Computerbeveiliging - Hoe je bad guys buiten de deur houdt

E-mailadres gestolen uit database grote Nederlandse ISP?

23-09-2015, 12:45 door Anoniem, 22 reacties
Omdat ik niet weet waar ik het anders kan melden, doe ik het maar hier.

De situatie: zoals waarschijnlijk velen van jullie geef ik alle bedrijven waar ik zaken mee doe een eigen e-mailadres, als naambedrijf@mijneigendomein.nl. Die mailadressen maak ik niet specifiek aan en gebruik ik verder niet, ze worden via de catch-all doorgestuurd naar mijn eigenlijke mailadres.

Nu kreeg ik in mijn spambox een bericht dat het mailadres voor mijn internet service provider, een mail had verstuurd, die gebounced was bij een bulgaarse mail-aanbieder wegens toevoegen van een .exe. Afzendend ip-adres behoort tot Time Warner Cable Internet LLC (RCNY), blijkt uit ARIN. IP-adres komt uit google als bekend met spam, etc.

Ik heb natuurlijk meteen gebeld naar deze aanbieder, omdat een potentiële verklaring hiervoor was, dat (een stukje van) de klantendatabase van die ISP mogelijk gelekt is. Zij gaven aan dat dat niet mogelijk was, want "alles stond goed beveiligd achter slot en grendel." Natuurlijk... Toevallig is dit dezelfde ISP die al eerder de beveiliging niet echt op orde had.

Aan jullie nu de vraag: hebben jullie toevallig recentelijk ook zo'n soort ervaring met een mailadres dat (bijna) alleen je ISP kent?

Of hebben jullie een andere verklaring voor deze situatie? Problemen bij mijn hosting provider lijkt me onwaarschijnlijk, want dan hadden ze wel een mailadres gebruikt dat echt bestaat. Onderscheppen van de e-mails van de ISP die aan dit adres worden gestuurd lijkt me ook onlogisch. Maar misschien zie ik iets over het hoofd?
Reacties (22)
23-09-2015, 14:52 door Anoniem
als je aanbieder een eenvoudige naam heeft dan is toeval mogelijk, maar wellicht hebben ze hun database wel gewoon verkocht/geleend aan een mailverzender,en heeft die een woopsie gedaan.

Meld het aan ze, en als de reactie is dat jij dom bent en zij slim, dan ga je naar een ander.

Naming and shaming doe je terecht niet, voor je het weet heb je een proces aan je broek.
23-09-2015, 15:17 door Hefite
Als OP toch maar even account aangemaakt.
Wat deze isp zegt, is dat ze de gegevens niet hebben doorverkocht of -gegeven. En de reactie op de melding was niet zozeer dat ik dom was, maar ze waren niet direct gealarmeerd ofzo. Eigenlijk was de reactie: "dat e-mailadres hoort bij een andere hosting provider, dus het is niet ons probleem."
Vandaar dat ik even wil polsen of dit bij anderen ook is gebeurd.
23-09-2015, 15:44 door Anoniem
Ik heb dezelfde ervaring met het RTL beurs spel.

Apart E-mailadres voor aangemaakt en binnen 4 weken kwam de eerste spam al binnen.
Adres is alleen voor registratie bij het beursspel gebruikt !

Contact opnemen met RTL blijkt zinloos, zij ontkennen het doorverkopen in alle toonaarden.

Ik blokkeer alle mail welke aan het betreffende E-mailadres word gestuurd.
23-09-2015, 16:07 door Anoniem
Het venijn zit in het zinnetje:
Aan jullie nu de vraag: hebben jullie toevallig recentelijk ook zo'n soort ervaring met een mailadres dat (bijna) alleen je ISP kent?

Het gaat om het woordje bijna. Ze zijn dus niet de enige, en daarmee kun je ze niet beschuldigen.Je hebt daarmee geen idee waar dat email adres is gelekt, als het al gelekt is. Er worden ook namen voor domeinen geplakt als Joe Job. Jij hebt blijkbaar de pech dat het inderdaad een bestaand email adres van jou was. Welkom in de wereld van het Internet.
23-09-2015, 16:12 door Anoniem
Lijkt me een gevalletje voor https://cbpweb.nl/nl/contact-met-het-cbp/tip-ons. Mogen ze daar uitleg geven (hoef jij je geen zorgen meer te maken) en heb jij netjes je burgerplicht gedaan.
23-09-2015, 17:47 door Hefite
Door Anoniem: Het venijn zit in het zinnetje:
Aan jullie nu de vraag: hebben jullie toevallig recentelijk ook zo'n soort ervaring met een mailadres dat (bijna) alleen je ISP kent?

Het gaat om het woordje bijna. Ze zijn dus niet de enige, en daarmee kun je ze niet beschuldigen.Je hebt daarmee geen idee waar dat email adres is gelekt, als het al gelekt is. Er worden ook namen voor domeinen geplakt als Joe Job. Jij hebt blijkbaar de pech dat het inderdaad een bestaand email adres van jou was. Welkom in de wereld van het Internet.

In mijn geval zijn ze wel de enige, dus is het op zich makkelijk. Maar mogelijk zijn er anderen die dezelfde ervaring hebben, maar waar het geen uniek e-mailadres betreft. Die wilde ik met dit zinnetje ook aanspreken.

En beschuldigen: tsja, voor mij persoonlijk is de schade op dit moment niet groot. Dit e-mailadres block ik en ik ga over tot de orde van de dag. Maar stel dat het wel de klantendatabase is, wie weet wat er nog meer aan te misbruiken info in zit.
23-09-2015, 17:48 door Hefite
Door Anoniem: Lijkt me een gevalletje voor https://cbpweb.nl/nl/contact-met-het-cbp/tip-ons. Mogen ze daar uitleg geven (hoef jij je geen zorgen meer te maken) en heb jij netjes je burgerplicht gedaan.

Dankjewel. Goede tip. Maar ik geloof dat ik meer kans maak op actie vanuit het CBP als ik niet de enige blijk :-).
23-09-2015, 18:09 door Anoniem
Als die ISP inderdaad een bekende partij als KPN of Ziggo is; dan is de kans groot dat het 'toeval' is omdat die partijen al vaker gebruikt / getarget zijn bij phishing/spamruns (ook als afzender). Is het echter heel specifiek (ik gebruik altjd de FQDN); als in www.kpn.com@example.com, dan wordt het natuurlijk een ander verhaal en zou ik het zeker aanhanging maken / houden bij de leverancier. En als ze je niet serieus nemen, doet social media (druk) wonderen; of anders inderdaad ACM b.v.

Die laatste partij turft met name klachten, dus voor de statistieken kan het wel belangrijk zijn.
23-09-2015, 20:32 door Anoniem
Ik heb dezelfde ervaring.
Aangezien ik sinds een aantal jaar ook een willekeurig nummer (min. 6 digits) toevoeg aan de naam voor het @, denk ik dat het zeker geen toeval is dat die mailadressen worden misbruikt!
Echter, ze hoeven niet zozeer doorverkocht te zijn; het kan ook door een hack komen, of door malware op het netwerk c.q. mailserver van het bedrijf, malware die er speciaal op uit is e-mailadressen buit te maken.
Maar het kan ook malware op je eigen pc of mailserver zijn geweest.
Aangezien ik op slechts een klein aantal van de ooit uitgegeven mailadressen spam ontvang, denk ik dat eventuele malware op mijn pc zeker niet de oorzaak is. Want dan zou ik op al die adressen spam moeten ontvangen. Ik heb alle e-mails vanaf het begin van het internettijdperk bewaard (m.u.v. spam e.d.) en dat zijn er behoorlijk wat.
Wat mij betreft staat malware die e-mailadressen verzamelt bij het betreffende bedrijf op #1 wat de oorzaak betreft.
24-09-2015, 01:53 door CrioWria
Tot nu toe heb ik dit twee keer meegemaakt, bij 'n webshop en 'n goed doel. In beide gevallen gemeld, maar werkelijk geen enkele aandrang om er ook maar iets mee te doen.
Als oplossing heb ik de adressen wel aangemaakt en forward de spam naar het reguliere adres van dit bedrijf/goed doel.

Dit trucje kan ook met Gmail; jouwnaam+naambedrijf[A]gmail.com. De + moet je uiteraard daadwerkelijk gebruiken, helaas blokkeren veel sites dit symbool.
24-09-2015, 11:06 door Anoniem
Dit is wel een erg speculatief verhaal. Dus omdat iemand ergens op Internet een emailadres van jou heeft gespoofed ga je er vanuit dat de database van een ISP gehacked is?

Het domein waar jij dat mailadres aan hebt hangen is natuurlijk ergens geregistreerd. Dat is zeker opgepakt door de bots van de spammers etc en zeker als je een catch-all gebruikt is een mailadres dan zo gespoofed. Verwacht er meer, zou ik zeggen.
24-09-2015, 12:16 door Aprogas
Ik ben een aantal keer gebeld door telemarketeers die beweerden dat ik ooit een enquete had ingevuld met het emailadres dat alleen bij mijn ISP bekend is. Net als OP gebruik ik een catchall en geef ik doorgaans een apart emailadres op per bedrijf dat erom vraagt. Deze telemarketeers beschikten ook over mijn NAW-gegevens en belden op mijn vaste lijn terwijl ik in formulieren altijd mijn mobiel nummber invul. Deze vaste lijn nam ik af bij dezelfde ISP.

De telemarketeers werkten voor drie verschillende maar enigszins vergelijkbare bedrijven die kortingsacties aanbieden op basis van een abonnement. Ik heb niet kunnen achterhalen of de 3 bedrijven een gemeenschappelijke eigenaar hebben.

