Wachtwoorden 1,3 miljoen Nederlandse e-mailadressen gestolen
Bij de grootschalige datadiefstal van 1,2 miljard wachtwoorden die begin augustus door het Amerikaanse beveiligingsbedrijf Hold Security bekend werd gemaakt bevonden zich ook 1,3 miljoen e-mailadressen eindigend op .nl, zo laat het Nationaal Cyber Security Center (NCSC) weten.
De gegevens die de criminelen wisten te stelen waren afkomstig van 420.000 websites en werden via andere cybercriminelen verkregen. Onder de gehackte websites bevinden zich 5600 websites die op .nl eindigen. De SIDN, Stichting Internet Domeinregistratie Nederland, zal via de .nl-registrars de houders van de gehackte .nl-websites waarschuwen om actie te ondernemen. Deze acties kunnen bijvoorbeeld bestaan uit het controleren of de kwetsbaarheid (nog steeds) aanwezig is en of hun gebruikers benadeeld zijn. Als deze acties zijn uitgevoerd vernietigt het NCSC de dataset
Gelijktijdig informeert de Informatiebeveiligingsdienst voor gemeenten (IBD) betrokken gemeenten, SURFnet de aangesloten onderwijs- en onderzoeksinstellingen en het ministerie van Defensie de aan hen gelieerde organisaties. Internetproviders zullen de eigenaren van betrokken mailadressen met een .nl-extensie proberen te bereiken.
"Zo wordt het overgrote deel van de betrokken gebruikers bereikt. Mensen in het bezit van een e-mailadres eindigend op .nl die geen bericht van hun provider ontvangen kunnen er over het algemeen van uitgaan dat hun e-mailadres geen onderdeel is van deze dataset", aldus het NCSC. Mensen die worden gewaarschuwd krijgen in deze factsheet het advies om direct al hun wachtwoorden te wijzigen.
Impact
Het NCSC heeft aan de hand van de bij het NCSC bekende gegevens de impact voor de Rijksoverheid gecontroleerd en heeft die als "beperkt" ingeschat. De veiligheid van de websites die de Rijksoverheid gebruikt voor het contact met burgers, bijvoorbeeld de Belastingdienst en DigiD, zijn niet in het geding geweest. Op basis van de huidige analyse wordt ook de impact op vitale sectoren als beperkt ingeschat.
Aangezien de getroffen websites mogelijk nog steeds kwetsbaar zijn heeft het NCSC besloten om de namen van deze websites niet vrij te geven. De dataset met e-mailadressen wordt ook niet openbaar gemaakt want het gaat hier om persoonsgegevens.
Update 14:46
De website van het NCSC had het even zwaar te verduren vanwege al het verkeer, maar zou inmiddels weer goed reageren, zo laat de overheidsdienst via Twitter weten.
Wel dieptriest en tekenend dat je als gebruiker volledig in het donker wordt gelaten wie en wat er precies gehacked is.
Is Ziggo zelf gehacked ? Aangezien ik voor elke digitale registratie een ander wachtwoord gebruik (+ password manager) heeft het dus alleen zin het wachtwoord van mijn ziggo mail te veranderen als ziggo ZELF gehacked was/is.
Als Ziggo niet gehacked is blijven er in mijn geval 2 sites over waar ik dat ziggomailadres (in combinatie met unieke passwords) heb gebruikt bij registratie:
http://panel.noties.nl & https://n9.noties.nl
https://login.gamespyid.com
Waar blijft die lijst met gehackte sites. U wordt geacht zo min mogelijk te weten. Ga maar lekker slapen!
Leg eens uit hoe Ziggo jou dat moet uitleggen, indien zij de melding ook slechts via het NCSC binnen krijgen. En het NCSC heeft de lijst weer gekregen van Hold Security, die niet al zijn bronnen prijsgeeft. Voor je roept ''dieptriest'' - denk even na over de vraag welke informatie er nou eigenlijk beschikbaar is.
Ik zou zeggen, goede aktie van Ziggo, wees blij dat ze je waarschuwen m.b.t. deze externe melding.
"Waar blijft die lijst met gehackte sites. U wordt geacht zo min mogelijk te weten. Ga maar lekker slapen!"
Tja, jij gaat er kennelijk vanuit dat diegene die jou de brief stuurde alwetend is. Neem contact op met Holden Security, en vraag het bij hen na ?
Wel dieptriest en tekenend dat je als gebruiker volledig in het donker wordt gelaten wie en wat er precies gehacked is.
