Origineel gepost door gast30871

Het is 10 jaar, 3 weken en 1 dag geleden dat ik voor het laatst inlogde op Sitedeals. Het is:

- een schande dat mijn gegevens hier nog stonden zonder dat er in die 10 jaar ooit conta r is gezocht mbt de bewaring daarvan
- een nog grotere schande dat de wachten na al die tijd nog steeds onversleuteld in de database stonden.
- te zielig voor woorden dat ik na 10 jaar nog steeds kan inloggen met hetzelfde wachtwoord.

Job, je moet je kapot schamen.

Ik vroeg me al af waarom ik de laatste tijd zo veel mislukte inlogpogingen op mn gmail had en waarom er ineens allerlei phishing pogingen binnenkwamen op een email adres dat nooit gebruikt wordt. Tot mijn verbazing zie ik nu dat dat mail adres hier in mn priveberichtje stond.

Hoe heb je het in je hoofd gehaald om niet PER DIRECT alle wachtwoorden te resetten.
Je hebt fout op fout gemaakt en blijft maar door gaan. Ik ben hier dan wellicht 10 jaar niet geweest, maar je gebruikt nog exact dezelfde software en hebt het platform simpelweg om zeep geholpen.

Knuddels.de had een voorbeeld moeten zijn, de dag erna had jij alles hier op de schop moeten gooien.

Dus:
Wanneer is de data buit gemaakt
Wanneer ben je hier achter gekomen
Wanneer heb je de melding bij de Autoriteit Persoonsgegevens gemaakt
Wat had je vooraf gedaan om dit te voorkomen
Wat heb je direct gedaan om het in de toekomst te voorkomen

Ik hoop dat je een voorbeeldfunctie krijgt qua boete.

Wat een gelul. Een schande dat hij niet contact op heeft gezocht terwijl je zelf hier ooit een account hebt aangemaakt? Dat is toch je eigen probleem? Wachtwoorden waren gewoon versleuteld.

KLM, SONY, Lastpass, GGD, Allekabels en zelfs het ministerie van justitie en veiligheid.... allemaal datalekken gehad. Ja bij oudere sites is het makkelijker dan nieuwere maar als ze echt willen lukt een hacker het wel hoor.

De beveiliging op sitedeals is sowieso niet goed. Veel missende best practices. Bijv. op de sessie cookies geen httponly of secure flag.
Tevens geen CSP-headers.

Bij een XSS kwetsbaarheid betekent dit bovenstaande simpelweg dat via JS je cookies kunnen worden buitgemaakt met als gevolg een account takeover.
Maar zo is er wel meer mis hier.

Wellicht handig de boel een keer te laten pentesten.

Origineel gepost door Karel Zino

Wat een gelul. Een schande dat hij niet contact op heeft gezocht terwijl je zelf hier ooit een account hebt aangemaakt? Dat is toch je eigen probleem? Wachtwoorden waren gewoon versleuteld.

KLM, SONY, Lastpass, GGD, Allekabels en zelfs het ministerie van justitie en veiligheid.... allemaal datalekken gehad. Ja bij oudere sites is het makkelijker dan nieuwere maar als ze echt willen lukt een hacker het wel hoor.

Volgensmij mis je het hele punt hier. Dit zijn partijeen waar keihard een groep hackers op gaat zitten om gegevens te jatten omdat ze waardevol zijn. Dit kost veel werk en capaciteit omdat het grotere partijen zijn die vaak wel investeren in veiligheid.

Wanneer jij op een 11 jaar oud softwarepakket draait dat verbonden is aan het internet en geen update doorvoert is dat pure nalatigheid.

Daarnaast, wat Jeffrey aangeeft worden wetten gewoon niet nageleefd. Een dergelijk oud account had een mail moeten krijgen met de vraag of het account actief moet blijven, wanneer hier niet op gereageerd wordt dient het account verwijderd te worden. Iets met de AVG...

Daarnaast slaat het nergens op om een website dat een datalek heeft doorgemaakt vervolgens plaintext wachtwoorden te laten uitsturen. Dat is echt enorm dom.

*****

Ik heb zojuist overal mijn wachtwoord gewijzigd, je weet maar nooit...

Waarom heeft Sitedeals mijn Geboortedatum?
Hier lijkt sinds de invoering van de AVG geen grondslag voor te zijn.

Intriest we zelfs al niet meer kunnen veronderstellen dat iemand aan het roer van dergelijk platform weet hoe die z'n gebruikers moet bereiken.

Om nog maar te zwijgen over het gebruik van software die dus kennelijk al jaren EOL is en een php versie vereist die ook al even mee in dat bootje zit.
Il faut le faire...

Selchte zaak dit ik wil ook graag meer info over wanneer, hoe groot het lek is. Hebben ze nu wel of niet het ww

per omgaande een link dat ik alle gegevens van mij uit uw systemen kan verwijderen. jammer, maar helaas

In een woord.. Drama

Maar wel te verwachten toch? Door gebrek aan een ander platform blijft iedereen hier zitten, ondanks dat het slecht en oud is. Hopelijk wordt de eigenaar nu wakker, ipv laten doodbloeden zoals de afgelopen jaren.

Origineel gepost door gast46293

Job,hoe kan ik mijn profiel verwijderen?

Via het contactformulier een bericht sturen.

Ik ben benieuwd of Job, als dan niet publiekelijk, kan vertellen of dit een zero-day lek is?
Ik zit op nog een ander forum die op vBulletin 4.2.5 draait, en ik ben benieuwd of die ook vatbaar is.

Heb 2 mails gehad over de datalek. Wist niet eens dat ik hier een account had. Gezocht in mn mail en kwam wat tegen van 2007 en 2008... was een ww die hier is gegenereerd dus uiteindelijk niks om me zorgen te maken.

Het lijkt hier wel een klaagmuur. Mijn wachtwoord hier is uniek, alleen een digibeet gebruikt hetzelfde wachtwoord op verschillende websites.

Al sinds ik lid ben heeft men het van tijd tot tijd over een alternatief voor SD. Dat is er in Nederland niet, ik heb zeker 6 mensen een alternatief zien opzetten en opgeven. Veel werk als het loopt, het duurt erg lang voordat er een redelijke gemeenschap is opgericht, en dat is waar iedereen vastloopt. Tot er een beter alternatief is, blijf ik dankbaar gebruik maken van SD.

Dit forum oogt niet anno 2023, en de forum software is dat ook niet. De beheerder, Job, gaf aan dat hij bewust voor versie 4 kiest, omdat versie 5 volgens hem onveiliger is dan de huidige versie 4. Als 6 uitkomt wilt hij wel updaten.

Ik denk dat veel mensen niet beseffen hoe moeilijk het is om een website te beveiligen, er komen zo ontzettend veel zaken bij kijken, en er worden constant nieuwe beveiligingslekken gevonden.

Deze website trekt mensen die in bijna alle ICT sectoren werken. De één wordt kwaad en heeft de kennis van een digibete scriptkiddie, een ander heeft het kennisniveau om ongezien van alles uit te halen. Het was gewoon wachten tot iemand een keer zou slagen.

Ik moest vandaag een uniek wachtwoord veranderen. Héél misschien kom ik op de mailinglijst van een malafide internetmarketing bedrijf, die wat spam zooi sturen. Mijn leven, vrouw, kinderen, bedrijf, vrienden, geld, auto's, huis in het Gooi en Wassenaar ben ik ook niet kwijt. Want dat heb ik allemaal toch niet. Er is al zoveel ellende en gezeik, lokaal, landelijk, globaal, laten we hier nou niet eindeloos gaan klagen over iets dat is voorgevallen en waar niemand wat aan heeft. Klaag niet over het probleem, probeer bij te dragen aan een oplossing. Technisch advies in dit topic zou fantastisch zijn.

Wat een onzin. Als je een site hebt met redelijk veel bezoekers, dan heb je een bepaalde verantwoordelijkheid. Dan kun je niet met oude meuk draaien, punt.