image

Eneco meldt datalek na aanval met hergebruikte wachtwoorden

dinsdag 12 januari 2021, 10:02 door Redactie, 24 reacties

Eneco heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat aanvallers door middel van hergebruikte wachtwoorden op de accounts van zo'n 1700 klanten wisten in te loggen. Het gaat om de Mijn Eneco-accounts van zowel particulieren als klein zakelijke klanten.

Na ontdekking van de aanval werd de toegang tot Mijn Eneco tijdelijk afgesloten om onderzoek te doen. Inmiddels is de omgeving, waar klanten allerlei energiezaken kunnen regelen, weer toegankelijk. Volgens Eneco maakten de aanvallers gebruik van e-mailadressen en wachtwoorden die bij andere websites waren gestolen.

"De getroffen klanten hebben een email ontvangen waarin zij zijn geïnformeerd over het datalek, hoe zij een nieuw account aan kunnen maken en het risico dat zij lopen met het wachtwoord dat eerder is gebruikt voor Mijn Eneco", aldus de energieleverancier, die toevoegt dat het klanten via verschillende kanalen over het belang van een goed en veilig wachtwoord zal informeren, om zo toekomstige aanvallen te voorkomen.

Naast de 1700 klanten van wie het Mijn Eneco-account is gecompromitteerd waarschuwde Eneco ook een groep van zo'n 47.000 klanten. De energieleverancier zegt geen aanwijzingen te hebben dat de accounts van deze groep zijn ingezien. "Maar omdat zij in dezelfde periode hebben ingelogd worden zij geadviseerd om uit voorzorg hun wachtwoord te wijzigen", zo stelt Eneco.

Reacties (24)
12-01-2021, 10:28 door Anoniem
Toch weer blij dat eea. bij mij gewoon in de brievenbus valt.
Je weet wel, bezorgd door onze nationale postduif.
12-01-2021, 10:42 door [Account Verwijderd]
Dit roept ook weer de discussie op dat het authenticeren met behulp van (alleen) wachtwoorden verouderd is.
12-01-2021, 10:53 door Anoniem
Dus het is gewoon de schuld van de betreffende gebruiker die nog steeds overal dezelfde passworden voor gebruikt. Ondanks alle aandacht hierover in de media...
12-01-2021, 11:12 door Anoniem
Door Khonsu: Dit roept ook weer de discussie op dat het authenticeren met behulp van (alleen) wachtwoorden verouderd is.
Inderdaad, het idee van 'wachtwoorden mogen niet hergebruikt worden' is ook onhoudbaar. Tegenwoordig heb je overal een account voor nodig, dus het is kansloos om dat allemaal uniek te houden. Ja je hebt password managers, maar die introduceren een nieuw risico. Als die gehackt worden, ligt alles in één keer op straat.

Zelf hanteer ik voor hoog risico diensten (b.v. bankzaken) voor elke dienst een unieke login; bij medium risico diensten (webwinkels, etc) heb ik een stuk of vijf logins die hergebruik worden. Low risico diensten (b.v. webfora) heb ik ook een paar logins die hergebruikt worden. Voor zover de dienst two factor authenticatie aanbiedt staat die voor de hoog en medium risico diensten ingeschakeld.
12-01-2021, 11:37 door Anoniem
Evenals de vraag waarom het niet mogelijk is om bij Eneco multi-factor authenticatie in te stellen.

Ik ben van mening dat een controlevraag als bijvoorbeeld postcode (*) al voldoende is om de meeste voorvallen als deze te voorkomen. Uiteraard geen vervanging voor een goede beveiliging maar wel net voldoende voor het losraak proberen met gelekte login gegevens.

(*) uiteraard iets wat bij bedrijf en klant al bekend is. Kan ook het klantnummer zijn of iets.

Dan zij er verder ook betere implementaties te bedenken, zoals:
- mfa
- controle 'vreemd apparaat' / ip-adres
of een combinatie van dingen.

En dan voor mensen, inderdaad gebruik verschillende wachtwoorden. Of in ieder geval een aantal verschillende. Bijvoorbeeld voor 1) Overheid/banken/nuts/verzekeringen, 2) mail, 3) webwinkels, 4) social media en 5) overige vage dingen.

