Ingelogd op mijn TP Link account, wat zijn de gevolgen? - Netwerken

Vraag

zaterdag 4 april 2026 08:20

Acties:

Topicstarter

Beste Tweakers,

Vanochtend werd ik wakker met een melding dat iemand op mijn TP Link account heeft ingelogd in de nacht.

Dit account gebruik ik voor mijn Deco app. Hierin heb ik 3 Deco M5 in access point modus staan, waarmee al mijn apparaten in huis zijn verbonden. De glasvezel Zyxel router stuurt dit aan, maar als het goed is, is dit een afzonderlijk netwerk.

Ondertussen heb ik wel al mijn account en Wifi wachtwoord veranderd.

Heeft de ingelogde persoon nog meer toegang kunnen krijgen, zijn er nog meer dingen die ik moet aanpassen of controleren?

Helaas heb ik zelf geen/weinig verstand van routers en netwerken, dus het is nogal een noodkreet. Hopelijk kunnen jullie tweakers me wel op weg helpen!

Alle reacties

zaterdag 4 april 2026 09:45

Acties:

Slpkgl

Topicstarter

Het wordt nog gekker. Zojuist kom ik erachter dat dit is gestuurd naar een oud emailadres waarvan ik niet wist dat ik daar een TP Link account bij had. Daarmee proberen in te loggen na meermaals wachtwoord te gokken, kreeg ik na succesvolle inlog weer een mail van TP Link: exact zelfde emailadres, zelfde template, maar nu volledig in het Nederlands?!

zaterdag 4 april 2026 10:01

Acties:

dion_b

Moderator Harde Waren

say Baah

Dit klinkt eerder als phishingpoging met een malafide mail dan dat er iets op je eigen netwerk aan de hand was.

Kun je die originele mail hier posten, indien mogelijk met headers erbij?

Als je via een link in de eerste mail heb proberen in te loggen: foute boel. Gelijk rechtstreeks inloggen via de app en wachtwoord daar veranderen in iets anders dan je op de site waar je via de mail op terecht kwam. Als je dat wachtwoord op andere plaatsen ook gebruikt hebt, ook daar veranderen.

Oslik blyat! Oslik!

zaterdag 4 april 2026 10:57

Acties:

Slpkgl

Topicstarter

Dank voor het meedenken! Bij deze de twee mails. Het e-mailadres van beiden is: no-reply@email.tp-link.com.

Als het goed is heb ik op geen enkele mail geklikt en alleen via de app mijn wachtwoord gewijzigd (achteraf begin je altijd te twijfelen

). Voor de zekerheid ook zojuist alles gereset en op die plekken nogmaals wachtwoord veranderd.

Nog iets dat ik kan doen?

Het ‘gehackte’ wachtwoord was sowieso een wachtwoord die ik gelukkig alleen voor spam gebruikte.

Afbeeldingslocatie: https://tweakers.net/i/e5k7Jalf1u-U2ARu0zLHzLb881o=/x800/filters:strip_icc():strip_exif()/f/image/LV6PfkmQJBnmnccWi4heHlBB.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/Akpa-LuBgl29HX5qIemR4c_WzAk=/x800/filters:strip_icc():strip_exif()/f/image/V9yE9tJH1RkXZjiv2KctaZjo.jpg?f=fotoalbum_large

zaterdag 4 april 2026 19:03

Acties:

Wylana

Het IP adres 10.92.252.253 is een INTERN netwerk adres.

Lijkt er dus op dat een intern device aan het verbinden is met je account.
Misschien zegt dat je iets?

Ik ben steenrijk....ik heb een grindpad!

zaterdag 4 april 2026 22:23

Acties:

Slpkgl

Topicstarter

Wylana schreef op zaterdag 4 april 2026 @ 19:03:
Het IP adres 10.92.252.253 is een INTERN netwerk adres.

Lijkt er dus op dat een intern device aan het verbinden is met je account.
Misschien zegt dat je iets?