Is Ziggo zelf gehacked ? Aangezien ik voor elke digitale registratie een ander wachtwoord gebruik (+ password manager) heeft het dus alleen zin het wachtwoord van mijn ziggo mail te veranderen als ziggo ZELF gehacked was/is.
Als Ziggo niet gehacked is blijven er in mijn geval 2 sites over waar ik dat ziggomailadres (in combinatie met unieke passwords) heb gebruikt bij registratie:
http://panel.noties.nl & https://n9.noties.nl
https://login.gamespyid.com
Waar blijft die lijst met gehackte sites. U wordt geacht zo min mogelijk te weten. Ga maar lekker slapen!
Aangezien er nog veel kwetsbare sites tussen zitten, wordt deze specifieke informatie logischerwijs nog niet vrijgegeven. Dat zou alleen nog meer mensen kwetsbaar maken. Zo krijgen deze sites de tijd om e.e.a. te fixen.
De Nederlandse internet providers (Ziggo, etc.) geven alleen het seintje door zodat mensen erop geattendeerd worden, dat betekent dus niet dat deze zelf gehacked zijn. Don't shoot the messenger :)
waar zeg ik dat Ziggo dieptriest bezig is? Juist Nergens! Goedenmidaag en wegwezen met je off-topic geneuzel!
ik vind mijn kwetsbaarheid belangrijker dan die van slecht onderhouden sites die mijn gegevens niet hebben beschermd.
#1 er is wetgeving of in de maak die organisaties verplicht klanten op de hoogte te brengen van dat hun gegevens op straat liggen. Anders wel via wpb.
#2 ga ik nu wachtwoorden veranderen op sites die nog steeds lek zijn, hoeveel nut heeft dst dan?
#3 nu heeft de overheid misschien mijn emailadressen en wachtwoorden, moet ik daar blijer van worden?
En moet je dan echt je wachtwoorden wijzigen als er wordt gezegd dat je niet op "die" lijst staat??? Het slaat toch echt nergens op hoe hier mee om wordt gegaan. En als . com oid óók moest, moet men dat wel weten, vooral als je windows 8.1 hebt met een verplicht microsoft-account> wat zo lek als een mandje is met o.a. al die ongevraagde app's!!!
Waarom wachtwoorden wijzigen als "die sites" niet vrijgegeven worden en nog niet veilig zijn, ik gebruik nooit mijn emailww ergens op internet, maar via "lekke" sites kunnen ze dus mijn emailaccount hacken? Jullie leggen dit wel zéér onduidelijk uit en Xs4all laat klanten niets persoonlijk weten, maar uit zoals uit reacties in de blog blijkt, zijn er wel slachtoffers, dus Xs4all is nu zo'n kwetsbare site?
En als dit al in augustus bekend was, zijn jullie wel een beetje laat met de berichtgeving, zeker eerst je eigen hachie checken en redden en dan pas de burger?
Vertel aub om welke sites het gaat, als ze nog kwetsbaar zijn kan iedereen ze mijden en/of een account beëindigen, maar overstappen van provider of je microsoft-account moeten beëindigen, doe je niet "ff zomaar" Ik denk dat U teveel belang hecht aan de kwetsbaarheid van een paar sites; maar niet aan de ENORME KWETSBAARHEID van de gewone burger!!!
P.s. is Uw site veilig..... Ik maak maar geen account aan en houdt het maar Anoniem!
Het gaat om websites en dan ook nog om websites die de extensie .nl hebben.
Wanneer je daar een account hebt staan. Verander dan je wachtwoord bij die websites.
Die websites hebben jouw gegevens geregistreerd staan anders valt er niets te verifiëren.
Die gegevens kunnen dus wel eens buitgemaakt zijn.
Veranderen dus!
Jij wilt dus weten welke sites kwetsbaar zijn? Misschien dat jij betrouwbaar bent, maar kun je dat ook zeggen van die andere 1,3 miljoen Nederlanders? Of de rest van de wereld, want de enige manier om die informatie voor iedereen "bruikbaar" te maken, is het publiceren van de lijst met kwetsbare URL's. Zodat iedereen kan controleren of hij of zij wel eens op die site is geweest.
Ja, daar ben ik wel blij mee.
Ik weet alleen niet in hoeverre veel eigenaren van websites hier van op de hoogte zullen zijn en er naar acteren. Vervolgens zullen veel van die eigenaren hun provider de schuld geven en dus zelf niets doen.
