image

Ziggo-klanten gewaarschuwd na gestolen inloggegevens

maandag 21 april 2014, 09:41 door Redactie, 14 reacties

Klanten van Ziggo zijn gewaarschuwd nadat aanvallers van zo'n 2.000 e-mailadressen de inloggegevens wisten te stelen. De gestolen inloggegevens zijn onderdeel van een veel grotere database die begin april door het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) werd onthuld.

In totaal bestond de database uit de inloggegevens van 18 miljoen e-mailaccounts, waaronder 3 miljoen Duitse e-mailaccounts. Volgens het BSI zijn de gegevens zeer vermoedelijk buitgemaakt door malware die de computers van de getroffen gebruikers wist te infecteren. De gestolen inloggegevens werden vervolgens door een botnet gebruikt dat op de e-mailaccounts probeerde in te loggen.

Ziggo heeft klanten per brief gewaarschuwd. Een woordvoerder van de provider laat tegenover Tweakers.net weten dat het voor zover bekend om verouderde gegevens gaat, maar ze nog wel te gebruiken zijn als ze de afgelopen tijd niet zijn veranderd. Hoe de gegevens konden worden gestolen weet de woordvoerder niet te vertellen.

Ziggo werd afgelopen dinsdag door het Nationaal Cyber Security Center ingelicht. Dat had weer van het BSI te horen gekregen dat er ook Nederlandse e-mailadressen in de database met gestolen inloggegevens voorkwamen. Het NCSC heeft aangegeven dat het deze week met aanvullende informatie over de zaak komt.

Reacties (14)
21-04-2014, 10:23 door [Account Verwijderd] - Bijgewerkt: 21-04-2014, 10:36
[Verwijderd]
21-04-2014, 10:59 door Anoniem
Een phisingmail aan mijn Ziggo mailadres is afkomstig van een duits bedrijf. Als aanhef werd het wachtwoord gebruikt en verwees naar "www.paypal.de" met het verzoek om de gegevens opnieuw te bevestigen. Dit heb ik uit de header gevist en daarna passende maatregelen genomen.
21-04-2014, 13:47 door [Account Verwijderd]
[Verwijderd]
21-04-2014, 14:12 door Anoniem
Ziggo doet het goed qua waarschuwen, daar kunnen andere providers een voorbeeld aan nemen.

Er zijn veel botnets bezig met wachtwoorden af te vangen, wachtwoorden voor web sites worden gebruikt om spam en malware te hosten.
21-04-2014, 14:43 door [Account Verwijderd] - Bijgewerkt: 21-04-2014, 14:51
[Verwijderd]
21-04-2014, 15:22 door Anoniem
Hier ook zo'n brief binnengekregen. De strekking was "u bent gehacked" en het advied om je systeem te controleren op virussen. Blijkt dus gewoon dat er ergens een webshop de lul is en dat daar mijn logingegevens zijn buitgemaakt. Wel goed dat ze waarschuwen, slecht dat er belabberde uitleg bij wordt gegeven. Als ze nou zouden zeggen dat er een uniek wachtwoord geadviseerd wordt voor online diensten hebben de mensen er veel meer aan. Nu kijkt iedereen naar zijn eigen systeem en denkt dat er verder niets aan de hand is. Goeie actie van Ziggo, maar het advied had wat beter kunnen zijn.
21-04-2014, 16:30 door Anoniem
ik heb ook zo'n brief ontvangen. Het wachtwoord kunnen ze onmogelijk van mij hebben of de informatie is zeer oud. Ik gebruik het account al minstens 7 jaar niet meer en weet het wachtwoord ook niet.

Ik vermoed dat er een andere bron is als van deze gegevens
21-04-2014, 17:45 door Briolet
Door Anoniem:Blijkt dus gewoon dat er ergens een webshop de lul is en dat daar mijn logingegevens zijn buitgemaakt.

