Deze zomer verschenen in de media berichten over een criminele organisatie die wereldwijd ruim 1 miljard e-mailadressen met bijbehorende wachtwoorden heeft weten te verzamelen. De betreffende mailadressen zijn zeer waarschijnlijk buitgemaakt door onder andere mee te kijken op honderdduizenden willekeurige websites, zoals webshops en social media waar bezoekers inloggegevens hebben ingevoerd. Het Nationaal Cyber Security Centrum (NCSC) heeft onderzoek gedaan naar deze zaak. Uit dit onderzoek blijkt dat de mogelijkheid bestaat dat ook klanten van XS4ALL tenminste één van deze vele websites bezocht hebben en daar een mailadres en wachtwoord hebben ingevoerd.

Wij weten niet of er daadwerkelijk misbruik is gepleegd met de mailadressen. Om de kans hierop zoveel mogelijk te beperken, is het verstandig om het wachtwoord van uw mail-account te wijzigen. Dit kunt u doen via het Service Centre. Kiest u alstublieft een sterk wachtwoord, en wijzig deze regelmatig, ook voor andere e-mailaccounts zoals Gmail, Hotmail en Outlook. Daarnaast is het verstandig om voor andere online activiteiten niet hetzelfde wachtwoord te gebruiken in combinatie met uw e-mailadres. Meer informatie over het kiezen van een sterk wachtwoord vindt u op onze website.

Het NCSC heeft in een persbericht aangegeven dat de eigenaren van betrokken mailadressen met een .nl-extensie actief door hun internetprovider worden geïnformeerd. XS4ALL kiest ervoor om, op basis van de verkregen informatie en het bestaande security beleid, haar klanten zelf in staat te stellen te controleren of het e-mailadres op de lijst voorkomt.

U kunt via de hiervoor speciaal ingerichte website controleren of uw e-mailadres voorkomt op de lijst van het NCSC. Dit is alleen mogelijk voor e-mailadressen eindigend op ‘@xs4all.nl’. Het antwoord zal verstuurd worden naar het door u ingevoerde e-mailadres.

Kijk voor meer informatie op www.ncsc.nl

Update 14-10:
Inmiddels zijn ook de e-mailadressen van cistron.nl en demon.nl toegevoegd. Via bovengenoemde website kunnen die e-mailadressen nu ook gecontroleerd worden. Let er aub op dat nu het volledige e-mailadres dient te worden ingevuld.

Deel dit:

Reacties

  1. johannes bergh says:

    Lekker dan. Het is dat ik na 2 weken toevallig op de website van xs4all kom. Anders had ik dit nooit gelezen.
    Had van xs4all toch wel verwacht dat ze de mensen die getrofen zijn direct haden benaderd. Was volgens mij een kleine moeite geweest.

  2. Jaap says:

    Als doorgewinterde webber ben ik lid van tientallen fora, waarvoor ik steeds dezelfde inloggegevens gebruik. Waarom is dit vreemd, men kan immers geen tientallen gebruikersnamen met wisselende wachtwoorden van buiten leren?

    • SiSt says:

      Inderdaad Jaap. En dat is waar die hele discussie onrealistisch wordt. Want OF je gebruikt een beperkt aantal wachtwoorden en weet die van buiten OF je gebruikt overal wat anders en hebt een briefje naast je monitor hangen of in de bovenste la liggen. Nee DAT is safe. De predikers van overal een veilig password en overal een andere password zijn theoretici die ver van de praktijk af staan. Ik zie het gebruik van een keyring in dat opzicht als het gebruik van een (1) wachtwoord overal.

  3. Steven says:

    Ik heb een eigen website die draait bij XS4ALL. Daaronder enige mailadressen die na de @ eindigen op mijn domeinnaam. Ik kan nu niets controleren. Beetje jammer…

  4. Frank says:

    Nu ben ik al mijn aliassen aan het invoeren (ik gebruik meerdere aliassen voor sites), plus alle aliassen voor de andere emailboxen van mijn gezin, maar nu krijg ik de fout ‘rate limit hit’

    Zouden jullie het maximaal aantal check’s willen verhogen naar het theoretisch maximum aantal email adressen die 1 klant kan hebben? (60 dus).

    Bedankt.

