image

Blokker meldt datalek bij Autoriteit Persoonsgegevens

zaterdag 18 januari 2020, 09:02 door Redactie, 10 reacties

Winkelketen Blokker is getroffen door een datalek en heeft dit gemeld bij de Autoriteit Persoonsgegevens, zo blijkt uit een e-mail die het bedrijf naar klanten stuurde. Volgens Blokker is er met een aantal e-mailadressen en wachtwoorden geprobeerd om op accounts van Blokker.nl in te loggen.

Daarbij is het de aanvallers gelukt om toegang tot de accounts van een onbekend aantal klanten te krijgen. Specifieke details over de aanval worden niet in de e-mail gegeven, behalve dat de e-mailadressen en wachtwoorden die de aanvallers gebruikten niet van Blokker afkomstig zijn. Het lijkt dan ook om een zogeheten "credential stuffing" aanval te gaan, waarbij aanvallers met gegevens die bij andere websites zijn gestolen op accounts proberen in te loggen.

Dergelijke aanvallen zijn succesvol wanneer gebruikers hun wachtwoord hergebruiken. Volgens Blokker hebben de aanvallers geen bestellingen via de gecompromitteerde accounts geplaatst. Alle getroffen accounts zijn geblokkeerd. Klanten kunnen die door Blokker te bellen laten deblokkeren. Het incident is bij de Autoriteit Persoonsgegevens gemeld.

Reacties (10)
18-01-2020, 11:00 door Anoniem
Is Blokker nu strafbaar omdat er alleen een wachtwoord check op het account zat en geen 2FA? Want dit wachtwoord hergebruik kun je als bedrijf niet tegen gaan zonder een 2FA systeem. En dus zal elke website dat nu moeten doen, aangezien iedereen nu wel een account gelekt/gehacked is...

Is dit dat een geval van geen addequate beveiliging?

TheYOSH
18-01-2020, 11:26 door Anoniem
Dat is toch helemaal geen datalek? Als iemand met een geldig account en wachtwoord inlogt op een systeem en dan
de informatie kan bereiken die bij dat account hoort (en niet die van andere accounts) is er gewoon op juiste en doelmatige
wijze gebruik gemaakt van het systeem. Je kunt dan hooguit stellen dat het gebruik van een wachtwoord als beveiliging
niet erg effectief is (en dat weten we nou wel, laat die riedeltjes over wat een sterk wachtwoord is gerust achterwege want
dat lost het helemaal niet op!)

Bedrijven kunnen zelf iets doen door hun software zo in te richten dat er geen gebruik wordt gemaakt van een e-mailadres
of iets anders voor de hand liggends als accountnaam, maar de accountnamen zelf te laten kiezen eventueel met hulp
van een faciliteit die voor de klant zelf een accountnaam genereert die uniek is en niet gemakkelijk af te leiden is uit andere
bekende informatie van mensen (zoals naam, adres, e-mail, telefoonnummer etc).
18-01-2020, 12:59 door Anoniem
Dit is geen datalek bij Blokker... Die data komt van ergens anders en is gebruikt om accounts bij Blokker te kraken. Het enigste datalek zou zijn als de data op de gekraakte accounts is benaderd. En dan nog zou het niet de schuld geweest zijn van Blokker. 2FA zou mooi zijn, maar dan nog weet je dat je een account hebt gevonden als je op de 2FA check komt. Is het dan ook een datalek?

Verder wel mooi dat ze er een melding van maken.
18-01-2020, 14:15 door Anoniem
Door Anoniem: Is Blokker nu strafbaar omdat er alleen een wachtwoord check op het account zat en geen 2FA? Want dit wachtwoord hergebruik kun je als bedrijf niet tegen gaan zonder een 2FA systeem. En dus zal elke website dat nu moeten doen, aangezien iedereen nu wel een account gelekt/gehacked is...

Is dit dat een geval van geen addequate beveiliging?

TheYOSH

Wat maakt 2FA echt voor een verschil?
Zie je naar privacy beveiliging als een mate van inspanningverplichting en hoeveel en hoe degelijke maatregelen een organisatie treft, hoe inherent lek software de markt op wordt gezet en draait of zie jet als gewoon een absolute maatstaf?
18-01-2020, 16:14 door linux4 - Bijgewerkt: 18-01-2020, 16:16
Er is geprobeerd in te loggen op Blokker.nl met gebruikersnaam/wachtwoord combinaties die mensen blijkbaar voor meerdere sites gebruikten. Ik zie dit even niet als een datalek van Blokker of heb ik het mis?

Ik heb geen e-mail gekregen ondanks dat ik een blokker.nl account heb, mag ik dan aannemen dat mijn account niet gecompromitteerd is? Ik gebruik een wachtwoord manager en heb overal unieke sterke (gegenereerde) wachtwoorden.
18-01-2020, 17:02 door Anoniem
Door linux4: Ik zie dit even niet als een datalek van Blokker of heb ik het mis?.
waarschijnlijk kun je je adresgegevens en misschien betaalgegevens zien na het inloggen.
18-01-2020, 17:49 door linux4
Door Anoniem:
Door linux4: Ik zie dit even niet als een datalek van Blokker of heb ik het mis?.
waarschijnlijk kun je je adresgegevens en misschien betaalgegevens zien na het inloggen.

Omdat ik voor werkelijk elke site een uniek wachtwoord heb en geen email van Blokker heb gekregen ga ik er vanuit dat mijn account niet misbruikt is als de gegevens niet van Blokker zelf gelekt zijn.
18-01-2020, 21:50 door Anoniem
Hi all,

1: er is een formele definitie van de term 'datalek' en die dekt ook 'het ongeautoriseerd verkrijgen' van toegang tot een systeem.

2: altijd goed om dit te weten:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2019_voorbeeldlijst_wel_niet_melden_datalek_def.pdf

3: op dit moment is de richtljn nog niet dat voor 'gewone persoonsgegevens' mfa toegang nodig is. dus is er geen sprake van overtreding van de avg.
20-01-2020, 08:39 door Anoniem
Nog even en het is gewoon goed om je klantenbestand tegen haveibeenpwned-achtige databases te draaien om te zien of er matches zijn om zo de AP te vriend te houden ;)
20-01-2020, 11:02 door Anoniem
laat die riedeltjes over wat een sterk wachtwoord is gerust achterwege want
dat lost het helemaal niet op!
Dank je voor je bijdrage.
Doe ik verder niks mee, en klik door naar het item van vandaag over de zoveelste password manager dat problemen heeft.

Een hardware key of software key of certificaat om enkel huishoudartikelen te kunnen bestellen?
Ik zie dan nog wel bestaansrecht voor de fysieke winkels van Blokker...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.