Kan ik PMs sturen? Graag wil ik van OP weten of wij het over dezelfde ISP hebben zonder ons schuldig te maken aan smaad of laster door dit publiekelijk te doen.
24-09-2015, 12:23 door Hefite
@Anoniem -18.09 uur: het zou in dit geval nog toeval kunnen zijn. Dus ik ga pas melding doen als ik weet dat ik niet de enige ben. Ik wil niemand beschuldigen zonder hele harde aanwijzingen. Vandaar dat ik social media ook nog even niet gebruik.
@Anoniem -20.32 uur: ik vrees ook eerder een hack dan een verkoopactie (anders dan bij goede doelen en RTL). Maar tot nu toe nog geen andere mensen die deze ervaring hebben, dus mogelijk toch een toevalstreffer.
@CrioWria: grappige actie! Waren ze vast heel blij mee, bij die webshop en dat goede doel. In dit geval krijg ik alleen zelf geen spam, maar worden er mails (of misschien maar één?) met virussen verzonden met mijn mailadres als afzender. Dus ik heb weinig om door te sturen, behalve die ene bounce. Daarbij maakt deze provider geen e-mailadres bekend, alleen contactformulieren. En dat forward zo lastig :-).

Gisteren via www.internet.nl gezien dat er geen nog DMARC en SPF beschikbaar is voor mijn provider. Mogelijk zou dat op termijn een deel van deze problemen kunnen verkomen.
24-09-2015, 12:26 door Hefite
@Aprogas: dat is inderdaad wel dubieus! Ik heb gekeken hier, maar ik zie geen mogelijkheid voor PM's. Je kunt me de komende twee uur mailen op: 1uw2bk+1mv7v9uyp2w60@sharklasers.com (via guerillamail.com). Daarna verdwijnt het adres weer. Ben benieuwd...
24-09-2015, 12:29 door Hefite
@ Aprogas: herstel, hij is een uur in de lucht. Hopelijk ben je nog hier op de site...
24-09-2015, 13:06 door BaseMent
Ik herken het maar al te goed. heb ooit iets gekocht bij Hermes, destijds een zaak in elektronica, nu overgenomen. Drie x raden waar ik spam op kreeg nadat hermes overgenomen was.
Database is gewoon de markt op gegaan.
24-09-2015, 13:32 door Hefite
@Aprogas: mocht je nog terug komen, het mailadres is nog tot het einde van middag actief.
24-09-2015, 13:34 door Aprogas
@Hefite: ik had een afspraak en was net te laat, maar heb er nu zelf een aangemaakt op 1uwb4c+qgwc4w30nqkc@sharklasers.com
24-09-2015, 13:38 door Hefite
@Aprogas: ik heb je een testmail gestuurd. mogelijk zie je als afzender etigyqy
24-09-2015, 15:17 door Anoniem
Iets wat al sinds jaar en dag gedaan wordt is lijsten van accountnamen (en aliassen) willekeurig combineren met lijsten met domeinnamen. Als de e-mailadressen voorbeeld@example.com en prior@slotklooster.nl bestaan en in die lijsten terechtkomen dan kan je erop wachten dat voorbeeld@slotklooster.nl en prior@example.com voor allerlei narigheid worden gebruikt. Je account- of aliasnaam hoeft maar ergens ter wereld bij een andere provider, op een ander domein ook voor te komen en het kan je gewoon gebeuren zonder dat er ergens data is gelekt.
25-09-2015, 15:24 door Anoniem
Door Hefite:
Gisteren via www.internet.nl gezien dat er geen nog DMARC en SPF beschikbaar is voor mijn provider. Mogelijk zou dat op termijn een deel van deze problemen kunnen verkomen.

Bedoel je dat je DNS server voor je domein geen SPF ondersteund of dat je nog geen SPF record hebt aangemaakt voor je domein?

Als je geen SPF hebt, maak er 1 aan voor je domein, als je DNS voor dat domein het niet ondersteund, upgrade je DNS (of host)
SPF records aanmaken voor je domein en mailservers is eigenlijk net zo standaard als het dichtzetten van de relay...
25-09-2015, 20:17 door Anoniem
Door Anoniem: als je aanbieder een eenvoudige naam heeft dan is toeval mogelijk, maar wellicht hebben ze hun database wel gewoon verkocht/geleend aan een mailverzender,en heeft die een woopsie gedaan.

Meld het aan ze, en als de reactie is dat jij dom bent en zij slim, dan ga je naar een ander.

Naming and shaming doe je terecht niet, voor je het weet heb je een proces aan je broek.

Niet als je gelijk hebt. Je kunt best stellen dat ovh.net, linode ehh china etc.etc. 'shit' providers zijn waarvan allerlei abuse, continu afkomstig is. Lijkt me sterk dat ze je voor de rechter stellen dat dit onjuist is.

Naming and shaming zou veel meer moeten gebeuren, zodat leken eens door hebben dat ze met een verkeerde leverancier in zee gaan. (Je kunt ze dat nu immer niet kwalijk nemen)

Als iedereen die onder zijn email heeft staan 'dont print this for the environment', met een partij zou werken die NIET energie verslindend bezig is door overal te scannen op wordpress lekken, te brute forcen of te spammen etc etc. Is binnen no time de helft van de troep providers zeker failliet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.