Grootste NL hack ooit. 2,6 miljoen wachtwoorden en privégegevens op straat na hack Allekabels.nl
Allewachtwoorden.nl zul je bedoelen!
Eind januari werd de gehackte database van webshop allekabels.nl voor 15.000 euro te koop aangeboden op uw plaatselijke hackersforum. De aanbieding bestond uit de privégegevens van 3,6 miljoen gewone Nederlanders waarvan "zo'n 2,6 miljoen unieke e-mailadressen die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. De andere miljoen gegevens zijn persoonsgegevens van mensen die via een webshop als Bol.com en Amazon bij Allekabels hebben besteld. Van hen zijn geen e-mailadressen of wachtwoorden gelekt."
Ook zijn er zo'n 109.000 IBAN-nummers van klanten verkocht, en dat is naar. Want die worden vaak gebruikt ter controle van identiteit en maken identiteitsfraude dus een stuk makkelijker. Én ze worden gebruikt voor phishing met chirurgische precisie, waarin uw NAW en IBAN al zijn verwerkt, en dus een stuk geloofwaardiger lijkt.
De hack geldt als de grootste in de vaderlandse geschiedenis sinds het nationale trauma van de Hookers.nl-hack uit 2019, waarbij zo'm 250.000 wachtwoorden gedruipt werden.
Allekabels.nl was sinds februari op de hoogte van de lekkage en beweerde dat er slechts 5000 klantgegevens waren gestolen, bovendien door een destijds direct ontslagen medewerker. Deze 5000 klanten waren volgens hen allemaal op de hoogte gesteld. Maar de werkelijkheid lag dus iets anders.
Die 5000 waren allemaal savy en gebruikten voor hun bestellingen een apart emailadres zoals bijvoorbeeld "allekabels@jouwdomein.nl of jouwnaam+allekabels@gmail.com.", juist zodat ze konden zien wanneer dat adres gecompromitteerd was. Die makkers zijn inderdaad allemaal op de hoogte gesteld. De overige 3.495.000 waarschijnlijk niet, concludeert RTL na een rondgang.
Controleren of uw gegevens ergens van de vrachtwagen gevallen zijn doet u hier op scatteredsecrets.com.
Update: Allekabels reageert op zaak in FAQ, Verlaan denkt het zijne.
Social
Reaguursels
InloggenUit de tweet van Verlaan: " Er zijn wel wachtwoorden gelekt, alleen versleuteld. Ze zijn te kraken en daarmee NIET 'onbruikbaar'"
Uit de mail van AlleKabels: "Alleen de wachtwoorden van klanten die zich voor 1
september 2018 geregistreerd hebben, kunnen worden gekraak Voor u is
het belangrijk te weten dat dit ook om uw gegevens gaat."
Er zijn dus wachtwoorden gelekt en die kunnen ook gekraakt worden!
Mijn geluk is dat ik ondertussen verhuisd ben en van bank gewisseld ben. Meeste gelekte gegevens zijn dus niet meer actueel.
Krijg net een uitgebreide mail van allekabels in m'n inbox over de hack. Beetje jammer dat er landelijke media aandacht voor nodig was. Mij zijn ze kwijt als klant. Met een klantenbestand van 2 miljoen zal ze dat geen ruk kunnen schelen, maar dat is wel het maximale wat ik er aan kan doen.
Hmmm, ben toch een goede klant bij sllekabels maar a) ben niet verwittigd en b) zit blijbaar niet in de lijst van gelekte emsils, ook niet bij haveibeenpwned. WW is sowieso random 16chars. Dodged a bullit I guess.
Doordat de GGD ook de email adressen gelekt heeft zijn de geboortedata en BSN nummers hier weer mooi aan te koppelen.
Als een kwaadwillende nu een adreswijziging stuurt en een nieuwe simkaart opvraagt voor het (ook gelekte) telefoonnummer, om toegang te krijgen tot SMS verificatie codes. Hoe kan een telefoon-boer dan nog controleren of het om de echte eigenaar van de telefoon gaat? kwaadwillenden hebben meer persoonsgegevens dan er bekend zijn bij de telefoonboer. Kwaadwillenden hebben zelfs genoeg gegevens om een redelijk overtuigende "kopie" paspoort in elkaar te knutselen, eventueel met een foto van internet. en dan mag de telefoon-boer geen bepalen de kopie paspoort echt is of niet.