  5. Sander says:

    Ik heb een domein met enkele tientallen e-mailadressen draaien bij XS4ALL (Advanced Unix-pakket). Hoe kan ik geïnformeerd worden over eventuele adressen uit dit domein?
    Alles staat bij XS4ALL, ook dns.

  6. Benne says:

    Ik heb een aantal mailadressen onder een subdomein (ik@mijnsubdomein.xs4all.nl).
    Kunnen deze subdomeinen ook toegevoegd worden?

  7. Joris Hillebrand says:

    Zou het niet handig zijn om, wanneer een emailadres op de lijst voorkomt, meteen wordt gezegd bij *welke site* de combinatie emailadres / wachtwoord was onderschept?
    Ik gebruik mijn emailadres op wel 20 sites als user name, maar gebruik wel elke keer een ander wachtwoord.
    Dan wil ik dus weten voor welke site ik mijn wachtwoord moet aanpassen.

    • Arjan van Hattum Arjan van Hattum says:

      Je hebt helemaal gelijk Joris. Deze informatie is echter niet beschikbaar. Alle informatie die we hebben, delen we.

      • Onduidelijk... says:

        Ja dank u, ik had al bedacht dat ik ook voor Hotmail en Gmail en Microsoft enz. maar andere ww aan moest maken, en over die lijsten; die geven ze niet vrij (stond op die site) omdat de getroffen websites nog kwetsbaar zijn… Vind het wel een beetje vreemd dat het belang van die sites boven talloze burgers gaat, die nu ook kwetsbaar zijn?!
        Verder weet ik nou nog steeds niet> omdat mijn mailadessen niet op die lijst stonden bij xs4all, of ik dan toch de ww van mij xs4all accounts moet wijzigen?
        En aangezien sommigen hier dus wèl op de lijst stonden is mijn conclusie dat xsa4ll 1 van de getroffen websites is? Heeft het dan zin om je ww te wijzigen als een site nog kwetsbaar is? Bvd

      • johannes bergh says:

        Maar als die websites wellicht nog kwetsbaar zijn, wat heeft het dan voor nut om je ww te veranderen? Dat is toch schijnzekerheid?

      • Arjan van Hattum Arjan van Hattum says:

        Het is niet zo dat de systemen van XS4ALL zijn gehackt. Het gaat hier om e-mailadressen van XS4ALL in combinatie met logingegevens die bemachtigd zijn op sites van derden. Dus: een klant van XS4ALL gebruikt haar e-mail adres om lid te worden bij een bepaalde website. Die website wordt gehackt en haar loginnaam (het XS4ALL e-mail adres) wordt samen met het wachtwoord bemachtigd en komt op een lijst. Zo’n lijst is nu door het bedrijf ‘Hold Security’ bemachtigd en alle e-mailadressen eindigend op .nl zijn met het NCSC gedeeld.

        Wanneer je dus niet op de lijst staat, is er geen reden om je wachtwoorden te wijzigen. Wanneer je wel op de lijst staat, is het dus belangrijk om de wachtwoorden van alle websites waar dit e-mail adres ooit is gebruikt te wijzigen.

      • Onduidelijk... says:

        Oké, op dat antwoord zat ik te wachten, omdat in het artikel hierboven gezegd werd zowiezo je ww (dus ik nam aan ook van xs4all) aan te passen. En daarna wordt er pas gesproken over de “speciale website” om je mail adressen te controleren. Ik sta nergens op de lijst> maar ik heb ook nooit mijn ww van emailacounts gebruikt op andere websites, behalve toen ik een nieuwe een nieuw laptop anderhalve maand geleden kocht met windows 8.1 en ik een microsoft account aan moest maken voor ik verder kon met windows 8.1> en dat ww heb ik al gewijzigd.
        En over sites waar je je emailadres gebruikt (bv Facebook) maar met een ander ww> dan behorend bij je emailaccount hoef je je dus niet druk te maken, begrijp ik. Dank U voor het antwoordt!