Gebruik maken van een wachtwoord manager is ook niet zo lastig meer.
12-01-2021, 11:40 door Anoniem
Door Anoniem: Dus het is gewoon de schuld van de betreffende gebruiker die nog steeds overal dezelfde passworden voor gebruikt. Ondanks alle aandacht hierover in de media...

Tja met DiGiD kun je inloggen bij de rijksoverheid, de ziektekosten verzekering, de belastingdienst, het pensioenfonds, etc, etc, etc.

Oh, wat is dat makkelijk. Makkelijker kan de rijksoverheid het niet maken
12-01-2021, 11:50 door Anoniem
Door Anoniem: Evenals de vraag waarom het niet mogelijk is om bij Eneco multi-factor authenticatie in te stellen.

Ik ben van mening dat een controlevraag als bijvoorbeeld postcode (*) al voldoende is om de meeste voorvallen als deze te voorkomen. Uiteraard geen vervanging voor een goede beveiliging maar wel net voldoende voor het losraak proberen met gelekte login gegevens.

(*) uiteraard iets wat bij bedrijf en klant al bekend is. Kan ook het klantnummer zijn of iets.

Het grote probleem is dat zoveel bedrijven de gebruiker identificeren aan de hand van een e-mail adres.
Je gebruikersnaam is je e-mail adres.
Dat lijkt even een goed idee, tot je bedenkt dat daarmee de accounts bij verschillende bedrijven heel gemakkelijk
"gekoppeld" kunnen worden aan dezelfde gebruiker die wellicht hetzelfde wachtwoord gebruikt.

Dit probleem was er helemaal niet als bedrijven je lieten inloggen met iets als een klantnummer. Dan zou het
helemaal niet uitmaken als mensen hun wachtwoord hergebruikten want dan zou een aanvaller die bij een webwinkel
een wachtwoordenlijst heeft buitgemaakt niet weten hoe hij deze lijst moest toepassen bij Eneco oid.
12-01-2021, 12:54 door Anoniem
Door Anoniem:
Door Anoniem: Dus het is gewoon de schuld van de betreffende gebruiker die nog steeds overal dezelfde passworden voor gebruikt. Ondanks alle aandacht hierover in de media...

Tja met DiGiD kun je inloggen bij de rijksoverheid, de ziektekosten verzekering, de belastingdienst, het pensioenfonds, etc, etc, etc.

Oh, wat is dat makkelijk. Makkelijker kan de rijksoverheid het niet maken

Bij DigiD moet je verplicht een tweede factor gebruiken. Bijvoorbeeld sms verificatie. En ja, sms verificatie is verschrikkelijk, maar beter iets dan niets.
12-01-2021, 12:57 door walmare
Zo spannend is dit allemaal niet. Iedereen mag van mij kijken hoeveel energie ik gebruik.
De genoteerde privacy gegevens liggen toch al op straat.
12-01-2021, 13:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dus het is gewoon de schuld van de betreffende gebruiker die nog steeds overal dezelfde passworden voor gebruikt. Ondanks alle aandacht hierover in de media...

Tja met DiGiD kun je inloggen bij de rijksoverheid, de ziektekosten verzekering, de belastingdienst, het pensioenfonds, etc, etc, etc.

Oh, wat is dat makkelijk. Makkelijker kan de rijksoverheid het niet maken

Bij DigiD moet je verplicht een tweede factor gebruiken. Bijvoorbeeld sms verificatie. En ja, sms verificatie is verschrikkelijk, maar beter iets dan niets.

Bij DiGiD is het niet verplicht een "tweede factor" te gebruiker. Zelfs indien een tweede factor wordt gebruikt dan wordt nog steeds dezelfde gebruikersnaam en wachtwoord gebruikt.
12-01-2021, 13:35 door Anoniem
Door Anoniem:
Door Anoniem: Evenals de vraag waarom het niet mogelijk is om bij Eneco multi-factor authenticatie in te stellen.

Ik ben van mening dat een controlevraag als bijvoorbeeld postcode (*) al voldoende is om de meeste voorvallen als deze te voorkomen. Uiteraard geen vervanging voor een goede beveiliging maar wel net voldoende voor het losraak proberen met gelekte login gegevens.

