Wachtwoorden van forumgebruikers muziekwinkel Bax Shop zijn buitgemaakt

Het vBulletin-forum van de Nederlandse audiowinkel Bax Music is gehackt. Daarbij zijn de e-mailadressen en wachtwoorden van alle 32.700 gebruikers buitgemaakt. De forumsoftware was niet geüpdatet en daardoor kwetsbaar.

Bax Music bevestigt tegenover RTL Nieuws dat de gegevens zijn buitgemaakt en dat de forumsoftware niet actief werd bijgehouden. RTL heeft ook contact met de hacker, die de nickname chippy1337 gebruikt. Die zegt dat hij het forum 'voor de lol, het geld en de chaos' heeft gehackt.

De database die in handen is van de hacker bevat 32.700 accounts. De wachtwoorden waren alleen voorzien van een MD5-hash en dus slecht beveiligd. Bax Music gaat de Autoriteit Persoonsgegevens inlichten en de getroffen gebruikers informeren.

Het forum is inmiddels weer online, nadat het hersteld is middels een back-up en van de nieuwste updates voor vBulletin is voorzien. De webshop van Bax Music en de bijbehorende accounts zijn niet getroffen. De forumaccounts staan los van accounts die voor bestellingen worden gebruikt.

De veelgebruikte forumsoftware vBulletin bevat vaker grote kwetsbaarheden. Maandag schreef Bleeping Computer nog over een recent ontdekte kritieke kwetsbaarheid, waarmee aanvallers zeer eenvoudig vBulletin-forums kunnen hacken. Voor die kwetsbaarheid is een patch uitgebracht.

Lees meer

Reacties (115)

Gymnasiast
11 augustus 2020 17:42

Verbaast mij helemaal niets. Ten eerste omdat Bax haar personeel uitknijpt, waardoor alle goede IT'ers snel vertrekken, ten tweede omdat het door micromanagement simpelweg onmogelijk wordt gemaakt om ook maar iets aan onderhoud te doen - er wordt alleen toestemming gegeven voor nieuwe features. Het is een wonder dat de webshop nog niet is gekraakt, maar dat lijkt me een kwestie van tijd.

larsiey
@Gymnasiast • 11 augustus 2020 18:23

Bron?
Dit zijn loze kreten.

rickhaha
@larsiey • 11 augustus 2020 19:24

https://www.omroepzeeland...-waard-bij-Bax-shop-video

Ik weet van ervaringen in mijn vrienden kring dat dit tussen 2015 - 2018 heel erg gespeeld heeft.

raider009
@larsiey • 11 augustus 2020 19:50

Is al redelijk lang bekend dat de werkomstandigheden bij Bax niet goed zijn. Kan vanuit eigen ervaring en die van kennissen dit wel bevestigen.

NosferatuX
@raider009 • 11 augustus 2020 20:28

Klopt, ik denk net als Cool Blue. Leuk bedrijf naar klanten maar al het niet leidinggevend personeel wordt uitgebuit met minimuumloon.

[Reactie gewijzigd door NosferatuX op 11 augustus 2020 20:28]

Malarky
@NosferatuX • 11 augustus 2020 21:00

Coolblue betaald bijzonder slecht, voor niet key/top posities maar dat is gewoon vraag en aanbod.
Er solliciteren op elke functie zo belachelijk veel mensen, dat ze wel gek zijn om veel te betalen, uiteindelijk is Coolblue een kostenbusiness. Service is leuk, maar als het prijsverschil met de dozenschuivers te groot wordt bedien je een niche.

En Coolblue wil geen niche bedienen maar zich met de marktleiders mengen. Daar hoort ook bijzonder scherp op de kosten varen bij.

Ik weet van dichtbij voor dat Coolblue voor diverse functies echt een stuk minder betaald dan je elders kan krijgen voor een vergelijkbare functie, maar toch worden de vacatures vervult omdat mensen graag voor CB willen werken. Dat is dus geen uitbuiting, je weet wat je gaat verdienen voor je het contract tekent.

XyritZz
@Malarky • 12 augustus 2020 11:00

Vraag is natuurlijk hoe CB het bereikt dat zoveel mensen er graag willen werken; de indruk die ik er van heb is dat het afgezien van salaris gewoon een prima werkgever is waar mensen met plezier werken.

Ergens is het doodzonde dat dit bij Bax niet het geval is; het bedrijf zit in een regio waar weinig (goed) IT personeel te krijgen is. Juist door een prettige werkomgeving en plezier in het werk hoog in het vaandel te hebben zouden ze goede mensen uit die krappe markt kunnen plukken; dat doen ze nu niet waardoor de goede mensen binnen no-time weer vertrekken of uberhaupt niet solliciteren en uiteindelijk is Bax daar zelf de dupe van.

Gymnasiast
@XyritZz • 12 augustus 2020 17:08

Omgekeerd is het aantal werkgevers in de regio ook enigszins dungezaaid. Ik heb dat bij het solliciteren ook gemerkt: ze zijn er zeker, maar je moet goed zoeken of buiten de regio kijken. Bax is een bekend bedrijf en hun vacatures staan op alle vacaturesites en in de bakken van recruiters.