Maar als je via I-deal komt je IBAN dan ook mee?
Daar is dan toch geen reden voor?
En wat als ik een product heb besteld dat met een fabricagefout geleverd wordt en ik mijn geld terug vraag? Dan zullen ze mijn rekeningnummer nodig hebben om mijn geld terug te storten. Op 2.6 miljoen accounts zijn 100k aan IBAN nummers denk ik die rekening nummers. Maar inderdaad. Waarom moet je ze perse opslaan? Voor wie is dat makkelijk om te hebben en voor wie is het gevaarlijk als het uitlekt.... daar is gewoon niet goed over nagedacht.
Nou, nu nog mazzel, via Bol.com wel eens wat van ze besteld. Maar het is wachten op het eerste bericht waar mijn gegevens wél zijn gelekt... kan nooit lang meer duren na dit Coronatijdperk?
Ik ben zo'n savy gebruiker en dat heb ik dus ook bij allekabels.nl, maar ik ben nooit op de hoogte gesteld van een lek en wel shocking dat ik dit via de media moet vernemen.
Ik heb ook een apart adres gebruikt voor mijn account daar. Ik ben begin feb wel door hun op de hoogte gesteld, maar volgens scatteredsecrets zit dat adres niet in de set van gelekte gegevens.
@guru_meditation | 15-04-21 | 18:43:
Ik heb gewoon mijn eigen adres gebruikt, bestel er best vaak en kom volgens scattered ook niet in het lek voor. Zou het dan toch meevallen?
Tja, een beetje savvy hacker of spammer doet natuurlijk gewoon even een :%s/+.*@/@/g in z'n VI editor. Pffffft.
Standaard gang van zaken, zelfs de 2e kamer verneemt beleidswijzigingen tegenwoordig via de media...
IK heb nog niks gehoord van dat K*T bedrijf gehoord...
Je kunt er terecht voor bijvoorbeeld kabels.
Ik bestel er al jaren tot grote tevredenheid
Jaren geleden was er de Thuisapotheek.nl.
Die wisten op magische wijze wie je huisarts is, waar je verzekerd bent en welke medicatie je gebruikte.
Er is nooit opgehelderd hoe ze aan deze gegevens kwamen. De media besteedde er ook niet veel aandacht aan, terwijl het om medisch geheime informatie gaat. Misschien omdat ze bezig waren met de invoering van de EPD.
Die is toen failliet gegaan (2012). Waar komen al die gegevens dan terecht? Bij iedereen die geld wil bieden?
@kloopindeslootjijook | 15-04-21 | 18:22: Bij diegene aan wie de curator de computers doorverkoopt.
Een kabel met betonblok aan z'n voeten.
dat die eigenaar van allekabels maar gauw persoonlijk failliet mag gaan. dit soort shit is ALTIJD te wijten aan tyfus ondernemers die alleen maar aan geld denken en geen kaas hebben gegeten van IT en er ook nix van willen weten... fout volk, kutkruideniers
Whut, had hookers een kwart miljoen gebruikers....
Zouden Seedorf, Davids en Kluivert daar die zwarte kabel vandaan hebben gehaald?
Noem het een soort van blackout, maar ik tiepte net xham in op google en bedacht me dat ik mijn "cookies" niet gewist had. Wat me deed afvragen hoe de Amerikaanse overheid over privacy denkt. Als volgt: www.usa.gov/
No shit. En of shinola.org al gedeponeerd is.
Ik heb ook weleens iets bij Allekabels besteld geloof ik, maar hang me er niet aan op.
wat mooi ook, dat je een kluis hebt waar je gegevens in opgeslagen worden en NOOIT meer gelezen kunnen worden. Dan vraag je je toch af waarom die gegevens bewaard worden, als je er toch niks meer mee kan. Alsof je de slierten uit de papierversnipperaar gaat archiveren.
Ik ga solliciteren, altijd al een kabelbaan willen hebben.