(*) uiteraard iets wat bij bedrijf en klant al bekend is. Kan ook het klantnummer zijn of iets.

Het grote probleem is dat zoveel bedrijven de gebruiker identificeren aan de hand van een e-mail adres.
Je gebruikersnaam is je e-mail adres.
Dat lijkt even een goed idee, tot je bedenkt dat daarmee de accounts bij verschillende bedrijven heel gemakkelijk
"gekoppeld" kunnen worden aan dezelfde gebruiker die wellicht hetzelfde wachtwoord gebruikt.

Dit probleem was er helemaal niet als bedrijven je lieten inloggen met iets als een klantnummer. Dan zou het
helemaal niet uitmaken als mensen hun wachtwoord hergebruikten want dan zou een aanvaller die bij een webwinkel
een wachtwoordenlijst heeft buitgemaakt niet weten hoe hij deze lijst moest toepassen bij Eneco oid.

Klopt inderdaad..Ik zit bij Pure Energie en die werken op basis van een klantnummer om in te loggen. dat is dan inderdaad wat moeilijker een match te maken als je een lijst hebt.
12-01-2021, 13:39 door Anoniem
Door walmare: Zo spannend is dit allemaal niet. Iedereen mag van mij kijken hoeveel energie ik gebruik.
De genoteerde privacy gegevens liggen toch al op straat.


Lekker naief...En wanneer je zo weinig gebruikt dat ze weten dat je op vakantie bent en je huisje komen leeg halen. Adres staat erbij dus rijden ze zo even langs.;-)

En je kan op de portalen veel meer als alleen meer inzage..je kan ook wijzigen.
Mag ik jouw inlog even dan van je energiemaatschappij ? als je het toch niets uitmaakt.
12-01-2021, 13:45 door Anoniem
Ik vraag me af hoe het kan dat een scriptkiddy het voor elkaar krijgt om minstens 1700 accounts te bruteforcen met bekende wachtwoorden voordat zijn IP adressen gebanned worden?
Dat is toch het minste wat je kunt doen als Eneco?
1 x fout is dikke vingers, 2x fout is dom, 3x fout is pech hebben, 1700 x fout is ? veel geduld hebben? 17.000.000 keer fout? of ben je dan aan het slapen meneer security officer bij Eneco?

Wachtwoorden zijn prima voor het identificeren van iemand. Niet voor authenticatie.
We hebben overal een app voor, waarom geen authenticator app (RSA, microsoft, google, fortinet, cisco, enz hebben allemaal zo'n ding, hoeft dus niet zo moeilijk te zijn om 2FA in te voeren. (scheelt ook weer sms kosten).
12-01-2021, 13:56 door [Account Verwijderd]
Door walmare: Zo spannend is dit allemaal niet. Iedereen mag van mij kijken hoeveel energie ik gebruik.
De genoteerde privacy gegevens liggen toch al op straat.

@ walmare,

Dat meen je toch niet?

Eigenlijk is je reactie vergelijkbaar met als die je regelmatig ziet in de Covid discussie. Samengevat: Het maakt mij niet zoveel uit.
Niet het Coronavirus de wind uit de zeilen nemen met als doel de zorg te ontlasten, maar denken en reageren vanuit de sollitaire positie en vooral niet vanuit het maastchappelijk belang, "want mijn positie prevaleert boven al die andere 18 miljoen Nederlanders."

Terug naar dit onderwerp...

Met alle respect hoor, maar het gaat er niet om ofdat de aanvallers wat energie cijfertjes van jouw Eneco account hebben begluurd.
Neen,
De problematiek schuilt in het feit dat wachtwoorden, en zeker hergebruikte, een van de vele drijfveren zijn voor criminelen om hun - eveneens - criminele praktijken voort te zetten.
En - niet minder belangrijk - zolang er nog steeds bedrijven zijn die niet op zijn minst 2FA verificatie eisen bij het authenticatieproces blijf je deze 'breaches' houden.

Criminelen moet hier de wind uit de zeilen genomen worden en dat wordt voor een deel bereikt door de eindgebruiker om nooit wachtwoorden te hergebruiken, en door de host om 2FA in te stellen.
Al is het ook maar slechts een vraag om postcode + huisnummer in te voeren zoals anoniem van hierboven, 11:37 uur stelt. Dat is al iets.
12-01-2021, 15:37 door Anoniem
Door Anoniem:
...

Bij DigiD moet je verplicht een tweede factor gebruiken. Bijvoorbeeld sms verificatie. En ja, sms verificatie is verschrikkelijk, maar beter iets dan niets.
Ik vind SMS verificatie juist prettig omdat het zo laagdrempelig is. Als dan ook als alternatief e-mail wordt geboden, vermijd je dat je verplicht bent om je telefoonnummer af te staan. Google authenticator werkt ook goed, maar als dat de standaard wordt, geef je dit soort partijen nog meer macht.

Waar ik niet aan moet denken, is dat we straks voor elke dienst een app voor authenticatie nodig hebben. Ik heb er nu al teveel: één voor in te loggen op de werkplek, één voor MS teams (Microsoft wijkt volgens goed gebruik van de standaard af), één voor E-herkenning, één voor de bank, en Google authenticator voor een aantal andere zaken. Om gek van te worden. Sowieso loop je met al die apps weer onnodige veiligheidsrisico's op je telefoon.
12-01-2021, 15:51 door Anoniem
Door Anoniem: Ik vraag me af hoe het kan dat een scriptkiddy het voor elkaar krijgt om minstens 1700 accounts te bruteforcen met bekende wachtwoorden voordat zijn IP adressen gebanned worden?
Dat is toch het minste wat je kunt doen als Eneco?
1 x fout is dikke vingers, 2x fout is dom, 3x fout is pech hebben, 1700 x fout is ? veel geduld hebben? 17.000.000 keer fout? of ben je dan aan het slapen meneer security officer bij Eneco?

Wachtwoorden zijn prima voor het identificeren van iemand. Niet voor authenticatie.
We hebben overal een app voor, waarom geen authenticator app (RSA, microsoft, google, fortinet, cisco, enz hebben allemaal zo'n ding, hoeft dus niet zo moeilijk te zijn om 2FA in te voeren. (scheelt ook weer sms kosten).

Dit soort aanvallen worden vaak vanuit botnets gedaan en dat komen de pogingen vanuit veel verschillende IPs. Verder heeft niet iedere gebruiker een eigen IPs, sommigen zitten achter een NAT.

Blokkeren zonder rechtmatige gebruikers te treffen is lastig, een hacker kan net onder de (re-captcha) tresholds gaan zitten.
12-01-2021, 15:58 door Anoniem
Door Anoniem:
Door Anoniem:
...

Bij DigiD moet je verplicht een tweede factor gebruiken. Bijvoorbeeld sms verificatie. En ja, sms verificatie is verschrikkelijk, maar beter iets dan niets.
Ik vind SMS verificatie juist prettig omdat het zo laagdrempelig is. Als dan ook als alternatief e-mail wordt geboden, vermijd je dat je verplicht bent om je telefoonnummer af te staan. Google authenticator werkt ook goed, maar als dat de standaard wordt, geef je dit soort partijen nog meer macht.

Waar ik niet aan moet denken, is dat we straks voor elke dienst een app voor authenticatie nodig hebben. Ik heb er nu al teveel: één voor in te loggen op de werkplek, één voor MS teams (Microsoft wijkt volgens goed gebruik van de standaard af), één voor E-herkenning, één voor de bank, en Google authenticator voor een aantal andere zaken. Om gek van te worden. Sowieso loop je met al die apps weer onnodige veiligheidsrisico's op je telefoon.

De Microsoft Authenticator en Google Authenticator zijn 1 op 1 uitwisselbaar. Waar ze om een google MFA account vragen kun je gewoon je MS App voor gebruiken. En vice versa lijkt me ook. scheelt iig weer 1 App minder op je phone.
12-01-2021, 16:10 door Anoniem
Door walmare: Zo spannend is dit allemaal niet. Iedereen mag van mij kijken hoeveel energie ik gebruik.
De genoteerde privacy gegevens liggen toch al op straat.