Dat is verrassend, dat wist ik niet. Hoe kun je zien of het intern is? Zelf heb ik al jaren geen android meer en ook nooit een Google Pixel gehad.

Wat is exact een intern device en in hoeverre maakt dat de situatie gevaarlijker?

zondag 5 april 2026 08:56

Acties:

Wylana

Slpkgl schreef op zaterdag 4 april 2026 @ 22:23:
[...]

Dat is verrassend, dat wist ik niet. Hoe kun je zien of het intern is? Zelf heb ik al jaren geen android meer en ook nooit een Google Pixel gehad.

Wat is exact een intern device en in hoeverre maakt dat de situatie gevaarlijker?

Dat is een stukje netwerk kennis haha.

Maar ik wilde weten van waar het verzoek kwam en dat deed ik via de site https://www.whois.com/whois

Daar kan je een domeinnaam of IPadres invullen en dan zie je snel genoeg waar het vandaan komt. En in jou geval gaf hij ook keurig aan dat het een intern IP adres is.

Ik ben steenrijk....ik heb een grindpad!

zondag 5 april 2026 09:30

Acties:

reinier68

Slpkgl schreef op zaterdag 4 april 2026 @ 22:23:
[...]
Dat is verrassend, dat wist ik niet. Hoe kun je zien of het intern is? Zelf heb ik al jaren geen android meer en ook nooit een Google Pixel gehad.
Wat is exact een intern device en in hoeverre maakt dat de situatie gevaarlijker?

Er bestaan een paar IP ranges die niet routeerbaar zijn, en dus alleen intern kunnen leven:
Klasse A: 10.0.0.0 – 10.255.255.255
Klasse B: 172.16.0.0 – 172.31.255.255
Klasse C: 192.168.0.0 – 192.168.255.255
Loopback: 127.0.0.1 (lokale machine)
Windows intern als DHCP uitvalt; 169.x.x.x

Als jij zelf geen Pixel hebt, dan kan het zijn dat iemand anders dus op jouw netwerk zit te rommelen.
Wat is je interne IP range? Normaliter zie je daar 192.168.x.x in gebruik. 10.x.x.x zie je vaak in bedrijfsmatige omgevingen.

[ Voor 3% gewijzigd door reinier68 op 05-04-2026 09:31 ]

maandag 6 april 2026 08:16

Acties:

Slpkgl

Topicstarter

reinier68 schreef op zondag 5 april 2026 @ 09:30:
[...]

Er bestaan een paar IP ranges die niet routeerbaar zijn, en dus alleen intern kunnen leven:
Klasse A: 10.0.0.0 – 10.255.255.255
Klasse B: 172.16.0.0 – 172.31.255.255
Klasse C: 192.168.0.0 – 192.168.255.255
Loopback: 127.0.0.1 (lokale machine)
Windows intern als DHCP uitvalt; 169.x.x.x

Als jij zelf geen Pixel hebt, dan kan het zijn dat iemand anders dus op jouw netwerk zit te rommelen.
Wat is je interne IP range? Normaliter zie je daar 192.168.x.x in gebruik. 10.x.x.x zie je vaak in bedrijfsmatige omgevingen.

Dank voor de toelichting. Waar kan ik mijn interne IP range achterhalen? Ik verwacht inderdaad 192, aangezien het thuis gebruik is. Hoe kan dan iemand toch met ‘bedrijfs’ip binnen zit? Iets wat ik nu nog kan doen om kwaad te voorkomen?

maandag 6 april 2026 09:09

Acties:

reinier68

Slpkgl schreef op maandag 6 april 2026 @ 08:16:
[...]
Dank voor de toelichting. Waar kan ik mijn interne IP range achterhalen? Ik verwacht inderdaad 192, aangezien het thuis gebruik is. Hoe kan dan iemand toch met ‘bedrijfs’ip binnen zit? Iets wat ik nu nog kan doen om kwaad te voorkomen?

