Homerun ons laten weten dat er een aanval op hun systemen heeft plaatsgevonden. Een hacker heeft toegang gekregen tot persoonlijke data van sollicitanten en data gekopieerd. Na ontdekking zegt Homerun een overeenkomst gesloten te hebben met de hacker, waarna de gekopieerde data is verwijderd. Homerun stelt dat de kans heel klein is, dat er toch nog een kopie van de data is. De systemen van Homerun zijn inmiddels aangepast, zodat het lek niet meer bestaat.

We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities.

Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen. Bij Q42 gaan we heel zorgvuldig met iedere sollicitatie om. Hoewel de kans misschien klein is dat je data nog gebruikt wordt, vinden we het belangrijk om deze informatie transparant met je te delen.

We hebben zelf inmiddels melding gedaan bij de Autoriteit Persoonsgegevens en we staan in nauw contact met Homerun over hun onderzoek. Mocht er nieuwe informatie bekend worden over dit lek, dan laten we je dat weten.

We hopen dat het hierbij blijft.

Als je nog vragen hebt, aarzel dan niet om te mailen naar privacy@q42.nl. We zullen dan zo snel mogelijk je vragen proberen te beantwoorden.

Met vriendelijke groet,

Jasper Kaizer

directeur, Q42
Nou, lekker dan!

  • kamerplant
  • Registratie: juli 2001
  • Niet online

kamerplant

lekker toch

Wel netjes dat ze het melden. Zelf zou ik eigenlijk opvragen welke informatie het exact betreft (inclusief notities), het is toch wel fijn om te weten welke gegevens precies op straat heeft gelegen. En dan gelijk maar vragen om de gegevens te verwijderen.

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 20:25

Jazzy

Moderator SWS/PB

Moooooh!

Dat zijn ze verplicht. ;)

Exchange en Office 365 specialist. Mijn blog.


  • kodak
  • Registratie: augustus 2001
  • Laatst online: 18:30

kodak

FP ProMod
digigast schreef op dinsdag 2 november 2021 @ 16:01:
Hola allemaal! Heeft een van jullie ook deze mail gekregen? Blijkbaar is er een datalek geweest in de sollicitatieprodecure bij softwareclubje Q42 (via hun sollicitatieplatform homerun). Ook moeten ze dus nu met de billen bloot dat de data dus te lang blijft staan (het AP zegt "max 4 weken"):


[...]


Nou, lekker dan!
Prettig dat ze je informeren maar dit soort beweringen vraagt om uitleg:
Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier.
Het is namelijk wel erg makkelijk om teleurgesteld te zijn dat het gebeurt is zonder te noemen wat ze werkelijk gedaan hebben om die teleurstelling te voorkomen. En juist daar krijg je nu geen enkele uitleg over. De wet stelt dat ze vooraf voldoende moeten hebben gedaan om te voorkomen dat je persoonsgegevens zullen lekken. Maar daar noemen ze dus niets over op.

  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

kodak schreef op dinsdag 2 november 2021 @ 20:30:
Het is namelijk wel erg makkelijk om teleurgesteld te zijn dat het gebeurt is zonder te noemen wat ze werkelijk gedaan hebben om die teleurstelling te voorkomen.
Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?

  • kodak
  • Registratie: augustus 2001
  • Laatst online: 18:30

kodak

FP ProMod
jurroen schreef op dinsdag 2 november 2021 @ 20:48:
[...]


Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?
Ik bedoel vooral wat ze vooraf gedaan hebben om deze teleurstelling te voorkomen.

  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
jurroen schreef op dinsdag 2 november 2021 @ 20:48:
[...]


Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?
Ze zijn ook de eerste keer, bij wet, gewoon verplicht om je data veilig te houden hoor.

  • Katie80
  • Registratie: november 2021
  • Laatst online: 03-01 09:06
Hoe lang geleden heb je gesolliciteerd?

Ik mag hopen dat dat in de afgelopen 4 weken is geweest, aangezien ze de gegevens niet langer horen te bewaren.

  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

Dat zijn ze zeker :) En Q42 is voor jou de verantwoordelijke. Zowel wettelijk als ethisch. Uit eigen ervaring zullen ze waarschijnlijk iets gaan blaten dat ze Homerun (vrij bekend platform voor recruiting) gebruiken.

Laat je daardoor niet van de kaart brengen. Het blijft hun verantwoordelijkheid!

En hoe willen ze herhaling voorkomen? "Lekje in platform, we hebben ff apt dist-upgrade gedaan en gereboot" volstaat niet. Plus, wat @kodak ook (terecht) aangaf: wat hebben ze in de eerstr instantie gedaan om het lek te voorkomen?

Kunnen ze met een heel mooi document komen met firewalls, encryptie (military grade ;) ) - maar dat ontslaat Q42 niet van dingen als dataminimalisatie, privacy etc. Als jouw sollicitatie al afgehandeld is, hoe lang bewaren ze dat, voor welk doel - en indien legitiem: waarom op een live omgeving in plaats van alleen een hardcopy in een verankerde kluis (of iets dergelijks)?

  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
Katie80 schreef op dinsdag 2 november 2021 @ 21:56:
Hoe lang geleden heb je gesolliciteerd?

Ik mag hopen dat dat in de afgelopen 4 weken is geweest, aangezien ze de gegevens niet langer horen te bewaren.
Bijna het 52-voudige; 4 jaar. Ze hebben die data 4 jaar lang vast gehouden.

  • kodak
  • Registratie: augustus 2001
  • Laatst online: 18:30

kodak

FP ProMod
digigast schreef op dinsdag 2 november 2021 @ 22:07:
[...]

