Allewachtwoorden.nl zul je bedoelen!

Eind januari werd de gehackte database van webshop allekabels.nl voor 15.000 euro te koop aangeboden op uw plaatselijke hackersforum. De aanbieding bestond uit de privégegevens van 3,6 miljoen gewone Nederlanders waarvan "zo'n2,6 miljoen unieke e-mailadressen die zijn gekoppeld aan namen, woonadressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. De andere miljoen gegevens zijn persoonsgegevens van mensen die via een webshop als Bol.com en Amazon bij Allekabels hebben besteld. Van hen zijn geen e-mailadressen of wachtwoorden gelekt."

Ook zijn er zo'n 109.000 IBAN-nummers van klanten verkocht, en dat is naar. Want die worden vaak gebruikt ter controle van identiteit en maken identiteitsfraude dus een stuk makkelijker. Én ze worden gebruikt voor phishing met chirurgische precisie, waarin uw NAW en IBAN al zijn verwerkt, en dus een stuk geloofwaardiger lijkt.

De hack geldt als de grootste in de vaderlandse geschiedenis sinds het nationale trauma van de Hookers.nl-hack uit 2019, waarbij zo'm 250.000 wachtwoorden gedruipt werden.

De groten der aarde, dus

De voordeur van het huis van de blauwe vogel stond wagenwijd open, vannacht. Alle Ridders van de Ronde Tafel zijn keihard gehackt in wat experts 'het grootste lek ooit' bij Twitter noemen: onder anderen Elon Musk, Bill Gates, Warren Buffet, Jeff Bezos, Mike Bloomberg, Barack Obama, Bennie Netanyahu, Joe Biden, Floyd Mayweather, Kanye West, Kim Kardashian, veel cryptobedrijven en bedrijven als Uber en Apple moesten eraan geloven - meer hier. Allemaal high profile accounts dus, die als tweet een vage Bitcoin-scam plaatsten. In Nederland ons land werd de grote blonde tovenaar Geert Wilders gehackt; @geertwilderspvv kreeg naast de vlag van zijn favo land als header een nieuwe profielfoto aangemeten, van iemand van wie we niet zeker weten of het iemand niet is. Het nieuwe baasje van Geerts account retweet maffe dingen van complotidiootjes als Lange Frans, alsook fijne tekstjes als: "porno word gebruikt als wapen van de elite. we zijn bezig met een depopulatie agenda. word wakker nederland." Nou, wakker zijn we nu wel ja.
UPDATE: Hack komt door 'social engineering', zeg maar een ordinaire babbeltruc om naar binnen te glippen, dus de mens is weer eens de zwakste schakel: "We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools."
UPDATE: Hackers zouden iemand bij Twitter betaald hebben om toegang te krijgen tot het controlepaneel. Screenshots van dat controlepaneel worden door Twitter verwijderd, maar dit is 'm (balkjes zijn geplaatst door die knakkers van Vice).
UPDATE: Geert Wilders noemt de hack 'heel vervelend'.
UPDATE: De nerd van RTL stuurde een berichtje naar de hacker van Geert; hij stelt dat hij ook achter de andere hacks zit. Uh huh.

GeenStijl biedt ook 1 wachtwoord aan

Wake-upcall voor iedereen met een wachtwoord. De smart blockchain foekie foekie hack DDoS veiligheidsdiensten FBI geldautomaten zijn GEHACKT en een makker (22) uit Arnhem is opgepakt wegens het aanbieden van TWAALF MILJARD wachtwoorden. Een wijs vrouw vertelde Nieuwsuur ooit: "Altijd inloggen via de VPN of via de veilige modus, niet via de mobiele telefoon want die zijn gewoon heel gemakkelijk te hacken, altijd op een computer op de kabel (dus ook niet op een wifi-netwerk), en wachtwoorden veranderen. Lange ingewikkelde wachtwoorden." Eigenlijk is iedereen in Nederland wel een keertje de sjaak geweest (check zelf hier), maar wat wil je ook, met de fantasie van de mensen van tegenwoordig. In de top van meest gebruikte wachtwoorden staat inspiratieloos verdriet als 123456, qwerty, 123456789, welkom, wachtwoord en uiteraard klassiekers als ajax en feyenoord - die laatste heeft al bewezen niet zo moeilijk te passeren te zijn. Enfin, het kan de besten gebeuren, want beroepsvlaming Peter Vandermeersch gebruikte voor zijn Google-dingessen altijd het wachtwoord 'harvard'. Niet ingewikkeld, niet lang, geen hoofdletters en een persoonlijke touch met een klein stukje zelfbevlekking. Zal-ie inmiddels vast wel veranderd hebben dus probeer het eens met 'torhout', 'vlaming' of 'ierland'.
DM-tipje: "Je moet de link naar http://haveibeenpwned.com in dit artikel ff vervangen voor http://scatteredsecrets.com omdat HIBP een melding geeft als je op een spamlijst staat en http://scatteredsecrets.com het daadwerkelijk gelekte wachtwoord laat zien."
UPDATE: Hij verdiende twee ton.

