Feedback op het Forum - deel 4

[ClaimConcept]

Vind het ook wel wat raar, dat een topic met een onderzoek klakkeloos word gesloten, maar van die rare topics wel blijven staan. Maar goed.
(...)

Goed 1e punt. Best jammer eigenlijk, dat na deze zinvolle bijdrage een 2e volzin volgt over een ander topic vol onzin van een (vermoedelijk oudgediende) nieuwkomer, waar hier weer inhoudelijk gereageerd wordt. Wie de schoen past...

[Moneyman]

En met het gebruik van het eveneens juist voor dit soort gebruik bedoelde Google Forms is op zichzelf natuurlijk ook niets mis.

Wat Google bedoelt is niet een verantwoordelijkheid van de publieke omroep.

Ik weet niet wat Google bedoelt en evenmin wat jij met deze zin bedoelt.

Of mijn melding terecht of onterecht is, wordt niet door willekeurige deelnemers bepaald.

Waarom denk je dat ik expliciet een vraag aan de mods (en dus niet aan jou als willekeurige deelnemer) stel?

[Moneyman]

En de volgende spammer, wederom een oud account. De genomen maatregel lijkt niet te helpen.

memberlist.php?mode=viewprofile&u=142079

[alfatrion]

Radar kan nog proberen de vorige handeling uit te voeren voor account tussen 1 maand en 24 maanden. De actieve gebruikers zitten hier niet tussen. Je slaat nu iedereen over waarbij je dit al een keer hebt gedaan.

[Radar]

Maar was het topic: Ben jij slachtoffer van een verkeersongeval? Deel jouw ervaring (onderzoek) ook al weer door een Trol geopend ?

Daar is een speciaal verzameltopic voor, dus zomaar een enquete droppen op dit forum is niet wenselijk.

Denk ik maar zo.

Wat ik dan weer een rare gedacht vind, aangezien Radar daar zelf een specifiek forumonderdeel (“onderzoek”) voor in het leven heeft geroepen.

Iemand opent een topic in het speciaal daarvoor bedoelde topic, en doet dus exact wat die persoon zou moeten doen, en Radar gaat gewoon blind mee in een onterechte melding jouwerzijds. Bizar.

Als Radar had gewild dat alleen het verzameltopic gebruikt wordt, hadden ze dat wel in de regels gezet. Daar staat dat echter niet, en het bewuste forumonderdeel staat vol met soortgelijke enquêtes.

En met het gebruik van het eveneens juist voor dit soort gebruik bedoelde Google Forms is op zichzelf natuurlijk ook niets mis.

Wellicht kunnen de moderatoren toelichten waarom ze het topic verwijderd hebben en vooral: duidelijk zijn over wat er wel of niet is toegestaan.

Ik vraag t na aan de andere moderator!

[riddert]

Staat exclusieve sex dating service als onderschrift

[Radar]

Ik heb alles weer doorgestuurd naar de developers, die gaan er mee aan de slag.

[Radar]

En de volgende spammer, wederom een oud account. De genomen maatregel lijkt niet te helpen.

memberlist.php?mode=viewprofile&u=142079

Dit account is al eerder gehacked, niet pas na de maatregelen. Omdat dit account dus onlangs actief is geweest is hij dus ook niet door het script gedeactiveerd, want dat is iedereen die langer dan 3 jaar offline is geweest.
We proberen nu dmv zoekopdrachten alle onderschriften te scannen, maar als jullie er nog wat zien, plaats ze dan vooral hier. Nieuwe hacks hebben we nog niet gezien, maar als dat gebeurt gaan we kijken wat we hier aan kunnen doen. Het probleem ligt dus aan het feit dat de data van (oude) forumleden is gelekt en hackers met die gelekte wachtwoorden en inlogs op ons forum kunnen komen.

[Moneyman]

Het probleem ligt dus aan het feit dat de data van (oude) forumleden is gelekt en hackers met die gelekte wachtwoorden en inlogs op ons forum kunnen komen.

Bedankt voor de terugkoppeling, fijn dat dat nu gebeurt!

