Deezer gehacked

Heb de mail gisteren ook gehad.
Belangrijkste is dat er geen wachtwoorden of betaalgegevens zijn gelekt wat mij betreft. Wel verbazend dat dit >3 jaar naar dato pas naar buiten komt.

Het frappante van dit soort mails vind ik altijd dat ze je melden dat je persoonsgegevens gelekt zijn maar dat je wachtwoorden gewoon veilig zijn. Het gevoel dat ze mij daarmee afgeven is een beetje wrang, want je hebt je persoonsgegevens toevertrouwd aan een bedrijf die daar blijkbaar niet helemaal goed mee om is gegaan, maar verwachten wel dat je hun in dezelfde zin nog maar vertrouwt dat je wachtwoorden en betaalgegevens wel veilig zijn zonder enige duiding waarom je dat dan maar moet geloven. Ik weet niet of dat arrogantie is of dat daar een juridisch aspect in zit (zo weinig mogelijk informatie verschaffen) maar ik vind dat wel wat lichtvoetig allemaal.

Ik kreeg deze melding al via m’n Norton Darkweb Monitoring op 25 januari. Er was een mailadres van mij bij betrokken.

RedHat schreef op woensdag 22 februari 2023 @ 08:18:
Het frappante van dit soort mails vind ik altijd dat ze je melden dat je persoonsgegevens gelekt zijn maar dat je wachtwoorden gewoon veilig zijn. Het gevoel dat ze mij daarmee afgeven is een beetje wrang, want je hebt je persoonsgegevens toevertrouwd aan een bedrijf die daar blijkbaar niet helemaal goed mee om is gegaan, maar verwachten wel dat je hun in dezelfde zin nog maar vertrouwt dat je wachtwoorden en betaalgegevens wel veilig zijn zonder enige duiding waarom je dat dan maar moet geloven. Ik weet niet of dat arrogantie is of dat daar een juridisch aspect in zit (zo weinig mogelijk informatie verschaffen) maar ik vind dat wel wat lichtvoetig allemaal.

Wachtwoorden gehashed opgeslagen, en gebruik maken van een payment-provider? Zo heet wordt 'ie nog niet gegeten hoor.

RedHat schreef op woensdag 22 februari 2023 @ 08:18:
Het frappante van dit soort mails vind ik altijd dat ze je melden dat je persoonsgegevens gelekt zijn maar dat je wachtwoorden gewoon veilig zijn. Het gevoel dat ze mij daarmee afgeven is een beetje wrang, want je hebt je persoonsgegevens toevertrouwd aan een bedrijf die daar blijkbaar niet helemaal goed mee om is gegaan, maar verwachten wel dat je hun in dezelfde zin nog maar vertrouwt dat je wachtwoorden en betaalgegevens wel veilig zijn zonder enige duiding waarom je dat dan maar moet geloven. Ik weet niet of dat arrogantie is of dat daar een juridisch aspect in zit (zo weinig mogelijk informatie verschaffen) maar ik vind dat wel wat lichtvoetig allemaal.

Vandaar dat ze ook (in dezelfde paragraaf) adviseren om het wachtwoord te wijzigen.

De blootgestelde gegevens omvatten informatie zoals namen, geboortedata en e-mailadressen.

Volgens Have I Been Pwned zitten er wel meer gegevens in..

Dates of birth, Email addresses, Genders, Geographic locations, IP addresses, Names, Spoken languages, Usernames

Helaas heb ik zelf geen mail gehad van Deezer, maar HIBP geeft aan dat mijn email wel tussen de data zit.

Cyriel85 schreef op woensdag 22 februari 2023 @ 08:07:
Wel verbazend dat dit >3 jaar naar dato pas naar buiten komt.

Omdat de data pas in November 2022 is aangeboden op forums.
Wel raar dat de mail nu pas komt, aangezien Deezer hier 3 maanden geleden al over schreef https://support.deezer.co...7-Third-Party-Data-Breach

[ Voor 34% gewijzigd door Christoxz op 22-02-2023 08:47 ]

Gehashte wachtwoorden op straat != geen wachtwoorden op straat. Je wilt het weten als de gehashte versie er ligt. Niet omdat je (afhankelijk van hoe en wat) meteen nu nu nu actie moet ondernemen, wel omdat je niet dat wachtwoord nog lang wilt gebruiken.

eagle00789 schreef op woensdag 22 februari 2023 @ 08:02:
Ze geven in deze mail aan dat ze samenwerken met het franse autoriteit voor gegevensbescherming CNIL. Moeten zij dit nu niet ook melden bij onze Authoriteit Persoonsgegevens, omdat het in mijn geval gaat om gegevens van een Nederlandse klant?

In de regel wordt een organisatie 'bediend' door 1 autoriteit. Het is ondoenlijk om contact te hebben met 30+ autoriteiten die allemaal bijna maar net niet hetzelfde vragen. En het is voor onze AP ondoenlijk om alle organisaties in de hele EER te bedienen.

Geen informatie over wachtwoorden of betalingsgegevens, wel gegevens "zoals" (?) naam/email, dat suggereert dat er bijv. een derde partij slachtoffer was waar ze, bijvoorbeeld, ihkv marketing data hebben gegeven aan die derde.

Dat zou je misschien kunnen achterhalen via een inzageverzoek met de vraag welke gegevens aan welke derde en aan welke subverwerker is verstrekt.

F_J_K schreef op woensdag 22 februari 2023 @ 08:42:
Geen informatie over wachtwoorden of betalingsgegevens, wel gegevens "zoals" (?) naam/email, dat suggereert dat er bijv. een derde partij slachtoffer was waar ze, bijvoorbeeld, ihkv marketing data hebben gegeven aan die derde.

De eerste paragraaf van de email is er volgens mij ook duidelijk in dat het lek bij een voormalig derde partij zit, dus hoezo is het dan een suggestie?

CH4OS schreef op woensdag 22 februari 2023 @ 08:47:
[...]

De eerste paragraaf van de email is er volgens mij ook duidelijk in dat het lek bij een voormalig derde partij zit, dus hoezo is het dan een suggestie?

Nadruk op het laatste deel vd zin: niet bijv. 'de hoster'(alle data) maar 'een marketingbureau' (een subset van 'alle data' wordt dagelijks aan hen gestuurd, maximaal ligt die subset op straat.

Edit: maar dat is dus speculatie.

[ Voor 3% gewijzigd door F_J_K op 22-02-2023 08:52 ]

DiedX schreef op woensdag 22 februari 2023 @ 08:36:
[...]

Wachtwoorden gehashed opgeslagen, en gebruik maken van een payment-provider? Zo heet wordt 'ie nog niet gegeten hoor.

Dus als je je wachtwoorden gehasht opslaat mag je er vanuit gaan dat aanvallers geen wachtwoorden hebben buitgemaakt? Daar gaat het dus al mis. (zonder technisch al te veel in detail te treden).

[ Voor 6% gewijzigd door RedHat op 22-02-2023 19:46 ]

RedHat schreef op woensdag 22 februari 2023 @ 19:45:
[...]


Dus als je je wachtwoorden gehasht opslaat mag je er vanuit gaan dat aanvallers geen wachtwoorden hebben buitgemaakt? Daar gaat het dus al mis. (zonder technisch al te veel in detail te treden).

Nee, maar andersom is ook waar. Heeft deezer iets genoemd over hashing, salt en broncode ?