2FA verplichten voor deelname V&A

Even ter verduidelijking omdat mensen al snel schrikken van "accounts gehacked":

Ondanks dat we er zo veel mogelijk aan doen om Vraag en Aanbod veilig te houden komt helaas ook hier soms misbruik voor door middel van oplichting en andere ongewenste zaken. Alle vormen van misbruik nemen we natuurlijk zeer serieus.

Om misbruik van een account tegen te gaan raden we aan 2FA in te schakelen. Daarmee verklein je namelijk de kans dat iemand toegang krijgt tot jouw privégegevens, mee kan lezen in je dm’s of, in het ergste geval, medetweakers kan oplichten via Vraag & Aanbod.

Hoe stel ik tweefactorauthenticatie in op mijn Tweakers-account?
Stap 1: Ga naar https://tweakers.net/instellingen/tweefactorauthenticatie/
Stap 2: Kies een authenticator-app. Voorbeelden zijn: Authy, OneLogin Protect of Google Authenticator
Stap 3: Volg de stappen op Tweakers en in de authenticator-app
Stap 4: Zorg dat je je herstelcodes goed bewaart! Deze heb je nodig om je account in te komen als je geen toegang meer hebt tot de authenticator-app

Meer informatie vind je hier: .plan: Tweefactorauthenticatie vanaf vandaag beschikbaar op Tweakers

Mocht je benadeeld zijn via V&A, dan kan je via deze link kijken of je de NAW gegevens van het bankrekening nummer kan achterhalen.

Verder; zorg ervoor dat je unieke en sterke wachtwoorden gebruikt die niet makkelijk te raden zijn. Hergebruik wachtwoorden nooit. Zo zorg je ervoor dat er geen onbevoegden via jouw account kunnen inloggen om deze te gebruiken om mensen via V&A op te lichten, bijvoorbeeld door gebruik te maken van gelekte informatie vanaf andere sites.

We hebben op dit moment geen enkele indicatie dat Tweakers actief gehackt is/wordt of dat wachtwoorden via Tweakers uitgelekt zijn.

Voor de rest is dit een topic wat in Mooie Features thuishoort. Ik verplaats het daarom even @Balance

Met mijn account is vrijdagavond (8maart) ook gebeurd

Ik krijg een mail dat er vanaf een onbekend IP-adres een login op mijn account was vastgesteld.
Dus ik volgde de link in de mail om mijn ww te veranderen.
Maar dat ging niet omdat de 'oplichter' 2fa had ingeschakeld.
Mijn account was overigens beveiligd met alleen een ww en geen 2fa.
Gelukkig heeft Microkid me geholpen en had ik mijn account snel terug , uiteraard heb ik nu 2fa.

Wat me een klein beetje zorgen maakt is dat de 'oplichter' met alleen mijn wachtwoord 2fa heeft kunnen inschakelen. Uit ervaring weet ik dat veel websites een extra verificatie via je emailadres vragen.
Als je 2fa wil inschakelen dat je eerst nog eens extra moet bevestigen via mail. Dat is hier niet het geval.
Misschien een kleine tip?

Overigens heeft de oplichter op die korte tijd op 4 mensen gereageerd , en gelukkig geen schade aangericht.

Bij de betreffende "hacks", is daar het wachtwoord van het account gestolen en vervolgens ingelogd, of de sessiecookie? Het laatste zou je nog kunnen detecteren misschien. Maar dat zullen jullie zelf vast ook al onderzocht hebben

marcop23 schreef op woensdag 13 maart 2024 @ 08:21:
Bij de betreffende "hacks", is daar het wachtwoord van het account gestolen en vervolgens ingelogd, of de sessiecookie? Het laatste zou je nog kunnen detecteren misschien. Maar dat zullen jullie zelf vast ook al onderzocht hebben

Zonder wachtwoord kun je geen 2FA instellen. Daar kun je zelf een conclusie uit trekken

Ik ben zelf niet diegene geweest die hier onderzoek naar heeft gedaan, dus kan je dit niet met zekerheid zeggen. Normaliter betreft het zgn credential-stuffing: De kwaadwillende heeft dan een lijst met gebruikersgegeven "gevonden" die worden gebruikt om in te loggen. We hebben verschillende maatregelen om de impact te verkleinen, zo krijg je o.a. een mailtje als je met een onbekend IP-adres inlogt. Ook aan de "achterkant" hebben we verschillende maatregelen die ik niet uit de doeken zal doen. Ook de effectiviteit van deze maatregelen zal ik niet toelichten, maar weet dat wij hier net zo hard van balen als er iemand tussendoor glipt als jullie.

