Duizenden wachtwoorden beautybedrijven gehackt

Laatst bijgewerkt op 29 sep, 2023
Online marketing 7 min. leestijd

Wat begon met een e-mail van een Netbeauty klant die gehackt dacht te zijn, leidt tot de schokkende ontdekking dat de logins van duizenden beautybedrijven open en bloot op het internet staan. Wat vooral zorgwekkend is, is dat het niet alleen gaat om de logins van salons, maar ook om privéaccounts en om de wachtwoorden van grote, bekende partijen, zoals brancheorganisaties en zelfs zorgverzekeraars.

Hoe ernstig dit is en welke stappen je nu moet ondernemen, lees je in dit artikel. Hoe het allemaal heeft kunnen gebeuren? Even terug naar het begin…

“Help mijn PC is gehackt!”

In september mailde een van onze klanten: “Help, mijn PC is gehackt!”, met de vraag of we direct het wachtwoord van haar mail en website konden wijzigen. Na doorvragen, bleek dat onze klant een e-mail heeft gekregen waarin de “hacker” aangaf haar wachtwoord bemachtigd te hebben. Na snel even Googlen, blijkt dit vaker te gebeuren.

Vaak gaat dat zo: Vanuit het niets ontvang je een e-mail van een onbekend persoon die zegt je gehackt te hebben. Om dit dreigement kracht bij te zetten, wordt een van je wachtwoorden genoemd. Dit is een wachtwoord dat je daadwerkelijk gebruikt hebt. In hetzelfde bericht wordt vervolgens gedreigd met de verspreiding van gevoelige gegevens, tenzij er met Bitcoins een bedrag betaald wordt.

Aan de reactie van onze klant te merken, een aardig effectieve methode. Vooral omdat er een echt wachtwoord genoemd wordt. Hoe zit dit precies?

Database met logins

Als jou dit overkomt, is je computer in werkelijkheid vaak helemaal (nog) niet gehackt. In plaats daarvan heb je ooit een account aangemaakt voor een website of app waarvan de database met logins gehackt is. Deze gestolen logins worden vervolgens gebundeld en in de onderwereld doorverkocht.

Soms komt hier zelfs helemaal geen hacken aan te pas, omdat de beheerder van een website simpelweg te lui is geweest om de database met logins überhaupt te beveiligen.

Op zich is dat al erg genoeg, maar het wordt erger…

Diensten die jij en ik dagelijks gebruiken

Dat je wachtwoord achterhaald kan worden wanneer je jezelf registreert op een schimmige website, of wanneer je vergeet uit te loggen in een buitenlands internetcafé, dat weten we allemaal wel. Maar zolang je geen gekke dingen doet, hoef je je nergens zorgen om te maken. Toch?

Fout. Met het voorval van onze klant nog vers in het geheugen, kwamen we onlangs een Facebookbericht van KRO-NCRV tegen over een website genaamd DEHASHED; een zoekmachine voor gestolen inloggegevens.

Uit dit bericht bleek dat ook de voorzichtige internetter reden heeft om zich zorgen te maken. De afgelopen jaren zijn namelijk zelfs de bekendste bedrijven gehackt. Waaronder aanbieders van diensten die jij en ik dagelijks gebruiken.

“Je inloggegevens worden door hackers gejat van sites zoals LinkedIn, Adobe, Facebook, MyFitnessPal of verschillende fora.”

Pointer (KRO-NCRV)

Op zoek naar een verklaring voor het voorval met onze klant, moesten we hier snel meer van weten. Dus namen we de proef op de som. Voor zo’n drie euro maakten we een account aan bij DEHASHED, om te zien hoe het met de uiterlijke verzorgingsbranche gesteld is. Het resultaat? Vrij schokkend, om heel eerlijk te zijn.

Bijna alle bekende beauty-partijen zijn gehackt

Ingelogd op de zoekmachine zochten we alle branchegerelateerde bedrijven en organisaties op die in ons opkwamen. Vooraf e-mailadressen of gebruikersnamen opzoeken was niet eens nodig. Zoeken kan onder andere op IP adres, e-mailadres, gebruikersnaam, bedrijfsnaam, naam, telefoonnummer, kenteken en adres.

