Eneco datalek

Door ShellGhost op dinsdag 12 januari 2021 11:10 - Reacties (22)
Categorie: -, Views: 3.749

Eneco heeft een datalek gerapporteerd. Er zijn ongeveer 1700 accounts gecompromitteerd.
Het lek is in het Mijn Eneco gebied geweest en is veroorzaakt doordat particulieren en ook klein zakelijke klanten nog steeds hetzelfde password voor alles gebruikt.

Bron: https://www.security.nl/p...hergebruikte+wachtwoorden

Waarom? Waarom gebruiken mensen nog steeds anno 2021 dezelfde passworden terwijl er genoeg goede password managers zijn? Luiheid? Gebrek aan interesse? Ver van mijn bed show? Welke in eens heeeel dicht bij gekomen is...

Volgende: Waar op te stemmen. (?) 27-01 Waar op te stemmen. (?)
Volgende: Oblivious DNS over HTTPS. 12-'20 Oblivious DNS over HTTPS.

Reacties


Door Tweakers user RobIII, dinsdag 12 januari 2021 11:17

Luiheid? Gebrek aan interesse? Ver van mijn bed show?
Jep. Jep. Jep.

De hoeveelheid mensen die ik spreek die 't absolute en totale worst zal zijn als hun account op straat komt te liggen is ongelofelijk hoog. "Dan maak ik wel een nieuw account aan". Sommige mensen switchen van account alsof ze een rol pleepapier wisselen. En zo gaan ze ook met hun gegevens om.

Door Tweakers user kamustra, dinsdag 12 januari 2021 12:31

RobIII schreef op dinsdag 12 januari 2021 @ 11:17:
[...]
"Dan maak ik wel een nieuw account aan". Sommige mensen switchen van account alsof ze een rol pleepapier wisselen.
Wat is daar het probleem precies mee?
Je moet tegenwoordig voor zowat alles een account maken, ik kan me goed voorstellen dat die accounts voor het gros van de websites weinig meerwaarde voor de gebruiker bieden en dus eenvoudig inwisselbaar zijn.

Door Tweakers user GoT, dinsdag 12 januari 2021 12:38

Hoe weet Eneco dat het wachtwoord ook bij andere websites wordt gebruikt ?
Door bij andere websites in te loggen met dat wachtwoord ?
Zeer onwaarschijnlijk en is eerder een aanname.
Bovendien dubieus te noemen als Eneco het wachtwoord weet van de gebruikers, geen hashing gebruikt ?

Eneco heeft een datalek en probeert verantwoordelijkheid af te schuiven op de gebruikers.

[Reactie gewijzigd op dinsdag 12 januari 2021 12:53]


Door Tweakers user himlims_, dinsdag 12 januari 2021 15:09

weet dat de toon api (toen die functioneel was) via plaintext het internet op ging ... (was ~1-2jr geleden)

Door Tweakers user sfranken, dinsdag 12 januari 2021 15:10

GoT schreef op dinsdag 12 januari 2021 @ 12:38:
Hoe weet Eneco dat het wachtwoord ook bij andere websites wordt gebruikt ?
Door bij andere websites in te loggen met dat wachtwoord ?
Zeer onwaarschijnlijk en is eerder een aanname.
Bovendien dubieus te noemen als Eneco het wachtwoord weet van de gebruikers, geen hashing gebruikt ?

Eneco heeft een datalek en probeert verantwoordelijkheid af te schuiven op de gebruikers.
Daar heb je controlepunten voor zoals haveibeenpwned, om er maar een te noemen.

Door Tweakers user RobIII, dinsdag 12 januari 2021 15:20

kamustra schreef op dinsdag 12 januari 2021 @ 12:31:
[...]

