Wederom een kalf en een put.

Wat ook onbegrijpelijk is is dat bedrijven de lengte van wachtwoorden beperken. Bij AlleKabels was dat vorig jaar max 25 karakters.

Zelfs ING doet dat bij het online bankieren.

Het goede nieuws is dat men het zelf opgemerkt heeft en er iets aan doet.

Als ze wachtwoorden zouden hashen voordat ze deze zouden opslaan, dan maakt lengte niet uit voor het bewaren ervan (een hash heeft altijd dezelfde lengte, ongeacht hoe lang het wachtwoord van de gebruiker is). Of er zit een beperking in de omvang van het veld bij het invoeren en terugzenden van het wachtwoord, maar meestal duidt een beperking op de lengte van het wachtwoord erop dat deze niet volgens de veilige standaarden (hash + salt) wordt opgeslagen.

Zo onbegrijpelijk is dat niet. Een wachtwoord moet worden opgeslagen om gecontroleerd te kunnen worden. Of dit nu in klare tekst is of versleuteld, maakt hier geen verschil. Hoe langer het veld moet zijn, waarin het wachtwoord wordt opgeslagen, hoe meer loze ruimte het in kan nemen. Veel mensen hebben een wachtwoord volgens de minimum lengte eis. Of 25 karakters kort is, is een kwestie van interpretatie. Gebruikt iemand kleine letters, hoofdletters en cijfers, maar geen leestekens, dan is het aantal mogelijkheden al maximaal 62^25. Dat is best veel.

De enige reden om wachtwoorden in lengte te beperken is het database veld.
Een hash maakt de lengte van het wachtwoord onbelangrijk.

Ik maak me zelf meer zorgen wanneer het password bepaalde tekens [n]niet[/b] mag bevatten. Bij mij gaat dan direct het sterke vermoeden ontstaan dat het wachtwoord ongehashed de database in gaat. Die max. karakterlimiet is nog te overzien voor de meeste diensten. Even het slidertje in de passwordmanager aanpassen en klaar is kees.

Misschien onbegrijpelijk, maar wat acht jij het risico van een dergelijke configuratie? Zelfs als je alleen maar cijfers gebruikt in je wachtwoord hoef je je totaal geen zorgen te maken dat dit ooit misbruikt zal worden. Zelfs als een aanvaller 100 miljard numerieke wachtwoorden per seconde zou kunnen controleren, dan is het een kansloze zaak om dat wachtwoord te kraken.

Wat heeft dat met dit onderwerp te maken? Blijkbaar heeft een medewerker deze adressen uit een thuis-situatie opgehaald via zijn eigen legitieme inlog. Daarvoor zal hij met zijn eigen wachtwoord ingelogd hebben. Zelfs al was die lengte 1000 tekens met tweetraps verificatie, dan had hij nog bij die data gekund.

De database waar zo'n medewerker bij kan zal doorgaans ook niet de wachtwoorden laten zien. Alleen het bedrijf kan uitsluitsel geven of dat bij hen ook zo is.

Als een wachtwoord correct wordt opgeslagen volgens de 'best practice', namelijk door middel van een hash + salt, dan maakt lengte niet uit. De uitkomst van de hash is altijd even lang, ongeacht hoe lang het wachtwoord van de gebruiker is.

Wat ook onbegrijpelijk is, is dat je bij vrijwel alle webwinkels verplicht bent een account aan te maken. Als ik bij de lokale Elektrazaak een kabel koop, hoef ik me ook niet te registeren.

Ja, ze hebben je naam en verzendadres nodig om de spullen op te sturen. Maar dat kan je prima zonder account invullen. Dat voorkomt risico op lekken van wachtwoorden of hashes. Slechts een enkele webwinkel heeft dit wel voor elkaar en biedt de mogelijkheid om 'als gast' te bestellen.

Als ze nu ook nog na het afhandelen van de aankoop de gegevens vernietigen, dan is het helemaal netjes voor elkaar qua privacy. Gevolg hiervan is wel dat de consument zelf de aankoopbon moet bewaren om garantie te claimen.

Overigens vind ik het wel netjes dat AlleKabels - vermoedelijk naar aanleiding van de GGD zaak - zelf onderzoek heeft gedaan en melding van misbruik maakt. Ja, dat is een verplichting, maar ik vrees dat er ook veel webwinkels zijn die zoiets onder het tapijt proberen te vegen. En niet te vergeten, webwinkels die niet eens onderzoek doen...

Nee hoor, dat is een te beperkte blik op de materie.

Voordat het in een database gaat, heb je een invoerveld, transmissie naar de database, etc. Het is wel degelijk verstandig is om een limiet aan te brengen op de maximale lengte van een invoerveld. Daarmee heb je een strak omlijnt ontwerpcriteria en voorkom je onvoorziene zaken zoals buffer overflows.

Overigens, een alfanumeriek wachtwoord van 25 karakters is voor een webwinkel meeeer dan voldoende. Wil je écht naar een hoger beveiligingsniveau, dan moet je naar multi-factor authenticatie toe.

Correctie: Bijna geen zorgen. Als je als wachtwoord 25 nullen gebruikt en de hacker doet zijn numerieke test van 000...000 tot 999...999 dan is hij snel klaar :-). Ik snap natuurlijk dat je het anders bedoeld ;-)

Overigens hoop ik dat de wachtwoordinvoer in de applicatie een limiet kent met betrekking tot aantal invoerpogingen per tijdseenheid. Ook dan blijft wachtwoordlengte relevant, immers als een hacker de hashes heeft is de enige limiet om wachtwoorden te zoeken de rekenkracht van zijn hacksysteem.

@iedereen hier boven:

Het heeft niets met wachtwoorden, de lengte, of de gebruikte methodiek te maken, ook niet met wel of geen account o.i.d. Er is een database waar klantgegevens in zitten. Er zijn bepaalde klantgegevens die minimaal nodig zijn om iets te kunnen leveren, zoals een naam, adres, e-mail, het artikel, datum en zo nog wat. Die gegevens zaten in een klantbeheer-systeem of database, en een medewerker die daar toegang toe had heeft die gegevens ingezien of geexporteerd of iets van dien aard. Dat is het datalek. Er is niet gehackt, er is niet ingebroken, het heeft niets van doen met wachtwoorden of de lengte daarvan.

Nee hoor, dat is best begrijpelijk.
Dat is voor het gemak wanneer de klant er later nog een keer iets wil bestellen.
Dan hoeft-ie namelijk niet opnieuw zijn hele heisa aan gegevens in te vullen.

Maar voor wat betreft klanten die maar heel incidenteel iets bij een bepaalde zaak bestellen (misschien maar 1x in hun leven) en/of die helemaal geen account willen, heb je gelijk.
Een klant zou iets moeten kunnen bestellen zonder dat je jarenlang in het klantensysteem blijft staan.
Vanwege het voortdurende risico van lekken van een database zou er een wet moeten komen dat iedere klant
de keuze moet krijgen om zelf te bepalen tot hoe lang de verstrekte gegevens in een klantendatabase bewaard mogen blijven. Fluitje van een cent om op het opgegeven tijdstip het account automatisch door het systeem te laten wissen.

Je hebt gelijk dat mensen doorredeneren op aannames die ze doen en die niet hoeven te kloppen, maar dat doe je zelf ook. Allekabels is namelijk zeer summier geweest in de informatie die ze rondsturen. Ze hebben geen uitspraak gedaan over welke gegevens zijn gelekt. Het enige dat ze concreet noemen is een e-mailadres, maar dan alleen de mededeling dat ze die voortaan versleuteld met partners gaan delen, ze zeggen niet eens expliciet dat dat gelekt is. We weten dus niet wat voor medewerker dit was en waar die wel of geen toegang toe had. Eigenlijk weten we niet meer dan dat er iets is gelekt en dat dat 5000 klanten betreft.

Ik ben zelf een van die 5000 klanten en heb Allekabels vanochtend een e-mail gestuurd waarin ik ze om duidelijkere informatie heb gevraagd.

Er moet dus iemand daar op staande voet ontslagen worden of is dat reeds.

J.O.

Het heeft niet te maken met de veldlengte van een database kolom. Deze beperking (lengte wachtwoord, toegestaane karakters, etc) wordt op UI niveau al tegengehouden door wachtwoord validaties.

Beste wannabe, wil jij ons vertellen hoe we kunnen voorkomen dat we medewerkers aannemen die onbetrouwbaar blijken te zijn ?

(ik ben niet allekabels, maar het probleem dat mensen misbruik maken van rechten die ze voor hun werk nodig hebben komt overal voor. Dat _voorkomen_ zou heel mooi zijn. Dat _achteraf herkennen en bestraffen_ is nu al netjes .)

Ik kreeg vandaag een phishing mail op het email adres dat ik speciaal voor allekabels heb aangemaakt. Die medewerker heeft al die klantgegevens dus verkocht.

Als gedupeerde klant heb ik overigens geen mail van allekabels ontvangen. Dat is niet erg zorgvuldig. Je vraagt je af in hoeverre allekabels de schade van dit incident overziet.

Ik heb ook een e-mailadres voor allekabels aangemaakt, heb wel de e-mail van allekabels ontvangen en tot nu toe geen phishing of spam of andere ellende.

Het is mogelijk dat e-mailadressen als allekabels@jouwdomein door een phisher op de gok zijn aangemaakt, dus als je voor de @ zoiets voorspelbaars als dit had staan hoeft je e-mailadres niet gelekt te zijn om toch gebruikt te worden.

Wellicht is het zinvol om allekabels even te melden wat je hebt ontvangen en om de phishingmail als bijlage (inclusief headers) mee te sturen of in ieder geval te bewaren voor als erom gevraagd wordt.

Ja en ook dat er geen gegevens van jou bij zijn, anders is geen goed nieuws.

Bij mij hetzelfde:uniek emailadres voor AlleKabels en de phishing emails (pasje verlopen, bestel snel een nieuwe..) komen binnnen. En geen bericht van AlleKabels. Waarschijnlijk dus wel meer dan 5000 gedupeerden.

Daarom koop ik niet bij Webwinkels waar ik (als particulier) een account moet aanmaken.
Soms is dat mogelijk
Lijkt me wel zo veilig.
Of ben ik naief?

Ik heb wel een tip: faciliteer je gebruikers (en evt klanten) met een goede, veilige en bruikbare tool + awareness training.Dan voorkom je iig een stuk meer dan alleen maar technische maatregelen te treffen zoals 2FA.

Ik kijk goed of ik me ergens moet registreren. Soms besluit ik gewoon de bestelling niet af te maken als ik me moet registreren als ik eenmalig iets wil kopen. Er zijn voldoende webwinkels die je toestaan om als gast een bestelling te plaatsen.


Dat kan niet. Er bestaat altijd de kans op fraude. Dan wil je toch nog enige tijd de relevante gegevens bewaren.

Peter

Naief misschien niet, maar qua gegevens is het enige verschil t.o.v. een account aanmaken bij bijna alle webwinkels waar je als gast kunt bestellen dat je een wachtwoord in het systeem hebt. Emailadres, postadres... in principe zijn ze bij allebei bekend. Als je dan een uniek wachtwoord voor elke webwinkel maakt, maakt het wat lekken van gegevens beteft eigenlijk niet uit.

Mijn complete PGP key past niet in een wachtwoord veld. Klinkt inderdaad onlogisch en onveilig. Wat?

Iemand heeft al genoemd dat het ook een controle op het invoerveld kan zijn die nuttig is om zaken als buffer overflows te helpen voorkomen. Of denk aan een DDOS-aanval waar een aanvaller door extreem lange wachtwoorden de server opzadelt met het hashen van enorm veel data. Een wachtwoord op het overschrijden van een maximumlengte afkeuren voordat een hash wordt berekend kan zin hebben.

Die zitten hier in de buurt en ik ben daar klant. Maar niets gezien van een mail. Ze zullen wel mv in plaats van cp gebruikt hebben dan... *zucht*

Allemaal leuke suggesties hier maar om datalekken tegen te gaan is meer nodig, en een daar van is dat
in dit geval allekabels.nl de getroffen alle schade moet vergoeden en een schadevergoeding moeten betalen
aan de getroffen. Hoe het beter kan kun hier wel schrijven maar dat weten zij ook, alleen als het geld kost
verandert er misschien iets. En nog belangrijker is dat van uit de regering stappen worden genomen zodat je
met gegevens geen fraude kan worden gepleegd, het worden criminelen wel heel erg gemakkelijk gemaakt.
Met gewone alledaagse gegevens kun je al fraude plegen, dat is toch van de zotte. Volgens mij leeft de regering
nog steeds in het jaren 1900.

SNODEJU! Ik zit er ook bij! En mijn wachtwoord gebruik ik voor alles! Voor mijn e-mail, al mijn online accounts, mijn bankzaken, mijn medische doessier, alles! Wat nu? Men adviseerde mij iets over 'two fa', dat zou helpen hierbij?

Ook een e-mail van hun gehad. Ik moest wel even zoeken en vond dat ik in 2011 een reclematie had gedaan voor een verkeerde levering. Ik kan mij niet herinneren dat ik een account bij hun heb aangrmaakt.

Ik denk dat ze heel wat meer dan 5000 klanten hebben en dat dus gewoon niet alle klanten getroffen en gemaild zijn.

Welke schade hebben de klanten echt opgelopen, behalve het hysterisch gegil hier?

Doordat een eigen medewerker een export heeft gedaan is er data gelekt?
Dan weet ik nog veel meer datalekken

Dat interesseert me helemaal niets, maar dat zij er zo gemakkelijk van af komen moet ook maar een einde
aankomen. Als iemand gegevens van andere bewaart dan hebben ze wel degelijk de verantwoordelijkheid om
deze veilig op te slaan. Het lijkt wel de tweede kamer, sorry en alles is weer goed we kunnen weer verdergaan,
en dat moet stoppen.

En dat jij niet begrijpt wat je al met deze gegevens kunt doen, ja dan raad ik je toch aan om je hier verder in te
verdiepen zodat je dat ook gaat begrijpen. Begin maar eens met bepaalde reacties te lezen op deze site.

Wat ik wel interssant had gevonden als je de moeite had genomen om te schrijven waarom jij vindt dat dit niet nodig is.

oh ?
ben er ook klant, heb geen mail over gehad...

Dit is echt een ongepaste opmerking. Deze persoonsgegevens moeten gewoon veilig zijn om misbruik te voorkomen. Het is dus erg pijnlijk en verwijtbaar als deze op straat komen te liggen. Mensen die dit bagatelliseren hebben het echt niet begrepen. Misschien een idee dat je hieronder jouw persoonsgegevens publiceert als het blijkbaar niet uitmaakt voor je (bij wijze van spreken, want een mod zal dat niet toestaan hoop ik)? Ik hoop en denk dat mensen in de toekomst nog veel hysterischer gaan gillen als hun gegevens weer eens op straat liggen. Misbruik is schering en inslag de laatste jaren en de climax is nog niet bereikt. Ik hoop dat je nergens verantwoordelijk bent voor klantdata, want dan is het met jouw instelling wachten op de volgende lek.

Nog geen reactie gekregen dan ga ik je helpen met enkele voorbeelden, misschien dat dan wel een zinvolle reactie
of discussie mogelijkheid is. Het is niet zo dat ik mijn gelijk wil halen, zelf houd ik meer van een dialoog dan van een
discussie. Wat ik van jou reactie vind heeft anoniem 19:59 al mooi verwoordt.

https://www.vpngids.nl/privacy/anoniem-browsen/big-data-en-privacy/

https://www.politie.nl/themas/identiteitsfraude.html

https://www.veiligbankieren.nl/fraude/identiteitsfraude/

Dat is zo, maar er werd geroepen om schadevergoeding en dan moet er eerst schade zijn.
In dit soort gevallen kent de rechter alleen schadevergoeding toe voor daadwerkelijk geleden schade, dus niet voor een ongemakkelijk gevoel ofzo.
Dus moet je eerst komen met een specificatie van de daadwerkelijk geleden schade voor deze eventueel vergoed wordt.

Hier heb jij een punt ben ik ook helemaal met je eens, dan maar compensatie voor wat de gedupeerde moet mee maken.

Ik denk dat het zwaar wordt onderschat wat voor gevolgen het geeft als iemand steeds maar telefoontjes krijgt, post
aan huis, mails, iemand die uit jouw naam iets besteld en weet ik wat meer. En daarom vind ik dat bijvoorbeeld instanties, winkels die hun zaakjes niet op orde hebben bij een datalek en dat kan ook via medewerkers hier verantwoordelijk voor
zijn.

