Nooit meer iets kopen daar
Algemeen
1
Het bedrijf Allekabels is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen (vermoedelijk door Chippy1337). Allekabels heeft privé- / zakelijke gegevens en wachtwoorden gelekt / laten hacken van 2,6 miljoen klanten / Nederlanders. Deze database met gestolen klantdetails werd al eind januari 2021 te koop aangeboden op een hackersforum voor een bedrag vanaf 15.000 euro. Allekabels heeft volgens eigen zeggen direct na de datadiefstal direct melding gemaakt van dit datalek bij de Autoriteit Persoonsgegevens. Toch kregen klanten pas op 16 april 2021 een e-mail met de titel: “Wij hebben onmiddellijk maatregelen genomen om u als klant te beschermen“. De e-mail opent met de melding dat het wachtwoord van klanten is gelekt en dat het bedrijf deze wachtwoorden direct heeft gewist. Daarna schrijft Alle-kabels: “Laten we beginnen om onze welgemeende excuses aan te bieden voor eventuele overlast welke gepaard gaat met dit datalek en het feit dat dit nu pas duidelijk is geworden”. Opmerkelijk vind ik het woordje “eventuele” bij overlast. Want het feit dat bedrijfsgegevens of persoonlijke gegevens inclusief bankrekeningnummer, loginnaam en wachtwoord nu wordt verkocht door hackers dat geldt gewoon voor iedereen in de database en dus niet “eventueel”! En hoezo is dit? Het is al bekend sinds 23 augustus 2020!
Direct na de hack claimt Allekabels dat de technologische beveiliging maximaal is opgeschroefd. Achteraf beweert deze online winkel dat van de meeste klanten geen wachtwoorden zijn gelekt. Het zou alleen gaan om de wachtwoorden van oudere klanten namelijk van vóór 1 september 2018. Want de wachtwoorden van die klanten konden wel worden gekraakt en de wachtwoorden van latere klanten zijn nu nog versleuteld. Maar is er dan wel sprake van wachtwoorden kraken? Heeft Allekabels de wachtwoorden van klanten tot en met 1 september 2018 gewoon on-versleuteld / ongecodeerd heeft opgeslagen? Op RTL Nieuws is te lezen dat volgens experts de gelekte wachtwoorden nog wel versleuteld zijn maar wel binnen enkele seconden te kraken zijn omdat ze zeer zwak versleuteld zijn. Deze zwakke versleuteling (of niet-versleuteling) was blijkbaar nog steeds actueel op 23 augustus 2020! Ze hadden dus 2 jaar de tijd om ook de wachtwoorden van oude klanten alsnog goed te versleutelen. Ik zie dat wij in mei 2016 een bestelling hebben gedaan en dus zijn ook wij de sjaak!
Jokt Allekabels.nl?
Sinds februari 2021 was Allekabels op de hoogte van het feit dat hun database op een hackersforum te koop werd aangeboden. Echter claimt Allekabels dat de daar verkochte data niet kwam uit de hack maar dat het ging om data dat was gestolen door een inmiddels ontslagen werknemer. De werknemer zou de gegevens van 5000 klanten hebben gestolen en te koop aangeboden. Toen heeft Alle-kabels deze 5000 klanten direct geïnformeerd over dit datalek. Ethisch hacker Rik van Duijn (van cybersecuritybedrijf Zolder) vertrouwt het niet en zegt: “Het lijkt er verdacht veel op dat Allekabels alleen de mensen heeft geïnformeerd die wisten dat hun gegevens bij Allekabels zijn gelekt”. Er zijn namelijk klanten die specifiek voor deze webshop een emailadres hebben aangemaakt zoals allekabels@mijnbedrijf.nl. Wanneer ze nu op dit zeer specifieke emailadres vreemde (phishing) berichten ontvangen dan kan dit alleen afkomstig zijn van een koper van de gehackte database.
Ook lijkt het er op dat Allekabels in eerste instantie liever niet wilde toegeven dat de wachtwoorden van oude klanten (van voor 1 september 2018) niet (goed) waren versleuteld. Na onderzoek van diverse journalisten moest de webshop toegeven dat een deel van de wachtwoorden niet goed was beveiligd.