Niettemin vraag ik me nog steeds af hoe Bax aan personeel komt, als je kijkt hoeveel verloop ze er hebben. Je zou toch denken dat je op gegeven moment elke IT'er in Zeeland wel gehad hebt?

Gymnasiast
@larsiey • 11 augustus 2020 20:19

Ik heb gewerkt op hun IT-afdeling.

YouriHL
@Gymnasiast • 12 augustus 2020 13:34

Ik heb ze in 2013 al gewezen op vele kwetsbaarheden. Daarbij hebben ze mij gevraagd deze loose ends op te lossen voor 157 euro ex btw. Alsof ik daar überhaupt voor uit bed kom. Ik heb aangeboden dat ik tegen de geldende tarieven dit kon realiseren, of de helft ervan en shoptegoed voor de andere helft.
Kreeg te horen dat ik belachelijke bedragen hanteerde. Dus neen, er is sinds 2013 niets opgelost. Allemaal leuk en aardig dat ze een update hebben uitgevoerd, maar enkele weken geleden draaide het forum nog op versie 4.2.3 dus tjah.

Heb v.w.b. de website goede ervaringen hoor en ik serveer Bax in de aftersales ook absoluut niet af. Ze hebben mij meermaals geholpen na een probleem met de zending, of een product dat DOA kwam. Maar qua backoffice en de wijze waarin zij denken dat elke gek voor een kwartje uren werk verricht, is bizar.

Wannial
@larsiey • 11 augustus 2020 19:34

Ik kan dit bevestigen, m'n ex heeft er gewerkt en heeft bijna tot rechtzaken geleid (ze hebben geschikt).

Saven
@larsiey • 11 augustus 2020 19:48

Zooi draait op Joomla en Virtuemart uit het stenen tijdperk. Een scriptkiddie die teveel tijd over heeft krijgt die boel daar zo plat denk ik

peize9
@Gymnasiast • 11 augustus 2020 17:57

We wachten af, mochten ze voor mijn account ook een MD5 hash gebruiken etc. dan zal ik dan wel contact opnemen met de advocaat. In 2020 MD5 gebruiken kan echt niet (Zelfde voor SHA1, wat je ook nog wel tegen komt).

[Reactie gewijzigd door peize9 op 11 augustus 2020 18:12]

Saven
@peize9 • 11 augustus 2020 20:07

vBulletin zal ondertussen wel iets anders gebruiken denk ik, maar ik durf wel te wedden dat hun Virtuemart en Joomla nog md5 gebruiken ja. Alleen lastig om te bewijzen

Anoniem: 58485
@peize9 • 11 augustus 2020 23:28

Ligt aan gebruikte software. Is in eeuwen niet meer bijgewerkt.

lachiu
@Gymnasiast • 11 augustus 2020 21:07

Begin dit jaar een audio rack gekocht, enkele vijzen ontbraken + krasjes en deuken waardoor het bijna 200% zeker een retourproduct was, nu dit nog eens... Mijn duurdere aankopen doe ik er niet meer.

Cyb
11 augustus 2020 18:09

Dat Bax gehacked is, is niet zo vreemd: ze draaien vBulletin forum software. De zero day exploit van 2019 was op zijn zachts gezegd compleet idioot (dat zoiets mogelijk was): de exploit was dusdanig simpel te gebruiken dan enorm veel servers in een korte tijd gehacked werden. Er verschenen zelfs hack tools online, waarmee je zelfs een shell te zien kreeg, waarmee je commando's kon uitvoeren en zelfs de output van de commandos' nog terug kreeg ook. Met deze tools had je niet eens hack skills nodig.

vBulletin heeft het gevaar van de 2019 exploit zeer slecht gecommuniceerd, met niet meer informatie dan: hier heb je een security update. In plaats daarvan hadden ze naar al hun klanten een email moeten sturen met het onmiddelijke verzoek om vBulletin server per direct uit te lucht te halen, totdat deze gepatched zijn.

Nu blijkt het weer om dezelfde extreem gevaarlijke exploit te gaan, omdat ze (vBulletin) die 2019 exploit blijkbaar niet volledig gefixed hebben. En ook deze keer maakt vBulletin weer dezelfde communicatie fout, door niet de ernst van de exploit te vermelden.

Het accent op dit Tweakers nieuwsbericht ligt op Bax, maar zou eigenlijk vooral op vBulletin moeten liggen. Bax is slechts één van de velen die gehacked zijn (of nog gaan worden) door het draaien van vBulletin.

[Reactie gewijzigd door Cyb op 11 augustus 2020 18:29]

Falcon
@Cyb • 11 augustus 2020 18:47

Deze verantwoordelijkheid ligt toch echt bij de beheerder van Baxshop zelf.