Mailtje van UWV-watcher René Veldwijk (dossier), over de vermeende "hack" van 117.000 CVs', en hoe het UWV zichzelf in de voet schiet met een soort nepnieuws.

Geachte GS-redactie,

Er gebeurde vrijdagmiddag nabeurs iets heel bijzonders: het UWV sloeg alarm over een hack die geen hack was. Van 117.000 mensen zouden de cv’s in werk.nl zijn gestolen. Maximale deining.

Hoewel naar de letter waar, is het verhaal grotendeels bullshit en beschadigt UWV zichzelf en minister Koolmees nodeloos. Geen idee waarom. Misschien is de voorlichter op vakantie. Tegelijk onthult het UWV een ander lek waar de complete pers tot nu toe overheen kijkt. Ik leg dat kort uit.

Eerst die “hack”. Die komt erop neer dat een van de tienduizenden werkgevers met een werk.nl account een software botje heeft geschreven dat in dik 2 weken 117.000 cv’s heeft overgetankt, elke 11 seconden één cv. Kennelijk viel niemand dat op. Hoe dan ook: de “hacker” is gewoon via de voordeur binnen gekomen. Dat is goed nieuws. Het betekent dat de “hacker” alleen maar gegevens kon zien die iedereen kan zien. Dus beslist geen Burgerservicenummer, zoals een UWV-woordvoerder volgens RTL suggereert.

Omdat de “hack” via de voordeur is geschied, weet UWV ook precies welke klanten zijn geraakt. Dat wordt namelijk gelogd. Dat zijn er vermoedelijk geen 117.000 want pakweg een op de drie UWV klanten werkt met een zogenaamd gesloten cv. Weer de vraag: waarom zo overdrijven?

De vele tienduizenden mensen wier cv wel is overgetankt, zetten hun gegevens online omdat ze willen worden gevonden door werkgevers. Werk.nl is een datingsite. Anders dan bij andere datingsites zet werk.nl doodleuk (e-mail)adressen en telefoonnummers online. Dáár en nergens anders zit het echte lek. Een handvol Nigerianen had in twee weken ook tienduizenden naam-adres-woonplaats-email-telno gegevens in een Excel kunnen kloppen. Anno 2019 flikt alleen de overheid nog zoiets en we vinden dat allemaal gewoon.

Maar dan de grap: werk.nl wordt voortdurend op deze manier “gehackt”, zowel de vacatures als de cv’s. Het mag niet maar het gebeurt vaak met de beste, althans niet criminele bedoelingen. Werk.nl bevat interessante cv’s maar de matching software van werk.nl zelf dateert uit 2000 en heeft nooit goed gewerkt. Grote kans dat de “hack” is uitgevoerd door een partij die hetzelfde wil als UWV: mensen koppelen aan werk. Ook clubs die werken aan betere matchingalgoritmen op basis van moderne AI doen een moord voor de topkwaliteit data in werk.nl. Het mag allemaal niet maar aankloppen bij UWV is zinloos. 

Natuurlijk is het kat-en-muis spel tussen UWV en “hackers” als zodanig een wantoestand, net als de omstandigheid dat persoons- en contactgegevens van burgers zomaar op een website staan, even zichtbaar voor werkgevers als voor software bots. Wie een baan wil zet in elk geval tot nader order geen telefoonnummer op werk.nl. Een wegwerp-emailadres is ook aan te bevelen.

Wat bij dit alles raadselachtig blijft is de schijnbaar nodeloze ophef die UWV zelf maakt. Ik houd het op een ongelukkige vakantieplanning maar het kan zijn dat er ernstiger zaken zijn voorgevallen dan gemeld. Hoe dan ook heeft het UWV zeker grotere problemen.

Met vriendelijke groet,
René Veldwijk

Nieuws waar iedereen om lacht behalve mensen die wel eens met een rechtbank te maken hebben gehad.

De fax. Wat een schitterend apparaat was dat toch. Je stopte er aan de ene kant een keurig uitgeprint werkstuk over de oude Egyptenaren in en dan kwam er kilometers verder een rol papier uit met gekopieerde pagina's van lage kwaliteit en dat kwakte je gewoon op het bureau van de juffrouw alsof het al 1999 was. Piepjes, kraakjes en meer van dattem, zo geweldig functionerend dat ze bij rechtbanken en in ziekenhuizen denken dat het qua veiligheid nog steeds superieur is ten opzichte van het wereldwijde web. Nou mooi niet. De fax-machines zijn keihard te hack0n en hieronder ziet u hoe hunnie de Israëliërs van Check Point 'm dat geflikt hebben. Nou niet allemaal fax-nummers van uw favoriete advocaat in de comments plempen, want voor je het weet hebben wij weer een dagvaarding aan onze broek. Via de fax, dat dan weer wel.