Over Allekabels.nl

Started by Allekabels, April 7, 2016, 14:13:41

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

B-art

#50
Gaat hier om 3,6 miljoen personen volgens de nos. Vervelende gang van zaken, eerst de ggd, toen de autobranche daarna honderden miljoenen facebook. Eenmaal vertrouwen geschonden is voor mij einde klantrelatie. Moeten ze maar beter beveiligen.
musical fidelity - tentlabs - lindemann - clearaudio - dynaudio - rel - lehmann - hifiman - grado - sennheiser - qobuz - spotify - audio note

pameijer

Quote from: B-art on April 16, 2021, 06:38:13
Gaat hier om 3,6 miljoen personen volgens de nos. Vervelende gang van zaken, eerst de ggd, toen de autobranche daarna honderden miljoenen facebook. Eenmaal vertrouwen geschonden is voor mij einde klantrelatie. Moeten ze maar beter beveiligen.
Beetje kort door de bocht. IT is gewoon voor de meeste mensen een ingewikkeld iets en hackers zijn per definitie de anderen een stap voor. Dit soort dingen gebeuren en horen er helaas gewoon bij. Natuurlijk moet iedereen zijn best doen en open en transparant zijn als er iets mis gaat. In hoeverre dat hier gebeurd is zal nog wel blijken.

Met jouw insteek kun je maar beter al je accounts overal verwijderen. Niet cynisch bedoeld maar als iets fout kán gaan zal het ook een keertje fout gaan. Ik denk dat een Mr. Robot ook dit forum zo kan kraken.
Anthem MRX1120 | Sony UBP-X800M2 | Technics SL2000 + NAD PP2i | Apple TV 4K en Nvidia Shield en Vero V | Vu+ Duo2 | LG OLED55C7 | JVC X7900 met HDFury Integral2 en iVisions Cinema 4K 260 cm | AVI ADM9.1RS actieve speakers front en center + AVI DM5 surrounds en rears + 4x Micca M-8C Atmos + Rythmik E15HP sub en héél veel muziek!

B-art

#52
Ben een keer gehackt via Facebook. Vervolgens kon men overal bij. Daar heb ik van geleerd en heb voor elk account nu een sterk wachtwoord die ik regelmatig verander. Inmiddels ben ik wantrouwend geworden ja dat klopt. Blijf ook ver weg van dat Facebook bijvoorbeeld
musical fidelity - tentlabs - lindemann - clearaudio - dynaudio - rel - lehmann - hifiman - grado - sennheiser - qobuz - spotify - audio note

Kingpin

Quote from: pameijer on April 16, 2021, 08:21:18
Ik denk dat een Mr. Robot ook dit forum zo kan kraken.
tuurlijk, als je dik 3 versies achterloopt en niet patched ... dan is het gewoon afwachten wanneer het gebeurd.
Mainset : Kingpin TVC Preamplifier, Kingpin Tripath Amplifier, Logitech Squeezebox Touch, Kingpin Touch LiPo Power Supply, Metrum NOS DAC Quad, Kingpin Metrum Power Supply, MiniDSP DDRC-22D, Kingpin miniDSP Power Supply, Kingpin Power Distribution System, Audio Physic Brilon 2.0, Audio Physic Luna I, Apogee Wyde Eye, Copulare Zonal Rack

Kjelt

Je kunt je afvragen waarom de bedrijven bv adresinformatie opslaan. Dat is alleen noodzakelijk voor verzenden en kan daarna verwijderd worden na ontvangst. Dat is gewoon de makke van de huidige tijd een bedrijf als Google weet meer van je dan je broer wat betreft interesses, bestellingen, welke sites je bezoekt etc etc.

Raphie

Quote from: Kjelt on April 16, 2021, 09:36:09
Je kunt je afvragen waarom de bedrijven bv adresinformatie opslaan. Dat is alleen noodzakelijk voor verzenden en kan daarna verwijderd worden na ontvangst. Dat is gewoon de makke van de huidige tijd een bedrijf als Google weet meer van je dan je broer wat betreft interesses, bestellingen, welke sites je bezoekt etc etc.
Data retentie is ook een dingetje. Order gegevens tot in lengte van dagen blijven gebruiken om te spammen. Tenzij je een opt out doet. Wanneer je bijv 24mnd niks hebt georderd zouden je gegevens gewoon moeten worden verwijderd.
JBL PRX Power!

Raymond187

Quote from: Raphie on April 16, 2021, 09:40:57
Data retentie is ook een dingetje. Order gegevens tot in lengte van dagen blijven gebruiken om te spammen. Tenzij je een opt out doet. Wanneer je bijv 24mnd niks hebt georderd zouden je gegevens gewoon moeten worden verwijderd.
Kan me herinneren dat je als webshop eigenaar de account gegevens na 12 maanden moet verwijderen. Uiteraard wanneer de eigenaar van het account er geen gebruik meer van maakt.

roland p

Quote from: Kjelt on April 15, 2021, 23:21:19
Ter aanvulling het enige wat je dan kan doen is een lookuptable maken van bv een woordenboek met meest voorkomende wachtwoorden en dan zou je in theorie die eruit kunnen halen.
Klopt. Met een rainbow table :). Je kunt dat truukje ook hier doen: https://md5.gromweb.com/?md5=ae2b1fca515949e5d54fb22b8ed95575
Het idee van de salt is dat dit niet werkt. Het wachtwoord dat gehashed wordt is dan niet 'welkom01' maar '[salt]welkom01', en daar komt een andere hash uit. Nu hebben ze de salt en kunnen ze dus de tabel opnieuw genereren, en het truukje alsnog doen. De salt had per opgeslagen wachtwoord uniek moeten zijn, want dan moet per record de hele tabel opnieuw worden gegenereerd.

JVC DLA-HD350 - Tag Mclaren AV32R DP 100x5r - Polkaudio®

Kingpin

Voor mij al te lang geleden maar in php deden we altijd zo:

$hash = password_hash($password, PASSWORD_DEFAULT);
En vergeleken middels:
if (password_verify($password, $hash)) { do something }

Of is dit inmiddels "not done"  ;D
Mainset : Kingpin TVC Preamplifier, Kingpin Tripath Amplifier, Logitech Squeezebox Touch, Kingpin Touch LiPo Power Supply, Metrum NOS DAC Quad, Kingpin Metrum Power Supply, MiniDSP DDRC-22D, Kingpin miniDSP Power Supply, Kingpin Power Distribution System, Audio Physic Brilon 2.0, Audio Physic Luna I, Apogee Wyde Eye, Copulare Zonal Rack

donaldk

#59
Datalek bij Allekabels betrof niet 5000 maar 3,6 miljoen mensen
Een database met gegevens van 3,6 miljoen klanten van de Nederlandse webshop Allekabels is buitgemaakt en vermoedelijk verkocht aan criminelen. Dat concludeert RTL Nieuws na onderzoek. Allekabels waarschuwde eerder slechts 5000 mensen voor een datalek.

De database is door RTL Nieuws ingezien en geverifieerd. Er staan 2,6 miljoen unieke e-mailadressen in, die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Daarnaast zijn er nog een miljoen entries met gegevens van klanten die via handelsplatforms als Bol.com en Amazon bij Allekabels hebben besteld. Daar zitten geen e-mailadressen of wachtwoorden bij.
https://tweakers.net/nieuws/180538/datalek-bij-allekabels-betrof-niet-5000-maar-3-komma-6-miljoen-mensen.html

Dus ook van de mensen die deelnamen aan de prijsvragen/loterijen hier op het forum?

kermy

Ik kreeg vanochtend twee mailtje, in de ene was mijn account niet bij de gehackte gegevens, maar in de later verstuurde opeens wel. Het komt allemaal op zijn zachtst gezegd nogal amateuristisch over.

In de tweede mail word gezegd dat mijn password is verwijderd, en dat als ik nu inlog op hun site er gevraagd zal worden om het password te vernieuwen.

Ik denk nog na of ik nog wel zaken wil doen met deze firma, en dus ook of ik mijn account maar moet laten verwijderen. Het gaat mij vooral om de communicatie of liever gezegd het gebrek daaraan over de problemen.

Ze hebben wat mij betreft een beetje te lang in de ontkenningsfase gezeten.


Met vriendelijke groet,

Kermy

StefaanD

Quote from: pameijer on April 16, 2021, 08:21:18
Beetje kort door de bocht. IT is gewoon voor de meeste mensen een ingewikkeld iets en hackers zijn per definitie de anderen een stap voor. Dit soort dingen gebeuren en horen er helaas gewoon bij. Natuurlijk moet iedereen zijn best doen en open en transparant zijn als er iets mis gaat. In hoeverre dat hier gebeurd is zal nog wel blijken.
En dat is precies wat hier helemaal niet gebeurd is, heb gevoel dat allekabels iets had van 'laat maar waaien' en ze zijn pas in actie geschoten als het heet onder hun voeten werd en dan maar iedereen zijn wachtwoord gewist.

Laks gedrag en persoonlijk mag wat mij betreft dergelijk gedrag van een bedrijf zwaar afgestraft worden.