  8. Marcel says:

    Mijn email staat er bij. Maar ik gebruik voor mijn email en service account een ander wachtwoord. Dus dan moet ik kennelijk de wachtwoorden gaan wijzigen bij al die prutsers die hun website/netwerk niet op orde hadden. Handig is het dan wel wel om te weten om welke sites het gaan. Het NCSC heeft naast de lijst met email adressen ook een lijst met domeinnamen ontvangen. Waar is die lijst? Zonder die lijst weet je van gekkigheid niet op welke site je moet zijn en dan heeft de hele actie werkelijk voor geen meter zin. Dus kom op XS4ALL in het belang van WOB, lijst opeisen bij de cyberknuppels van het NCSC en publiceren. Het scheelt de getroffenen een hoop websites af te schuimen om dat verdomde wachtwoord aan te passen of het account te verwijderen. Reageren heeft geen zin, De enige response die ik geef is een flinke hengst met het veiligheidsbeleid van de gehackte sites… Waarschijnlijk haalt dat niet veel uit want ik vermoed dat het slechts een post-it is waar “TODO: updaten of vrijmibo?” op staat.

    • Onduidelijk... says:

      Nou, Xs4all zelf zegt hierboven dat je toch echt je ww van je emailaccount moet wijzigen als je op de lijst staat, dus ik zou geen risico nemen. Het enige wat ik verder nog wil toevoegen is> wat Xs4all niet noemt; dat verschrikkelijke microsoft-account wat je nodig hebt voor windows 8.1, die vertrouw ik nou niet met al die app’s! En dat is de enige die ik gewijzigd heb, ook al is dat misschien ook .com, ik vind te vaak gegevens in een app geplaatst zonder mijn toestemming, dus wie weet is windows 8.1 wel te onveilig, (naast dat het al 1 barre ellende is)!

  9. Jeroen says:

    Waarom niet direct een mailtje naar alle klanten sturen waarvan het emailadres in de database voorkomt? Lijkt me als ISP toch niet zo moeilijk om voor elkaar te krijgen.

    Volgens mij leest het grootste gedeelte van de gebruikers deze berichten namelijk niet !

    • André H says:

      De ISP hebben de database met adressen niet. En die krijgen ze ook niet.

    • JTW says:

      als ik een email krijg dat me vertelt “klik hier om uw wachtwoord te veranderen, uw account is mogelijk niet veilig” gooi ik het weg.
      Is een klassieke phishing scam…

      • SiSt says:

        Als ik een mailtje zou krijgen met de melding dat het NCSC dit email adres binnen een grote scam zaak heeft gevonden, zou ik daar wel actie op nemen. Maar dus een kaal mailtje zonder link “naar wijzig hier…..” En verder misschien een tekst die verwijst naar de nieuwsmedia en ISPs. Maar weer geen link. Worst case zou het dan nog om een hoax kunnen gaan waarbij je met zo’n “gein mailtje” duizenden weer een keer hun password laat wijzigen. Daar zie ik geen gevaar in. Ik ben het met Jeroen eens; het is raar dat iedereen op die lijst niet gewoon een mailtje krijgt. Anders gezegd; het is niet in lijn met de primaire doelstellingen van het NCSC om niet actief degenen op de lijst te benaderen. Het NCSC benadeeld betrokkenen met deze opstelling. De houding van het NCSC is verwerpelijk. En JTW als jij er niks mee wilt; jouw keuze. Als iemand mij waarschuwt dat een lamp aan mijn auto het niet doet, dan doe ik iets met die informatie. Jij toch ook?

    • Onduidelijk... says:

      Dat zat ik nou óók te denken! Ik zoek me het ongans naar die weblogs…
      En het vervelende is; al kijk je hier, je krijgt geen antwoordt op je vragen?!
      Maar een mailtje of checklist (moet je toch weer je account(s) gebruiken om de bevestigingsmail te lezen… beetje vreemd als je wèl op die lijst staat)… wat maakt het uit als ze zeggen dat je tòch aanraden àl je wachtwoorden van je emails accounts, dus ook gmail en Hotmail, te wijzigen! Ik snap dan die checklist niet, ik stop d’r mee, ik ga ècht niet AL mijn email accounts NU een ander wachtwoord geven (ik stond ook nergens op de lijst).
      Een hoop gebakken lucht vind ik het! Ik zou nooit mijn emailwachtwoord op een internetsite (behalve xs4all webmail dan) gebruiken; dat lijkt mij nogal dom of is dat te grof gedacht… Xs4all, een beetje duidelijker verhaal had fijn geweest, of een antwoord hier en daar?

  10. André says:

    Dien ik alleen het POP-adres in te voeren (8 tekens voor @xs4all.nl) of alle aliassen die bij dat POP-adres horen?