Huh maar dat hadden we heel lang!??!? Kent u dat nog, de Chipknip/Chipper? Ik heb ze beide gebruikt en conceptueel gewoon fantastisch. Secure element op de kaart met saldo.
NOS: "DNB: offline pinnen en meer geldautomaten nodig voor tijden van crisis"
nos.nl/artikel/2605...
Eigenlijk ook wel mooi dat er weer eens wat prijsschommelingen zijn. Stimuleren sturing gedrag al dan niet indirect en aanschaf thuisbatterij π bijv.!
ook al odidood π
bsky.app/profile/did:...
update: @troyhunt.com heeft het eerste Odido-lek toegevoegd aan @haveibeenpwned.com
Je kunt nu checken of je als (oud)klant van Odido en Ben op het dark web staat:
haveibeenpwned.com/Breach/Odido
(Was leuk om dit in elkaar te hebben geflanst met de developer tools in de browser. π voor de duidelijkheid: het is helemaal nep.)
geheel fictieve beschrijving van een fictief woord 'odidood', gecreΓ«erd door aanpassingen te doen op de beschrijving van de publieke definitie en website van 'dood' op woorden.org. zelfstandig naamwoord: toestand einde bedrijfsvoering als gevolg van ernstig datalek, bijvoeglijk naamwoord: 1) die of dat bedrijfsvoering heeft moeten staken als gevolg van een datalek, 2) bescherming van persoonsgegevens onbelangrijk achten
Nieuw woord duikt op in de Van Dale: βodidoodβ. #Odido #nep #grapje
update: De door de cybercriminelen gepubliceerde klantgegevens van Odido bevatten ook burgerservicenummers (bsn), blijkt uit onderzoek van RTL Nieuws.
Odido zei dat er geen BSN's waren buitgemaakt.
www.rtl.nl/nieuws/binne...
update: Cybercriminelen springen nu al op het Odido-lek en versturen phishingberichten naar klanten.
Opgelet!
De manier waarop het hier is gebeurd is gewoon te voorkomen geweest, maar basisprincipes in de informatiebeveiliging zijn met voeten getreden. Het is nooit helemaal waterdicht, maar hier zijn onnodig risico's gelopen en vind ik wel degelijk verwijtbaar.
(werk jij voor Odido ofzo?)
Het gaat al mis dat je een systeem bouwt/gebruikt/afneemt voor klantenservicemedewerkers dat alleen maar hoeft te *controleren*, maar het vervolgens "lekker makkelijk" implementeert op een manier dat je er alle gegevens uit kan trekken. π€¦
bsky.app/profile/i6t....
Dat sowieso. Het een sluit het andere niet uit hè? Of Odiedoei nou betaalt of niet: het zijn nog steeds ontzettende koekenbakkers.
Ransom betalen houdt het systeem in stand en je hebt nog altijd geen garanties. Wellicht waren het ook niet de enige ongenode gasten die binnen waren.
πππ
Dankjewel, goed artikel en goed dat je hierin graaft!
Weet Odido zeker welke data in hackershanden is beland?
Nee, ontdekte ik vandaag. Van Shinyhunters zelf kreeg ik een deel van de buitgemaakte data. Met ook gevoelige gegevens over een deel van de klanten. Die met betalingsachterstanden of een bewindvoerder - of ernstiger.
nos.nl/artikel/2603...
Het is dertien dagen na de bekendmaking van het datalek. Wat ontzettend tenenkrommend dat de updates over de omvang ervan door de journalisten/media moeten worden ontdekt!
Lezen: nos.nl/artikel/2603...
Ik hoop dat het OM zich ook richt op Odido zelf met dat strafrechtelijk onderzoek. π‘
Het is dertien dagen na de bekendmaking van het datalek. Wat ontzettend tenenkrommend dat de updates over de omvang ervan door de journalisten/media moeten worden ontdekt!
Lezen: nos.nl/artikel/2603...
Ik hoop dat het OM zich ook richt op Odido zelf met dat strafrechtelijk onderzoek. π‘
Post op X/Twitter uit 2021 met tip nummer 2 uit een thread met meerdere beveiligingstips voor destijds T-Mobile-klanten. https://x.com/gertvdijk/status/1366465013955854346
screenshot van de passage op de pagina van Odido met aanvulling dat het codewoord voor contact met de klantenservice onderdeel is van het datalek nu. https://www.odido.nl/veiligheid
In 2021 toen het nog T-mobile heette raadde ik mensen aan om het extra codewoord in te stellen voor extra security.
Nu blijkt dat dit codewoord ("challenge wachtwoord") ook in leesbare vorm onderdeel is van het datalek bij Odido!
Let hierop als je dit hebt hergebruikt of een of andere manier.
today is not a quiet day at the office for the russian embassy in the hague. enjoy 4 ukrainian anthems, out of sync and out of tune! ππ #Ukraine #SlavaUkraini
the embassador: βi want it to stop right nowβ. so do i, the organiser replied πͺπΌ β nos.nl/artikel/2603...
Ik heb momenteel geen overschot. Er kwam vandaag 4.5kWh van het dak en ik heb al ruim 76kWh uit het net getrokken. π
En verder als er wel een overschot is, dan maakt het niet uit waar het in gaat, toch?
Wel als je soms later een kans hebt om met winst te verkopen, dan naar thuisbatterij.
PowerAssist / peak shaving van Victron is echt underrated en geniaal (dat de batterij/DC-bus de AC-fasen kan ondersteunen/opplussen).
Weinig andere fabrikanten die dit doen en al helemaal niet voor relatief lage meerprijs. Deye: Chinees - wel goedkoop, SMA: duurder. Ouback Power: nog duurder?
Momentopname uit Victron Cerbo GX met 17kW uit het net op een 3x25A netaansluiting. 16kW gaat naar het huis en de apparaten waarbij op fase 2 ruim 7kW wordt getrokken (ruim 30A). De batterij laadt op met zo'n 650W wat nog 'over' is en de zonnepanelen leveren 366W.
Momentopname van Tibber Pulse real-time fasebelasting van de netaansluiting. 3x24A is de belasting bij een maximale belasting van 25A per fase.
POV: je hebt een dynamisch contract, een thuisbatterij, een elektrische auto en de energieprijzen zijn relatief laag. β‘
Verder als je goed oplet trek ik een stukje meer op fase 2 dan mijn aansluiting kan (25A per fase) door dit systeem. Scheelt aardig in de kosten (vastrecht) voor netaansluiting! πΆ
Een gephisht medewerkersaccountje zal dan al snel aan het licht komen in die centrale database op basis van rate limiting en de hoeveelheid verkregen info is dan beperkt.
Tuurlijk moet er ergens een database zijn die wΓ©l die onderliggende data heeft of een hash ervan. Die moet je afschermen van het grote algemene, al kan die in de interface wel geΓ―ntegreerd worden.
Dus:
medewerker die geboortedatum niet op voorhand kan zien, maar wel vraagt: "Wat is uw geboortedatum?"
klant: "1/2/1934"
medewerker: "het systeem zegt dat het klopt"
[zelfde maar dan rekeningnummer of deel ervan]
en zo'n medewerker mag dat bijvoorbeeld 100x per dag doen.
Waarom zijn die applicaties waarin medewerkers iets moeten *controleren* ook in staat om de data eruit te trekken?
Niet nodig.
Je kan het systeem ingevoerde data laten controleren en OK/NIETOK terug laten geven. Niet meer.
Met een beetje rate limiting kan je dan veel voorkomen.
Dat laatste bedoelde ik inderdaad; truukjes herhaald voor andere Salesforce-klanten. (puur speculatie)
Het zou mij niet verbazen als de Odido data leak verband houdt met de Salesforce data leaks eerder, eind vorig jaar. Zie bijv. www.fortra.com/blog/salesfo...
En Odido gebruikt Salesforce; broncode van een gemiddeld password-reset mailtje bevat allemaal technische links naar hun instance daar.
Ze gebruiken zeker Salesforce. De mails die ik krijg zitten vol links naar hun instance in de cloud op odido.my.salesforce.com
Uhm was dit een voorspellende post in november? #odido
Blijft gissen, maar zou het lek al een paar maanden geleden hebben plaatsgevonden? π