Dat is ook een aanname die jij nu maakt, omdat je uitsluit dat je eigen computer gehacked is. De originele tekst vind je op https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Neuer_Fall_von_Identitaetsdiebstahl_07042014.html En daar staat alleen maar dat ze niet weten waar die data vandaan komen. Het enige wat ze weten dat een botnet die data verzameld heeft. Ziggo zal grond van deze gegevens hun brief opgesteld hebben. Het was natuurlijk gemakkelijker geweest als ze direct het gehackte wachtwoord meegestuurd hadden. Dan had je direct geweten waar het lek zat. (Nu maak ik natuurlijk de aanname dat je voor elke site een eigen WW gebruikt)

In januari was er een vergelijkbare waarschuwing: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html
21-04-2014, 18:56 door [Account Verwijderd] - Bijgewerkt: 21-04-2014, 19:22
[Verwijderd]
21-04-2014, 23:21 door Anoniem
@Briolet Inderdaad een aanname. Maar ik ben niet van gisteren, gelijk de logs op mijn eigen systemen nagelopen. Niets verdachts hier. Het lijkt me ziggo de ww wel gehashed in een db heeft staan, dus is er een kleine kans dat daar dit probleem vandaan komt. Hoogstwaarschijnlijk dus een webshop die het ww cleartext in een db heeft staan en de lul is door een sql inject probleem. En dat kunnen er maar een paar zijn als ik kijk naar welke webshops ik gebruik. Ze zouden dus bekend moeten maken waar dit lek vandaan komt. Die zijn dan mij gelijk kwijt als klant, die nemen security niet serieus.
22-04-2014, 03:18 door Anoniem
Door Peter V.: 1 Feit is wel ontdekt: een deel van de beveiliging bij Ziggo was niet geheel op orde, maar ze zwijgen daarover als het graf.

Onzin. De boodschapper de schuld geven is nogal dom.

Het is volkomen duidelijk dat dit niets met Ziggo te maken heeft. Leer eens iets over botnets en hoe die te werk gaan. Nogmaals, botnets stelen massaal logins voor web sites en daar vanaf kunnen ze weer meer data stelen of spam en malware hosten.

Ziggo verdient een pluim voor het waarschuwen van hun klanten waarschuwen.
22-04-2014, 09:07 door Anoniem
https://www.sicherheitstest.bsi.de/index_en

Hier kan men controleren of gegevens van het eigen e-mail adres buitgemaakt zijn
22-04-2014, 17:21 door Anoniem
Door Ubuntu: ik heb mijn wachtwoord inmiddels veranderd :)
mailadres is een alias, dus die is ook zo veranderd
Ik kon het niet aanzien, sorry. /taalnazi


Door Peter V.: Maar opvallend vind ik wel dat Ziggo meteen met een verklaring komt dat het niet aan hun ligt. Maar of dat inderdaad zo is moet nog afgewacht worden. 1 Feit is wel ontdekt: een deel van de beveiliging bij Ziggo was niet geheel op orde, maar ze zwijgen daarover als het graf.
Welk feit hebben ze niet op orde gehad dan?
In dit geval valt Ziggo juist nu eens een keer niets te verwijten, dus die zijn er als de kippen bij natuurlijk ;]


OT:
Wie zegt dat dat bestand één bron heeft? Het is toch niet voor niets een botnet.
Ik maak uit dit bericht op dat 'n Duitse AV-boer een C&C-server heeft kunnen 'inzien,' mijn vraag is dan ook welk botnet en wanneer ;]
23-04-2014, 13:24 door Anoniem
Ik heb de brief gehad. Ziggo schrijft o.a. "Bij Ziggo zijn ook e-mailaccounts van klanten hierdoor getroffen, waaronder die van u" en "Met grote waarschijnlijkheid heeft de aanval van de hackers direct op uw computer of laptop plaatsgevonden".

Opvallend stelliger dan het bericht van BSI. Ik kan de stelligheid van Ziggo's brief alleen verklaren als BSI aan Ziggo mijn emailadres/wachtwoord heeft gegeven en dat die emailadres/wachtwoord-combinatie toegang tot mijn Ziggo-account gaf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.