Ok, dit wordt lastig, de wachtwoorden die beschikbaar lijken te zijn na de hack zijn voor websites die al jaren niet meer bestaan...
Wat is druipen of gedruipt worden?
Merk je wel als je een druiper hebt.
@grapo | 15-04-21 | 17:32: druipkaars, mooi scheldwoord.
is pornhub al eens gehackt? Moet ik me "zorgen" maken? Of is het "geen zorgen voor de dag van morgen" hierop van toepassing?
Is toch geen account voor nodig?
Ik heb ook wel eens bij Allekabels besteld. Zonder account. Ik vraag mij af wat hier van klopt. Ik zou als baas van een bedrijf trots zijn, wanneer er naar buiten komt dat de gegevens van
2 . 6 0 0 . 0 0 0
(Twee miljoen en zeshonderdduizend)
mensen die mijn bedrijf de moeite waard vinden om een account aan te maken, zijn gelekt.
Ik geloof er geen flikker van.
Haha ik was ook nogal verbaasd ja. 2,6M nederlanders die mét account iets bij Allekabels besteld hebben? Dan zijn ze echt gigantisch.
@Quantum Suicide | 15-04-21 | 17:34: Hier en daar een keer een kabeltje nodig, vanwege lockdown zijn een hele hoop fysieke winkels dicht, met wat google advertizing en targeting words kom je een heel eind als er gezocht wordt op iets met "kabel".
Wat dat betreft mag het hele board of directors ook wel een kabel kado krijgen. of een schop in de ballen.
Inderdaad. Of ze zijn ook met een hoop andere labels als webshop actief of dit gaat om andere gegevens, bijvoorbeeld 2,6 miljoen transacties.
Wat een heerlijk bericht. Ik koop nooit via internet.
Wauw. En toch reaguuren vanuit je grot, chapeaux!
Gewoon een knoop in alle kabels.
Iedereen kan doen wat ie wil, behalve the witmang. Ik hoop op 5 miljoen doden in NL en snel.
Ah ja ik zie het nu ook, ik heb 4 februari inderdaad een mailtje van ze gehad in m'n spam:
Beste,
Via deze weg willen wij informeren over een mogelijk datalek aan onze zijde waarbij ca. 5000 klantgegevens gelekt zijn. U ontvangt deze mail omdat uw gegevens deel uitmaken van deze set.
We hebben dit lek uit voorzorg ook gemeld bij de Autoriteit Persoonsgegevens.
We zijn op onderzoek uitgegaan en hebben geconstateerd dat er excessief klantdata is opgehaald door een medewerker (vermoedelijk vanuit een thuiswerksituatie).
Op basis van deze vervelende constatering hebben wij onze interne systemen strenger beveiligd waardoor dergelijke praktijken niet meer door onze medewerkers uitgevoerd kunnen worden in de toekomst.
We hebben tevens een project gedefinieerd waardoor we vanaf maart 2021 de e-mailadressen van onze klanten niet meer zonder encryptie zullen delen met onze partners. Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen.
Zodra de nieuwe encrypted e-mail database online is gegaan, zullen we u een bericht sturen.
Met vriendelijke groet,
Constantijn Souren
Dat zal ook wel weer de schuld van Hugo de Jonge zijn.....
Nee daar zit Rutte achter
@grapo | 15-04-21 | 17:24: of hoofd IT van de belastingdienst.
Ze hebben daar vacatures.
heeft er hier nog iemand gesolliciteerd?
Ik heb heel veel verschillende wachtwoorden, voor het geval dat ik er een vergeet.
das handig! ik heb helemaal geen wachtwoorden, dus ik wordt niet gehacked. Als iemand bij mij aanbelt moet ie Scheveningen zeggen... zeghtie Sjevenigga... dan staat de vijand voor de deur en haal ik mijn M1 uit de kluis.
@nobodiesunmighty | 15-04-21 | 17:22: Gezien je kroontje heb je iig 1 wachtwoord. Die zal dan wel hetzelfde zijn als die van je mailadres
@nobodiesunmighty | 15-04-21 | 17:22: Je stengun!!!