Op een windows machine kan je een command prompt openen en even een IPCONFIG doen.
Dan zie je je eigen IP adres en je gateway. Dat zou logischerwijs een 192. range moeten zijn.

Op je router kan je zien hoe je DHCP server is ingeregeld.

dinsdag 7 april 2026 09:24

Acties:

mycroes

Slpkgl schreef op zaterdag 4 april 2026 @ 10:57:
Dank voor het meedenken! Bij deze de twee mails. Het e-mailadres van beiden is: no-reply@email.tp-link.com.

Afzender adres is net zo betrouwbaar (enkele kanttekeningen daargelaten) als de afzender op een envelop die door je brievenbus komt, vertrouw daar dus nooit op. Het is soms hooguit een indicatie dat het sowieso foute boel is, nooit een betrouwbare indicatie dat het goed zit

dinsdag 7 april 2026 13:05

Acties:

Ben(V)

De grootste kans is dat iemand met een Google Pixel telefoon op jouw wifi heeft gezeten.
Het belangrijkste is dus het wachtwoord van je wifi te wijzigen.
Ik hoop dat je dat niet op de default fabrieks instelling hebt staan?

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 7 april 2026 22:33

Acties:

Slpkgl

Topicstarter

Ben(V) schreef op dinsdag 7 april 2026 @ 13:05:
De grootste kans is dat iemand met een Google Pixel telefoon op jouw wifi heeft gezeten.
Het belangrijkste is dus het wachtwoord van je wifi te wijzigen.
Ik hoop dat je dat niet op de default fabrieks instelling hebt staan?

Niet helemaal. Routerwifi was grotendeels default (nu gewijzigd). De deco’s hadden een afzonderlijke Wi-Fi en wachtwoord (van een eerdere provider in het verleden). Ook nu gewijzigd.

Dan heeft diegene dus bij mijn Deco instellingen gezeten, als de mail legit is. Nog andere zaken die ik even moet bekijken voor zekerheid?

[ Voor 6% gewijzigd door Slpkgl op 07-04-2026 22:35 ]

woensdag 8 april 2026 08:15

Acties:

rens-br

Admin IN & Moderator Mobile

@Slpkgl ik heb je titel even aangepast, zodat het de lading beter dekt.

woensdag 8 april 2026 19:03

Acties:

SkillZ4LollZ V2

Slpkgl schreef op dinsdag 7 april 2026 @ 22:33:
[...]

Niet helemaal. Routerwifi was grotendeels default (nu gewijzigd). De deco’s hadden een afzonderlijke Wi-Fi en wachtwoord (van een eerdere provider in het verleden). Ook nu gewijzigd.

Dan heeft diegene dus bij mijn Deco instellingen gezeten, als de mail legit is. Nog andere zaken die ik even moet bekijken voor zekerheid?

Boze buurman/buurvrouw die het heft in eigen handen genomen heeft omdat jouw netwerk voor interferentie zorgt/met teveel vermogen uitzend?

woensdag 8 april 2026 19:18

Acties:

gerritjan

Dit lijken mij ordinaire phishing-pogingen. Een mail dat er iets mis is of dat je meteen moet betalen omdat er anders iets geblokkeerd wordt?
Ik ken niemand die een interne reeks 10.92.252.xxx gebruikt en als je er geen verstand van hebt (zoals OP) al helemaal niet.
Ik ben benieuwd waar die linkjes naartoe gaan, dat zegt meestal genoeg.

woensdag 8 april 2026 22:17

Acties:

Solarsparc

Link naar het FAQ-artikel waar de mailtekst naar verwijst:
https://www.tp-link.com/nl/support/faq/4349/

In principe is TP-link dus wel bezig om mensen te informeren over een datalek, dus dit kan echt zijn. De eerste mail zegt verder niets over een succesvolle login. Maar check even de links voor de passwordreset in de mail (checken, niet klikken).

Als het tijdstip van de mail (23:47 plus minus tijdzone op 3 april) ook het tijdstip was dat jij je wachtwoord wijzigde, kan je het zelf geweest zijn, wie weet klopt hun apparaatdetectie gewoon niet.

