Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Pizza

02-06-2021, 19:53 door Anoniem, 27 reacties
Zojuist kreeg ik deze mail van New York Pizza.

Ik heb er maar 1 woord voor "Compliment". Transparantie! Heel goed!

Maar wat wel verwarrend wordt nu: ik kan hun eigen domein dus nu niet meer vertrouwen? Dat klinkt dan toch weer niet logisch?! Op zich is hun SPF, DKIM en DMARC wel bestaand, dus zou je juist dat mailadres toch nog wel kunnen vertrouwen?

p.s. Wel puntje als je zelf ooit deze mail moet sturen: ze spreken je niet persoonlijk aan, maar als 'geachte klant' (wat een van de tips is in https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-goede-bulkmail-lijkt-niet-op-phishingmail om juist niet te doen).

=-=-=-=-=-=-

Waarschuwing phishing poging

Geachte klant van New York Pizza,

Ondanks al onze veiligheidsmaatregelen hebben wij begin deze week helaas te maken gehad met een hack van de systemen van een van onze leveranciers, waarbij ook uw gegevens geraakt zijn. Wij leggen u graag uit wat er is gebeurd, om welke gegevens het gaat, welke maatregelen wij hebben genomen en wat u zelf kunt doen om te voorkomen dat u slachtoffer wordt van een phishing poging.

LET OP:
Druk niet op links, reageer niet op mails afkomstig van de verzender ‘noreply[@]newyorkpizza[.]nl’. Mails waarover u twijfelt: reageer er niet op!

Wat is er gebeurd?
Afgelopen zondagnacht op maandagochtend ontvingen wij enkele mails van een hacker. Deze hacker beweert dat hij een grote hoeveelheid klantgegevens heeft ontvreemd van New York Pizza, en dreigde deze gegevens te publiceren of te verkopen.

Wij hebben snel onderzoek ingesteld. Wij hebben moeten vaststellen dat waarschijnlijk ook klantgegevens zijn ontvreemd uit onze databases door de aanvaller. Wij hebben het incident vervolgens meteen als datalek bestempeld en gemeld bij de Autoriteit Persoonsgegevens. Wij zullen tevens aangifte doen bij de politie. Daarnaast zijn wij samen met forensische experts gestart met het dichten van de kwetsbaarheid en hebben wij diverse andere maatregelen genomen ter bescherming van onze klantgegevens. Het incident heeft gelukkig geen impact op ons bestelproces. Onze filialen blijven gewoon open. U kunt dus nog gewoon uw favoriete pizza bij ons blijven bestellen.

Om welke gegevens gaat het?
Uit ons onderzoek is gebleken dat het gaat om uw naam, het bezorgadres, email adres, telefoonnummer, welke pizza's u heeft besteld, uw gecodeerde (gehashte) wachtwoord indien u een account bij ons heeft, en in een klein aantal gevallen ook om uw geboortedatum in verband met verjaardag bestellingen. In onze databases staan overigens geen bankrekeningnummers of creditcard gegevens van onze klanten. U hoeft zich daarom geen zorgen te maken dat die gegevens in verkeerde handen zijn gekomen.

Welke maatregelen hebben wij getroffen?
We zijn zo snel mogelijk gestart met het informeren van onze klanten en medewerkers. Ook hebben wij de partijen met wie wij samenwerken geïnformeerd. Daarnaast hebben wij externe specialisten ingeschakeld die het incident onderzoeken, wie achter de aanval zit, en hoe dit in de toekomst kan worden voorkomen.

Wat betekent dit incident voor u?
Doordat uw gegevens in handen zijn van de aanvaller, loopt u het risico dat de aanvaller uw gegevens publiceert of dat u het slachtoffer wordt van oplichting door middel van bijvoorbeeld een phishing mail. Het is mogelijk dat u telefonisch of per e-mail wordt benaderd. Zij kunnen dan vragen om extra gegevens of u benaderen om een betaling te doen. Ons nadrukkelijke advies is om daar niet op in te gaan en altijd alert te blijven op oplichting of identiteitsfraude. Indien u een account bij ons heeft adviseren wij u om uw wachtwoord hiervoor te wijzigen.

U kunt identiteitsfraude melden bij het Centraal Meldpunt Identiteitsfraude (CMI) van de Rijksoverheid: https:// www. rijksoverheid. nl/contact/contactgids/centraal-meld-en-informatiepunt-identiteitsfraude -en-fouten-cmi

Ook adviseren wij u altijd aangifte bij de politie te doen als u slachtoffer wordt van cybercriminaliteit.

Contact
Wij kunnen ons voorstellen dat u met vragen zit. Daarom hebben wij hier de meest gestelde vragen en antwoorden opgenomen ga daarvoor naar de website van New York Pizza: http://www.newyorkpizza.nl/datalek* (het kan even duren voordat deze pagina volledig up-to-date is). U kunt ook mailen naar (hun mailadres, even weggehaald)

Wij bieden eenieder die hier mogelijk hinder van ondervindt onze oprechte excuses aan voor het ontstane ongemak.

Met vriendelijke groeten,

Directie New York Pizza

=-=-=-=-=

*) Link zelf klikbaar gemaakt, in de mail was die niet klikbaar, heel netjes!
Reacties (27)
03-06-2021, 11:45 door Anoniem
Transparantie! Heel goed!

Dat zeiden die hackers ook!
03-06-2021, 12:04 door Anoniem
Leuk gelekte data daar kunnen de gemeente BOA's wat mee doen ipv fraude bestrijden in FB groepjes.

Bv U heeft "24 pizza's Hawaï besteld terwijl er maar X bezoekers op uw adres mogen komen?


Kwam overigens gisteravond als sales samples hier van tegen.
03-06-2021, 17:55 door Anoniem
“Transparantie. Heel goed”. Het is gewoon een wettelijke verplichting bij een datalek. Ik vind het niet meer dan normaal dat ze zich aan de wet houden.
03-06-2021, 18:27 door Anoniem
De hacker was een veelvraat en reed in een ouwe Focus en had honger?
03-06-2021, 19:59 door Anoniem
Door Anoniem: “Transparantie. Heel goed”. Het is gewoon een wettelijke verplichting bij een datalek. Ik vind het niet meer dan normaal dat ze zich aan de wet houden.

Dat is niet wat de wet zegt. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken#wanneer-levert-een-datalek-een-hoog-risico-op-7331
03-06-2021, 20:58 door [Account Verwijderd]
Door Anoniem: “Transparantie. Heel goed”. Het is gewoon een wettelijke verplichting bij een datalek. Ik vind het niet meer dan normaal dat ze zich aan de wet houden.

Natuurlijk is het gewoon en normaal.
Maar het is tegenwoordig ook 'gewoon' om nooit een compliment te geven voor iets wat wettelijk of moreel of gewoon: normaal is.

Ouders die kennis van opvoeding tonen, weten hoe belangrijk het is om een peuter een compliment te geven.
Maar:
Om een of andere mij onbegrijpelijke reden neemt het verdiende compliment als uiting van menselijke waardering onderling de laatste jaren af. Behalve totaal irrelevant. Zoals in: "Dank u wel dat u een klacht heeft." Tenenkrommend! (Bol.com)
Het moet zijn: "Het spijt ons dat u een klacht heeft". Dan toon je begrip te hebben voor een onwelgevallige situatie die een ander overkomt.
Maar ach... dat is weer een heel ander taalkundig spectrum.
04-06-2021, 10:59 door Anoniem
www.newyorkpizza.nl/datalek laadt niet.... hoax?
04-06-2021, 11:57 door Anoniem
Op zich is hun SPF, DKIM en DMARC wel bestaand, dus zou je juist dat mailadres toch nog wel kunnen vertrouwen?

Indien hij heeft ingebroken op hun netwerk ? Vanaf welke PC is de email verstuurd ? SPF, DKIM en DMARC helpen weinig, indien hij de email client van een medewerker gebruikte, en dus vanaf een legitieme host kwam.
04-06-2021, 11:58 door Anoniem
www.newyorkpizza.nl/datalek laadt wel.... nog een keer proberen?
04-06-2021, 12:20 door Anoniem
Door Anoniem: www.newyorkpizza.nl/datalek laadt niet.... hoax?