Cyb
@Falcon • 11 augustus 2020 18:53

Ik zeg ook niet dat Bax schuldvrij is. Maar er moet wel worden opgemerkt dat het hier om een zero-day van vBulletin gaat, en dat dit enorm veel problemen kan opleveren voor vBulletin klanten. vBulletin maakt hier weer exact dezelfde type fouten als in 2019.

GekkePrutser
@Cyb • 12 augustus 2020 02:34

Wat ik ze alleen wel aan te rekenen vind, zijn de eerdere hacks in 2019 die aantoonden hoe belangrijk het is om je vBulletin spul up to date te houden (en hoe laks die leverancier met de communicatie omgaat omtrent patches).

Edit: Okee, het lek was echt pas sinds vanmorgen bekend, en dan was er ook nog niet eens bijgezet hoe kritiek het was.

Dus inderdaad wat mij betreft toch inderdaad vooral een vBulletin faal.

[Reactie gewijzigd door GekkePrutser op 12 augustus 2020 02:43]

droner
11 augustus 2020 17:48

Hoog tijd voor een boetesysteem: bij hacks onderzoeken of de systeembeheerders nalatig zijn geweest qua security provisies en zo ja: dokken.

Kees
@droner • 11 augustus 2020 17:57

Om eerlijk te zijn, deze lek is pas een dag of twee bekend (te zien aan de hackpogingen op Tweakers). Je zal maar eens een vrije dag hebben en de security updates morgen willen instaleren..

Zo te horen draaiden ze wel een relatief nieuwe versie, want als ze echt nalatig waren geweest met updates dan had het lek er ook niet ingezeten

Cyb
@Kees • 11 augustus 2020 18:58

"Bekend", dat ligt er aan bij wie. Bij de klanten van vBulletin is dit midden in de afgelopen nacht (Nederlandse tijd) bekend gemaakt met een "security update", zonder de ernst er bij te vermelden. Waarbij vBulletin eigenlijk met koeienletters in de email had moeten schrijven om per direct te server uit te schakelen om deze per direct te patchen.

Je kan dus niet zeggen dat ze voor deze vBulletin exploit echt nalatig zijn geweest.

[Reactie gewijzigd door Cyb op 11 augustus 2020 18:59]

Zidane007nl
@Cyb • 11 augustus 2020 23:09

Er wordt hier afgelopen zondag melding gemaakt van een exploit. Daar wordt 27 uur later pas op gereageerd dat ze het aan het uitzoeken zijn. 5 uur later zijn de patches beschikbaar (om 23:58 uur Nederlandse tijd).

In dat onderwerp reageert de Technical Support Lead ook waarom de email zo laat wordt verstuurd:

We can't notify all customers until Internet Brands top-level management and legal department sign off on it. That is often the most time consuming aspect of releasing a patch. Even the wording of announcements and the proposed fix have to be approved. Unfortunately, I do not foresee that changing in the future.

Falen van hoger hand dus. Maar ook dat ze pas na een dag reageren ...En MD5 nog steeds gebruiken ...

Ik ben al jaren geleden vertrokken na de mislukking die vBulletin 4 is geworden.

Ik snap ook net dat de officiële mods website nog steeds op vBulletin 3 draait. Is al bijna 3 jaar EOL.

[Reactie gewijzigd door Zidane007nl op 11 augustus 2020 23:15]

Cyb
@Zidane007nl • 11 augustus 2020 23:37

De Tech Support (van vBulletin) is zo te lezen ook niet blij met de werkwijze van hun eigen management.

Bij de perfecte VBulletin exploit van 2019 had ik veel "WTF, Hoe kan dit gebeuren???" vragen. Niet alleen over de bizarheid van de exploit zelf (een perfecte backdoor, waarbij sommigen zelfs dachten dat het met opzet er ingebouwd was), maar ook de wijze waarop er mee omgegaan werd.
Nu ben ik eigenlijk niet eens meer echt verbaasd, en zie ik het meer als een wakeup call voor degenen die het nog steeds gebruiken.

GekkePrutser
@Cyb • 12 augustus 2020 02:40

Dat gezeur over woordjes met legal en communications ken ik helaas maar al te goed

Niet in dit soort kritieke situaties, bij ons kunnen we in zo'n geval absoluut een uitzondering maken. Maar in andere gevallen wel.

[Reactie gewijzigd door GekkePrutser op 12 augustus 2020 02:54]

The Realone
@Kees • 11 augustus 2020 22:06

Helemaal met je eens, maar ondertussen zijn de wachtwoorden dus wel enkel met MD5 gehashed en dat is natuurlijk tegenwoordig bijzonder kwalijk.

GekkePrutser
@The Realone • 12 augustus 2020 02:48

Wat ik begrijp is dat vBulletin sinds 2012 al bcrypt gebruikt. Aangezien je hashes niet kan converteren, neem ik aan dat al die accounts sinds 2012 niet meer gebruikt zijn. Dus de vraag is wat je aan zulke oude wachtwoorden hebt...