Voor de zekerheid: is dat lek een lek uit de Radar-database?

[Radar]

Het probleem ligt dus aan het feit dat de data van (oude) forumleden is gelekt en hackers met die gelekte wachtwoorden en inlogs op ons forum kunnen komen.

Bedankt voor de terugkoppeling, fijn dat dat nu gebeurt!

Voor de zekerheid: is dat lek een lek uit de Radar-database?

Nee, dat is geen lek uit de Radar database.

[Consumenneke]

Nee, dat is geen lek uit de Radar database.

Zijn er andere partijen die data hebben waardoor ze wachtwoorden kunnen gebruiken om in te loggen met oude en ongebruikte accounts?

[J. Deltoer]

Nee, dat is geen lek uit de Radar database.

Zijn er andere partijen die data hebben waardoor ze wachtwoorden kunnen gebruiken om in te loggen met oude en ongebruikte accounts?

Ja, dat vraag ik me ook af. Want dat moet dan toch de conclusie zijn als het lek niet bij RADAR zit.

[BL2]

Het lek kan natuurlijk ook bij een andere partij, bijvoorbeeld phpBB of zo zitten.

Overigens ook op andere phpBB forums lid, maar daar speelt dit dus niet.

De vraag blijft dus, Radar, waar zat het datalek dan wel ? Dat moet bekend zijn, immers jullie geven aan bekend te zijn met dit datalek.

[StevieNL81]

Kan ieder datalek zijn.

Toegang tot mailbox is toegang tot alle ontvangen mails. Draaien ze botje overheen en vist zo de fora eruit. Veel mensen gebruiken zelfde mailadres en wachtwoord ....

[Consumenneke]

Kan ieder datalek zijn.

Toegang tot mailbox is toegang tot alle ontvangen mails. Draaien ze botje overheen en vist zo de fora eruit. Veel mensen gebruiken zelfde mailadres en wachtwoord ....

Maar waarom moet Radar dan alle oude deelnemers filteren?

Kan het Odido zijn en mensen betreffen die op verschillende fora dezelfde gebruikersnaam en logincode gebruiken?

Meest logische is dat er een ouder Radar bestand gehackt is. Is geen typisch troll-gedrag trouwens....

[Nijogeth]

Het meest logische is dat de gegevens gehackt zijn geweest vanuit een ander lek. Anders hadden we dit probleem wel gezien bij 1 van de actieve accounts (die ook daadwerkelijk gebruikt worden). Dat kunnen email gegevens zijn van mensen die overal dezelfde wachtwoorden gebruiken of data van andere websites waar ze ingelogd waren met dezelfde gebruikersnaam en wachtwoord.

[Consumenneke]

Linksom of rechtsom: de userbase van dit forum is inmiddels ernstig vervuild met verouderde gegevens.

Volgens de AVG mag je persoonsgegevens niet langer bewaren dan nodig is voor het oorspronkelijke doel. De data van iemand die bv twee jaar niet meer terugkomt, kunnen (na een waarschuwing) gewoon verwijderd worden.

[witte angora]

Het meest logische is dat de gegevens gehackt zijn geweest vanuit een ander lek. Anders hadden we dit probleem wel gezien bij 1 van de actieve accounts (die ook daadwerkelijk gebruikt worden). Dat kunnen email gegevens zijn van mensen die overal dezelfde wachtwoorden gebruiken of data van andere websites waar ze ingelogd waren met dezelfde gebruikersnaam en wachtwoord.

Dan moet jij me toch maar eens uitleggen hoe het kan dat een tijdje geleden meerdere gebruikers hun wachtwoord meerdere keren moesten wijzigen. Je kwam op een bepaalde pagina, en je kon absoluut niet verder.

Ik denk toch echt dat ze een willekeurig ouder account pakken, die opdracht weten te geven, en als er geen reactie komt, dan vullen ze het wachtwoord zelf wel in. Want dat was het enige wat je moest doen: er kwam geen mail, helemaal niks. Je had alleen je accountnaam en je ww, en dat laatste moest dus gewijzigd worden. En dan kon je er gewoon op. Geen bevestiging via de mail ook dat je ww is gewijzigd, wat wel zou moeten.

Dit overdenkende, denk ik dat het slimmer is als een dergelijk verzoek alleen via de mail gedaan kan worden. Dus: ww wijzigen - bevestigen via de mail - en dan weer inloggen. Zoiets. Bevestig je niet via de mail, kan je er niet op. Een soort tweetrapsverificatie of zoiets.

Maar goed, ik ben ook maar een digibeet uit het stenen tijdperk die hopeloos verlangt naar de tijd dat je nog lopend naar school ging om de tafels van 10 uit je hoofd te leren, enzovoorts.

[Consumenneke]

Ik denk toch echt dat ze een willekeurig ouder account pakken, die opdracht weten te geven, en als er geen reactie komt, dan vullen ze het wachtwoord zelf wel in. Want dat was het enige wat je moest doen: er kwam geen mail, helemaal niks. Je had alleen je accountnaam en je ww, en dat laatste moest dus gewijzigd worden. En dan kon je er gewoon op. Geen bevestiging via de mail ook dat je ww is gewijzigd, wat wel zou moeten.

U beweert: toen deelnemers gevraagd werd hun wachtwoord aan te passen hoefde je als kwaadwillende pornospammer alleen maar een bestaande username in te vullen en zelf een nieuw wachtwoord te bedenken om een bestaand account over te nemen?

Hoe komt iemand aan gebruikersnamen die al zo lang niet meer gebruikt zijn?

Leuke puzzel, maar ergens gaat iets fout...

[Radar]

Hi Moderators hier! Er is wat onduidelijkheid over de spamberichten op ons forum. Bij dezen de feiten nog een keer op een rijtje.
We hebben niets gezien dat duidt op een hack in ons forum. Het forum draait op de laatste versie van de phpBB forumsoftware dat wereldwijd door veel sites gebruikt wordt. Wat we wel zagen is dat er een aantal accounts was die spam op het forum hebben geplaatst - dit zijn accounts geweest waarbij we zien dat die al enkele jaren niet meer actief zijn geweest op het forum. Bij het controleren van de emailadressen van deze accounts op https://haveibeenpwned.com/ zien we dat deze in diverse hacks voorkomen.

DUS: Als de data van Odido (als voorbeeld) dan in een hack op het darkweb openbaar gemaakt wordt, kan iedereen met toegang daar dus een email-adres en bijbehorend wachtwoord zien. Vervolgens gaan ze geautomatiseerd kijken waar ze allemaal kunnen inloggen met die gegevens en vroeg of laat ontdekken ze dan ook dat het forum erbij zit. Omdat er toch nog steeds mensen zijn die "1 wachtwoord voor alles" gebruiken kunnen die hackers dus met het emailadres EN het wachtwoord van bv. Odido inloggen op het Radar forum. En dat is er hier aan de hand.

Wat hebben we gedaan om dit te voorkomen?

Als tegenmaatregel zijn alle accounts die langer dan 3 jaar niet meer actief zijn geweest gedeactiveerd. En zijn we een scan aan het maken van alle onderschriften.

Verder: Er is een issue geweest dat gebruikers ineens een wachtwoord moesten invullen: dit had niets te maken met een hack, maar kwam omdat onze moderators per ongeluk een wachtwoord hadden ingesteld op een forumtopic. Nadat die verwijderd was kon iedereen er weer bij.
En goed om te vermelden: we maken op ons complete platform gebruik van actieve monitoring (ProjectDiscovery) die onze sites iedere nacht scant op vulnerabilities.

Belangrijk is te melden dat het Radar forum is niet verantwoordelijk voor de veiligheid van login en passwords van individuen. Wij vertrouwen erop dat zij zorgvuldig omgaan met hun gegevens zodat hun gegevens niet gehackt worden. Het is verder van belang dat je voor elke website een uniek wachtwoord en inlog maakt, om te voorkomen dat er met gehackte gegevens op andere sites kan worden ingelogd, zoals er nu ook gebeurt.