Bij mij laadt de pagina wel.

https://www.newyorkpizza.nl/datalek
04-06-2021, 12:45 door Anoniem
Door Anoniem: www.newyorkpizza.nl/datalek laadt niet.... hoax?
Gisteren laadde hij wel. Net nog eens geprobeerd en hij laadde prima. Dat iets even niet werkt hoeft niet meteen te betekenen dat het een hoax is, er kan heel makkelijk iets anders aan de hand zijn geweest.
04-06-2021, 12:57 door Anoniem
Door Anoniem:
Op zich is hun SPF, DKIM en DMARC wel bestaand, dus zou je juist dat mailadres toch nog wel kunnen vertrouwen?

Indien hij heeft ingebroken op hun netwerk ? Vanaf welke PC is de email verstuurd ? SPF, DKIM en DMARC helpen weinig, indien hij de email client van een medewerker gebruikte, en dus vanaf een legitieme host kwam.
SPF: 6 IPv4 adressen en 6 includes, met ~all (softfail)
DMARC: policy none.
Dus, zelfs als "jouw" mailserver er op controleert geen reden om de mail te weigeren ook al is hij verstuurd via een server uit Verweggistan.
04-06-2021, 13:18 door Anoniem
OP sprak over http, niet https. Maar goed, pagina bestaat dus wel.
04-06-2021, 14:12 door Anoniem
Waarom in godsnaam dit soort data opslaan? Compleet nutteloos. Hier de 'plaatselijke Turk' schrijft op de bon enkel jouw telefoonnummer en bestelling. Deze bon krijg jij netjes overhandigd aan de deur zonder dat van deze data op wat voor een manier nog een kopie bestaat, althans niet gelinkt aan jouw telefoonnummer. Dat systeem werkt prima en een (groot) datalek wordt wel heel erg lastig zo.

En door het telefonisch bestellen, in plaats van via die toko met oranje logo, houdt hij ook nog eens minimaal 13 procent extra in de zak.
04-06-2021, 16:33 door Anoniem
Eerste misbruik van data gespot.
Ik kreeg zojuist een smsje van Domino's pizza met daarin het bericht dat dit weekend 2e pizza gratis bij hen is.
Ik heb nog nooit pizza bij ze besteld, ze hebben mijn nummer niet.
Om me af te melden, moet ik hen smsen.
04-06-2021, 17:40 door Anoniem
Door Anoniem: Eerste misbruik van data gespot.
Ik kreeg zojuist een smsje van Domino's pizza met daarin het bericht dat dit weekend 2e pizza gratis bij hen is.
Ik heb nog nooit pizza bij ze besteld, ze hebben mijn nummer niet.
Om me af te melden, moet ik hen smsen.
Misschien handig even uit te leggen waarom je slachtoffer zou zijn van hun datalek als je niet bij ze ooit eten, drinken hebt gekocht.

Vandaag ook sms gehad maar die was gewoon legitiem en overeenkomend met hun huidige actie.
04-06-2021, 18:19 door Anoniem
Door Anoniem: Eerste misbruik van data gespot.
Ik kreeg zojuist een smsje van Domino's pizza met daarin het bericht dat dit weekend 2e pizza gratis bij hen is.
Ik heb nog nooit pizza bij ze besteld, ze hebben mijn nummer niet..
Maar wel bij New York Pizza begrijp ik? Daar hebben ze je info wel?
Zo niet, wat heeft dat dan met dit topic te maken? Of is het er een van het kaliber "ik nam een VPN en nou krijg ik SPAM"?
04-06-2021, 18:21 door Anoniem
Door Anoniem: Waarom in godsnaam dit soort data opslaan? Compleet nutteloos. Hier de 'plaatselijke Turk' schrijft op de bon enkel jouw telefoonnummer en bestelling. Deze bon krijg jij netjes overhandigd aan de deur zonder dat van deze data op wat voor een manier nog een kopie bestaat, althans niet gelinkt aan jouw telefoonnummer. Dat systeem werkt prima en een (groot) datalek wordt wel heel erg lastig zo.
Ja maar dat is alleen werkbaar als je bestellingen aan de telefoon opneemt.
Als je ook bestellingen via een website of zelfs app wilt aannemen dan wordt dit een stuk lastiger.
Tuurlijk het zou zo gebouwd kunnen worden dat bestellingen uit de printer rollen en verder niet worden opgeslagen, maar
dat wordt vaak toch als niet zo praktisch gezien (wat als de printer vastloopt of de inkt op is?).
04-06-2021, 18:48 door Anoniem
Door Anoniem: Waarom in godsnaam dit soort data opslaan? Compleet nutteloos. Hier de 'plaatselijke Turk' schrijft op de bon enkel jouw telefoonnummer en bestelling. Deze bon krijg jij netjes overhandigd aan de deur zonder dat van deze data op wat voor een manier nog een kopie bestaat, althans niet gelinkt aan jouw telefoonnummer. Dat systeem werkt prima en een (groot) datalek wordt wel heel erg lastig zo.