[ Voor 5% gewijzigd door Solarsparc op 08-04-2026 22:21 ]

woensdag 8 april 2026 22:29

Acties:

DukeBox

Wylana schreef op zaterdag 4 april 2026 @ 19:03:
Het IP adres 10.92.252.253 is een INTERN netwerk adres.

Lijkt er dus op dat een intern device aan het verbinden is met je account.
Misschien zegt dat je iets?

Kan ook CGN/LSN zijn.

woensdag 8 april 2026 22:50

Acties:

Solarsparc

DukeBox schreef op woensdag 8 april 2026 @ 22:29:
[...]

Kan ook CGN/LSN zijn.

Scherp, als ze die detectie in de app op het apparaat zelf doen, is het gewoon een intern IP van je mobiele provider, dus kan normaal zijn. Mits jij dit zelf was.

[ Voor 5% gewijzigd door Solarsparc op 08-04-2026 22:54 ]

donderdag 9 april 2026 20:40

Acties:

Slpkgl

Topicstarter

Solarsparc schreef op woensdag 8 april 2026 @ 22:17:
Link naar het FAQ-artikel waar de mailtekst naar verwijst:
https://www.tp-link.com/nl/support/faq/4349/

In principe is TP-link dus wel bezig om mensen te informeren over een datalek, dus dit kan echt zijn. De eerste mail zegt verder niets over een succesvolle login. Maar check even de links voor de passwordreset in de mail (checken, niet klikken).

Als het tijdstip van de mail (23:47 plus minus tijdzone op 3 april) ook het tijdstip was dat jij je wachtwoord wijzigde, kan je het zelf geweest zijn, wie weet klopt hun apparaatdetectie gewoon niet.

Thanks voor de info. Net even over de link van de mail gecheckt: https://accounts2.tplink.com/reset/v1?lang=en_us&email=, met daar nog vanalles achter.

De mail uit bovenstaande screenshot was ik niet zelf. Ik had al weken niet meer ingelogd op de router of Deco (en ook niet op dat account). Pas ruim 12 uur later zelf ingelogd en àlles gewijzigd.

Toen ook mail gekregen (in NL en niet in het Engels, maar dat komt dus wellicht door mijn IP locatie); en die link in die mail lijkt grotendeels hetzelfde. Lijkt dus een legit link?

donderdag 9 april 2026 20:42

Acties:

Slpkgl

Topicstarter

Slpkgl schreef op donderdag 9 april 2026 @ 20:40:
[...]

Thanks voor de info. Net even over de link van de mail gecheckt: https://accounts2.tplink.com/reset/v1?lang=en_us&email=, met daar nog vanalles achter.

De mail uit bovenstaande screenshot was ik niet zelf. Ik had al weken niet meer ingelogd op de router of Deco (en ook niet op dat account). Pas ruim 12 uur later zelf ingelogd en àlles gewijzigd.

Toen ook mail gekregen (in NL en niet in het Engels, maar dat komt dus wellicht door mijn IP locatie); en die link in die mail lijkt grotendeels hetzelfde. Lijkt dus een legit link?

Wellicht nog een hele domme en ondoordachte vraag, maar stel iemand klikt op zo’n link. Is het kwaad dan direct geschied, of is dat pas na invullen gegevens/download van bestanden?

Niet dat ik geklikt heb, maar oprechte interesse

donderdag 9 april 2026 21:07

Acties:

DVX73

Slpkgl schreef op donderdag 9 april 2026 @ 20:42:
[...]

Wellicht nog een hele domme en ondoordachte vraag, maar stel iemand klikt op zo’n link. Is het kwaad dan direct geschied, of is dat pas na invullen gegevens/download van bestanden?

Niet dat ik geklikt heb, maar oprechte interesse

Wat ze waarschijnlijk kunnen zien is dat je vanuit de e-mail op de link geklikt hebt.

Dan weten ze dus dat het e-mailadres actief is en er een kans is dat je op een link klikt.

Ergste geval is een zero click exploit. Dat wanneer je een link opent met internet Explorer 6 je direct geïnfecteerd wordt, dit is echter heel zeldzaam.

Meestal zijn er naast het openen van een link meerdere acties benodigd.

donderdag 9 april 2026 23:00

Acties:

gerritjan

accounts2.tplink.com staat niet in het DNS, dus geen IP-adres.

vrijdag 10 april 2026 07:19

Acties:

laurens0619

Weet je zeker dat dit de url was?
Niet overgetypt, maar echt ge copy paste?
Maak anders ff screenshot

CISSP! Drop your encryption keys!

vrijdag 10 april 2026 08:18

Acties:

Slpkgl

Topicstarter

gerritjan schreef op donderdag 9 april 2026 @ 23:00:
accounts2.tplink.com staat niet in het DNS, dus geen IP-adres.

Dit begrijp ik niet helemaal. Wat wil dit zeggen?

vrijdag 10 april 2026 19:03

Acties:

nossie63

Je zegt een Zyxel modem/router te hebben, die worden door Odido uitgegeven. Kan het zijn dat het een gevolg is van de Odido hack?
En die Google Pixel, kan die van familie, vrienden of andere (vage) kennissen zijn? Ik weet niet of je kinderen hebt die eventueel vrienden of vriendinnen toegang hebben gegeven tot je netwerk. Dit kan tegenwoordig heel makkelijk, zelfs als je het wachtwoord niet weet. Je deelt bij de wifi instellingen de qr-code en je bent binnen.

Zomaar wat ideetjes waar nog niet over geschreven is.

vrijdag 10 april 2026 19:22

Acties:

Barrycade

Through the...

Is je mail adres waar het eerst naar toe was gestuurd wellicht het email adres waarmee je bij Odido je / een abonnement hebt afgesloten in het verleden? Je spul staat dan online dan en dan lijkt het op een gerichte actie. Tplink[.]com is niet een echt adres het is met een streepje.

vrijdag 10 april 2026 19:28

Acties:

Solarsparc

Slpkgl schreef op vrijdag 10 april 2026 @ 08:18:
[...]

Dit begrijp ik niet helemaal. Wat wil dit zeggen?

Dit is wel sketchy. Scenario: iemand heeft met die Google Pixel (via een mobiele verbinding) een DNS-entry voor accounts2.tplink.com toegevoegd (voor jouw lokale netwerk), om je vervolgens op die link te laten klikken voor een fake password-reset.
Ik zou sowieso de settings in je tp-link-account(s) nakijken en checken of er meer informatie is over die login en eventuele andere logins.
Wil je echt zeker zijn, overweeg dan om alles wat je hebt van TP-link te factory-resetten en op een andere account te herconfigureren (of wellicht zonder account, als dat kan en je gebruikt die verder toch niet).
Best kans dat je met de password resets en het niet klikken op links aan een echte hack ontsnapt bent, maar als je zelf niet echt kunt bepalen of er nog iets aan de hand is, dan is het wel te overwegen.

vrijdag 10 april 2026 19:32

Acties:

Solarsparc

Variant van het scenario: er is helemaal niet ingelogd, maar beide mails zijn "gewone" phishing-pogingen, ze hebben er 2 gestuurd om het nog dringender te laten lijken.
Als de links in beide mails geen streepje hebben in het adres, is dit scenario wel aannemelijk.
Dat ze je e-mailadres dan uit de Odido-hack hebben, is ook wel aannemelijk.

[ Voor 35% gewijzigd door Solarsparc op 10-04-2026 19:48 ]

vrijdag 10 april 2026 20:07

Acties:

Slpkgl

Topicstarter

Solarsparc schreef op vrijdag 10 april 2026 @ 19:28:
[...]