Wat is daar het probleem precies mee?
Dat je dat niet één keer maar méérdere keren je gegevens achter laat? Dat zo'n toko gehacked wordt is natuurlijk nog tot daar-en-toe en praat ik niet goed. Maar je verbetert de situatie niet door je hele hebben en houwen in een account te zetten (wat dat zijn dezelfde mensen - die vullen elk veldje, verplicht of niet, netjes en braaf in) om vervolgens volgende maand een nieuw account te maken omdat ze hun wachtwoord vergeten zijn. En de maand erop weer 8)7

Door Tweakers user GoT, dinsdag 12 januari 2021 20:51

sfranken schreef op dinsdag 12 januari 2021 @ 15:10:
[...]
Daar heb je controlepunten voor zoals haveibeenpwned, om er maar een te noemen.
Het lijkt mij zeer sterk dat Eneco emailadressen van klanten op websites gaat posten, waarvan de herkomst onbekend is en ook wat die website met het emailadres gaat doen.
Dan mag Eneco dat ook gaan uitleggen.

Door Tweakers user CodeCaster, dinsdag 12 januari 2021 22:14

Waarom? Waarom gebruiken mensen nog steeds anno 2021 dezelfde passworden terwijl er genoeg goede password managers zijn?
Omdat de ontwikkelaars die het inlogscherm van Mijn Eneco hebben gebouwd verschrikkelijk tegendraads zijn, en je eerst je e-mailadres moet invoeren, op Enter moet drukken, moet wachten op de redirect en daarna pas je wachtwoord kunt invullen.

Zulke authenticatieflows slopen de gemiddelde wachtwoordbeheertool, dus gaan mensen weer met hun standaardwachtwoord inloggen.

Door Tweakers user CodeCaster, dinsdag 12 januari 2021 22:19

GoT schreef op dinsdag 12 januari 2021 @ 20:51:
[...]

Het lijkt mij zeer sterk dat Eneco emailadressen van klanten op websites gaat posten, waarvan de herkomst onbekend is en ook wat die website met het emailadres gaat doen.
Dan mag Eneco dat ook gaan uitleggen.
Of je doet even wat meer onderzoek. HaveIBeenPwned is van een welbekende security researcher, Troy Hunt. Als die de op zijn site geposte e-mailadressen zou doorverkopen of anderszins misbruiken, kan hij zijn carrière vaarwel zeggen.

Daarnaast kun je de database met gelekte e-mailadressen en wachtwoordhashes ook downloaden en offline vergelijken.

Eneco heeft dus ontdekt dat er kwaadwillenden bepaalde accounts zijn binnengedrongen (bijvoorbeeld door vreemde wijzigingen binnen accounts, of logins vanaf afwijkende IP-adressen), en de bijbehorende accounts tegen de database aangehouden (online dan wel offline). Hieruit is geconcludeerd dat de betreffende klanten e-mailadressen en wachtwoorden hergebruiken.

[Reactie gewijzigd op dinsdag 12 januari 2021 22:27]


Door Tweakers user hoi1234, woensdag 13 januari 2021 01:44

Veel ouderen gebruiken nog oprecht een boekje. Werkt van geen kanten... Dan zit je hun shit te fixen, moeten zij een wachtwoord invoeren (nee, doe jij maar. Ik ken jou niet, maar ik heb niks te verbergen). En dan blijkt dat het wachtwoord een oud wachtwoord is. Vaak hebben ze dan nog 5 andere wachtwoorden. In plaats van dat ze alles netjes doorstrepen of voor mijn part keepass gaan gebruiken...

Eigenlijk geen idee waarom zij niet aan de wachtwoordmanager willen. Misschien omdat ze bang zijn voor nieuwe dingen... Lastpass heeft oprecht mijn leven makkelijker gemaakt. Nooit meer overal 100.000 verschillende bestanden (keepass) en overal benaderbaar. Maar ja, 2FA is ook alleen maar lastig... Mijn wachtwoorden weet ik niet meer...

[Reactie gewijzigd op woensdag 13 januari 2021 01:45]


Door Tweakers user GoT, woensdag 13 januari 2021 07:52

CodeCaster schreef op dinsdag 12 januari 2021 @ 22:19:
[...]
Daarnaast kun je de database met gelekte e-mailadressen en wachtwoordhashes ook downloaden en offline vergelijken.
Waar op de website kan je het downloaden ?
Zo heeft iedereen lekker makkelijk een lijst met emailadressen.