*haalt gelijk alle kabels uit het stopcontact*
Is het niet gewoon handiger als we gewoon alle gegevens openbaar maken? Met een miljard bedrijven die al je gegevens hebben is gewoon een kwestie van wachten op het volgende datalek. Het maakt allemaal gewoon niet meer uit.
Kijk, en daarom betaal ik al mijn aankopen op internet contant.
Vast ook nog met suart geld.
Als je email niet op scatteredsecrets.com staat, ben je dan ook bij de allekabels hack de dans ontsprongen?
De vraag is? Hebben ze ook mijn vingerafdrukken?
Ok... Mijn gebruikte wachtwoord staat er keurig en niet versleuteld bij. allekabeltjes zijn hier aan het liegen of hebben last van beperkte actieve herinneringen.
Lieve Ruby, die broek zit echt te strak.
Met dat soort ww zijn ze een miljoenmiljard jaar bezig te ontcijferen. Gebruik ik ook maar dan "560 broeken zitten". Succes verzekerd.
Graag de echte winkels weer open. Los van mijn twee hoognodige spijkerbroeken, ik heb na een flink tijdje sparen de centjes voor mijn gedroomde combimagnetron. Kopen in een echte winkel, ik wil weten dat het tastbaar is, en via het gesloten banksysteem pinnen. Gooi open die reële economie! De vraag (*) gaat nooit weg!
(*) Het voorzien in een daadwerkelijke behoefte, niet te verwarren met afgeleiden als terrassen en festivals.
-edit- met dank aan syndication-twitter voor een moment van bezinning: vraaggestuurd versus sturen van de vraag. Thnx Jack!
Wat zou zo een lijst in de verkoop nou doen?
Staat vermeld, € 15.000,-
@Wijze uit het Oosten | 15-04-21 | 17:16:
Dank u, had ik in alle opwinding gemist.
Vieze vuile gore kinkenleggers.
Mijn gegevens zijn ook gestolen, weet iemand hoe ik ze weer terug kan krijgen?
even een mailtje sturen met je nieuwe wachtwoord.
Ik zou verhuizen, een andere rekening nemen en mijn wachtwoorden veranderen.
@small_town_dude | 15-04-21 | 17:05:
Haha, dat is lastig als je je inloggegevens kwijt bent.
Even met digid inloggen op www.inloggegevensterug.nl/
Als het niet lukt even de gegevens naar me mailen, vanuit hier lukt het zeker.
@Joffri | 15-04-21 | 17:10:
Fijn! Wat is mijn emailadres?
@Mr_Natural | 15-04-21 | 17:13: mrdragons@gmail.com
@Mr_Natural | 15-04-21 | 17:13: wachtwoord: Welkom2020!
@Joffri | 15-04-21 | 17:17: he, die had ik al!
@nobodiesunmighty | 15-04-21 | 17:23: Mr_Natural zit nu beteuterd naar zijn scherm te kijken hehehe
Stichting oprichten louche advocaat erop zetten en aanpakken die webshop. Van de privacy waakhond hebben ze niets te vrezen.
Haha, wel mooi dat datakluissysteem.. Het voelt net alsof Hugo de Jonge dat stukje bedacht heeft..
Datakluis is helemaal geen gekke manier van toegang. Een interne api die zaken kan vergelijken, maar niets prijs geeft. Is voor creditcard afhandeling ook gebruikelijk.
Die mevrouwen zullen raar opkijken dat ze ineens op GeenStijl staan.
Ik denk dat Davids en Kluivert erachter zitten.
[zucht...] Als je gegevens nog niet op straat liggen hoor je er niet meer bij tegenwoordig.
Krijg ik binnenkort weer van die e-mail dat ze mij gefilmd hebben met mijn webcam terwijl ik erotische websites bezocht. En ik heb niet eens een webcam.
hoef niet. Heb je dat vliegje op je kamer niet gezien?
Ik kreeg laatst ook zo’n mailtje dat ik mezelf heb zitten aftrekken en ik heb geeneens een piemol. Hoe dan?
@nobodiesunmighty | 15-04-21 | 17:18:
Ah! Een Israëlische mini drone.
@BrulSpin | 15-04-21 | 17:40: Briljant!