De informatie is in 1 of een paar aanvallen (per site) verzameld. Ze hebben waarschijnlijk geen continue verbinding met die sites. Ik weet trouwens niet bij hoeveel sites je met je e-mail adres hebt ingelogd, maar je kunt je natuurlijk tot dat aantal beperken. Verder kun je overwegen om je account bij die sites op te heffen. Wie zegt dat ze niet over een half jaar weer gehackt worden. Als ze nu onveilig zijn, is beveiliging dan wel een prioriteit bij die beheerders?
OK, nu gaat iedereen roepen dat de overheid niet te vertrouwen is, maar volgens de berichtgeving heeft NCSC net voldoende informatie ontvangen om de "mensen" te identificeren. Ze hebben niet meer dan de e-mailadressen gekregen.
Peter
Bij de grootschalige datadiefstal van 1,2 miljard wachtwoorden die begin augustus door het Amerikaanse beveiligingsbedrijf Hold Security bekend werd gemaakt bevonden zich ook 1,3 miljoen e-mailadressen eindigend op .nl, zo laat het Nationaal Cyber Security Center (NCSC) weten.
Heel duidelijk worden hier e-mail adressen gelijkgesteld aan wachtwoorden ("onder de x gestolen wachtwoorden bevonden zich y Nederlandse e-mail adressen"). Ik begrijp dat bericht niet. Een wachtwoord is toch geen e-mail adres? Ik geef mijn e-mail adres weg aan iedere kennis die mij wil mailen, maar ik geef nooit enige van mijn ca 50 wachtwoorden of pincodes bloot. Dus wat moet ik nou met zo'n bericht, is mijn wachtwoord of mijn e-mail adres gestolen, of allebei? En ik mag toch hopen dat, als het eerste, toch alleen de hash van mijn wachtwoord gestolen is? Veel succes met de ontcijfering van mijn willekeurige 12-tekens bevattende gehashte wachtwoord, meneer/mevrouw de hacker!
Een klein foutje van een slaperige programmeur kan een site kwetsbaar maken voor XSS. Over de opslag/hashing van wachtwoorden wordt vergaderd/overlegd/gecommuniceerd/teruggekoppeld/gePowerPoint/ en wat ICT managers nog meer doen.
(NCSC heeft die wachtwoorden overigens NIET, zeggen zij.) In het kort: 1 van mijn 3 email adressen kwam voor. Daarna 13 wachtwoorden opgestuurd en geen enkel wachtwoord (ook 1 simpele) kwam voor.
Het gaat om websites en dan ook nog om websites die de extensie .nl hebben.
Wanneer je daar een account hebt staan. Verander dan je wachtwoord bij die websites.
Die websites hebben jouw gegevens geregistreerd staan anders valt er niets te verifiëren.
Die gegevens kunnen dus wel eens buitgemaakt zijn.
Veranderen dus!
Tja, dan heb ik dus NIETS aan het antwoord van Xs4all, dat ik NIET op de lijst sta en mijn ww NIET hoef te wijzigen... Dus het antwoord en onderzoek van Xs4all is onbetrouwbaar?
Jij wilt dus weten welke sites kwetsbaar zijn? Misschien dat jij betrouwbaar bent, maar kun je dat ook zeggen van die andere 1,3 miljoen Nederlanders? Of de rest van de wereld, want de enige manier om die informatie voor iedereen "bruikbaar" te maken, is het publiceren van de lijst met kwetsbare URL's. Zodat iedereen kan controleren of hij of zij wel eens op die site is geweest.
Ja, daar ben ik wel blij mee.
Ik weet alleen niet in hoeverre veel eigenaren van websites hier van op de hoogte zullen zijn en er naar acteren. Vervolgens zullen veel van die eigenaren hun provider de schuld geven en dus zelf niets doen.
De informatie is in 1 of een paar aanvallen (per site) verzameld. Ze hebben waarschijnlijk geen continue verbinding met die sites. Ik weet trouwens niet bij hoeveel sites je met je e-mail adres hebt ingelogd, maar je kunt je natuurlijk tot dat aantal beperken. Verder kun je overwegen om je account bij die sites op te heffen. Wie zegt dat ze niet over een half jaar weer gehackt worden. Als ze nu onveilig zijn, is beveiliging dan wel een prioriteit bij die beheerders?
OK, nu gaat iedereen roepen dat de overheid niet te vertrouwen is, maar volgens de berichtgeving heeft NCSC net voldoende informatie ontvangen om de "mensen" te identificeren. Ze hebben niet meer dan de e-mailadressen gekregen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.