Easypark meldt diefstal van wachtwoordhashes bij cyberaanval vorig jaar
Bij de cyberaanval op Easypark vorig jaar zijn ook wachtwoordhashes van klanten gestolen, zo heeft het bedrijf laten weten. Hoeveel klanten zijn getroffen en hoe de aanval kon plaatsvinden is nog altijd niet bekendgemaakt. Eerder werd al bekend dat de aanvallers naam, telefoonnummer, adresgegevens, e-mailadres en 'enkele cijfers' van het IBAN- of creditcardnummer hadden buitgemaakt.
Nu meldt het bedrijf in een update over het incident dat het ook om wachtwoordhashes gaat. "Onze analyse bevestigt dat gehashte versies van wachtwoorden ook deel uitmaakten van het datalek. We nemen contact op met getroffen klanten omdat we om onze klanten geven en omdat we transparant willen zijn", aldus de update. Easypark besloot afgelopen december na ontdekking van het datalek al de wachtwoorden van getroffen klanten te resetten.
"Hoewel de wachtwoorden zijn gehasht en gereset, raden we getroffen klanten aan om hun wachtwoord op andere online platformen te wijzigen mochten zij daar hetzelfde wachtwoord hebben gebruikt. Een andere manier om wachtwoorden veilig en uniek te houden is door middel van een wachtwoordmanager", zo laat Easypark verder weten. Het bedrijf zegt er alles aan te doen om het vertrouwen van klanten terug te winnen en betreurt het ongemak dat mogelijk is veroorzaakt.
Als je het EasyPark wachtwoordn iet hebt veranderd, zou een hacker kunnen inloggen op dat account, kenteken veranderen, en parkeren op kosten van jou.
Lijkt me overigens niet heel handig, met je kenteken geef je ook je identiteit als hacker prijs...
Als je Easypark gebruikt: gebruik daar een nieuw wachtwoord (ga vooral niet het oude wachtwoord als "nieuw" invoeren). Als je het oude wachtwoord ook op andere plaatsen hebt gebruikt, verander het dan daar ook, en gebruik dan overal een ander wachtwoord. Een wachtwoordmanager (zoals KeePass of KeePassXC) maakt dat makkelijk.
Als je deze ellende meemaakt of meegemaakt, dat ga je toch niet meer deze club in zee, lijkt mij, ze geven niks om je privacy.
Word het het tijd dat deze manier van parkeren op kenteken, digitaal etc een grondig tegen het licht gehouden word.
Om privacy van de gebruiker op de eerste plaats te zetten.
Via een z.g. Rainbow tables aanval kun je deze eenvoudige wachtwoorden zeker achterhalen.
Wijsheid is het overigens om je wachtwoord meteen te veranderen en een moeilijk te raden wachtwoord te gebruiken.
Hieronder kan je het testen zonder het wachtwoord zelf prijs te moeten geven aan de website.
https://veiliginternetten.nl/wachtwoordkraak-test/
Ik heb het volgende al geconstateerd:
* adres gegevens gereset naar een 2-3 jaar oud adres (per 1 november en de overgang naar een ander facturatie systeem)
* factuur van een eerere maand inclusief bijbehorende parkeer gegevens zijn gewoon verdwenen uit de app
* van iemand anders begreep ik dat hele lijsten met kentekens (ze gebruiken meerdere huur busjes) zijn verdwenen
Er is hier heel veel meer aan de hand en van veel eerder dan begin december vorig jaar.
Mijn vermoeden: ransomware. Data is deels echt weg.
En dat oude adres, dat kan niet anders dan een oude backup zijn. Wel behoorlijk oud ook, zeker 2-3 jaar (afhankelijk van wanneer wij het hebben aangepast).
Oh ja, zakelijke klantne zijn blijkbaar niet interessant. Die horen helemaal niets over dit datalek, behalve in de media en een melding in de app begin december.
Waarschijnlijk vergeten ze dat voor bedrijven het ook om persoonsgegevens kan gaan, zeker als een bedrijf een eemanszaak, VoF of CV of maatschap betreft.
Los nog van het feit dat easypark in december het parkeerbedrag dubbel van mijn bankrekening had afgeschreven of dat ze ineens sms berichten naar mij gingen sturen á 25 cent per stuk.
Deze ochtend dus een poging gedaan om mijn account af te sluiten bij dit bedrijf maar ook dat is een crime.Via de app kun je alleen maar je account "sluiten". De gegevens blijven dan actief online staan en zijn ook bij een volgend datalek dus ook beschikbaar voor de tegenpartij. Je moet echt contact opnemen met Easypark, daar krijg je een link naar een formulier en als je daar (na het opgeven van nog meer PII data, what could possibly go wrong here) zullen ze overwegen om mijn data te verwijderen.
Gelukkig ios de service van dit bedrijf niet uniek en zijn er meerdere partijen die deze service aanbieden. Ik kan aanraden om over te stappen naar een andere aanbieder.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