Gaat de laatste tijd inderdaad goed zo, met Facebook maar ook bv. Ubiquiti die heel schimmig deed over hun datalek.

roland p

#62
Quote from: Kingpin on April 16, 2021, 11:38:42
Voor mij al te lang geleden maar in php deden we altijd zo:

$hash = password_hash($password, PASSWORD_DEFAULT);
En vergeleken middels:
if (password_verify($password, $hash)) { do something }

Of is dit inmiddels "not done"  ;D
Not done want geen salt. Het ligt aan de implementatie, maar dat lijkt mij wel ok (hij genereert zelf een salt): https://www.php.net/manual/en/function.password-hash.php
Ik ben geen expert hierin, maar de methode die ik gebruik is: unieke salt per wachtwoord, en 1000 PBKDF2 iteraties. De 1000 iteraties zorgen ervoor dat de hashing 'traag' wordt, de rainbow table is dan moeilijker te genereren. Ik heb de methode hiervandaan (Java): https://howtodoinjava.com/java/java-security/how-to-generate-secure-password-hash-md5-sha-pbkdf2-bcrypt-examples/ (stuk over PBKDF2WithHmacSHA1).


JVC DLA-HD350 - Tag Mclaren AV32R DP 100x5r - Polkaudio®

B-art

Quote from: StefaanD on April 16, 2021, 12:53:22
En dat is precies wat hier helemaal niet gebeurd is, heb gevoel dat allekabels iets had van 'laat maar waaien' en ze zijn pas in actie geschoten als het heet onder hun voeten werd en dan maar iedereen zijn wachtwoord gewist.

Laks gedrag en persoonlijk mag wat mij betreft dergelijk gedrag van een bedrijf zwaar afgestraft worden.

Gaat de laatste tijd inderdaad goed zo, met Facebook maar ook bv. Ubiquiti die heel schimmig deed over hun datalek.

Inderdaad, dat AVG verhaal op hun website blijkt alleen bedoeld te zijn geweest voor de bühne
musical fidelity - tentlabs - lindemann - clearaudio - dynaudio - rel - lehmann - hifiman - grado - sennheiser - qobuz - spotify - audio note

Peerless Monster

Quote from: kermy on April 16, 2021, 12:52:28
Ik kreeg vanochtend twee mailtje, in de ene was mijn account niet bij de gehackte gegevens, maar in de later verstuurde opeens wel. Het komt allemaal op zijn zachtst gezegd nogal amateuristisch over.

In de tweede mail word gezegd dat mijn password is verwijderd, en dat als ik nu inlog op hun site er gevraagd zal worden om het password te vernieuwen.

Ik denk nog na of ik nog wel zaken wil doen met deze firma, en dus ook of ik mijn account maar moet laten verwijderen. Het gaat mij vooral om de communicatie of liever gezegd het gebrek daaraan over de problemen.

Ze hebben wat mij betreft een beetje te lang in de ontkenningsfase gezeten.


Met vriendelijke groet,

Kermy

Of er zijn een stel slimmerikken, die iedereen aan het mailen slaan met physhing mailings ;).
Classe Omega MKII | Audio Research SP-11 | ARC VT130SE | PS Audio BHK 250 | PS Audio P10 | PS Audio Perfectwave DSD DAC  | PS Audio Perfectewave Transport | Acoustat model one + one | Michell | Dual CS510 platenspeler

B-art

Dat denk ik eerder, ik heb niet zo'n mail ontvangen maar zelf direct gewijzigd en daarna account per mail afgemeld.Voor degene die dat wel had, nog maar een keertje wijzigen dan
musical fidelity - tentlabs - lindemann - clearaudio - dynaudio - rel - lehmann - hifiman - grado - sennheiser - qobuz - spotify - audio note

Peerless Monster

Ik krijg net deze mailing binnen:

U heeft aangegeven dat u uw wachtwoord wilt wijzigen. Vanwege de waarborging van uw privacy, is uw wachtwoord niet zichtbaar voor ons. Hierdoor kunnen wij uw wachtwoord niet ter verificatie naar u verzenden.

Via de onderstaande link stelt u eenvoudig uw nieuwe wachtwoord in.

Klik hier om een nieuw wachtwoord te kiezen.

Indien u geen aanvraag heeft gedaan voor het verkrijgen van een nieuw wachtwoord, neem dan contact op met onze klantenservice via +31(0)455717001 (bereikbaar op werkdagen tussen 9.00u en 21.00u)

Met vriendelijke groet,

Team Allekabels
Classe Omega MKII | Audio Research SP-11 | ARC VT130SE | PS Audio BHK 250 | PS Audio P10 | PS Audio Perfectwave DSD DAC  | PS Audio Perfectewave Transport | Acoustat model one + one | Michell | Dual CS510 platenspeler

B-art

En zoals iedereen inmiddels weet nooit via zo'n link wachtwoorden gaan wijzigen maar alleen via de site. Lekker bezig daar.
musical fidelity - tentlabs - lindemann - clearaudio - dynaudio - rel - lehmann - hifiman - grado - sennheiser - qobuz - spotify - audio note

Hanky Panky

Quote from: pameijer on April 15, 2021, 21:23:57
Wachtwoord wijzigen, account verwijderen e.d. heeft helaas geen zin. De gegevens zijn gelekt en staan al in een andere database. Ik heb net ff gekeken en het betreft bij mij alleen naam, adres en email en natuurlijk de bestelgeschiedenis. Het laatste hebben ze niet veel aan. Naam en adres was vroeger voor iedereen openbaar in het telefoonboek. Maar blijft ruk.