Dit kun je niet meer met een sorry afmaken, het probleem is dat het steeds vaker voor komt en de gedupeerde staat
machteloos. Ik bijvoorbeeld doe al mijn papier waar gegevens van mij opstaan door de papierversnipperaar. Heb
al mijn accounts verwijderd, maar toch zijn er gegevens die zij niet verwijderen, daar hoort het e-Mail adres niet bij.

Bestel alleen nog maar bij een winkel waar je geen account hoeft aan te maken, maar helaas vinden zij mijn mail
adres en woongegevens toch te belangrijk om het na bijvoorbeeld een week te verwijderen, bij een lek moeten ze
hier verantwoordelijk voor worden gesteld. En in de regering zitten helaas geen geschikte mensen om dit te begrijpen.

https://www.thuiswinkel.org/nieuws/3552/avg-hoelang-mag-je-als-webwinkel-persoonsgegevens-bewaren

De enige die er blij mee is, is degene die het wederom toevoegt aan het "have i been pwned? repositorium.

Natuurlijk ook degene(n), die deze data overal probeert/proberen te versjacheren.

Begint al zo'n beetje op een never-ending-story te lijken zo hier en daar.

Mitnick toonde al jaren geleden aan dat het screenen van mensen bij de IT belangrijk is.

Elk bedrijf zit op een waardevolle chest aan info en data,
zeker als je het maar van gebruikers in bruikleen hebt.

Eigenlijk zou ieder desgevraagd naar de voorlichtingsmedewerker moeten verwijzen
en die zou precies moeten weten, wanneer zijn of haar spreken zilver
en zijn of haar zwijgen goud betekent. (goed getrained expert).

Wordt daar van afgeweken, daar is immers voor getekend, moet en kun je je van zo'n medewerker ontdoen.

Veel van de daarvoor opgeleiden kunnen toch maar beter hele goede gamers blijven.

luntrus

Fiscale bewaarplicht. Een ondernemer moet alle facturen én de bijbehorende adresgegevens 7 jaar bewaren. Dat geldt ook voor wat jij koopt bij een webwinkel.

Dat is overigens geen verplichting om het in het webwinkelsysteem zelf te bewaren, dat mag rustig offline. De meeste exploitanten van webwinkels zullen echter geen IT'ers zijn maar niet veel verder komen dan dat de totaaloplossing die ze hebben aangeschaft werkt zoals die werkt.

Dat klopt, maar bij het bewaren van ordergegevens hoop je dat ze dat niet in een database achter de website bewaren. Als je een account moet aanmaken, dan is dat wel zo. Daarmee zijn deze gegevens kwetsbaarder voor eventuele hacks. Een groter gevaar is echter dat mensen hun account met een slecht (hergebruikt) wachtwoord instellen en vervolgens vergeten dat ze het account hadden. Na een paar jaar kunnen hackers het account binnenkomen omdat dat (hergebruikte) wachtwoord ergens op straat beland of simpel te kraken is en dan liggen je gegevens op straat en kan er misbruik van gemaakt worden. Je zou hopen dat webshops die accounts na inactiviteit van een aantal maanden vanzelf sluiten, maar dat betwijfel ik in de meeste gevallen.

Naar aanleiding van spam ontvangen op een uniek e-mailadres (ik gebruik per webwinkel een uniek gegenereerde alias) ben ik gaan kijken aan welk bedrijf ik dat adres had uitgegeven: Allekabels.nl.

Interessant is dat ik geen e-mail van Allekabels heb gehad over een lek. Mijn vermoeden is dus dat de genoemde 5k gebruikers een onderschatting is en dat het om meer klanten gaat, die niet zijn geïnformeerd. Het informeren is verplicht. Het lijkt me zinvol dat Allekabels.nl al haar klanten gaat informeren.

De eerste spammail (phishing, SNS bank) heb ik afgelopen zaterdag ontvangen.

Bij mij is exact hetzelfde overkomen. Phishing mail gehad van SNS, gekeken voor welke webshop ik dit e-mailadres heb gebruikt en even gebeld want ik heb geen mail gehad over dit lek. Mij werd verteld dat de eigenaar persoonlijk iedereen zal bellen die naar aanleiding hiervan gebeld had. Ik ben benieuwd.