image

Ruim 100 miljoen e-mailadressen gestolen bij Evite.com

maandag 15 juli 2019, 09:55 door Redactie, 7 reacties

Bij uitnodigingssite Evite.com zijn in april ruim 100 miljoen adressen gestolen, voornamelijk van mensen die via de website door gebruikers waren uitgenodigd. Van gebruikers zijn ook geboortedata, geslacht, namen, plaintext wachtwoorden, telefoonnummers en adresgegevens buitgemaakt.

Via Evite kunnen gebruikers uitnodigingen voor allerlei evenementen beheren, zoals trouwerijen en verjaardagen. Een aanvaller wist op 22 februari van dit jaar toegang tot de systemen van Evite te krijgen en kopieerde een "inactief dataopslagbestand" met informatie van gebruikers. Het bestand bleek terug te gaan tot 2013. Evite meldde het datalek in juni, maar sprak toen nog over mogelijk gestolen informatie.

Nu blijkt dat er inderdaad gegevens zijn buitgemaakt, zo meldt beveiligingsonderzoeker Troy Hunt. De e-mailadressen zijn aan zoekmachine Have I Been Pwned toegevoegd, waarmee gebruikers in bijna 8 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. 65 procent van de gelekte e-mailadressen was al via een ander datalek bij Have I Been Pwned bekend.

Reacties (7)
15-07-2019, 10:20 door Anoniem
Het bestand bleek terug te gaan tot 2013.
Er zou een algemene AVG/GDPR-regel moeten komen dat dergelijke klanten/gebruikersdata bijvoorbeeld 1 jaar mag worden bewaard, en iedere keer dat een klant/gebruiker weer actief van zich laat horen gaat dit jaar opnieuw weer in.
(als je je account wilt blijven houden moet je dit dus wel doen, of anders maak je gewoon een nieuw account aan)

Je hoeft er dan bovendien minder nodig achteraan te gaan bellen/mailen om je data te laten verwijderen,
omdat het na 1 jaar lang niets van je laten horen automatisch wordt verwijderd. (mits goed geïmplementeerd natuurlijk)

Een dergelijk plan zou vermoedelijk een aanzienlijke reductie zijn van de hoeveelheid lekkende data.
Want vergeet niet: het is niet zozeer de vraag óf jouw data zal lekken, maar wanneer!
15-07-2019, 10:55 door Anoniem
plaintext wachtwoorden pardon? Is dit tegenwoordig nog mogelijk?
15-07-2019, 13:30 door Anoniem
Er zou een algemene AVG/GDPR-regel moeten komen dat dergelijke klanten/gebruikersdata bijvoorbeeld 1 jaar mag worden bewaard, en iedere keer dat een klant/gebruiker weer actief van zich laat horen gaat dit jaar opnieuw weer in.
(als je je account wilt blijven houden moet je dit dus wel doen, of anders maak je gewoon een nieuw account aan)
Dit is nog niet zo'n slecht idee, in plaats van een jaar stel ik een half jaar voor.
Nu koop ik meer bij een webshop waar je geen account hoeft aan te maken maar ze bewaren even goed alle gegevens
die ze van je hebben.
Voor garantie moet je dan maar een koop bewijs mee leveren.
15-07-2019, 14:18 door Anoniem
Aan de andere kant weer lastig als je eens van die aanbieding gebruik wil maken
....van koffie met een bavarois punt bijvoorbeeld.
Sta je met je Smartfone-inlogje, oh half jaar niet gebruikt, jammer.

Nog erger voor mensen, die overal het zelfde wachtwoord gebruiken. Dom van die mensen.
Gezien alle datalekken is het maar goed dat men heeft besloten op termijn volledig wachtwoordloos te gaan.

Q-code is zo gek nog niet, jammer weer als je vingers niet geschikt zijn voor een vingerafdruk.
Te handig met inbreken op je wifi netwerk. Sta je daar weer mee.

De zegeningen van het digitale tijdperk. Irisscannetje dan, mijnheer?
Paspoort op uw smartfoon, fijn. Alles wordt fool-proof, let maar op.

J.O.
15-07-2019, 14:22 door Anoniem
Door Anoniem: plaintext wachtwoorden pardon? Is dit tegenwoordig nog mogelijk?
Daar zou in mijn optiek helemaal niets mis mee moeten zijn. Als de gebruiker zó stom is om een wachtwoord vaker dan 1x te gebruiken, dan vraag je er om. Het zou niet de taak van een systeembeheer moeten zijn om de onkunde van gebruikers op te vangen.
15-07-2019, 15:25 door DLans
Door Anoniem:
Door Anoniem: plaintext wachtwoorden pardon? Is dit tegenwoordig nog mogelijk?
Daar zou in mijn optiek helemaal niets mis mee moeten zijn. Als de gebruiker zó stom is om een wachtwoord vaker dan 1x te gebruiken, dan vraag je er om. Het zou niet de taak van een systeembeheer moeten zijn om de onkunde van gebruikers op te vangen.

Het versleuteld opslaan van wachtwoorden is om de gebruiker te beschermen tegen de onkunde van systeembeheerders. Ondanks dat ik iedereen voorstel om overal aparte wachtwoorden voor te gebruiken weten we allemaal wel dat vrijwel niemand dit ook echt doet. Plain text opslaan was jaren geleden eigenlijk al taboe, hoe heeft deze site nog bestaansrecht op deze manier?
17-07-2019, 22:55 door Anoniem
Door Anoniem:
Door Anoniem: plaintext wachtwoorden pardon? Is dit tegenwoordig nog mogelijk?
Daar zou in mijn optiek helemaal niets mis mee moeten zijn.

Daar ga je al helemaal mank. Ten eerste zijn er zat dingen te bendenken die ik met een db van 100 miljoen wachtwoorden kan doen, ook al zou iedere gebuiker een ander wachtwoord voor ieder account hebben. Ten tweede zeg je, er is niks mee als je 1 point of failure hebt, zolang als die andere 100 miljoen mensen maar zo slim zijn om een random ww te gebruiken. Sorry hoor, maar als websitebeheerder die 100 miljoen wachtwoorden/mail-combo's opslaat heb je de verantwoording om daar zorgvuldig mee om te gaan. Het gaat het bedrijf ook nog eens geen moer aan welk wachtwoord een gebruiker heeft. Gebruikers hebben met die ww/username combo iig toegang tot die site. Door het opslaan van plaintext ww'en hebben alleen al zichzelf nu in de voet geschoten, want die 100 miljoen account moet nu de toegang ontzegt worden (want ze kunnen de gebruiker niet meer authorizeren) , simpel inlogje-> u moet uw wachtwoord veranden, is er nu niet meer bij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.