Daarom gebruik ik voor webwinkels e.d. andere wachtwoorden dan voor belangrijkere zaken. Misschien toch maar eens naar een wachtwoordmanager kijken.
Maak van jouw verwachting niet mijn verplichting.

LG OLED77C25LB // Denon AVR-X3400H // Nvidia Shield TV pro // 5 x B&W M1 // SVS SB3000

mikekiwi

Quote from: Hanky Panky on April 16, 2021, 14:11:00
Daarom gebruik ik voor webwinkels e.d. andere wachtwoorden dan voor belangrijkere zaken. Misschien toch maar eens naar een wachtwoordmanager kijken.
Precies dat is wat ik nu ook ga doen; zowel deze als bij FB ben ik de klos en tot nu toe aan blijven prutsen met eigen wachtwoorden (paar varianten, complexer naarmate de importantie van betreffende website toeneemt).

Heb vanmorgen dit gelezen: https://www.laatjeniethackmaken.nl/  en ga hier nu ook werk van maken. Ik zou bijna zeggen "voordat het te laat is", maar wellicht ben ik al te laat  :nopompom: ;)

i2Paq

Quote from: B-art on April 16, 2021, 13:50:52
En zoals iedereen inmiddels weet nooit via zo'n link wachtwoorden gaan wijzigen maar alleen via de site. Lekker bezig daar.

Waar zijn ze lekker bezig?

Woonkamer: Linn Majik DSM/2, Cambridge CXUHD, Dual 731Q, SoundStone 2x16.5
Playground: Marantz PM7000, B&W DM70

B-art

Quote from: i2Paq on April 16, 2021, 14:51:08
Waar zijn ze lekker bezig?

Bij allekabels. Als ze zich een beetje hadden verdiept in phishing als bedrijf na een datalek, en vertrouwen proberen terug te winnen, dan biedt je niet de optie wachtwoord wijziging aan via een email linkje. Dat is per definitie onbetrouwbaar.  Niets geleerd dus. Had via site gemoeten waar banken ook op wijzen.
musical fidelity - tentlabs - lindemann - clearaudio - dynaudio - rel - lehmann - hifiman - grado - sennheiser - qobuz - spotify - audio note

KillerbeeNL

Geen mail gehad

Verstuurd vanaf mijn SM-A505FN met Tapatalk

Tools: i1pro en Chromapure Professional -- Audio: JBL SB400 soundbar+SUB -- TV: LG 47PW4500 LED -- Game: PS3 en een Wii voor de jeugd ;-)

Mokumer45

Wel de excuus mail ontvangen, gisteren zelf al ww gewijzigd.
Huiskamer: AVR: Denon AVC-X4700H, Speakers: Teufel T400 Mk2, Teufel Cubycon 5.1 met bijbehorende Subw , Teufel Reflekt, 2e Subw: Sony SA-WMS535, Audio Streamer: Teufel Raumfeld Connector 2, 4K Speler: Sony UBP-X800, DAT Rec: Sony DTC-55ES, Cassette Rec: Sony TC-K630ES, DVD/Video Rec: Sony RDR-VX450, Pick-up: Dual CS-429 met Shure M97XE of Ortofon 2M Red of Audio Technica AT-VM95EN element, Phono Amp: Teufel PhonoStation 1, Media Box: UPC Pace DRC7111, div. Headphones, o.a. Sony MDR-DS6500, TV: Sony 49X8305C.
 Extra: Micro System: Sony CMT-CPX1. Slaapkamer: nog div. apparaten.

Tien

Quote from: donaldk on April 16, 2021, 12:38:33
Datalek bij Allekabels betrof niet 5000 maar 3,6 miljoen mensen

De hack is uit augustus.

Die 5000 mensen die eerst gemaild zijn door hen, waren mensen met een specifiek mailadres voor allekabels (dus zoiets als mijnnaam+allekabels@gmail.com). Deze mensen konden namelijk als eerste achterhalen dat hun mailadres was gelekt. Ze hoopten daarmee dat de kous af was, maar dat bleek anders in februari.

Hier wordt het wel aardig uitgelegd: https://www.rtlnieuws.nl/nieuws/nederland/artikel/5212318/allekabels-gehackt-privegegevens-miljoenen-nederlanders-op-straat