Dit is wel sketchy. Scenario: iemand heeft met die Google Pixel (via een mobiele verbinding) een DNS-entry voor accounts2.tplink.com toegevoegd, om je vervolgens op die link te laten klikken voor een fake password-reset.
Ik zou sowieso de settings in je tp-link-account(s) nakijken en checken of er meer informatie is over die login en eventuele andere logins.
Wil je echt zeker zijn, overweeg dan om alles wat je hebt van TP-link te factory-resetten en op een andere account te herconfigureren (of wellicht zonder account, als dat kan en je gebruikt die verder toch niet).
Best kans dat je met de password resets en het niet klikken op links aan een echte hack ontsnapt bent, maar als je zelf niet echt kunt bepalen of er nog iets aan de hand is, dan is het wel te overwegen.

Thanks! Klinkt nogal beangstigend. Helaas was er in de TP-Link apps geen informatie over inlog te vinden.

Hoe dan ook heb ik alles een factory reset gegeven (router en Deco) en wachtwoorden van zowel routers als account veranderd. Opvallend is wel dat de emails naar een ouder emailadres zijn gestuurd, waarvan ik niet eens wist dat ik een TP-Link account had (uiteindelijk wel kunnen inloggen met dat oude email in de app). Daar ook alles van veranderd.

De Deco stonden ook op access point, dus geen DNS settings toegankelijk. Hoe dan ook zou dit verholpen moeten zijn met een reset, toch?

nossie63 schreef op vrijdag 10 april 2026 @ 19:03:
Je zegt een Zyxel modem/router te hebben, die worden door Odido uitgegeven. Kan het zijn dat het een gevolg is van de Odido hack?
En die Google Pixel, kan die van familie, vrienden of andere (vage) kennissen zijn? Ik weet niet of je kinderen hebt die eventueel vrienden of vriendinnen toegang hebben gegeven tot je netwerk. Dit kan tegenwoordig heel makkelijk, zelfs als je het wachtwoord niet weet. Je deelt bij de wifi instellingen de qr-code en je bent binnen.

Zomaar wat ideetjes waar nog niet over geschreven is.

Barrycade schreef op vrijdag 10 april 2026 @ 19:22:
Is je mail adres waar het eerst naar toe was gestuurd wellicht het email adres waarmee je bij Odido je / een abonnement hebt afgesloten in het verleden? Je spul staat dan online dan en dan lijkt het op een gerichte actie. Tplink[.]com is niet een echt adres het is met een streepje.

Verder geen familie of vrienden met een Pixel, zeker niet zo’n oudere. Het is inderdaad een e-mail van de Odido hack geweest, dus dat lijkt me nog wel het meest reële scenario.

Opvallend is wel dat het adres van de link exact hetzelfde is als bij een latere (echte, van toen ik mijn wachtwoord wijzigde) mail van TP-Link. Beiden zonder streepje.

vrijdag 10 april 2026 20:09

Acties:

Slpkgl

Topicstarter

Zijn er nog acties die ik nu verder nog kan doen rondom veiligheid dan de acties die ik al heb gedaan?

Nog dingen waar ik op moet letten nu? Of achten jullie de kans groot dat ik ‘veilig’ ben?

zaterdag 11 april 2026 00:40

Acties:

gerritjan

Slpkgl schreef op vrijdag 10 april 2026 @ 08:18:
[...]
Dit begrijp ik niet helemaal. Wat wil dit zeggen?

Het DNS (Domain Name System) vertaalt de naam van een website, bv tweakers.net, naar een numeriek IP-adres.
Als er in het DNS geen IP-adres is te vinden bij accounts2.tplink.com dan is die URL niet bereikbaar en bestaat de website eigenlijk niet.
Afbeeldingslocatie: https://tweakers.net/i/P2LIb85MbWl6ylMlmJb0r-zL-yA=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/LsYB44fxrMrbTpeGeSulcHel.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/P2LIb85MbWl6ylMlmJb0r-zL-yA=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/LsYB44fxrMrbTpeGeSulcHel.png?f=user_large

Pagina: 1

Reageer