Was ook mijn reaktie. Wat wil je met een Eneco Account?
12-01-2021, 16:33 door Anoniem
Door Anoniem:
Door Khonsu: Dit roept ook weer de discussie op dat het authenticeren met behulp van (alleen) wachtwoorden verouderd is.
Inderdaad, het idee van 'wachtwoorden mogen niet hergebruikt worden' is ook onhoudbaar. Tegenwoordig heb je overal een account voor nodig, dus het is kansloos om dat allemaal uniek te houden. Ja je hebt password managers, maar die introduceren een nieuw risico. Als die gehackt worden, ligt alles in één keer op straat.

Zelf hanteer ik voor hoog risico diensten (b.v. bankzaken) voor elke dienst een unieke login; bij medium risico diensten (webwinkels, etc) heb ik een stuk of vijf logins die hergebruik worden. Low risico diensten (b.v. webfora) heb ik ook een paar logins die hergebruikt worden. Voor zover de dienst two factor authenticatie aanbiedt staat die voor de hoog en medium risico diensten ingeschakeld.

Ofwel, leer met een password mananger om te gaan. PasswordSafe (.org) is een hele goede opensource. Hoef je nog maar één password te onthouden en zelfs nooit meer wachtwoorden bedenken. Bij standaard lengte van 14 characters (aan te passen in de policy), is dit ook zonder MFA een veilige oplossing.
12-01-2021, 16:48 door Anoniem
Het grote probleem is dat zoveel bedrijven de gebruiker identificeren aan de hand van een e-mail adres.
Je gebruikersnaam is je e-mail adres.
Dit lijkt mij ook het probleem, als je zelf een gebruikersnaam aan kan maken kun hier ook een soort wachtwoord
van maken.
13-01-2021, 17:03 door Anoniem
Door Anoniem: Ik vraag me af hoe het kan dat een scriptkiddy het voor elkaar krijgt om minstens 1700 accounts te bruteforcen met bekende wachtwoorden voordat zijn IP adressen gebanned worden?
Dat is toch het minste wat je kunt doen als Eneco?
Of je leest het artikel wat nauwkeuriger:
Volgens Eneco maakten de aanvallers gebruik van e-mailadressen en wachtwoorden die bij andere websites waren gestolen
Dus geen bruteforce tegen Eneco systemen.
13-01-2021, 22:46 door -Peter-
Door Anoniem: Ik vraag me af hoe het kan dat een scriptkiddy het voor elkaar krijgt om minstens 1700 accounts te bruteforcen met bekende wachtwoorden voordat zijn IP adressen gebanned worden?

TOR
VPN
Er zijn ook slimme criminelen. Die weten dat ze niet hetzelfde IP adres moeten blijven gebruiken. Die weten dat als ze 1000 pogingen per minuut doen, dat ze ontdekt worden. Die hebben de tijd. Ze starten het script en een maand later kijken ze naar de resultaten.

Ik weet niet hoe ver jij achter loopt, maar criminelen deden dat ruim 20 jaar geleden al. Drie tot vijf pogingen vanaf 1 IP adres. Dan overschakelen naar een ander adres en weer drie tot vijf pogingen doen. Als je een site hebt waar je al een paar honderd aanmeldingen per minuut hebt, vallen die pogingen niet echt op.

Peter
19-01-2021, 08:55 door Anoniem
"De getroffen klanten hebben een email ontvangen ..."

En wat zit er in die e-mail? Jawel de vraag of men even op het knopje wil drukken om subiet het wachtwoord aan te passen. Precies zoals je vaak ziet bij phishing mails. Hoe dom kun je zijn....

Natuurlijk, de oplettende gebruiker weet dat hij even moet kijken welke URL achte die knop zit maar mijn bejaarde (80+) vader weet dit niet.

(daarom zeg ik altijd tegen hem: nooit toegestuurde linkjes of knoppen aanklikken maar altijd zelf naar de website gaan zoals je altijd doet)
27-03-2021, 03:13 door Anoniem
vreemd dat dit "plotseling " bekend is bij eneco. Ben al ruim 3 jaar bezig ze te vertellen dat mijn gegevens etc.niet klopten en nu vlak na mijn klacht over overtreding privacywet plots een datalek?
Het spel is weer leuk gespeeld
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.