Want tijdens een upgrade wil je niet al je klanten opeens hun wachtwoord laten resetten. Dus wat doe je: bij de volgende inlog converteer je het wachtwoord meteen mee omdat je het dan in plaintext hebt. Ik neem aan dat vBulletin het ook zo doet (niet zeker overigens). Wat ook kan zijn is dat ze het alleen voor nieuw aangemaakte accounts hebben gedaan, of wanneer mensen hun wachtwoord veranderen. Wat je dan bijvoorbeeld na een tijdje kan forceren.

Dan zou het inderdaad wel slecht zijn (van vBulletin, niet zozeer van bax-shop)

Misschien kan een vBulletin beheerder hier wat meer over zeggen hoe die conversie precies in zijn werk gaat?

[Reactie gewijzigd door GekkePrutser op 12 augustus 2020 02:51]

svane
@GekkePrutser • 12 augustus 2020 10:39

Ik weet niet precies hoe vBulletin het doet, maar in principe kan je de wachtwoorden converteren zonder dat de gebruiker er last van heeft:

Stel je wachtwoord is: hunter2
Dit staat in de database als md5-hash: md5(hunter2)
Om dit om te zetten neem je de bcrypt hash hiervan: bcrypt(md5(hunter2))
Nu is je wachtwoord veilig opgeslagen, ook al logt de gebruiker niet in
Als de gebruiker inlogt dan kijk je eerst naar de bcrypt-hash van zijn input: bcrypt(hunter2), deze komt niet overeen (omdat in de database bcrypt(md5(hunter2)) staat)
Vervolgens neem je de md5-hash van de user-input (bcrypt(md5(hunter2))), en vergelijk je deze. Dit zou overeen moeten komen (gebruiker is ingelogd)
Op dit moment zou je de bcrypt(md5(password)) hash kunnen updaten naar de bcrypt(password) hash in je database

Uiteraard zijn hier veel varianten mogelijk, maar dit zou vrij makkelijk in te bouwen moeten zijn voor vBulletin

[Reactie gewijzigd door svane op 12 augustus 2020 10:40]

GekkePrutser
@svane • 12 augustus 2020 10:51

Oh ja goed punt inderdaad, dat je (tijdelijk) een dubbele hash neemt! Dit hebben ze duidelijk niet gedaan bij vBulletin maar is inderdaad een veel betere optie.

Q
@Kees • 11 augustus 2020 21:27

Dat is wel erg kort dag.

Maar dat risico hoort bij het hebben van een ‘online shop/forum’ en ik vind dat je daar op voorbereid moet zijn.

Dat was Bax dus niet.

Ik ‘vrees’ dat Bax nooit een serieuze boete zal zien en dat is jammer want dit alles heeft geen consequenties voor hun.

En de rest van dat soort toko’s leert dat een breach hier of daar niets uitmaakt. Beetje klantgegevens op straat, who cares? Persbericht er uit met wat bullshit en een dag later is iedereen het vergeten.

[Reactie gewijzigd door Q op 11 augustus 2020 21:28]

Zebby
@droner • 11 augustus 2020 20:16

Onder de GDPR is dit zo, als jij nalatig bent geweest met je security of melden van lekken kunnen zij een boete opleggen. Als dit er niet was zou de hele wetgeving weinig zin hebben gehad.

peize9
@droner • 11 augustus 2020 17:55

Volgens mij kan een getroffen gebruiker een civiele zaak aanspannen en een schadevergoeding eisen obv de nalatigheid.

ikverhaar
@peize9 • 11 augustus 2020 18:22

Een schadevergoeding voor wat?

Indien de hacker nu jouw wachtwoord van een hoop andere sites in handen heeft, doordat je niet verschillende wachtwoorden voor verschillende sites gebruikt, is dat minstens net zo veel nalatigheid van de gebruiker als van de sitebeheerder.

m_snel
@ikverhaar • 11 augustus 2020 19:07

Ooit had Microsoft een briljant idee MS paspoort, nu logt iedereenin met facebook of google, of 100x met hetzelfde account en ww.

Nou ik had toch liever gezien dat MS zijn idee had kunnen uitvoeren, nu is het alleen beperkt tot enkele diensten.

b12e
@m_snel • 11 augustus 2020 20:48

Liever overal single sign-on met Google (of hell, Facebook) waar je je Google account wel degelijk kan beveiligen met een Yubikey of dergelijke, dan dat je voor elke site weer een eigen uniek wachtwoord moet gaan genereren en ergens veilig bewaren.

1 accountwachtwoord is ook makkelijker regelmatig te wijzigen tov een paar honderd.

m_snel
@b12e • 11 augustus 2020 21:05

Nou ik heb het niet zo op Google , vandaag nog een verzoek voor class room van mijn zoon. Vraag me af op welke legale wijze die verkregen hebben.

Beide gebruiken we geen Google account, maar ik heb er wel een.

Een die ik eigenlijk nergens voor gebruik, alleen past mijn nest overgezet, hoe toevallig.

Dit stikt gewoon, ze weten dus mijn anderen account waar de nest vandaag komt, en nu opeens wordt ik op die manier gekoppeld aan iets van mijn zoon.