Gelukkig kunnen we zulke [personen die niet het beste met jou voorhebben] vaak snel blokkeren - mede dankzij de oplettendheid van jullie als gebruikers, en dankzij de tomeloze inzet van onze Tweakers crew.

En voor iedereen die na 't lezen nog twijfelt nadat ie is opgelicht: Doe a.u.b. aangifte, ook al voel je jezelf schuldig dat je "erin getrapt" bent. Zonder aangifte zal de oplichter in elk geval door blijven gaan, dus voorkom nieuwe slachtoffers door aangifte te doen.

Ik ben zelf niet voor zaken als verplichtstelling. Dat zorgt voor een extra drempel om gebruik te maken van Vraag en Aanbod. Veiligheid vind ik natuurlijk erg belangrijk maar V&A moet ook een laagdrempelig en uitnodigend platform zijn. Volgens mij ligt het probleem hier met name bij de gebruiker die geen gebruik maakt van 2FA. Ik verwacht veelal vanwege onbekendheid. Daar (mogelijk) iets aan doen lijkt mij stap 1.

[ Voor 7% gewijzigd door Bor op 13-03-2024 20:01 ]

Er staat met enige regelmaat een banner voor een onderzoek of zo bovenaan de site, vorige week nog. Misschien is dat af en toe te gebruiken om 2FA onder de aandacht te brengen voor mensen die dat niet ingeschakeld hebben?

Balance schreef op dinsdag 19 maart 2024 @ 14:08:
@DaFeliX Misschien is het mogelijk dat dit probleem (en eventueel die 4 ideeën) een keer binnen Tweakers besproken wordt?

Da's niet alleen mogelijk, dat wordt ook gedaan. En niet alleen "eens", maar regelmatig

Bastien schreef op woensdag 13 maart 2024 @ 20:08:
Er staat met enige regelmaat een banner voor een onderzoek of zo bovenaan de site, vorige week nog. Misschien is dat af en toe te gebruiken om 2FA onder de aandacht te brengen voor mensen die dat niet ingeschakeld hebben?

Het lost alleen het probleem van TS niet op, want over het algemeen zullen de mensen die goed omgaan met hun wachtwoorden dezelfde mensen zijn die 2FA aan hebben staan.
De mensen die dat nog niet proactief hebben gedaan zullen ook eerder geneigd zijn om hetzelfde wachtwoord elders te gebruiken, dus die zijn nog even vatbaar voor gehackt worden op Tweakers om misbruikt te worden binnen V&A.

De enige echte oplossing is om als je een vraag-advertentie plaatst iedereen met enige argwaan te behandelen; altijd vragen om een foto met beide usernames erop, het liefst van meerdere hoeken, en gewoon keihard weigeren om betaling te doen aan veel misbruikte (online) banken met slechte KYC zoals Bunq en Revolut.

Het zou mooi zijn als Tweakers ooit een keer een manier bedenkt om gebruikers te verifiëren, maar dat zou dan regelmatig opnieuw moeten gebeuren en zou heel wat extra persoonsgegevens vereisen (zelfs al is het maar tijdens verificatie en niet permanent opgeslagen). Als het niet regelmatig gebeurt hou je alsnog hetzelfde probleem als nu is met oude accounts die er zeer positief en betrouwbaar uitzien die zijn overgenomen.

Ik heb snel toch maar 2FA ingeschakeld. Ik wil niet dat mijn account wordt misbruikt voor V&A oplichting.