Webwinkel Allekabels had de wachtwoorden van oude klanten niet versleuteld?

Allekabels gehackt
Algemeen

Het bedrijf Allekabels is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen (vermoedelijk door Chippy1337). Allekabels heeft privé- / zakelijke gegevens en wachtwoorden gelekt / laten hacken van 2,6 miljoen klanten / Nederlanders. Deze database met gestolen klantdetails werd al eind januari 2021 te koop aangeboden op een hackersforum voor een bedrag vanaf 15.000 euro. Allekabels heeft volgens eigen zeggen direct na de datadiefstal direct melding gemaakt van dit datalek bij de Autoriteit Persoonsgegevens. Toch kregen klanten pas op 16 april 2021 een e-mail met de titel: “Wij hebben onmiddellijk maatregelen genomen om u als klant te beschermen“. De e-mail opent met de melding dat het wachtwoord van klanten is gelekt en dat het bedrijf deze wachtwoorden direct heeft gewist. Daarna schrijft Alle-kabels: “Laten we beginnen om onze welgemeende excuses aan te bieden voor eventuele overlast welke gepaard gaat met dit datalek en het feit dat dit nu pas duidelijk is geworden”. Opmerkelijk vind ik het woordje “eventuele” bij overlast. Want het feit dat bedrijfsgegevens of persoonlijke gegevens inclusief bankrekeningnummer, loginnaam en wachtwoord nu wordt verkocht door hackers dat geldt gewoon voor iedereen in de database en dus niet “eventueel”! En hoezo is dit? Het is al bekend sinds 23 augustus 2020!

Direct na de hack claimt Allekabels dat de technologische beveiliging maximaal is opgeschroefd. Achteraf beweert deze online winkel dat van de meeste klanten geen wachtwoorden zijn gelekt. Het zou alleen gaan om de wachtwoorden van oudere klanten namelijk van vóór 1 september 2018. Want de wachtwoorden van die klanten konden wel worden gekraakt en de wachtwoorden van latere klanten zijn nu nog versleuteld. Maar is er dan wel sprake van wachtwoorden kraken? Heeft Allekabels de wachtwoorden van klanten tot en met 1 september 2018 gewoon on-versleuteld / ongecodeerd heeft opgeslagen? Op RTL Nieuws is te lezen dat volgens experts de gelekte wachtwoorden nog wel versleuteld zijn maar wel binnen enkele seconden te kraken zijn omdat ze zeer zwak versleuteld zijn. Deze zwakke versleuteling (of niet-versleuteling) was blijkbaar nog steeds actueel op 23 augustus 2020! Ze hadden dus 2 jaar de tijd om ook de wachtwoorden van oude klanten alsnog goed te versleutelen. Ik zie dat wij in mei 2016 een bestelling hebben gedaan en dus zijn ook wij de sjaak!

Jokt Allekabels.nl?

Sinds februari 2021 was Allekabels op de hoogte van het feit dat hun database op een hackersforum te koop werd aangeboden. Echter claimt Allekabels dat de daar verkochte data niet kwam uit de hack maar dat het ging om data dat was gestolen door een inmiddels ontslagen werknemer. De werknemer zou de gegevens van 5000 klanten hebben gestolen en te koop aangeboden. Toen heeft Alle-kabels deze 5000 klanten direct geïnformeerd over dit datalek. Ethisch hacker Rik van Duijn (van cybersecuritybedrijf Zolder) vertrouwt het niet en zegt: “Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt”. Er zijn namelijk klanten die specifiek voor deze webshop een emailadres hebben aangemaakt zoals allekabels@mijnbedrijf.nl. Wanneer ze nu op dit zeer specifieke emailadres vreemde (phishing) berichten ontvangen dan kan dit alleen afkomstig zijn van een koper van de gehackte database.

Ook lijkt het er op dat Allekabels in eerste instantie liever niet wilde toegeven dat de wachtwoorden van oude klanten (van voor 1 september 2018) niet (goed) waren versleuteld. Na onderzoek van diverse journalisten moest de webshop toegeven dat een deel van de wachtwoorden niet goed was beveiligd.

Geen reacties

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Algemeen
Review NIMA Marketing Day 2019

Via een prijsvraag op Linkedin (gerelateerd aan de presentatie van Ronald van Zetten, Vroom & Dreesman) werd een gratis toegangskaart (t.w.v. ongeveer 350 euro) voor NIMA Marketing Day 2019 aangeboden. Ik had het juiste antwoord op deze prijsvraag en mocht dus gratis naar dit bekende marketing evenement. Ik win zelden …

avg nieuwsbrief
Algemeen
1
Voorbeeld teksten AVG en GDPR nieuwe toestemming nieuwsbrief

Op 25 mei zal de nieuwe AVG (Algemene verordening gegevensbescherming) / GDPR (General Data Protection Regulation) van toepassing zijn. Een belangrijke aanpassing is de wijze van vastleggen van de toestemming voor het sturen van nieuwsbrieven / bijhouden van mailinglijsten: toestemming mag niet standaard aangevinkt staan, actieve handeling is nodig, alleen …

Algemeen
Serial ondernemer succes met online doelen realiseren – Tony Stubblebine

In deze podcast aflevering het gesprek met Tony Stubblebine CEO van Coach.me. Dit was een gesprek met een bijzondere ondernemer en de oprichter van een online app. Tony is oprichter van Coach.me gebasseerd op het idee dat positieve stimulans en coaching universeel kan worden toegepast om mensen te helpen bij …

Shares