Ik heb ook regelmatig bij allekabels besteld maar mijn adres staat er niet tussen. Zal wel komen omdat ik nooit een account aanmaak maar gewoon als gast bestel bij sites. Dan moet je bij herhaling wel steeds je adres opnieuw opgeven maar dat heb ik er wel voor over.
Mijn gegevens zijn ook gestolen terwijl ik nooit bij allekabels heb besteld. Wel bij Bol.
Alle kaBols natuurlijk.
Ik meen dat een IBAN koppelen aan klantprofiel überhaupt illegaal is. Onze shop bewaart alleen ordernummers en laat de IBAN door adyen afhandelen.
Als dat MultiSafePay te kraken is hoe zit dat dan bij Adyen?
@Trumme | 15-04-21 | 17:08: alles kan kapot. Maar dan moet je in ons geval zowel Adyen en onze site hacken en dan vervolgens onze ordernummers en persoonsdata koppelen aan de ordernummers en betaalgevens van Adyen.
Site is uit de lucht van allekabels
Overleden aan een overdosis GS lezers waarschijnlijk.
Werkt wel maar is traag
Ik krijg via die link de melding dat mijn e-mail niet gehackt is, maar als ik bij werkspot inlog krijg ik die melding wel. Hmmm.
Paar keer wat besteld, toevallig van de week nog, maar als gast. Juist vanwege dit gevaar ben ik met accounts aanmaken gestopt een tijdje terug.
Kunnen ze nu illegaal geld op mn rekening storten?
Blijft een probleem.
Die scatteredsecrets site... euh.. ik zou het niet doen.
Vage site inderdaad..
Hebben ze gelijk weer nieuwe bestaande emailadressen als je daar checkt.
@Roze_bril_drager | 15-04-21 | 16:55: Mijn junkemailadres zat al in 12 lekken. Hier werden er 4 genoemd waarvan 3x totale onzin (nooit geweest en/of nooit gebruikt wachtwoord).
@Joffri | 15-04-21 | 16:57:
Heel vaag dus, NOS/RTL verwijzen altijd naar deze site maar de site is opgezet door zogenaamde ethische hackers. Weet het niet hoor.
Kutzooi. 3 e-mailadressen van mij komen voor in die database.
Welke drie zijn dat?
En bijbehorende IBAN en huisadres?
Nu wel ja!
@2voor12 | 15-04-21 | 16:53:
Patje-GeenStijl@hotmail.com oh nee, die is nog niet gehacked, jammer anders zou dat veel van mijn tegels verklaren.
Je hoeft alleen maar even naar de winkel te gaan voor Google Play kaarten of geld overmaken naar Tek Support Prv. Ltd. Geef me je nummer, dan neemt iemand van onze Microsoft Windows Helpdesk contact met u op, ook als u een Macintosh heeft. Zijn naam is Chris en spreekt heel goed netherlands.
Hey, heb ik even mazzel dat ik daar wel eens een kabel heb besteld :(
Fakebook ook al ondanks dat ik daar al jaren niet meer kom. Fucked.
Godverdomme hier zit mijn adres ook niet tussen. In dat Facebook lek ook al niet. Ik ben nooit eens een keer slachtoffer.
Witte man? Dan bent u per definitie uitgesloten tenzij heaumeaux.
Laatst nog een kabeltrui besteld.
Hans, is that you?
Waarom zou je je geboortedatum opgeven wanneer je een usb kabel wilt bestellen?
Minder rukken, beter nadenken Bambi
Daar zit wel een probleem. Je moet bij menig website je hele doopceel lichten terwijl je niks geks doet. Mijn telefoonnummer vul ik nooit in, altijd iets willekeurigs want verplicht en mijn geboortedatum is ook iets random. Niet nodig, wordt wel gevraagd.
Zou eens tijd worden dat de overheid zich daar es moe aan maakt, aan al die vragenlijsten die je moet invullen terwijl je netjes betaalt en de verkoper dus 0,0 risico loopt.
Ik heb alles draadloos.
Hoe eet je je draadjesvlees dan op?
@obominotie | 15-04-21 | 16:50: je verklapt de nachthap
Even gecheckt en ik schijn daar een account te hebben. Toevallig het wachtwoord wat ik voor één andere website heb gebruikt, namelijk geenstijl. Wachtwoord aangepast en als er op geenstijl onder mijn naam rare reacties worden geplaatst kan ik zeggen dat ik gehackt ben.
Zie je wel....
Toch maar goed dat ik mijn enveloppen goed dicht lik.
Ik heb daar wel eens besteld, maar als wachtwoord mijn BSN-nummer gebruikt. Dat is wel veilig toch?
Vergeet de volgende keer ook niet de drie cijfers op de achterkant van je creditcard. Hoe langer het wachtwoord, des te moeilijker is ie te kraken.
@Hersenletsel | 15-04-21 | 16:48: ook als die al onderdeel zijn van mijn domeinnaam?
Beter veranderen naar password of wachtwoord bro. Versla de H@ckz0rz!!!11
Oh, dus bij 5.000 roken ze nattigheid omdat de mailadressen specifiek waren. De rest negeerden ze. Dat lijkt mij bewuste misleiding richting AP.
Ik was twee van die 5000. Komt wel heel dichtbij zo.
Nou lekker dan, 2.6 miljoen accounts [ben er zelf één van] en ze reppen zelf over 5000. Wat een bedrijf.. Vond het al vreemd dat ik sinds een maand de meest bizarre spam mailtjes kreeg.
Same here, en ik maar nadenken waar ik onzorgvuldig was geweest...
en nu?
Iedereen deaud. Het was een mooie run en bedankt voor de visch. Saluutjes!
Lekker dan.
Fuckers!
Iedereen weet toch dat je hier nauwelijks of geen straf krijgt.
Daarbij is er een lage pakkans en onze cellen zijn voorzien van porno, wifi en douche. En er zijn sport en spel faciliteiten en 3 maal gratis eten.
Ah! Geen wonder
Mijn mail werd al weer een tijdje misbruikt om mijzelf in te schrijven voor allerlei nieuwsbrieven.
Gelukkig heb ik overal een uniek wachtwoord voor.
Gebruik ik bij bestellingen een pseudoniem dat lijkt op mijn naam en een geboortedatum die net afwijkt van mijn echt geboortedatum.
Adresgegevens is wel zorgelijk, dadelijk heb ik ineens 15 domino's pizza's!
Oh lekker, kom maar aan de deur op mijn bergje in Spanje.
Jah, sinds de LinkedIn hack heb ik ook unieke wachtwoorden.
Ik ben ongetwijfeld ook onder de gelekten.
Je NAW gegegevens en email moet je maar als verloren beschouwen.
Te veel lekken geweest.
Hoppa!
Begin daarom vandaag nog met alleen je email uit te geven in de volgende vorm: mailto:jenormaleemail+allekabels@gmail.com. Dit komt gewoon in je normale inbox, met het label allekabels, en krijg je dan ineens spam met dat label dan weet je waar het vandaan komt.
Als een bedrijf je emailadres weigert omdat er ene + teken instaat, dan weet je waarom ze dit doen en kun je ze beter links laten liggen.
JA IK KIJK NAAR JULLIE 123inkt.nl!
lol, wie bestelt er nog inktcartridges dan?
@Old_Spice | 15-04-21 | 16:44: Ik. Ben nu ook wel een beetje nerveus aan het worden.
@Old_Spice | 15-04-21 | 16:44:
Ik print in de cloud, probleem is alleen dat ik niet weet waar het er dan uit komt.
Op zich een goeie, maar met een beetje regex strip je alles na die + weg voor gmail email adressen.
@2voor12 | 15-04-21 | 16:49: Op de deurmat als je iets als pixum gebruikt.
@Old_Spice | 15-04-21 | 16:44:
Ze hebben ook geile pennen tegenwoordig.
Wat doe je hier dan nog? Op GS mag je ook geen +je in je emaile
@kanaalkip | 15-04-21 | 17:32: Scherp! Loop al zo lang rond hier. Valt mee dat ik niet mijn casema adres heb gebruikt.
@nieuwejoris: doe eens fixen svp!
REAGEER OOK