In een klein uurtje tijd, vonden we tientallen wachtwoorden van brancheverenigingen, vakbonden, opleiders, leveranciers, groothandels, webshops en zelfs van zorgverzekeraars!

Dit is geen grap.

Twee van de vele logins van bekende beauty-partijen die we eenvoudig vonden

Specifieke namen zullen we niet noemen, maar het gemak waarmee we login na login vonden is schokkend te noemen. De populairste wachtwoorden? Namen van kinderen, partners en zelfs de eigen naam. Al dan niet gevolgd door een jaartal of een datum.

Ook persoonlijke accounts gekraakt

Bovengenoemde partijen zijn verantwoordelijk voor de veiligheid van de vele persoonsgegevens die ze verwerken. Dat maakt het des te erger. Maar privé kunnen we er ook iets van – bleek toen we vervolgens de namen en e-mailadressen van privépersonen invoerden. Grote kans dat jouw gegevens er ook tussen staan. En dat is best wel iets om je zorgen om te maken.

Criminelen kunnen een profiel samenstellen

Even voor de duidelijkheid: De wachtwoorden die we vonden zijn (meestal) niet van computers of e-mailadressen, maar van accounts die ergens aangemaakt zijn. Zeg een account voor een datingsite of een forum.

Kwaadwillenden komen met zo’n wachtwoord ook meestal niet direct in je e-mail of computer, maar kunnen op basis van die ene login vaak een gedetailleerd profiel van je samenstellen. Daar komt niet eens ingewikkeld hack-werk aan te pas.

Zo gaat een crimineel te werk

(waar “hij” staat, mag je natuurlijk ook “zij” lezen)

1. Hij kiest een slachtoffer: Een persoon of organisatie.

2. Hij zoekt op naam, bedrijfsnaam of e-mailadres en vindt een wachtwoord.

3. Hij zoekt vervolgens op dit wachtwoord om te zien of er meer accounts met hetzelfde wachtwoord zijn. Of hij gaat gewoon naar Google en typt iemands (bedrijfs)naam in. Zo vindt hij allerlei websites en profielen waar hij het zojuist gevonden wachtwoord kan proberen.

4. Gebruikt het slachtoffer overal hetzelfde wachtwoord? Jackpot!

5. Werkt een wachtwoord toch niet in één keer, dan zoekt hij een lijn in de wachtwoorden van het slachtoffer. Heeft hij maar één wachtwoord, dan probeert hij het met !, 123, of een jaartal erachter.

6. Elke keer dat hij toegang krijgt tot een account, bemachtigt hij meer informatie. Denk aan gevoelige gegevens of logins van andere accounts met nóg meer informatie.

7. Dit herhaalt hij totdat hij voldoende gegevens heeft om zijn doel te bereiken.

Een kind kan de was doen. En er is nog meer mogelijk. Wil je bijvoorbeeld meer accounts zien van een bepaalde locatie, zoals een huis of een bedrijf? Dan zoek je op het IP adres. The sky is the limit.

Wat betekent dit?

Er zijn natuurlijk talloze manieren om hier misbruik van te maken. Stel je voor dat iemand je in naam van een energiemaatschappij opbelt, je daarbij aanspreekt met je achternaam en direct je huidige energietarief noemt. Vervolgens krijg je een goedkoper contract voorgesteld waarvoor wel nog wat “extra informatie” nodig is.

Zonder te weten dat je gesprekspartner al in 5 van je accounts heeft rondgeneusd, verstrek je haar zo de ontbrekende puzzelstukjes die ze nodig heeft om je bankrekening leeg te trekken.

Soms is zelfs die moeite niet eens nodig. Stel dat iemand de login van je privé e-mail bemachtigt. Dan is het einde zoek. Grote kans dat je per e-mail weleens een kopie van een paspoort of rijbewijs hebt verzonden. Of dat letterlijk elke keer dat je ergens op “Wachtwoord vergeten” klikt, dit nieuwe wachtwoord op dat e-mailadres binnenkomt. Zo kan iemand je complete identiteit overnemen.

Volgens een rapport van Europol (2013), heeft maar liefst 8% van de internetgebruikers in de Europese Unie al te maken gehad met identiteitsfraude.

Voorkomen gaat niet

Op dit punt zou je misschien het liefst je hele internetabonnement maar opzeggen. Daarin geef ik je geen ongelijk. Helemaal voorkomen dat je gegevens gehackt kunnen worden, gaat alleen niet meer. Al zou je al je profielen verwijderen en jezelf nergens meer registreren, dan nog kan dat hotel waar je vorig jaar geslapen hebt gehackt worden, waarbij ook de klantendatabase met jouw persoonsgegevens buitgemaakt wordt.

Je kunt het risico wel kleiner maken, maar je blijft afhankelijk van de beveiliging van organisaties die jouw gegevens bewaren.

Het risico tot een minimum beperken

Hoewel helemaal voorkomen dus niet gaat, is het wel degelijk mogelijk om de risico’s van datalekken, hackers en misbruik tot een minimum te beperken. Zo is het in de eerste plaats ten zeerste aan te raden om voor elk profiel een ander wachtwoord te gebruiken. Wanneer iemand een van je logins bemachtigt, blijft de schade dan beperkt.

Gebruik een wachtwoordmanager

Omdat we talloze accounts hebben, betekent dit wel dat je een hele hoop verschillende wachtwoorden moet gaan onthouden. Wachtwoordmanagers bieden uitkomst. Een wachtwoordmanager is een soort digitale kluis, waarin je al je wachtwoorden en gebruikersnamen veilig kunt opslaan.

Bezoek je een website, dan vult de wachtwoordmanager automatisch je gebruikersnaam en wachtwoord in. Zo hoef je geen enkel wachtwoord meer te onthouden – behalve die van je wachtwoordmanager natuurlijk.

In de video van Vox hieronder, wordt (in het Engels) uitgelegd hoe zo’n wachtwoordmanager werkt.

Populaire wachtwoordmanagers zijn LastPass en 1Password.

Tweestapsverificatie

Wil je nog een stap verder gaan, wat aan te raden is, dan kun je waar mogelijk tweestapsverificatie inschakelen. Met tweestapsverificatie wordt er een toegangscode naar een vertrouwd apparaat gestuurd op het moment dat iemand vanaf een nieuw apparaat probeert in te loggen.

Met tweestapsverificatie hebben hackers aan je gebruikersnaam en wachtwoord alleen niet meer genoeg om toegang tot je account of cloud te krijgen.

Veiliginternetten.nl

Zo kunnen vreemden, zélfs als ze je gebruikersnaam en wachtwoord weten, nog steeds niet op je account(s) inloggen. Helaas is tweestapsverificatie op kleinere websites niet altijd beschikbaar. Maar bij alle grote partijen, zoals Facebook, Google, WhatsApp, Microsoft en Apple, wel. Ook op de websites die wij voor salons en praktijken bouwen kan tweestapsverificatie ingeschakeld worden.

Creëer bewustzijn

De technologische ontwikkelingen zijn de laatste jaren zo snel gegaan, dat niet alleen jij en ik, maar zelfs grote bedrijven, organisaties en overheden ze maar lastig kunnen bijbenen. Om wildwesttaferelen te voorkomen, is het daarom belangrijk om hier bewustzijn voor te creëren.

Vraag je branchevereniging, zorgverzekeraar of leverancier eens hoe ze de veiligheid van jouw persoonsgegevens — en die van je klanten — precies waarborgen. Stuur dit artikel naar ze door. En kijk eens op dehashed.com of je eigen logins ertussen staan.

100% veilig wordt het nooit, maar we kunnen op zijn minst unieke, veilige wachtwoorden gebruiken. Eventueel in combinatie met een wachtwoordmanager en waar mogelijk tweestapsverificatie. Zo beperk je het risico tot een minimum.

Word lid van de Facebookgroep

Hygiëne is een belangrijk onderdeel van je vak. Maar hoe staat het met je digitale hygiëne? Lijkt het je wat om samen met een groep vakgenoten je digitale veiligheid eens onder de loep te nemen? Of om samen eens te bekijken wat er zoals is uitgelekt bij de partijen die jouw persoonsgegevens verwerken?

Tijdens de “Kennissessies” die we organiseren, komen verschillende vakgenoten samen om over dit soort thema’s te sparren. De laatste keer zijn we aan de slag gegaan met het maken van e-mailnieuwsbrieven. De volgende keer zou in het thema kunnen staan van online veiligheid. Wil je daar ook bij zijn? Word dan gratis lid van de besloten Facebookgroep “Kennissessies”. Wie weet tot snel!

Word lid van de Facebookgroep

Gerelateerde berichten

Webdesign voor salons: Hoe je jouw online aanwezigheid kunt verbeteren

(Geïnteresseerd in een nieuwe website voor je salon? Klik hier 👈) In dit digitale tijdperk is simpelweg online zijn niet … Lees meer

Klanten overtuigen? Gebruik het AIDA-model

Overtuigen: sommige beautyprofessionals lijken er een aangeboren gave voor te hebben. Als je bij zo’n specialist naar binnen stapt, ga … Lees meer

Ken jij je doelgroep? Facebook kent hem beter!

Je wilt nieuwe klanten, dus je gaat adverteren. Onderwerp van je advertentie? Je Brazilian wax-behandeling. Pakkende foto? Check. Overtuigende tekst? … Lees meer

Een webshop beginnen: goed idee of zonde van je tijd?

Eind mei maakte het CBS een recordgroei van de internetverkopen bekend. In het eerste kwartaal van 2021 kochten we maar … Lees meer

De voordelen van WhatsApp Business voor je salon

Toen ik afgelopen week op vakantie was, herinnerde ik me ineens dat we het thuisfront vroeger altijd een postkaart vanuit … Lees meer

Verplicht gesloten: pech of geluk?

De coronacrisis raakt ons allemaal – en niet alleen zakelijk. Op social media zie ik beautyprofessionals zich dagelijks grote zorgen … Lees meer

Vergeet je behandelingen, focus op oplossingen!

Sommige dingen doe je liever niet, maar moeten toch een keer gebeuren. Zoals het vervangen van je laptop bijvoorbeeld. Elke … Lees meer

Bovenaan in Google met Google Mijn Bedrijf

Vindbaarheid en zichtbaarheid zijn voor een marketeer, als een reinigende behandeling voor een beautyprofessional: Geen doel op zich, maar als … Lees meer

Hoe je meer klanten kunt werven voor je schoonheidssalon

Klantenwerving is de sleutel tot het succes van elk bedrijf. Is jouw salon daarop een uitzondering? Nope! Om te overleven … Lees meer

10 ideeën voor een succesvolle e-mailhandtekening

E-mails: We versturen er met zijn alleen een hoop. Ondernemers in de beauty branche zijn daar geen uitzondering op. En onder … Lees meer

De beste nieuwsbrief-software voor salons

Er zijn tegenwoordig enorm veel manier om je klanten te bereiken. Toch wordt het bereiken van je klanten er niet … Lees meer

Doe-het-zelf websites: De voor- en nadelen

Je kunt ondertussen gerust stellen dat een website een onmisbaar onderdeel van je salon is. Het bouwen en onderhouden van … Lees meer

Meer over Netbeauty

TCA peelings, nagelbeugels, sugaring: Jouw lokale marketingbureau heeft waarschijnlijk geen flauw idee wat het inhoudt. Wij wel. Want wij zijn Netbeauty. Als geen ander begrijpen wij precies wat jouw klanten beweegt en hoe we ze zo snel mogelijk in jouw salon krijgen.

ONS VERHAAL
NetBeauty Seminar