Eneco datalek
Het lek is in het Mijn Eneco gebied geweest en is veroorzaakt doordat particulieren en ook klein zakelijke klanten nog steeds hetzelfde password voor alles gebruikt.
Bron: https://www.security.nl/p...hergebruikte+wachtwoorden
Waarom? Waarom gebruiken mensen nog steeds anno 2021 dezelfde passworden terwijl er genoeg goede password managers zijn? Luiheid? Gebrek aan interesse? Ver van mijn bed show? Welke in eens heeeel dicht bij gekomen is...
27-01 Waar op te stemmen. (?)
08-12 Oblivious DNS over HTTPS.
Reacties
Jep. Jep. Jep.Luiheid? Gebrek aan interesse? Ver van mijn bed show?
De hoeveelheid mensen die ik spreek die 't absolute en totale worst zal zijn als hun account op straat komt te liggen is ongelofelijk hoog. "Dan maak ik wel een nieuw account aan". Sommige mensen switchen van account alsof ze een rol pleepapier wisselen. En zo gaan ze ook met hun gegevens om.
Wat is daar het probleem precies mee?RobIII schreef op dinsdag 12 januari 2021 @ 11:17:
[...]
"Dan maak ik wel een nieuw account aan". Sommige mensen switchen van account alsof ze een rol pleepapier wisselen.
Je moet tegenwoordig voor zowat alles een account maken, ik kan me goed voorstellen dat die accounts voor het gros van de websites weinig meerwaarde voor de gebruiker bieden en dus eenvoudig inwisselbaar zijn.
Door bij andere websites in te loggen met dat wachtwoord ?
Zeer onwaarschijnlijk en is eerder een aanname.
Bovendien dubieus te noemen als Eneco het wachtwoord weet van de gebruikers, geen hashing gebruikt ?
Eneco heeft een datalek en probeert verantwoordelijkheid af te schuiven op de gebruikers.
[Reactie gewijzigd op dinsdag 12 januari 2021 12:53]
Daar heb je controlepunten voor zoals haveibeenpwned, om er maar een te noemen.GoT schreef op dinsdag 12 januari 2021 @ 12:38:
Hoe weet Eneco dat het wachtwoord ook bij andere websites wordt gebruikt ?
Door bij andere websites in te loggen met dat wachtwoord ?
Zeer onwaarschijnlijk en is eerder een aanname.
Bovendien dubieus te noemen als Eneco het wachtwoord weet van de gebruikers, geen hashing gebruikt ?
Eneco heeft een datalek en probeert verantwoordelijkheid af te schuiven op de gebruikers.
Dat je dat niet één keer maar méérdere keren je gegevens achter laat? Dat zo'n toko gehacked wordt is natuurlijk nog tot daar-en-toe en praat ik niet goed. Maar je verbetert de situatie niet door je hele hebben en houwen in een account te zetten (wat dat zijn dezelfde mensen - die vullen elk veldje, verplicht of niet, netjes en braaf in) om vervolgens volgende maand een nieuw account te maken omdat ze hun wachtwoord vergeten zijn. En de maand erop weer

Het lijkt mij zeer sterk dat Eneco emailadressen van klanten op websites gaat posten, waarvan de herkomst onbekend is en ook wat die website met het emailadres gaat doen.sfranken schreef op dinsdag 12 januari 2021 @ 15:10:
[...]
Daar heb je controlepunten voor zoals haveibeenpwned, om er maar een te noemen.
Dan mag Eneco dat ook gaan uitleggen.
Omdat de ontwikkelaars die het inlogscherm van Mijn Eneco hebben gebouwd verschrikkelijk tegendraads zijn, en je eerst je e-mailadres moet invoeren, op Enter moet drukken, moet wachten op de redirect en daarna pas je wachtwoord kunt invullen.Waarom? Waarom gebruiken mensen nog steeds anno 2021 dezelfde passworden terwijl er genoeg goede password managers zijn?
Zulke authenticatieflows slopen de gemiddelde wachtwoordbeheertool, dus gaan mensen weer met hun standaardwachtwoord inloggen.
Of je doet even wat meer onderzoek. HaveIBeenPwned is van een welbekende security researcher, Troy Hunt. Als die de op zijn site geposte e-mailadressen zou doorverkopen of anderszins misbruiken, kan hij zijn carrière vaarwel zeggen.GoT schreef op dinsdag 12 januari 2021 @ 20:51:
[...]
Het lijkt mij zeer sterk dat Eneco emailadressen van klanten op websites gaat posten, waarvan de herkomst onbekend is en ook wat die website met het emailadres gaat doen.
Dan mag Eneco dat ook gaan uitleggen.
Daarnaast kun je de database met gelekte e-mailadressen en wachtwoordhashes ook downloaden en offline vergelijken.
Eneco heeft dus ontdekt dat er kwaadwillenden bepaalde accounts zijn binnengedrongen (bijvoorbeeld door vreemde wijzigingen binnen accounts, of logins vanaf afwijkende IP-adressen), en de bijbehorende accounts tegen de database aangehouden (online dan wel offline). Hieruit is geconcludeerd dat de betreffende klanten e-mailadressen en wachtwoorden hergebruiken.
[Reactie gewijzigd op dinsdag 12 januari 2021 22:27]
Eigenlijk geen idee waarom zij niet aan de wachtwoordmanager willen. Misschien omdat ze bang zijn voor nieuwe dingen... Lastpass heeft oprecht mijn leven makkelijker gemaakt. Nooit meer overal 100.000 verschillende bestanden (keepass) en overal benaderbaar. Maar ja, 2FA is ook alleen maar lastig... Mijn wachtwoorden weet ik niet meer...
[Reactie gewijzigd op woensdag 13 januari 2021 01:45]
Waar op de website kan je het downloaden ?CodeCaster schreef op dinsdag 12 januari 2021 @ 22:19:
[...]
Daarnaast kun je de database met gelekte e-mailadressen en wachtwoordhashes ook downloaden en offline vergelijken.
Zo heeft iedereen lekker makkelijk een lijst met emailadressen.
Geef duidelijk aan WAAR je het kan downloaden.
ipv met koffie kan, thee kan, alles kan aan te komen
[Reactie gewijzigd op woensdag 13 januari 2021 07:56]
Daar heb je natuurlijk niets aan, dat ik Kees1234 als wachtwoord gebruik en mijn buurman ook, nergens zal jij ooit vinden wat de daaraan gekoppelde email is, of uberhaubt welke email/wachtwoord combinatie daar bekend was.sfranken schreef op dinsdag 12 januari 2021 @ 15:10:
[...]
Daar heb je controlepunten voor zoals haveibeenpwned, om er maar een te noemen.
[Reactie gewijzigd op woensdag 13 januari 2021 08:05]
Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.Skywalker27 schreef op woensdag 13 januari 2021 @ 08:05:
Eneco heeft dus niet echt last van een datalek maar van ongeoorloofde toegang door hergebruikte gelekte passwords. Dit komt dagelijks voor maar omdat ze nu een target zijn en dus de schaal nu veel groter is, is er een melding gedaan. Het vervelende is ze kunnen dit eigenlijk alleen maar oplossen door MFA te implementeren.
Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.
Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).
Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Dat een email adres in de HIBP database staat wil niet zeggen dat het password wat in dezelfde database staat, identiek is. De persoon van wie het email adres is kan het password allang hebben veranderd.Tukkertje-RaH schreef op woensdag 13 januari 2021 @ 09:18:
[...]
Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.
Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.
Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).
Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Even offtopic reageren: ook wel meer dan eens tegengekomen. Zette me zojuist aan het denken. Blijkbaar met Keepass kan je wel een delay aangeven, bijv. 10 seconden oid. Je kunt ook Tab of Enters aangeven in de auto-typen regel, mocht dat nodig zijn. Best handig, wellicht dat het ook kan bij andere PW-managers(?). Heb het even getest, werkt goed. Het is wel een beetje waardeloos dat het niet default kan werken.CodeCaster schreef op dinsdag 12 januari 2021 @ 22:14:
[...]
Omdat de ontwikkelaars die het inlogscherm van Mijn Eneco hebben gebouwd verschrikkelijk tegendraads zijn, en je eerst je e-mailadres moet invoeren, op Enter moet drukken, moet wachten op de redirect en daarna pas je wachtwoord kunt invullen.
Zulke authenticatieflows slopen de gemiddelde wachtwoordbeheertool, dus gaan mensen weer met hun standaardwachtwoord inloggen.
Microsoft en Google logins zijn echter niet veel anders, geen delay maar een enter kwestie. Blijkbaar zijn dergelijke organisaties nog gericht op gemakzucht van de klant, zoals het onthouden van het mailadres of het selecteerbaar maken van een username/mailadres, zodat je dergelijke gegevens niet meer hoeft te typen. Ik blijf dat waardeloos vinden vanuit het gebruik met PW-managers en snap de gedachtegang van die bedrijven dan ook niet. Het risico bestaat idd vanwege de omslachtigheid dat iemand dan weer vlucht in makkelijke meervoudig gebruikte wachtwoorden.
Excuses, niet de e-mailadressen, enkel de wachtwoordhashes.GoT schreef op woensdag 13 januari 2021 @ 07:52:
[...]
Waar op de website kan je het downloaden ?
Zo heeft iedereen lekker makkelijk een lijst met emailadressen.
Geef duidelijk aan WAAR je het kan downloaden.
ipv met koffie kan, thee kan, alles kan aan te komen
Groetjes,
Wim Kan.
[Reactie gewijzigd op woensdag 13 januari 2021 16:01]
Het enige probleem is dat de wachtwoorden in die notitieboekjes vaak verouderd zijn... Bovendien moet je de wachtwoorden overtypen. Zeker met goede wachtwoorden erg lastig. Ik heb gewoon liever copy/paste of zelfs automatisch aanvullen.Tukkertje-RaH schreef op woensdag 13 januari 2021 @ 09:18:
[...]
Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.
Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.
Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).
Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Wij binnen onze ISec afdeling zien password changes op grote schaal niet echt als een oplossing omdat mensen vaak te simpele aanpassingen doen die in minuten weer worden geraden, dit gebeurd gewoon geautomatiseerd.Tukkertje-RaH schreef op woensdag 13 januari 2021 @ 09:18:
[...]
Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.
Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.
Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).
Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Met een max aantal inlogpogingen is 't wel weer een extra iets om rekening mee te houden voor de misbruiker van de gegevens.Skywalker27 schreef op donderdag 14 januari 2021 @ 07:52:
[...]
Wij binnen onze ISec afdeling zien password changes op grote schaal niet echt als een oplossing omdat mensen vaak te simpele aanpassingen doen die in minuten weer worden geraden, dit gebeurd gewoon geautomatiseerd.
Bij iedere individuele maatregel zijn mitsen en maren te bedenken, de kracht zit 'm vaak in de combinatie/lagen van beveiliging.
Dit wordt geautomatiseerd omzeilt de systemen weten exact hoeveel pogingen binnen welke tijd helaas.RobTweaks schreef op zaterdag 16 januari 2021 @ 15:17:
[...]
Met een max aantal inlogpogingen is 't wel weer een extra iets om rekening mee te houden voor de misbruiker van de gegevens.
Bij iedere individuele maatregel zijn mitsen en maren te bedenken, de kracht zit 'm vaak in de combinatie/lagen van beveiliging.
In den beginnen natuurlijk niets. Maar mensen leggen helaas de link niet tussen het account (toegang) en de diensten die daarbij horen. Een bank past toch ook niet om de haverklap jou rekening nummer aan om de welbekende redenen?kamustra schreef op dinsdag 12 januari 2021 @ 12:31:
[...]
Wat is daar het probleem precies mee?
Je moet tegenwoordig voor zowat alles een account maken, ik kan me goed voorstellen dat die accounts voor het gros van de websites weinig meerwaarde voor de gebruiker bieden en dus eenvoudig inwisselbaar zijn.
Men heeft gewoon echt nog niet door, helaas, wat de impact is van het foutief gebruik van wachtwoorden etc.
Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.