Read on Twitter
nieuws: de wachtwoorden en privégegevens van miljoenen Nederlanders liggen op straat na een hack bij webshop Allekabels.
Het is het grootste datalek met wachtwoorden in Nederland ooit. De gestolen data worden misbruikt voor gerichte phishing en hacks: https://www.rtlnieuws.nl/nieuws/nederland/artikel/5212318/allekabels-gehackt-privegegevens-miljoenen-nederlanders-op-straat
Het is het grootste datalek met wachtwoorden in Nederland ooit. De gestolen data worden misbruikt voor gerichte phishing en hacks: https://www.rtlnieuws.nl/nieuws/nederland/artikel/5212318/allekabels-gehackt-privegegevens-miljoenen-nederlanders-op-straat
De gestolen database werd eind januari te koop aangeboden. Ik belde Allekabels begin februari daarover op. En dan begint een bijzonder verhaal.
Volgens Allekabels zou een medewerker 5K persoonsgegevens van klanten hebben gestolen en zijn ontslagen. Die zouden zijn aangeboden.
Volgens Allekabels zou een medewerker 5K persoonsgegevens van klanten hebben gestolen en zijn ontslagen. Die zouden zijn aangeboden.
Ik geloofde daar, samen met experts, geen snars van en zei: als ik ontdek dat jullie liegen, kom ik terug.
Het duurde een aantal maanden en sprak heel wat criminelen, maar de database kwam boven.
Ik checkte de gegevens van gedupeerden en stuitte toen op een bijzonder patroon.
Het duurde een aantal maanden en sprak heel wat criminelen, maar de database kwam boven.
Ik checkte de gegevens van gedupeerden en stuitte toen op een bijzonder patroon.
Ik belde een boel mensen met 'allekabels' in hun mailadres op. Dat zijn veelal technisch onderlegde mensen die een uniek mailadres voor de webshop gebruiken.
Die mensen wisten dat hun gegevens waren gelekt omdat ze op dat unieke adres opeens gerichte phishingmails ontvingen.
Die mensen wisten dat hun gegevens waren gelekt omdat ze op dat unieke adres opeens gerichte phishingmails ontvingen.
Toevallig hadden al die mensen met een uniek mailadres een bericht van Allekabels ontvangen: dat hun gegevens waren gestolen en gelekt door de ex-werknemer.
Dat zijn ook precies de mensen die konden weten dat hun gegevens bij Allekabels zijn gelekt. En ra-ra hoeveel zijn dat:
Dat zijn ook precies de mensen die konden weten dat hun gegevens bij Allekabels zijn gelekt. En ra-ra hoeveel zijn dat:
De theorie van @rikvduijn, die snel ontdekte dat zijn gegevens bij Allekabels waren gelekt, wordt daarmee versterkt:
"Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt."
"Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt."
Allekabels zei vanochtend niets van een hack te weten, ondanks dat het in februari op de hoogte was dat hun database te koop werd aangeboden.
De criminele hacker stelt: ze weten het sinds augustus 2020, toen is zijn shell (backdoor) ontdekt.
De criminele hacker stelt: ze weten het sinds augustus 2020, toen is zijn shell (backdoor) ontdekt.
De wachtwoorden zijn gehasht met MD5+salt of Bcrypt, bij de ~ miljoen bestellingen via Bol/Amazon zijn geen wachtwoorden gelekt.
Er zijn ook ruim 100.000 IBAN-nummers gestolen waarmee gerichte phishingaanvallen worden uitgevoerd, de data worden reeds verhandeld.
Wees alert.
Er zijn ook ruim 100.000 IBAN-nummers gestolen waarmee gerichte phishingaanvallen worden uitgevoerd, de data worden reeds verhandeld.
Wees alert.
De Autoriteit Persoonsgegevens gaat naar aanleiding van ons verhaal "informatie en documenten" opvragen bij Allekabels.
"Allekabels is verplicht alle gevraagde informatie en documentatie te leveren", laat een woordvoerder weten.
Ben benieuwd.
"Allekabels is verplicht alle gevraagde informatie en documentatie te leveren", laat een woordvoerder weten.
Ben benieuwd.
Een tip voor organisaties en bedrijven: denk goed na over wat je doet bij een hack of datalek als je klantenbestand vooral bestaat uit nerds met een security-mindset.
Dat zijn hele slimme mensen die heel goed weten waar en wanneer hun gegevens zijn gestolen of gelekt
Dat zijn hele slimme mensen die heel goed weten waar en wanneer hun gegevens zijn gestolen of gelekt
update: alvast 2 feitelijke onjuistheden in FAQ van Allekabels
> Er zijn wel betaalgegevens gelekt (109K IBAN's, uit log betaalprovider MultiSafePay)
> Er zijn wel wachtwoorden gelekt, alleen versleuteld. Ze zijn te kraken en daarmee NIET 'onbruikbaar'
https://www.allekabels.nl/faq-1504.php
> Er zijn wel betaalgegevens gelekt (109K IBAN's, uit log betaalprovider MultiSafePay)
> Er zijn wel wachtwoorden gelekt, alleen versleuteld. Ze zijn te kraken en daarmee NIET 'onbruikbaar'
https://www.allekabels.nl/faq-1504.php
Oh, bijzonder dit: Allekabels komt met een 'datakluis-systeem' waardoor hackers nooit meer bij gevoelige gegevens kunnen! Nooit!
Een toekomstig datalek is dan ook niet meer mogelijk, zo stelt het bedrijf. Ik heb deze pagina gearchiveerd voor later gebruik.
Een toekomstig datalek is dan ook niet meer mogelijk, zo stelt het bedrijf. Ik heb deze pagina gearchiveerd voor later gebruik.
update: de hacker in kwestie moet gniffelen om de reactie van Allekabels :-)
update: het datalek bij Allekabels wordt nog stuk erger: de salt die wordt gebruikt voor het versleutelen van wachtwoorden (MD5) is ook gestolen.
De salt is iets zoals 'allekabels.2005', waarmee veel wachtwoorden heel gemakkelijk kunnen worden gekraakt. Als in, binnen seconden.
De salt is iets zoals 'allekabels.2005', waarmee veel wachtwoorden heel gemakkelijk kunnen worden gekraakt. Als in, binnen seconden.
update: inmiddels bevestigt Allekabels dat er toch zowel wachtwoorden als IBAN's zijn gestolen, nadat ze het eerder stellig ontkenden.
Werd nog door Allekabels opgebeld over mijn 'feitelijk onjuiste' kop want 'er waren geen wachtwoorden gelekt'
Werd nog door Allekabels opgebeld over mijn 'feitelijk onjuiste' kop want 'er waren geen wachtwoorden gelekt'