En door het telefonisch bestellen, in plaats van via die toko met oranje logo, houdt hij ook nog eens minimaal 13 procent extra in de zak.

Die toko met oranje logo is een dienst voor extra klandizie en vervangt gedeeltelijke je personeel die zich bezighoudt met aannemen van orders. Er is heust wel een business case van te maken om 13 procent in te leveren.

Sterker nog, bezorgdiensten aanbod is vergroot, omdat relatief kleine bedrijfjes niet meer op top locaties hun vestiging hoefden te hebben, maar bijvoorbeeld aan de rand van de stad.
04-06-2021, 19:23 door Anoniem
Door Anoniem:Misschien handig even uit te leggen waarom je slachtoffer zou zijn van hun datalek als je niet bij ze ooit eten, drinken hebt gekocht.
Vandaag ook sms gehad maar die was gewoon legitiem en overeenkomend met hun huidige actie.
Zal vast een legitieme actie zijn, maar:
Ik heb bij New York Pizza wel eens wat besteld: ze hebben mijn nummer.
Ik heb bij Domino's nog nooit wat besteld, ze hebben mijn gegevens niet. Ik krijg een sms van Domino's over een actie bij hen.

Door Anoniem:
Maar wel bij New York Pizza begrijp ik? Daar hebben ze je info wel?
Correct.
04-06-2021, 21:17 door botbot
Door Anoniem: “Transparantie. Heel goed”. Het is gewoon een wettelijke verplichting bij een datalek. Ik vind het niet meer dan normaal dat ze zich aan de wet houden.

Nouja de wettelijke veplichting is heel wat beperkter dan wat zij in deze mail allemaal uitleggen.
05-06-2021, 09:04 door Anoniem
Door Anoniem:
Door Anoniem:Misschien handig even uit te leggen waarom je slachtoffer zou zijn van hun datalek als je niet bij ze ooit eten, drinken hebt gekocht.
Vandaag ook sms gehad maar die was gewoon legitiem en overeenkomend met hun huidige actie.
Zal vast een legitieme actie zijn, maar:
Ik heb bij New York Pizza wel eens wat besteld: ze hebben mijn nummer.
Ik heb bij Domino's nog nooit wat besteld, ze hebben mijn gegevens niet. Ik krijg een sms van Domino's over een actie bij hen.

Door Anoniem:
Maar wel bij New York Pizza begrijp ik? Daar hebben ze je info wel?
Correct.

Interessante casus: je kun je de hele SMS eens delen?

Want als het echt domino's is, is dit natuurlijk heel bijzonder en een overtreding van wetten (kan het mij dus niet voorstellen).
Als het een crimineel is is de inhoud heel interessant. Want wat probeert hij hier voor elkaar te krijgen?!
SMSt hij vanaf een betaald nummer (bestaat dat?) en wil hij dat je dus terug smst, dan moeten telco's wellicht ingrijpen?
05-06-2021, 23:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:Misschien handig even uit te leggen waarom je slachtoffer zou zijn van hun datalek als je niet bij ze ooit eten, drinken hebt gekocht.
Vandaag ook sms gehad maar die was gewoon legitiem en overeenkomend met hun huidige actie.
Zal vast een legitieme actie zijn, maar:
Ik heb bij New York Pizza wel eens wat besteld: ze hebben mijn nummer.
Ik heb bij Domino's nog nooit wat besteld, ze hebben mijn gegevens niet. Ik krijg een sms van Domino's over een actie bij hen.

Door Anoniem:
Maar wel bij New York Pizza begrijp ik? Daar hebben ze je info wel?
Correct.

Interessante casus: je kun je de hele SMS eens delen?

Want als het echt domino's is, is dit natuurlijk heel bijzonder en een overtreding van wetten (kan het mij dus niet voorstellen).
Als het een crimineel is is de inhoud heel interessant. Want wat probeert hij hier voor elkaar te krijgen?!
SMSt hij vanaf een betaald nummer (bestaat dat?) en wil hij dat je dus terug smst, dan moeten telco's wellicht ingrijpen?
Inhoud van SMS:
Dit hele weekend krijg je gratis pizza! 2e Pizza gratis bij afhalen of 3e Pizza gratis bij bezorgen! Alleen bij Domino's! Afmelden? Sms "DOMINOS STOP" naar 4004
06-06-2021, 16:30 door Anoniem
Inmiddels lees je online veel klachten over die smsjes van dominos.

https://tweakers.net/nieuws/59372/pizzabakkers-spammen-klanten-per-sms.html

In het verleden blijkbaar ooit al eens beboet.

Dien je de klacht in bij spamklacht.nl?
Dit wil je gewoon niet.
06-06-2021, 22:00 door Anoniem
Door Anoniem:
[...] Maar wat wel verwarrend wordt nu: ik kan hun eigen domein dus nu niet meer vertrouwen? Dat klinkt dan toch weer niet logisch?! Op zich is hun SPF, DKIM en DMARC wel bestaand, dus zou je juist dat mailadres toch nog wel kunnen vertrouwen? [...]
=-=-=-=-=-=-

Waarschuwing phishing poging

Geachte klant van New York Pizza,

[...]

LET OP:
Druk niet op links, reageer niet op mails afkomstig van de verzender ‘noreply[@]newyorkpizza[.]nl’. Mails waarover u twijfelt: reageer er niet op!

[...]

Met vriendelijke groeten,

Directie New York Pizza

Beste OP, ik denk dat New York Pizza met bovenstaande zin bedoelt dat men sowieso niet op e-mails van noreply@newyorkpizza moet reageren. De naam zegt het eigenlijk al, zelfs al zou het een legitieme mail van de pizzaboer zijn, dan krijg je als klant alsnog geen antwoord op je vraag of klacht omdat noreply-adressen niet worden gelezen. Het staat er een beetje ongelukkig geformuleerd waardoor je de indruk zou kunnen krijgen dat je noreply@newyorkpizza als spam moet markeren, maar dat lijkt mij dus niet hun bedoeling. ;)
07-06-2021, 07:46 door Anoniem
Door Anoniem: Inmiddels lees je online veel klachten over die smsjes van dominos.

https://tweakers.net/nieuws/59372/pizzabakkers-spammen-klanten-per-sms.html

In het verleden blijkbaar ooit al eens beboet.

Dien je de klacht in bij spamklacht.nl?
Dit wil je gewoon niet.
Inmiddels gedaan via spamklacht van de ACM. Goede tip, dank.
07-06-2021, 09:16 door Anoniem
Door Anoniem:
Door Anoniem:
[...] Maar wat wel verwarrend wordt nu: ik kan hun eigen domein dus nu niet meer vertrouwen? Dat klinkt dan toch weer niet logisch?! Op zich is hun SPF, DKIM en DMARC wel bestaand, dus zou je juist dat mailadres toch nog wel kunnen vertrouwen? [...]
=-=-=-=-=-=-

Waarschuwing phishing poging

Geachte klant van New York Pizza,

[...]

LET OP:
Druk niet op links, reageer niet op mails afkomstig van de verzender ‘noreply[@]newyorkpizza[.]nl’. Mails waarover u twijfelt: reageer er niet op!

[...]

Met vriendelijke groeten,

Directie New York Pizza

Beste OP, ik denk dat New York Pizza met bovenstaande zin bedoelt dat men sowieso niet op e-mails van noreply@newyorkpizza moet reageren. De naam zegt het eigenlijk al, zelfs al zou het een legitieme mail van de pizzaboer zijn, dan krijg je als klant alsnog geen antwoord op je vraag of klacht omdat noreply-adressen niet worden gelezen. Het staat er een beetje ongelukkig geformuleerd waardoor je de indruk zou kunnen krijgen dat je noreply@newyorkpizza als spam moet markeren, maar dat lijkt mij dus niet hun bedoeling. ;)

Scherp! Dat zou best wel eens de verklaring kunnen zijn! Alleen terugmailen als je dus eigenlijk al met hun klantenservice mailt (initiatief bij mij), maar niet op mailtjes die zij (of iemand anders) random zenden. Eigenlijk best goede tip, maar inderdaad iets minder handig geformuleerd.
Dank!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.