Geef duidelijk aan WAAR je het kan downloaden.
ipv met koffie kan, thee kan, alles kan aan te komen

[Reactie gewijzigd op woensdag 13 januari 2021 07:56]


Door Tweakers user SinergyX, woensdag 13 januari 2021 07:57

sfranken schreef op dinsdag 12 januari 2021 @ 15:10:
[...]


Daar heb je controlepunten voor zoals haveibeenpwned, om er maar een te noemen.
Daar heb je natuurlijk niets aan, dat ik Kees1234 als wachtwoord gebruik en mijn buurman ook, nergens zal jij ooit vinden wat de daaraan gekoppelde email is, of uberhaubt welke email/wachtwoord combinatie daar bekend was.

Door Tweakers user Skywalker27, woensdag 13 januari 2021 08:05

Eneco heeft dus niet echt last van een datalek maar van ongeoorloofde toegang door hergebruikte gelekte passwords. Dit komt dagelijks voor maar omdat ze nu een target zijn en dus de schaal nu veel groter is, is er een melding gedaan. Het vervelende is ze kunnen dit eigenlijk alleen maar oplossen door MFA te implementeren.

[Reactie gewijzigd op woensdag 13 januari 2021 08:05]


Door Tweakers user Tukkertje-RaH, woensdag 13 januari 2021 09:18

Skywalker27 schreef op woensdag 13 januari 2021 @ 08:05:
Eneco heeft dus niet echt last van een datalek maar van ongeoorloofde toegang door hergebruikte gelekte passwords. Dit komt dagelijks voor maar omdat ze nu een target zijn en dus de schaal nu veel groter is, is er een melding gedaan. Het vervelende is ze kunnen dit eigenlijk alleen maar oplossen door MFA te implementeren.
Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.

Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.

Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).

Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.

Door Tweakers user ShellGhost, woensdag 13 januari 2021 09:21

Tukkertje-RaH schreef op woensdag 13 januari 2021 @ 09:18:
[...]


Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.

Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.

Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).

Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Dat een email adres in de HIBP database staat wil niet zeggen dat het password wat in dezelfde database staat, identiek is. De persoon van wie het email adres is kan het password allang hebben veranderd.

Door Tweakers user Aardwolf, woensdag 13 januari 2021 12:58

CodeCaster schreef op dinsdag 12 januari 2021 @ 22:14:
[...]

Omdat de ontwikkelaars die het inlogscherm van Mijn Eneco hebben gebouwd verschrikkelijk tegendraads zijn, en je eerst je e-mailadres moet invoeren, op Enter moet drukken, moet wachten op de redirect en daarna pas je wachtwoord kunt invullen.

Zulke authenticatieflows slopen de gemiddelde wachtwoordbeheertool, dus gaan mensen weer met hun standaardwachtwoord inloggen.
Even offtopic reageren: ook wel meer dan eens tegengekomen. Zette me zojuist aan het denken. Blijkbaar met Keepass kan je wel een delay aangeven, bijv. 10 seconden oid. Je kunt ook Tab of Enters aangeven in de auto-typen regel, mocht dat nodig zijn. Best handig, wellicht dat het ook kan bij andere PW-managers(?). Heb het even getest, werkt goed. Het is wel een beetje waardeloos dat het niet default kan werken.
Microsoft en Google logins zijn echter niet veel anders, geen delay maar een enter kwestie. Blijkbaar zijn dergelijke organisaties nog gericht op gemakzucht van de klant, zoals het onthouden van het mailadres of het selecteerbaar maken van een username/mailadres, zodat je dergelijke gegevens niet meer hoeft te typen. Ik blijf dat waardeloos vinden vanuit het gebruik met PW-managers en snap de gedachtegang van die bedrijven dan ook niet. Het risico bestaat idd vanwege de omslachtigheid dat iemand dan weer vlucht in makkelijke meervoudig gebruikte wachtwoorden.

Door Tweakers user CodeCaster, woensdag 13 januari 2021 16:01

GoT schreef op woensdag 13 januari 2021 @ 07:52:
[...]

Waar op de website kan je het downloaden ?
Zo heeft iedereen lekker makkelijk een lijst met emailadressen.

Geef duidelijk aan WAAR je het kan downloaden.
ipv met koffie kan, thee kan, alles kan aan te komen
Excuses, niet de e-mailadressen, enkel de wachtwoordhashes.

Groetjes,

Wim Kan.

[Reactie gewijzigd op woensdag 13 januari 2021 16:01]


Door Tweakers user hoi1234, woensdag 13 januari 2021 20:50

Tukkertje-RaH schreef op woensdag 13 januari 2021 @ 09:18:
[...]


Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.

Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.

Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).

Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Het enige probleem is dat de wachtwoorden in die notitieboekjes vaak verouderd zijn... Bovendien moet je de wachtwoorden overtypen. Zeker met goede wachtwoorden erg lastig. Ik heb gewoon liever copy/paste of zelfs automatisch aanvullen.

Door Tweakers user Skywalker27, donderdag 14 januari 2021 07:52

Tukkertje-RaH schreef op woensdag 13 januari 2021 @ 09:18:
[...]


Jij begrijpt 't... Eneco is niet gehackt, maar de inloggegevens van Eneco klanten die bij andere data-lekken buit zijn gemaakt zijn hergebruikt om op de Mijn Eneco site in te loggen.

Eneco kan dat redelijk eenvoudig controleren door de e-mail adressen van gecompromitteerde klanten in te vullen op de Have I Been Powned site, en daar al dan niet terug te vinden of het mail adres in kwestie eerder is gelekt.

Eneco zou kunnen forceren dat alle gebruikers hun wachtwoord veranderen, of inderdaad multi-factor authenticatie aanzetten (wat vast bij veel klanten totaal niet begrepen gaat worden).

Overigens, een boekje om je wachtwoorden in op te schrijven in plaats van een fancy tool als Keepass kan prima werken. Er zijn recent weinig vulnerabilities aangetroffen in een notitieboekje en het is vanuit China/Rusland enorm lastig te hacken.
Wij binnen onze ISec afdeling zien password changes op grote schaal niet echt als een oplossing omdat mensen vaak te simpele aanpassingen doen die in minuten weer worden geraden, dit gebeurd gewoon geautomatiseerd.

Door Tweakers user RobTweaks, zaterdag 16 januari 2021 15:17

Skywalker27 schreef op donderdag 14 januari 2021 @ 07:52:
[...]


Wij binnen onze ISec afdeling zien password changes op grote schaal niet echt als een oplossing omdat mensen vaak te simpele aanpassingen doen die in minuten weer worden geraden, dit gebeurd gewoon geautomatiseerd.
Met een max aantal inlogpogingen is 't wel weer een extra iets om rekening mee te houden voor de misbruiker van de gegevens.

Bij iedere individuele maatregel zijn mitsen en maren te bedenken, de kracht zit 'm vaak in de combinatie/lagen van beveiliging.

Door Tweakers user Skywalker27, maandag 18 januari 2021 13:15

RobTweaks schreef op zaterdag 16 januari 2021 @ 15:17:
[...]


Met een max aantal inlogpogingen is 't wel weer een extra iets om rekening mee te houden voor de misbruiker van de gegevens.

Bij iedere individuele maatregel zijn mitsen en maren te bedenken, de kracht zit 'm vaak in de combinatie/lagen van beveiliging.
Dit wordt geautomatiseerd omzeilt de systemen weten exact hoeveel pogingen binnen welke tijd helaas.

Door Tweakers user Webgnome, dinsdag 19 januari 2021 08:11

kamustra schreef op dinsdag 12 januari 2021 @ 12:31:
[...]

Wat is daar het probleem precies mee?
Je moet tegenwoordig voor zowat alles een account maken, ik kan me goed voorstellen dat die accounts voor het gros van de websites weinig meerwaarde voor de gebruiker bieden en dus eenvoudig inwisselbaar zijn.
In den beginnen natuurlijk niets. Maar mensen leggen helaas de link niet tussen het account (toegang) en de diensten die daarbij horen. Een bank past toch ook niet om de haverklap jou rekening nummer aan om de welbekende redenen?

Men heeft gewoon echt nog niet door, helaas, wat de impact is van het foutief gebruik van wachtwoorden etc.

Reageren is niet meer mogelijk