En vervolgens vragen ze de app te downloaden, en dan kan je er ook niks mee.

Echt geweldig, was al over de zeik omdat ik mijn nest niet meer kom gebruiken.

GekkePrutser
@m_snel • 12 augustus 2020 02:57

Dat is er toch ook gekomen, maar in de vorm van Fido2. En werkend op elk platform, niet alleen Windows. Maar juist Microsoft ondersteunt het uitstekend. Win-win dus! Je kan ook je android telefoon gebruiken als je geen token wil kopen, en volgens mij is Apple er ook mee bezig.

Alleen de ondersteuning van sites ontbreekt nog.

Overigens gebruik ik nooit inlog met FB of Google en sites/apps die niks anders ondersteunen (Pushbullet

) gebruik ik gewoon niet. En idd een WW manager

Maar ik kan niet wachten tot ik op meer dingen kan inloggen met mijn Fido2 stick. Momenteel kan dat alleen met mijn O365.

[Reactie gewijzigd door GekkePrutser op 12 augustus 2020 03:00]

bloq
@ikverhaar • 11 augustus 2020 19:05

Ja alleen lijkt me niet dat je jezelf gaat aanklagen voor nalatigheid, wel een webshop die je met data toevertrouwd.

walletje-w
11 augustus 2020 17:38

De reden om voor iedere website een uniek wachtwoord te hebben en gebruik te maken van een password manager.

Nu ben ik nog op zoek naar een manier waardoor ik voor iedere website ook makkelijk een uniek email adres kan hebben. Maar die service ben ik nog niet tegengekomen die ook echt makkelijk in gebruik is.

Randfiguur
@walletje-w • 11 augustus 2020 17:41

Of, als die mogelijkheid er is: überhaupt geen account aanmaken en bij een aankoop iedere keer opnieuw je gegevens invullen.

Redwood
@Randfiguur • 11 augustus 2020 18:07

Wat @datakiller zegt.
Dat kan ook met Gmail.

Bijv. Redwood+tweakers@gmail.com
Redwood+coolblue@gmail.com
En dan in de mail filtertjes met mappen maken.

Overigens wordt het + teken niet door alle shops gevalideerde als geldig mailadres

Caayn

@Redwood • 11 augustus 2020 18:32

Het is een leuk systeem maar het is natuurlijk kinderlijk eenvoudig om mail adressen aan elkaar te koppelen door alles na het plus teken te negeren

Redwood
@Caayn • 11 augustus 2020 18:50

Is natuurlijk ook weer zo.

Mocht daarentegen e-mail+wachtwoord ooit uitlekken zonder duidelijke bron, dan ziet men wel gelijk op welk fora/website whatever is gebeurd.
Niet alle winkels/bedrijven zijn zo netjes een lek te openbaren.

[Reactie gewijzigd door Redwood op 11 augustus 2020 18:50]

Adipose
@Redwood • 11 augustus 2020 21:36

Je kunt ook gewoon een . toevoegen,dus exampl.e@gmail.com/ex.ample@gmail.com, etc.

Redwood
@Adipose • 11 augustus 2020 21:37

Ah. en dat wist ik dus niet! Zal het eens testen.
Nope. Dat werkt met Gmail dus niet.

[Reactie gewijzigd door Redwood op 11 augustus 2020 21:39]

mrmrmr
@Redwood • 12 augustus 2020 08:32

Volgens Google werkt het wel: https://support.google.com/mail/answer/7436150

Redwood
@mrmrmr • 12 augustus 2020 09:02

Wel een dotted versie van je reeds bestaande adres. Dus als redwood@gmail.com mijn adres is dan werkt
R.e.dwoo.d@gmail.com wel.

Redwood.tweakers@gmail.com niet. En daar ging het juist om.

mrmrmr
@Redwood • 12 augustus 2020 09:11

@Adipose had het over dots zonder toevoeging.

jaapzb
@Randfiguur • 11 augustus 2020 17:58

De forumaccounts staan los van accounts die voor bestellingen worden gebruikt.

Aldus het artikel

[Reactie gewijzigd door jaapzb op 11 augustus 2020 17:58]

mjl
@Randfiguur • 11 augustus 2020 18:07

Als je facturen of rma. Odin hebt is een account wel handig, ook voor het tracken van een bestelling bijv en het hergebruik van adres gegevens.

Ik heb wel een apart adres voor webshops, als de spam te erg wordt stap ik over naar een nieuwe maar dat valt op zich wel mee (Yahoo heeft een goed spam filter; alle schone dames met mooie voorstellen liggen netjes in de Junk folder

)

teun2408
@walletje-w • 11 augustus 2020 17:46

Een hele makkelijke manier om een uniek email addres per website te gebruiken is om een +iets toe te voegen aan je email bijvoorbeeld: email+webshopnaam@gmail.com, de mail komt dan gewoon op email@gmail.com binnen met als tag de webshopnaam. Je kan deze tag als die om wat voor reden dan ook ooit bij spammers terecht komt heel makkelijk blokkeren door gewoon alles met +webshopnaam tag naar de spam te verwijzen. Ook weet je dan dus welke website je email heeft gelekt.

Lagonas
@teun2408 • 11 augustus 2020 17:54

Helaas werkt dit amper tegenwoordig. Er zijn automatische systemen die alles achter de + weghalen.

keranoz

@Lagonas • 11 augustus 2020 18:32

Daarnaast zijn er ook sites die het simpelweg niet accepteren. Die willeen alleen maar whatever@domain.tld

Ik host zelf m'n eigen mailserver, ik maak aliassen aan voor elke website. Maar wat een gewouwehoer is het zeg om je eigen mailserver te hebben. Er komt zo veel bij kijken omdat email zo een oud stom protocol is (smtp)

[Reactie gewijzigd door keranoz op 11 augustus 2020 18:33]

PcDealer
@keranoz • 11 augustus 2020 19:10

Waarom kies je dan niet voor domein met een panel bij een hoster zonder zelf een server te draaien?

skunkopaat
@PcDealer • 11 augustus 2020 19:54

Inderdaad. Met een catch all policy

keranoz

@PcDealer • 11 augustus 2020 20:12

De server waar ik heb op host gebruik ik voor meer dan alleen email, en ik heb de server toch al, dan ga ik niet extra betalen voor een derde partij die m'n email host. Daarnaast voel ik me daar ook niet helemaal veilig bij. Dat was in het begin mijn reden om het zelf te gaan doen en weg te gaan bij hotmail en gmail.

En @skunkopaat en @rene_fb , een catch-all policy wil ik juist niet. Dat maakt het juist makkelijk om mijn inbox vol te gooien, want je kan gewoon whatever@mijndomain.tld doen. Ik heb liever dat ik zelf beslis welke alias werkt en welke niet, dan kun je als spammer ook niet gaan gokken wat werkt omdat ik specifiek willekeurigestring@mijndomain.tld maak en die laat forwarden, iets anders is gewoon undeliverable. Ik heb daarvoor m'n eigen web interface geschreven om aliassen aan te kunnen maken en weg te kunnen gooien.

Voor nu is het mailserver gedeelte een combinatie van postfix + dovecot + mariadb, maar ik ben nu bezig met de overstap naar Apache James in een Kubernetes omgeving.

Ik heb nog adressen zoals tweakers@mijndomain.tld maar die faseer ik langzaam uit, die zijn "legacy"

[Reactie gewijzigd door keranoz op 11 augustus 2020 20:19]

aikebah
@keranoz • 11 augustus 2020 23:26

Voor nu is het mailserver gedeelte een combinatie van postfix + dovecot + mariadb, maar ik ben nu bezig met de overstap naar Apache James in een Kubernetes omgeving.

Oude situatie klinkt toch als de ideale omgeving voor postfixadmin, had je het bouwen van de webinterface bespaard (maar natuurlijk ook de voldoening van het succes na lekker knutselen weggenomen)

keranoz

@aikebah • 11 augustus 2020 23:41

Hmm misschien wel ja. Volgens vond ik toen die interface te oud ofzo (sowieso te lelijk haha), of wilde ik zelf iets maken, ik weet het ook niet meer. Ik heb in ieder geval al die functionaliteit niet nodig. Ik hoef alleen alleen maar aliassen toe te voegen of verwijderen, en dat is een kwestie van een SQL insert of delete.

aikebah
@keranoz • 12 augustus 2020 00:01

Daar heb je wel een punt ja... die interface is wel erg 1993 (maar doet z'n werk prima) en een beetje uittgebreid voor enkel alias-beheer

rene_fb
@keranoz • 11 augustus 2020 19:52

Als je ze zelf een server host (of een hosting hebt bij derden hebt) kun je ook via een catch-all en een paar filters wat leuks in elkaar zetten (staat nog steeds op mijn todo lijstje). Dan hoef je niet voor elke shop een eigen alias aan te maken, maar kun je wel trucjes als "_" of een "." als devider in het adres gebruiken. Bv. keranoz_bol@domain.com, keranoz_tweakers@domain.com, etc...

avalon123
@teun2408 • 11 augustus 2020 17:49

Dit gebruik ik ook. Jammer genoeg zijn er nog altijd webshops waar ze de + niet zien als geldig in de validatie van het emailadres. Al zijn het er gelukkig steeds minder.

[Reactie gewijzigd door avalon123 op 11 augustus 2020 17:49]

harrytasker
@avalon123 • 11 augustus 2020 18:13

Precies. Werkt heel vaak niet.

datakiller
@walletje-w • 11 augustus 2020 17:43

Ik gebruik mijnnaam+naamwebsite@domein.be of naamwebsite@domein.be, hiervoor gebruik ik mailcow.

Wackoz
@walletje-w • 11 augustus 2020 17:44

Apple biedt met Apple ID dit als functie aan sinds een tijdje, kun je een andere naam opgeven en heb je de optie dat ze per account een nietszeggend email-adres generen dat de boel naar je forward

Mij onbekend of Google zoiets aanbiedt voor de Android hoek aan gebruikers.

Caayn

@Wackoz • 11 augustus 2020 18:28

Dat werkt toch enkel als de website oauth ondersteuning voor Apple heeft?

henkNL
@walletje-w • 11 augustus 2020 17:47

In geval van o.a. gmail kun je het volgende doen:
naam@gmail.com is je email, dan kun je onbeperkt aliassen aanmaken als: naam+bax@gmail.com of naam+tweakers@gmail.com, wat gewoon in je normale inbox komt.

Al zijn er natuurlijk scripts die alles achter de + weg slopen.

Kees
@henkNL • 11 augustus 2020 17:53

In dat geval moet je iets creatiever te werk gaan en een lijstje bijhouden:
n.aam@gmail.com = shop 1
na.am@gmail.com = shop 2
naa.m@gmail.com = shop 3 etc

GekkePrutser
@Kees • 12 augustus 2020 03:02

Dan mag je wel een hele lange naam hebben of heel weinig shops gebruiken

Maar gmail negeert inderdaad punten in de mailboxnaam.

mjl
@henkNL • 11 augustus 2020 18:08

Cool, eens kijken of dat bij Yahoo ook kan...

JPtjeeNL
@walletje-w • 11 augustus 2020 17:52

Als je handig bent met PowerShell en Office 365 kun je dit eens proberen: https://devsecninja.com/2...cure-unique-email-system/

Het voordeel van een uniek alias is dat je er ook een stuk zekerder van kunt zijn dat het bedrijf jouw gegevens heeft gelekt. Als ik bijvoorbeeld zie dat je met Bol.com bijvoorbeeld jouwmail+bolcom@outlook.com gebruikt, kan ik makkelijk inschatten dat je vast ook jouwmail+coolbluenl@outlook.com gebruikt. Daarnaast is het voor een spammer makkelijk om met een regex alles wat achter het '+' teken komt weg te halen, waardoor de spammer alsnog je volledige adres kan gebruiken.

- peter -

@walletje-w • 11 augustus 2020 17:58

Eigen domein naam (evt. met GSuite /Gmail zodat je geen omkijken hebt) en dan gewoon een catchall instellen. Kan je voor elke winkel bijv winkelnaam@domein.nl gebruiken. En spam word goed uitgefilterd, dus geen issues mee.

[Reactie gewijzigd door - peter - op 11 augustus 2020 17:59]

ShadowBenji
@walletje-w • 11 augustus 2020 18:09

Exact. LastPass is een goede optie hiervoor

ViezeVis
@walletje-w • 11 augustus 2020 18:13

Bij office365 heb je al een zeer voordelig abonnement vanaf €3,40 per maand voor 1 gebruiker. Je hebt dan alleen nog een domeinnaam nodig. Je kunt dan 1 shared mailbox aanmaken en daar diverse aliassen onder hangen. Als ik spam van een bepaald bedrijf zat ben gooi ik gewoon de alias eruit.

Ik heb 1 primair account;
Info@domein.nl

En een Alias account;
Corealias@domein.nl
- alias 1
- alias 2
- etc...

Price plan:
https://www.microsoft.com...ge-online-plans?market=nl

[Reactie gewijzigd door ViezeVis op 11 augustus 2020 18:13]

Gropah
@walletje-w • 11 augustus 2020 18:19

Met zoiets als Firefox Relay is dat mogelijk, maar dat is nog in private beta. Je zou het ook zelf kunnen hosten, maar dat is nogal wat meer moeite.

m_snel
@walletje-w • 11 augustus 2020 18:20

Bij diversen diensten kan je meerdere e-mail account en per account meerdere alias gebruiken.

Je kan natuurlijk ook een eigen domein naam nemen met e-mail, dan heb je meer mogelijkheden.

MrX_Cuci
@walletje-w • 11 augustus 2020 18:29

Een domein aanschaffen met mail forwarding mogelijkheden? Gebruik voor iedere website een andermailadres@eigendomein.nl Dat werkt 100% bij elke website.

DarkForce
@walletje-w • 11 augustus 2020 18:43

Eigen domeinnaam en catchall gebruiken, ik doe het al jaren en moet zeggen dat het perfect werkt.

lachiu
@walletje-w • 11 augustus 2020 21:08

Ben ik nu dus aan het doen voor mijn neefje en een vriend zijn neefje. Eigen domein en dan zoals Redwood zei, naam-service o.i.d.

Mathijs
@walletje-w • 13 augustus 2020 15:44

Wanneer je een eigen domein hebt, kun je een mailserver inrichten waarop je dat kunt doen.
Ik heb dat ook en dan kun je precies zien wie je gegevens doorverkoopt terwijl op hun website staat dat ze dat noooooit zullen doen.
Ik koop zelf wel bij Bax, maar heb dat forum van ze nog nooit gezien gelukkig.

Anoniem: 767041
11 augustus 2020 17:38

Ik hoop dat Tweakers hun forum platform ook up-to-date houden

Patriot
@Anoniem: 767041 • 11 augustus 2020 17:49

Tweakers draait niet (echt) op standaardsoftware. Het draait op eigen forumsoftware gebaseerd op React (geen relatie met ReactJS, voor zover ik weet).

Kees
@Patriot • 11 augustus 2020 17:55

We draaien daar inderdaad React, wat we overigens al jaren zelf in beheer hebben en ontwikkelen. Daar zullen ongetwijfeld ook bugs inzitten, en als je die vind dan mag je dat hier melden voor een reward

NosferatuX
11 augustus 2020 17:46

Ik heb niet eens een email van bax gekregen hierover met een waarschuwing en ik heb wel een forumaccount.
Echt heel slecht dit, ook hoe ze er dus mee omgaan.

[Reactie gewijzigd door NosferatuX op 11 augustus 2020 17:46]

peize9
@NosferatuX • 11 augustus 2020 17:56

Deze moeten ze nog versturen.

NosferatuX
@peize9 • 11 augustus 2020 18:57

Ja die is dan dik te laat

m_snel
11 augustus 2020 18:16

Heb toch maar effe ww van bestel account aangepast, ook geen e-mail gehad.

Op zich wel een toffe site, jammer dat het forum gehacked is.

Hertog_Martin
12 augustus 2020 02:00

Met die wachtwoorden kunnen ze wellicht ook toegang krijgen tot admins van de shop als die zelfde wachtwoord gebruiken. Benieuwd welke maatregelen ze nemen om niet helemaal alles te lekken.

Kimbo72
12 augustus 2020 02:43

Tja Bax is niet meer de Bax van vroeger.
Eerst de laagste prijs garantie schappen en voor gebruikte spullen maar weinig korting geven.
En dan nu dat weer.

Bomberman71
@Kimbo72 • 12 augustus 2020 10:36

Idd, het is een waardeloos bedrijf geworden.
Enige wat nog leuk is is de fysieke winkel waar je van alles kan proberen.
Kopen via de website is een drama want alles werkt top tot na het betalen en dan begint de ellende.
De vele negatieve reviews zeggen genoeg.

Echt geen aanrader meer.

Kimbo72
@Bomberman71 • 12 augustus 2020 18:04

Idd FB staat vol met negatieve berichten.

Bomberman71
@Kimbo72 • 12 augustus 2020 18:53

En dat terwijl het vroeger (pak hem beet 8 jaar geleden) toch echt goed was ....
Het ergste is dat ze er niks aan doen.

Kimbo72
@Bomberman71 • 13 augustus 2020 17:10

Idd toch was het echt beter.
Als je ze nu wil bereiken via de telefoon kan je lang wachten.
En als je aan de beurt bent is er geen specialist aanwezig.

Bomberman71
@Kimbo72 • 13 augustus 2020 19:33

Vandaag mijn bestelling geannuleerd .. bijna 1100 euro ! En dus niet een snaren of snoertjes klant.
Boeit ze niks joh.
Ze liegen steeds over levertijden die gingen van 4 dagen naar 1 week, 13 weken, 28 weken en toen weer naar 2 weken en sinds gisteren weer 18 weken.
Na 5 weken klaar met wachten.

Verbaasd me dat ze nog niet failliet zijn.

Kimbo72
@Bomberman71 • 14 augustus 2020 01:33

Ik heb vandaag de Roland RD 88 stage piano gekocht bij Clavis een lokale piano winkel.
Ik gun hun mijn geld veel meer dan Bax of Keymusic.
Plus dan bij Bax er nog een leveringstijd van 3 weken was.

ik heb wel eens gehoord dat groothandels vaak lang op hun geld moesten wachten.
en dat ze daarom niet snel dingen geleverd krijgen.

peize9
11 augustus 2020 17:46

Ah, weer zo'n lekkere MD5 password hash... Is dit ondertussen niet strafbaar? Te laks omgaan met persoonsgegevens ofzo?

Ik heb een Bax account maar weet niet of dat betekent dat ik ook op het forum zit.

crankyhenk
@peize9 • 11 augustus 2020 18:08

Lijkt mij dat je veilig bent, rechtstreeks uit het artikel:

"De forumaccounts staan los van accounts die voor bestellingen worden gebruikt."

ShadowBenji
@peize9 • 11 augustus 2020 18:12

Staat in het artikel.

De webshop van Bax Music en de bijbehorende accounts zijn niet getroffen. De forumaccounts staan los van accounts die voor bestellingen worden gebruikt.

peize9
@ShadowBenji • 11 augustus 2020 18:14

Weet ik, gelukkig ook, maar ik weet niet zeker of ik ooit iets met dat forum gedaan heb... account is nogal oud. Ik neem aan dat het wel goed zit en gelukkig is mijn wachtwoord uniek

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Wachtwoorden van forumgebruikers muziekwinkel Bax Shop zijn buitgemaakt

Lees meer

Reacties (115)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden