gehashed waarmee ? en nog een Salt ????. Datalek melding blijft nogal beperkt over de technische details. Dat het wachtwoord op straat is komen te liggen geeft wel wat aan over de hasing/Salt. :-(.

Bij toeval kom ik op Tweakers, en zie daar dit topic vrij prominent bovenaan staan:

https://tweakers.net/nieuws/206312/gegevens-gebruikers-sitedeals-punt-nl-buitgemaakt-door-onbevoegd-persoon.html

Draait dit forum op PHP7.1.33?

Hoe kan je nou weer wachtwoorden in plain text opslaan.
Echt een peppie site ik ben hier weg laters pannekoeken.

In de email staat niet dat het emailadres is buitgemaakt, hier staat dat wel. Wat is het nou?

Origineel gepost door DaanB

Geef mij eens 1 reden om een end-of-life versie van een forum te gebruiken.
vBulletin 4.2.5 is end of life and will not be receiving any future development. Warning: vBulletin 4.2.5 is not compatible with PHP 7.2.0 or higher.
Hoeveel bugs zijn er wel niet gevonden in PHP en vbulletin in de tussentijd en de mogelijk achterliggende software. Dit is gewoon vragen om een datalek.

Migratie kost gigantisch veel tijd en testen.... Dat doe je niet zomaar ff 1-2-3.

Nja. Iedereen weet het allemaal beter hier. Breach of niet; het is niet dat ik dingen dermate belangrijk hier gestald had. Nooit een eigen WW aangemaakt.

Een jaar of 5 moet wel lukken lijkt me, toch :-)?

Ik heb twee mails hierover gekregen. Met inloggen zag ik dat mijn wachtwoord sinds 9 jaar al verlopen is...hoeveel zorgen moet ik mij nu maken?

Ik zat net te denken, stel voor dat er geen Data lek was, maar dit gewoon een actie is van Jobje om wat extra aandacht voor het forum te creeeren? Dan moet ik zeggen dat het wel gelukt is, nog nooit heb ik zoveel mensen actief gezien... Fraai staaltje guerrilla marketing Job!

Oké.. Ik mis wat informatie; Hoe is de data lek ontstaan / Waar heeft het in gezeten? Is die lek gedicht? Hoe is het ontdekt?

Origineel gepost door Job Schneider

Alle software gebruik je op eigen risico. Ik loop bewust 1 volle versie achter omdat de meeste fouten voorkomen in de nieuwe versie. Ik stop over naar 5 als versie 6 uitkomt en er geen exploit reports meer verschijnen.

Ik denk dat je hier echt de plank volkomen misslaat. Dat is zelfde zeggen voor een Webshop om Magento 1 te gebruiken tegen over Magento 2.
Als je had gezegd. Ik wil niet naar de recentste 5.7.x versie om bugs te voorkomen. Dan snap ik dat je op 5.6.x blijf.
Denkend ook aan dat sinds december 2017 4.2.5 end of life is. https://forum.vbulletin.com/forum/vb...te-end-of-life

Ik merkte sinds deze week al dat er iets was, opeens vol gespamd door limit logins attempts plugin..

Origineel gepost door Leander

Ik zat net te denken, stel voor dat er geen Data lek was, maar dit gewoon een actie is van Jobje om wat extra aandacht voor het forum te creeeren? Dan moet ik zeggen dat het wel gelukt is, nog nooit heb ik zoveel mensen actief gezien... Fraai staaltje guerrilla marketing Job!

Alle aandacht is aandacht, ook negatieve, maar... De betaalde ads zijn de afgelopen jaren alleen maar toegenomen. Er kwam al vele jaren iedere maand een leuk bedragje binnen aan betaalde ads en sinds paar jaar ook adsense, tegenover een paar euro aan kosten en bijna geen werk.

De kans dat er een hack is geweest, komt door complete verwaarlozing en geen aandacht. Oude php-versie, oude niet meer up-to-date vbulletin, etc., dat is vragen om problemen.

Denk niet dat het opzet was in de zin van een marketingtruc, het was verwacht, maar kwam ongelegen.

Origineel gepost door Dylan Peters

Ik merkte sinds deze week al dat er iets was, opeens vol gespamd door limit logins attempts plugin..

Bij je eigen Wordpress site? Dat gebeurt dagelijks op 100.000+ wordpress websites. Vraag me af in hoeverre deze hack daarmee te doen heeft...

Ik wou net posten, blijkbaar nog nooit de achterkant van een server gezien met hoeveel ruis daar dagelijks doorheen passeert. 40% van je wordpress traffic is aanvallen, zoeken naar exploits, pogingen tot brute force en wat nog meer.

Naja hoop gesalt.

Het is geen probleem als je overal een ander wachtwoord gebruikt. Maar als je overal hetzelfde wachtwoord gebruikt heb je daadwerkelijk een groot probleem nu.


Mijn suggestie aan alle leden is ook om een wachtwoordkluis te gebruiken, desnoods maak je er zelf 1.

Maar hoeft de eigenaar van de site ook op de kop kunt geven dat de software verouderd is enzovoort, je weet niet wat er af is gespeeld. Je weet de backend niet.

Of dat er intern iemand is geweest die het voor een ander heeft verpest om b.v. eigen belang.

Dus voordat we allemaal conclusies gaan trekken, zet eerst even je eigen veiligheid op 1, en controleer of je het wachtwoord ergens anders gebruikt en wijzig hem daar.

Sitedeals.nl is open en eerlijk dat er een datalek is, de meeste bedrijven zullen je niet eens op de hoogte stellen, om hun eigen belangen te behartigen.


Groet,

Tim

Hoi,

Uit de reacties van Job blijkt dat hij een verouderde software gebruikt en daar is hij zich ook bewust van.
Hij heeft zich al meerdere malen verantwoord en het is denk ik nu ook wel duidelijk hoe alles in de backend van Sitedeals.nl is.

Is het dan nog nodig om in herhaling te vallen? En hem meerdere malen de grond in te boren? Nee dat vind ik niet.

Wij of Job kunnen beter na gaan denken over oplossingen en vooruit kijken want het achteruit kijken helpt nu toch niet meer het kwaad is al geschied.

Voor de mensen die het toch beter weten als Job en hem de grond in blijven boren begin zelf een forum dat is ook een oplossing?

Ik hoop dat Job alles op een rijtje krijgt en de site up-to-date kan krijgen en dus veiliger en dat we met een schone lei verder kunnen gaan.

Groeten Ron :)