Bijna het 52-voudige; 4 jaar. Ze hebben die data 4 jaar lang vast gehouden.
Dat is dan nog een extra reden om te vragen wat die teleurstelling waard is, als ze kennelijk de gegevens zo lang zijn gaan bewaren bij het risico op lekken. En ook wat de redenen dan waren en waaruit blijkt dat het redelijk was om dat risico voor jou als sollicitant te nemen.

  • Katie80
  • Registratie: november 2021
  • Laatst online: 03-01 09:06
Wow, 4 jaar? Dan heb je als bedrijf je processen duidelijk niet op orde.
Ik vind het stuitend dat ze de schuld volledig afschuiven naar Homerun in die e-mail, terwijl ze zelf een groot risico hebben genomen door de gegevens zo lang (onrechtmatig) te bewaren.
Dat getuigt van bijzonder weinig zelfreflectie.

  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

Toen ik net uit interesse dat Homerun platform bekeek, zag ik dat ze Nederlands waren. Ik vind het wel een interessante, want hoezo maken zij mogelijk dat dergelijke data vier jaar in hun systeem staat - waar dat van de AP niet mag?

Ik ga ze hierover mailen en zal jullie op de hoogte houden.

  • Vegazz
  • Registratie: maart 2014
  • Laatst online: 15-01 17:01
Ah, ik ontving net een mail vanuit een van de grote commerciele omroepen in Nederland, met dezelfde tekst. Meer dan een half jaar geleden voor het laatst contact (Sollicitatie) gehad. Navraag gedaan over hun bewaartermijn en welke gegevens ze van mij nog steeds hebben.

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

jurroen schreef op woensdag 3 november 2021 @ 12:08:
Toen ik net uit interesse dat Homerun platform bekeek, zag ik dat ze Nederlands waren. Ik vind het wel een interessante, want hoezo maken zij mogelijk dat dergelijke data vier jaar in hun systeem staat - waar dat van de AP niet mag?
Daar gaat Homerun niet over (behalve dan dat de software het vernietigen moet ondersteunen), daar gaan de individuele klanten van ze over.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

F_J_K schreef op woensdag 3 november 2021 @ 13:34:
[...]

Daar gaat Homerun niet over (behalve dan dat de software het vernietigen moet ondersteunen), daar gaan de individuele klanten van ze over.
Ja, het is de verantwoordelijkheid van hun klant - Q42 in dit geval. Echter zou het Homerun sieren door hier privacy by design toe te passen en die records automatisch op te schonen als de klant Nederlands is en de sollicitatiestatus "afgerond" of "afgewezen" is.

De mail die ik hun kant heb opgestuurd is ook niet verwijtend, maar informerend. In het allerbeste, maar onrealistische, scenario gaat er een lichtje branden en ontwikkelen ze zoiets. En ik vind het zelf ook wel interessant om te weten hoe ze hiermee omgaan :)

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

jurroen schreef op woensdag 3 november 2021 @ 13:46:
[...]
Echter zou het Homerun sieren door hier privacy by design toe te passen en die records automatisch op te schonen als de klant Nederlands is en de sollicitatiestatus "afgerond" of "afgewezen" is.
offtopic:
Nee, dat is een datalek by design. De verwerker mag niet beslissen over de data. Wel zouden ze een knop kunnen maken die dat zonder moeite doet.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

F_J_K schreef op woensdag 3 november 2021 @ 13:54:
[...]

offtopic:
Nee, dat is een datalek by design. De verwerker mag niet beslissen over de data. Wel zouden ze een knop kunnen maken die dat zonder moeite doet.
offtopic:
Laatste OT reply: oh, daar had ik niet aan gedacht. Goede opmerking wel, bedankt!

  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
Vegazz schreef op woensdag 3 november 2021 @ 13:32:
Ah, ik ontving net een mail vanuit een van de grote commerciele omroepen in Nederland, met dezelfde tekst. Meer dan een half jaar geleden voor het laatst contact (Sollicitatie) gehad. Navraag gedaan over hun bewaartermijn en welke gegevens ze van mij nog steeds hebben.
Interessant! En er zijn dus duidelijk nog meer klanten van Homerun de dupe:

https://www.vpngids.nl/ni...n-getroffen-door-datalek/


Uit dat artikel begrijp ik dat het volgens Homerun gegaan is om een prutserige configuratie van Apache. You had one job.....

  • DaFeliX
  • Registratie: december 2002
  • Laatst online: 13-01 16:17

DaFeliX

Tnet Devver
digigast schreef op woensdag 3 november 2021 @ 14:16:
[...]


Interessant! En er zijn dus duidelijk nog meer klanten van Homerun de dupe:

https://www.vpngids.nl/ni...n-getroffen-door-datalek/


Uit dat artikel begrijp ik dat het volgens Homerun gegaan is om een prutserige configuratie van Apache. You had one job.....
Waar lees jij dat? Ik lees dat ze een kwetsbaarheid in apache hebben misbruikt:
[...] Tevens is er geen sprake van een menselijke fout waardoor de deur naar klantgegevens openstond.

Onbekenden misbruikten een kwetsbaarheid in de Apache web server software. Daardoor konden de daders op afstand opdrachten uitvoeren en wisten ze toegang te krijgen tot de account op Amazon Web Services (AWS). Homerun gelooft niet dat het een gerichte aanval was, maar dat de aanvallers opportunistisch te werk gingen en per toeval bij het bedrijf terecht kwamen.[...]

Einstein: Mijn vrouw begrijpt me niet


  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
DaFeliX schreef op woensdag 3 november 2021 @ 15:25:
[...]


Waar lees jij dat? Ik lees dat ze een kwetsbaarheid in apache hebben misbruikt:


[...]
Wat is het verschil? Het is toch een vulnerability in de Apache configuratie die zij zelf hebben onderhouden? Het is niet zo dat het een core Apache vulnerability is anders had iedereen er wel last van.

Je ziet daar de zelfde tenenkrommende "wij konden er niks aan doen, het komt door een leverancier" mentaliteit als Q42 heeft.

Zou Homerun nu teleurgesteld zijn in Apache?

[Voor 12% gewijzigd door digigast op 03-11-2021 16:04]


  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

digigast schreef op woensdag 3 november 2021 @ 15:58:
[...]

Het is niet zo dat het een core Apache vulnerability is anders had iedereen er wel last van.
Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.

  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
jurroen schreef op woensdag 3 november 2021 @ 19:33:
[...]


Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.
Oh auch! Thanks voor de link. Dat maakt de zaak (aan de kant van Homerun) ook wel weer anders.

Moet wel CGI expliciet enabled zijn trouwens. Doen mensen dat nog in 2021??

  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

digigast schreef op woensdag 3 november 2021 @ 22:54:
[...]

Oh auch! Thanks voor de link. Dat maakt de zaak (aan de kant van Homerun) ook wel weer anders.

Moet wel CGI expliciet enabled zijn trouwens. Doen mensen dat nog in 2021??
Ik weet niet of het expliciet aangezet moet worden. Dat hangt van de defaults af van zowel Apache als een eventuele distrobakker. Ik weet wel dat het op de shared panel servers standaard aan staat (cPanel, DirectAdmin in ieder geval). Dus het handige neefje dat wat websites voor vrienden en familie host op een VPSje met die controlepanels kan nu wel eens een flink probleem hebben.

  • sh4d0wman
  • Registratie: april 2002
  • Laatst online: 15:41

sh4d0wman

Long live the King!

Homerun gelooft niet dat het een gerichte aanval was, maar dat de aanvallers opportunistisch te werk gingen en per toeval bij het bedrijf terecht kwamen
Tja daarom is het belangrijk om je VA en threat intelligence op orde te hebben. Zeker als je een betaalde (cloud)dienst verkoopt.

Deze vulnerability is via diverse sites voorbij gekomen en kon in bepaalde situaties inderdaad makkelijk exploited worden. Dan weet je gewoon dat er binnen no-time het hele internet gescanned gaat worden.

Zolang er geen patch van de leverancier is zou men tijdelijk meer monitoring in kunnen zetten (op verdacht netwerkverkeer en lokaal op de servers zelf) en wellicht dat iets als AWS WAF helpt maar daar heb ik geen ervaring mee.

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • deathmonkey
  • Registratie: oktober 2013
  • Niet online
Hier ook 'slachtoffer' van dit lek. Krijg ook sinds kort erg veel spam mailtjes, vraag me af of er een link is. De periode dat deze starten is ongeveer gelijk met wanneer dit lek is gebeurt.

Vraag me trouwens af of we er nog wat mee kunnen dat deze sollicitaties zo lang zijn bewaard.

  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
deathmonkey schreef op donderdag 4 november 2021 @ 15:32:
Hier ook 'slachtoffer' van dit lek. Krijg ook sinds kort erg veel spam mailtjes, vraag me af of er een link is. De periode dat deze starten is ongeveer gelijk met wanneer dit lek is gebeurt.

Vraag me trouwens af of we er nog wat mee kunnen dat deze sollicitaties zo lang zijn bewaard.
Als jouw data te lang bewaard is zou ik in ieder geval een melding maken bij de Autoriteit Persoonsgegevens. Bij de vraag "Gaat uw melding over een datalek?" moet je dan "NEE" kiezen, anders maak je melding van het datalek zelf. Je kunt er ook twee sturen naar de AP; eentje voor het feit dat ze je data te lang bewaren en eentje voor het datalek.

Helemaal als je data niet uitgelekt zou zijn geweest als het bedrijf de wet AVG niet overtreden had door de data te lang te bewaren lijkt mij melding bij de AP niet overdreven.

  • marapuru
  • Registratie: september 2004
  • Laatst online: 15-01 21:13
Fijn, daar gaan we weer. Het valt me op dat er op de website van homerun zelf niets te vinden is over dit datalek. Zijn zij niet verplicht hier een melding over te plaatsen?

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 18:01

Brahiewahiewa

boelkloedig

marapuru schreef op maandag 8 november 2021 @ 14:25:
Fijn, daar gaan we weer. Het valt me op dat er op de website van homerun zelf niets te vinden is over dit datalek. Zijn zij niet verplicht hier een melding over te plaatsen?
Nee. Ze zijn alleen verplicht het aan de AP te melden. Hoe en of ze het verder naar buiten brengen is de taak van PR

QnJhaGlld2FoaWV3YQ==


  • KvR64
  • Registratie: december 2020
  • Laatst online: 08-11-2021
jurroen schreef op woensdag 3 november 2021 @ 19:33:
Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.
Ik weet helemaal niets van webservers maar is het dan voor een commercieel bedrijf teveel moeite om Apache 2.4.51 erop te zetten? Die is al op 7 oktober uitgebracht.

  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

KvR64 schreef op maandag 8 november 2021 @ 16:02:
[...]

Ik weet helemaal niets van webservers maar is het dan voor een commercieel bedrijf teveel moeite om Apache 2.4.51 erop te zetten? Die is al op 7 oktober uitgebracht.
We weten de details niet; dus alle discussie hierover is hypothetisch. Volgens het bericht dat Q42 heeft gestuurd zou Homerun op 29 oktober hun klanten hebben geïnformeerd over de situatie. Dat zegt helemaal niets over het verloop van het datalek. Het zou prima kunnen dat Homerun hun patchbeleid niet op orde heeft. Het andere uiterste is ook een optie: dat ze bijvoorbeeld gehackt zijn toen er nog geen patch was (dus 6 oktober of eerder).

Helaas is beveiliging nooit 100%. Een oganisatie kan er alles aan doen om de kans op een datalek, hack, ransomware of wat dan ook zo klein mogelijk te maken. Een aanvaller is altijd in het voordeel: deze hoeft maar één kwetsbaarheid of misconfiguratie te hebben - terwijl de verdedigende kant alle aspecten continu veilig dient te houden.

Begrijp mij echter niet verkeerd: dit vrijwaart niemand. Als een verkeerd of laks beleid heeft gezorgd voor dit datalek, mogen hier ook best forse consequenties aan verbonden worden.

  • MrMaxedTank
  • Registratie: september 2011
  • Laatst online: 19:21
Dit lek heeft inmiddels ook het nationale nieuws gehaald: https://www.nu.nl/tech/61...in-handen-van-hacker.html

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 20:25

Jazzy

Moderator SWS/PB

Moooooh!

Drie kwartier later op Tweakers. :) Wel met een vermelding van dit topic nieuws: Crimineel steelt 'honderdduizenden' cv's bij sollicitatieplatform Hom...

Exchange en Office 365 specialist. Mijn blog.


  • marapuru
  • Registratie: september 2004
  • Laatst online: 15-01 21:13
Hmm, eerder een week later op Tweakers. Op 2 november maakte @digigast dit topic namelijk aan.

  • jurroen
  • Registratie: mei 2012
  • Laatst online: 19:48

jurroen

Security en privacy geek

Op de vraag aan Homerun waarom zij de bewaartermijn niet geforceerd beperken tot vier weken kreeg ik het volgende antwoord, zoals @F_J_K al aangaf:
We understand that the email you received may have caused you concern and we can confirm that we’ve recently discovered that some data within Homerun was compromised due to a cyberattack. We've notified our customers who have been affected by this.

To answer your question, it’s important to realize that we’re not the owner of our customers’ candidates’ data – in GDPR language, we are not the controller. Our customers are the controller. It’s ultimately up to our customers to delete their data in compliance with the GDPR. We are not able to decide this for them. However, within Homerun we’ve provided our customers with multiple ways (automatic and manual) they can delete candidate data according to their chosen data retention period.

En zojuist de volgende mail van de chef ontvangen:
Hello,

Willem here again, co-founder and CEO of Homerun. On October 29th, I contacted you or one of your team members about the cyberattack on Homerun and I promised to let you know when we had an update.

Since my last message, our team has been working around the clock doing everything in our power to do right by all customers and candidates whose data may have been affected.

The stolen data has not been made public to the best of our knowledge, and we do not expect this to happen as we've made an agreement with the cyber attacker. Our objective has been - and continues to be - to minimize the impact on you and your candidates.

What's new:
  • We completed the comprehensive forensic investigation alongside Northwave, the cyber security company we've been working with. This provided us with more details about the attack, the data that was affected and the measures we are implementing to keep this from happening in the future. The Q&A at the end of this email dives deeper into these findings.
  • We've been in touch with the DPA (Dutch Data Protection Authority - Autoriteit Persoonsgegevens) and notified them about the cyberattack and the affected data of which we are the controller. We've also filed a complaint with the police.
  • The DPA asked us to relay to our customers that you are advised to notify the DPA about the compromised data of which you are the controller (candidate data) and to inform your candidates of the cyberattack.
  • For more information on how to notify the DPA, have a look on their website or reach out to them directly by phone. If you decide to notify candidates, we've created a page where you can download the contact information of your candidates who were in your account at the time of the cyberattack. We've also created a dedicated page with more information and FAQ that you can share with your candidates directly.
  • Moving forward, we want to further support you in handling your candidate data with care. Over the years we've built features and written content that can help you do this: What GDPR means for hiring: Simply explained, How to be GDPR compliant with Homerun, The GDPR hiring guide and Help Center articles about Homerun and GDPR.
I co-founded Homerun 7 years ago because we wanted to improve the experience for candidates applying to jobs. A part of this has been making it easy for small companies to handle their candidate's data with care. We've always committed ourselves to privacy best practices. However, following this cyberattack, we see an opportunity to take an even more radical standpoint in this by embedding more privacy principles (for example, more opt-out and less opt-in privacy settings) and giving more control to job applicants over their data.

For any questions you might still have, please have a look at the Q&A below which contains what we've learned from our forensic investigation. Lastly, thanks for your support – it really means a lot to me and the entire Homerun team.

Willem van Roosmalen

CEO of Homerun

Q&A:

In collaboration with Northwave we’ve put together this Q&A that dives deeper into the findings of the comprehensive forensic investigation and provides answers to other questions you might have.

What was the nature of the cyberattack?

A cyber attacker accessed our systems on October 20th and made a copy of a number of files from our data storage. They were unable to delete or alter the data due to security measures we had in place. They simply copied it. We discovered this on the 26th and on the 28th the vulnerability was patched.

We host our infrastructure on Amazon Web Services. Part of this infrastructure includes running web servers using a popular software package called Apache HTTP Server. At the moment of the incident, a vulnerability existed in that particular software (CVE-2021-40438) that allowed an attacker to access internal AWS metadata and steal access tokens. Those tokens were used later on to access our data storage which contains the data categories listed in the next question.

What personal data can we confirm has been affected?

The data storage that was affected in the cyberattack contained the following data categories:
  • Candidate data: This includes any information that candidates have shared with you in job applications like CVs, portfolios, pictures, assignments and answers to your apply form questions. If the candidate data was deleted before the 13th of October, we can say for sure that it was not affected.
  • Job posts and career pages: These are or have already been public, but we mention them because they may include personal data like photos and names of your team. This also includes any private jobs you have published.
  • Profile images of Homerun users and team notes. Team notes have only been affected if you have requested a manual export via our support team of your account within the last 90 days before the cyberattack. This includes sensitive notes (notes that only certain users have access to).
We realize you may want to know more about what data of yours has been affected exactly, but the investigation was not able to provide us with more specificity than what we're sharing with you here.

We can still say with full certainty that your payment information like credit card details were not affected. Also, our systems were not affected by ransomware. Therefore, Homerun has been - and still is - up and running and safe for you to use.

According to the GDPR I need to notify the Dutch Data Protection Authority within 72 hours after being informed of the cyberattack. I'm too late, what do I do?

The 72 hours began when you received the first notification we sent you about the cyberattack. It's best to reach out to the Dutch Data Protection Authority or your legal adviser about what's best for you to do now.

How do I know which candidates may have been affected by this?

All the candidates present in the "All candidates" page that applied before the 20th of October, may have been affected in this cyberattack. You can create an export with the contact information of those candidates here.

What security measures were in place at the time of the attack?

Northwave often sees similar kinds of compromises. This is usually because settings are not configured correctly. In the case of Homerun, Northwave investigated the configuration settings and determined that they were configured to industry best practices. Northwave determined that the cyber attacker was never able to delete the data because the settings blocked that.

More generally, at Homerun we use AWS as a cloud infrastructure provider, with the following security measures implemented:
  • Everyone in our tech team must have activated MFA to be able to log into our management console.
  • Network services that provide access to the personal data are secured by firewalls with a default-deny setting.
  • Network transmissions of Personal Data are encrypted with Transport Layer Security.
  • All access to Personal Data is authenticated by a username and password or is secured by AWS key access.
What measures have been put in place to fix this issue?

Upon discovery, we immediately fixed the vulnerability by upgrading Apache HTTP Server software on all running servers. Northwave has checked and confirmed that this fix is effective against similar attacks.

  • ravenger
  • Registratie: juli 2001
  • Laatst online: 10-01 15:58
Ik heb em ook gekregen. Voor mij was het begin 2016, dus ruim 5,5 jaar geleden.

Van andere bedrijven waar ik via homerun heb moeten solliciteren heb ik nog niets gehoord overigens. Daarnaast zijn er ook bedrijven die homerun alleen als frontend gebruiken en een ander systeem om vacatures te verwerken, jammer is dat je daar dus totaal geen inzicht in hebt.

  • CHRlS
  • Registratie: november 2010
  • Laatst online: 20:06
Ik heb 29 november ook een mail ontvangen dat mijn data is buit gemaakt. Was een bedrijf waar ik begin juli gesolliciteerd heb. En uiteindelijk na 3 sollicitatie rondes op 18 oktober ben afgewezen. Op zich wel logisch dat mijn gegevens toen nog in het systeem aanwezig waren.

  • Titus
  • Registratie: juli 2008
  • Laatst online: 20:42
Ik vraag me af of die 4 jaar nou op een misverstand berust is om eerlijk te zijn.

Homerun informeert klanten -> Klant informeert iedereen van wie ze ooit een sollicitatie hebben ontvangen (op basis van hun eigen excel/mailbox) dat er een lek is geweest.

Dat wil niet zeggen dat je sollicitatie van 4 jaar geleden nog in het systeem aanwezig waren ten tijden van de hack. De echte vraag is, kon de klant van Homerun jouw gegevens nog terugvinden in Homerun? Of hebben ze hun eigen shadowlist van alle sollicitaties ooit? OF werk je er nu nog steeds en hebben ze alleen hun werknemers gemaild :P?

Veel unknowns, ik ben benieuwd!

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 20:25

Jazzy

Moderator SWS/PB

Moooooh!

Modbreak:Inmiddels weten we dat het lek bij leverancier Homerun zat, ik pas de titel dan ook even aan. (was Datalek bij sollicitatie Q42)


Dat laat onverlet dat het natuurlijk de verantwoordelijkheid van de eindklant is om data te verwijderen wanneer die niet meer nodig is.

Exchange en Office 365 specialist. Mijn blog.


  • Zwaai Haai
  • Registratie: september 2005
  • Laatst online: 13-01 10:51
Ik heb van een bedrijf waar ik in juli 2017 gesolliciteerd heb een mail gekregen. Ik heb na juli 2017 toen ik afgewezen ben voor die functie geen contact meer gehad met dat bedrijf. Laten we het bedrijf XXXXXXXXXXXXX noemen.

Ik heb het bedrijf gemailed kortgezegd;
  • Ik het niet okee vind dat mijn gegevens 4 jaar bewaard zijn zonder mijn toestemming. En verzocht die alsnog te verwijderen.
  • Kwetsbaarheden niet patchen en data bewaren niet past bij de in de mail genoemde "privacy best practices and the security of your data” van het bedrijf
  • -Dat ik teleurgesteld ben in ze als data&media bedrijf, maar ze toch veel succes wens met de verdere afwikkeling en interne proces verbeteringen. Blijft voor 90% van de medewerkers van dat bedrijf natuurlijk echt balen en iets waar alleen de CEO, HR en de security officer iets aan kon doen.
Ik heb behalve deze e-mail nog geen spam gekregen op het in de verstuurde CV e-mail adres. Ik heb veel aparte adressen XXXXXX@eigendomein.nl die via een catch all in principe allemaal binnenkomen tot ik ze blokkeer. Deze staat nu wel op mijn lijst van adressen met 'extra aandacht" maar nog niet op blokkeren om dit in de gaten te kunnen houden.
[i]Van: Privacy | XXXXXXXXXXXXX <privacy@XXXXXXXXXXXXX.com>
Verzonden: dinsdag 9 november 2021 14:18
Onderwerp: Information about a recent cyberattack on XXXXXXXXXXXXX’s recruitment portal

Hello,

We’re contacting you because you previously applied for a job at XXXXXXXXXXXXX using our recruitment portal serviced by Homerun that was recently affected by a cyberattack.

Homerun provides an online platform that aims to make applying for a job easier and enable organizations like XXXXXXXXXXXXX to better organize vacancies, review applications and plan interviews in one environment.

Unfortunately Homerun was recently the victim of a cyberattack which caused data of all their customers to be exposed to a cyber attacker. This data included files with candidate information that candidates have shared in their job applications.

This affected all the customers of Homerun worldwide (1500+ organizations). We have no reason to believe the data of XXXXXXXXXXXXX’s applicants were specifically targeted.

Was my personal data accessed?
We do not know for certain, but all the candidates data that was present in our Homerun account and that applied before the 20th of October 2021 may have been affected.

What type of data may have been accessed?
Any information you submitted with an application. Usually this includes your name, email, phone number, social media links, resume and application answers.

What security measures have been taken?
Homerun fixed this vulnerability within 48 hours alongside cybersecurity experts Northwave, and the cyber attacker no longer has access to the data. Homerun and Northwave have also gone to great lengths to ensure that the stolen data was not made public and reached an agreement with the attacker to delete the stolen data, so they do not expect this to happen.

The attack has also been reported to the Dutch Data Protection Authority (DPA) by ourselves as well as Homerun, who also reported this to the Dutch Police.

Where can I find more info?
For more information and FAQs about the attack, see Homerun’s dedicated page:
https://www.homerun.co/cyberattack

XXXXXXXXXXXXX remains committed to providing a good recruitment experience, privacy best practices and the security of your data. If you have any questions for us or you no longer wish your data to be kept in our recruitment system, please email privacy@XXXXXXXXXXXXX.com.

Kind regards,
XXXXXXXXXXXXX

WEBSITE XXXXXXXXXXXXX.com
FOLLOW Facebook / Twitter / Instagram / LinkedIn

  • Jazzy
  • Registratie: juni 2000
  • Laatst online: 20:25

Jazzy

Moderator SWS/PB

Moooooh!

Hey, die link hadden we volgens mij nog niet gezien: https://www.homerun.co/cyberattack
Should I be worried if I've been informed that my job application data has been affected in this cyberattack?
There's no reason to believe that this cyberattack will lead to phishing attempts being targeted at anyone whose data was affected.
Ik zou niet weten waarom je je daar niet zorgen over zou hoeven maken? Als de data daadwerkelijk verspreid wordt bevat het hele waardevolle informatie om gerichte aanvallen te doen.

Exchange en Office 365 specialist. Mijn blog.


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Jazzy schreef op dinsdag 9 november 2021 @ 17:42:
Hey, die link hadden we volgens mij nog niet gezien: https://www.homerun.co/cyberattack

[...]

Ik zou niet weten waarom je je daar niet zorgen over zou hoeven maken? Als de data daadwerkelijk verspreid wordt bevat het hele waardevolle informatie om gerichte aanvallen te doen.
Inderdaad biedt juist zoiets risico's daartoe... Specifiek, goede redenen om relatief snel te klikken, etc.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • digigast
  • Registratie: juni 2016
  • Laatst online: 29-11-2021
Titus schreef op dinsdag 9 november 2021 @ 16:27:
Ik vraag me af of die 4 jaar nou op een misverstand berust is om eerlijk te zijn.

Homerun informeert klanten -> Klant informeert iedereen van wie ze ooit een sollicitatie hebben ontvangen (op basis van hun eigen excel/mailbox) dat er een lek is geweest.

Dat wil niet zeggen dat je sollicitatie van 4 jaar geleden nog in het systeem aanwezig waren ten tijden van de hack. De echte vraag is, kon de klant van Homerun jouw gegevens nog terugvinden in Homerun? Of hebben ze hun eigen shadowlist van alle sollicitaties ooit? OF werk je er nu nog steeds en hebben ze alleen hun werknemers gemaild :P?

Veel unknowns, ik ben benieuwd!
Helaas; De volledige dataset van mij was beschikbaar; adres, telefoonnummer, email adres, mails, notities en het cv waren allemaal op te lepelen uit Homerun.

  • Katie80
  • Registratie: november 2021
  • Laatst online: 03-01 09:06
Ik vind het echt zorgelijk dat meerdere organisaties de gegevens zo lang bewaren.
En ze komen er nog makkelijk mee weg ook ...

Het zou inderdaad mooi zijn als je als kandidaat gewoon zelf je files kunt deleten na je sollicitatie. Dan heb je zelf ook controle over je gegevens die rond zwerven.

  • Zwaai Haai
  • Registratie: september 2005
  • Laatst online: 13-01 10:51
digigast schreef op dinsdag 9 november 2021 @ 17:56:
[...]
Helaas; De volledige dataset van mij was beschikbaar; adres, telefoonnummer, email adres, mails, notities en het cv waren allemaal op te lepelen uit Homerun.
Daarnaast in mijn CV: Pasfoto, hobbies, oude werkgevers, functie en competenties bij defensie, geboortedatum en plaats. Meer dan genoeg informatie die erg boeiend is.

Sinds 2017 ben ik wel mijn CV's gaan snoeien. Heb wel spijt van sommige verstrekte persoonsgegevens 8)7

Je kan je van een hoop zaken die op je CV staan afvragen of ze nodig zijn
  • BSN, huwelijkse staat, social media profielen lijkt mij duidelijk -nee-
  • [Pasfoto nah nee wrom? Wil je bij een bedrijf werken die eerst wil weten hoe je eruit ziet? Ze zien me toch wel bij het gesprek
  • Geboortedatum, nee horen ze wel t.z.t. als ik in dienst ga
  • Straat en huisnummer.. oh willen ze het contract op papier sturen waarom wil je die gegevens dan hebben.
  • Geslacht hmm is dat echt relevant voor de functie?

  • Zwaai Haai
  • Registratie: september 2005
  • Laatst online: 13-01 10:51
kodak schreef op dinsdag 2 november 2021 @ 20:30:
[...]

Prettig dat ze je informeren maar dit soort beweringen vraagt om uitleg:

[...]

Het is namelijk wel erg makkelijk om teleurgesteld te zijn dat het gebeurt is zonder te noemen wat ze werkelijk gedaan hebben om die teleurstelling te voorkomen. En juist daar krijg je nu geen enkele uitleg over. De wet stelt dat ze vooraf voldoende moeten hebben gedaan om te voorkomen dat je persoonsgegevens zullen lekken. Maar daar noemen ze dus niets over op.
Teleurgesteld, in hun eigen optreden moet dat zijn. Ze zijn er wel verantwoordelijk voor. Zij hebben dus zelf het bedrijf geselecteerd en onvoldoende geaudit op hun beveiligingsbeleid. is dus OOK een misser van de security officer van het bedrijf, niet alleen van homerun. Daarnaast dus de verantwoordelijkheid voor het verwijderen van de gegevens. Dat je dat niet gedaan hebt is inderdaad teleurstellend.

  • poor Leno
  • Registratie: februari 2007
  • Laatst online: 20:50
Ik kreeg dezelfde mail gister :(

Maar ik had daar allang niet meer gesollicteerd.. terwijl ik een hele tijd geleden van hetzelfde bedrijf een bericht had gekregen dat ze m'n gegevens gingen wissen ivm Privacyregels en dat als ik wilde dat ze ze zouden behouden, dat ik dat moest aangeven..
Dat heb ik niet gedaan..

Maar kennelijk zijn mijn gegevens bij Homerun dus wel te lang bewaard :?

Edit: Kan Homerun eigenlijk voor deze grove nalatigheid eigenlijk op een bepaalde manier verantwoordelijk worden gesteld? Niet qua schadevergoeding oid, maar dit mag niet 'ongestraft' voorbij gaan.. Ik vind dit eigenlijk echt niet ok..

(ps: Sorry, maar ik haat echt dit soort teringlijers die met hun poten niet van andermans spullen kunnen afblijven omdat ze zelf te beroerd zijn om gewoon te werken voor hun geld :( )

[Voor 16% gewijzigd door poor Leno op 09-11-2021 18:29]


  • jo_1
  • Registratie: december 2004
  • Laatst online: 05-01 19:14
Vandaag kreeg ik ook een mail van “Amac” dat mijn gegevens ten eerste ook te lang bewaard zijn gebleven en inderdaad bij Homerun. Bsn weet niet wat er verzameld is. Krijg daar geen duidelijkheid over.

Ongeveer 2 jaar geleden daar sollicitatie achtergelaten en nooit meer een reactie gehad tot deze mail.

Echt een schandalig slechte service en vind zeker dat hiervoor opgedraaid moet worden.

Edit: uiteraard heeft de klantenservice nu ook toevallig een storing.

[Voor 8% gewijzigd door jo_1 op 09-11-2021 19:22]


  • RoestVrijStaal
  • Registratie: juli 2012
  • Laatst online: 12:18
Hier ook een "slachtoffer" die ongeveer een jaar geleden gesolliciteerd heeft bij een bedrijf dat Homerun gebruik(te). Maar ik weet zeker dat ik ooit bij meerdere bedrijven heb gesolliciteerd die Homerun gebruik(t)en.

Het grootste probleem is dat sollicitanten zelf geen klant zijn van Homerun, maar de bedrijven waar de sollicitanten solliciteerden. Ondanks dat er (persoonlijke) informatie van de sollicitanten wordt gebruikt. Dat Homerun reageert op gedupeerde (ex)sollicitanten is enkel PR-building.

Zie het als een huisbaas die voor onderhoud een klusjesman inhuurt om de luchtfilters te vervangen. Die klusjesman heeft geen boodschap aan of de bewoners er wel of niet mee eens zijn dat die nu komt en de boel op stelten zet.

Onderaan de streep is het "Foutje, bedankt".

Sowieso snap ik niet waarom je complete CV's e.d. wilt bewaren van sollicitanten.
Als je een sollicitant hebt aangenomen, is zijn CV al niet meer up to date.
En ik geloof niet dat afgewezen sollicitanten graag aan de slag willen bij bedrijven waar ze in het verleden bij de sollicitatie zijn afgewezen.

[Voor 4% gewijzigd door RoestVrijStaal op 09-11-2021 22:00]


  • Titus
  • Registratie: juli 2008
  • Laatst online: 20:42
digigast schreef op dinsdag 9 november 2021 @ 17:56:
[...]


Helaas; De volledige dataset van mij was beschikbaar; adres, telefoonnummer, email adres, mails, notities en het cv waren allemaal op te lepelen uit Homerun.
Van wie hoorde je dat die data gelekt was (en ter verificatie de data zelf?), van Homerun, of van het bedrijf waar je gesolliciteerd hebt? En weet je zeker dat die het van Homerun hebben, of gewoon in hun eigen administratie opgeslagen hebben?

  • Zwaai Haai
  • Registratie: september 2005
  • Laatst online: 13-01 10:51
RoestVrijStaal schreef op dinsdag 9 november 2021 @ 21:53:
Onderaan de streep is het "Foutje, bedankt".
Ja dat, foutje bedankt, en tot nooit. En jij en ik zitten met de last van fraude en phishing. Als je hier een zaak van wil maken zal je moeten aantonen dat je hier schade van hebt, en dat die schade veroorzaakt is door de tegenpartij. Ik zie niet zo goed hoe je nalatigheid of onbeschoft gedrag als persoon juridisch zou kunnen aanpakken. Volgens mij zou de AP de meest kansrijke route zijn om een dergelijk bedrijf aan te pakken.
Dat levert de mensen hier niets op, die zitten nog steeds met de ellende. Enige is dat hoge boetes en imagoschade mogelijk de budgetten voor Privacy maatregelen bij bedrijven wat opschroeft.

  • RoestVrijStaal
  • Registratie: juli 2012
  • Laatst online: 12:18
Titus schreef op dinsdag 9 november 2021 @ 23:27:
[...]


Van wie hoorde je dat die data gelekt was (en ter verificatie de data zelf?), van Homerun, of van het bedrijf waar je gesolliciteerd hebt? En weet je zeker dat die het van Homerun hebben, of gewoon in hun eigen administratie opgeslagen hebben?
Daar is gemakkelijk ervan uit te gaan dat die data sowieso gelekt was.

Bij een CV is het de norm dat personalia (= voornaam en achternaam, adres, telefoonnummer, email-adres, geboortedatum, evt. rijbewijs, evt. sociale media) opgenomen zijn.
Je CV is je visitekaartje om jezelf te verkopen en te laten zien wie jij bent.

  • Katie80
  • Registratie: november 2021
  • Laatst online: 03-01 09:06
Titus schreef op dinsdag 9 november 2021 @ 23:27:
[...]


Van wie hoorde je dat die data gelekt was (en ter verificatie de data zelf?), van Homerun, of van het bedrijf waar je gesolliciteerd hebt? En weet je zeker dat die het van Homerun hebben, of gewoon in hun eigen administratie opgeslagen hebben?
@digigast heeft de e-mail gepost waaruit blijkt dat het bedrijf waar hij gesolliciteerd heeft het aan hem heeft gemeld. En het datalek zat in homerun, daar stond de data ook in aldus de e-mail.

Als je wilt weten wat voor informatie er is opgeslagen kan je dat altijd bij het bedrijf waar je hebt gesolliciteerd opvragen. Je hebt namelijk recht op inzage.

  • ravenger
  • Registratie: juli 2001
  • Laatst online: 10-01 15:58
Van andere bedrijven waar ik via homerun heb moeten solliciteren heb ik nog niets gehoord overigens.
Nou, de volgende mail. Ook begin 2016 🙈
Beste,

We willen je graag informeren over een recente cyberaanval op Homerun, waarbij persoonsgegevens betrokken zijn.

Wat is er gebeurd?
Als een voormalig sollicitant sta je geregistreerd in de tool die we voor recruitment gebruiken, genaamd Homerun.

Een criminele hacker kreeg op 20 oktober toegang tot Homerun en kopieerde bestanden uit Homeruns gegevensopslag. Homerun ontdekte de aanval op 26 oktober. Samen met extern cyberveiligheidsbedrijf Northwave lukte het Homerun op 28 oktober om de kwetsbaarheid in het systeem te vinden en te dichten zodat de hacker geen toegang meer had tot de gegevensopslag. Homerun bereikte daarna een overeenkomst met de hacker om de gekopieerde data veilig te stellen. De hacker heeft bevestigd dat alle gekopieerde gegevens zijn vernietigd en niet publiek zijn gemaakt. Er is geen indicatie dat de gegevens publiek zijn gemaakt en we verwachten niet dat dit alsnog gebeurt.

We nemen aan dat jouw gegevens bij het datalek betrokken zijn.

Welke persoonsgegevens waren bij dit incident betrokken?
Je naam, contactinformatie (adres, e-mailadres en telefoonnummer), CV en/of sollicitatiebrief zijn gegevens die in het Homerun-systeem opgeslagen waren.

Waarom heeft Homerun deze gegevens van jou?
Toen je in het verleden solliciteerde op een baan bij Blendle werden je persoonsgegevens opgeslagen in het systeem van Homerun.

Wat heeft Blendle gedaan?
We hebben het lek gerapporteerd bij de Autoriteit Persoonsgegevens.
We hebben ons databeleid inzake sollicitanten aangescherpt en gaan de bewaartermijn van gegevens aanzienlijk verkorten, afhankelijk van of je bent aangenomen of niet.​
Wil je meer weten?
Voor meer informatie over het datalek verwijzen we je graag door naar de website van Homerun.

Je kunt met ons contact opnemen via privacy@blendle.com als je vragen of suggesties voor ons hebt.

We willen hierbij onze excuses aanbieden voor dit voorval. Veiligheid van persoonsgegevens staat bij ons hoog in het vaandel en we blijven er alles aan doen om die gegevens te beschermen tegen toekomstige aanvallen.

Met vriendelijke groet,

Blendle

  • Sluuz
  • Registratie: september 2004
  • Laatst online: 15-01 20:59
En hier ook. Half 2017 gesolliciteerd en op gesprek geweest. En dus mail gekregen. Daarin werd het volgende gemeld:

As an applicant for a job at [bedrijf] in the last 24 months, we regret to inform you that in this cyber incident your personal information has been obtained by a third party without authorization.

Dat klopt natuurlijk niet echt als het al meer dan 48 maanden geleden is geweest. Dus mailtje gestuurd en toen kwam dit antwoord:

We are very sad to have to share this news and that we take protection your personal information. Unfortunately a service provider we used to store your personal information has had a data leak, which was out of our control.

During our assessment of the situation we found out that Homerun provided certain settings, which would delete applicant’s personal information after the legal data storage period ended. This feature was introduced in 2019 and only applied on applicants going forward. This meant that if you applied before that period, your data was still wrongly stored. We were not aware of this.

We have taken all efforts to fix this going forward and in addition to delete your personal information.


Lekker vinger wijzen allemaal.

PSN: Sluuz

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee