Help, gehackt!
 

Mijn spotify account is gehackt.. Hij stopte steeds uit zichzelf met muziek afspelen en toen stond er dat de playlijst 'srry for hacking' aan het afspelen was. Toen ik naar mijn accountgegegens ging stond daar een ander emailadres en gegevens. Ik kan nu ook niet aanvragen om mijn wachtwoord te wijzigen want mijn emailadres is nu niet meer gekoppeld aan een actief account.. Ik heb al een mail naar het contactpunt gestuurd maar ze hebben geen telefonische klantenservice, ik weet nu niet zo goed wat ik moet doen en wat er nog meer in gevaar is. Mijn FB wachtwoord heb ik al gewijzigd..

Ik heb zoiets ook gehad. Ik vermoed omdat ik hetzelfde wachtwoord gebruikte bij meerdere diensten, waaronder LinkedIn (kun je checken bij https://haveibeenpwned.com/). Support van Spotify had het dezelfde dag nog gefixed. Moest een betalingsbewijs opsturen. Ik weet verder niet of je Premium hebt, maar als je een creditcard of Paypal-account gebruikt voor de betaling zou ik daar ook even letten op gekke dingen (ben je voor verzekerd, maar toch).

Ja, ik heb Premium, heb dat nu wel meteen stopgezet. En ik heb inderdaad de spotify klantenservice nu via een formulier bereikt, was wel weer dom want hun standaard formulier bij 'ik kom mijn account niet in' stuurt dan een email naar het emailadres in je account wat dus niet de mijne is. Eigenlijk ook slecht dat je ze niet kan bellen en dat iemand een wachtwoord kan wijzigen zonder dat je daar een emailmelding van krijgt :|

Ik ga inderdaad even kijken bij mijn creditcardgegevens.. bedankt.

Wat betekent dit:

*even weggehaald*

Dit is dus heel recent..

Gebruik je deze inloggegevens ook voor andere websites, of gebruik je Facebook? Zet eerst dit aan: https://www.facebook.com/notes/faceb...0172618258920/

Mocht je het nu *niet* gefedereerd hebben; Wijzig alsnog je FB-wachtwoord nadat je 2FA hebt aangezet en koppel daarna zoveel mogelijk accounts aan je FB-account. Wil je liever Twitter? Ook goed.
Een apart wachtwoord voor iedere website waar je komt is vergelijkbaar met het zetten van een apart breekbaar kutslot op iedere deur en ieder raam. Multifactor authenticatie op één account is vergelijkbaar met een bankkluis: Eén ingang voor alle dingen die je helemaal kapot kan beveiligen.

Dit betekent dat je emailadres en wachtwoord voorkomt in een (openbaar) bestand dat gedeeld is via Pastebin. Zie ook https://haveibeenpwned.com/Pastes Ik heb de belangrijkste info uit je post even weggehaald, want in de Paste die je aanhaalde staat je wachtwoord.

Goeie edit, Jon (y)

ai shit, dankje! Gelukkig bestaat die pagina inmiddels niet meer.

Alle websites waar je die username/wachtwoordcombinatie gebruikte zijn dus gecompromitteerd zoals je denk ik wel had bedacht?

Ja ik heb alles gewijzigd volgens mij, en die tweestapsverificatie zoals je zei. Ik wacht op de dag dat alles met vingerafdruk mag..

Die kan ook gekopieerd worden. :p

Ja, en dan hakken ze je vingerkootje eraf :eek:

Daar ben ik toch iets minder bang voor ;)

Beetje leuke 3D print van je vingerafdruk ofzo ;)

2FA is ook uiteindelijk schijnveiligheid maar iig alsnog beter dan geen :p

2FA met mobiele telefoons met een authenticatie-app zoals Google Authenticator waarbij je kan accepteren en met biometrische unlockbeveiliging op je telefoon... veiliger dan dat wordt het voorlopig niet.

Yep, authenticator is wel 'n beetje 't hoogst praktisch haalbare momenteel. Wij zijn op werk eindelijk ook over (y)

Hij is inderdaad verlopen bij Pastebin, maar je kunt hem nog bekijken in de Google cache.

Wij zijn nu langzamerhand alle interne systemen aan het federeren/SSO'en. VMware View Horizon via HTML5 gaat binnenkort; die vervangt de laatste applicatie (citrix thuiswerken) waar de oude hard-token-oplossing nog afhankelijk van is. Daarna kunnen we ook iedere andere oplossing eraan hangen. En misschien zelfs social login voor Facebook voor ouders ofzo. Dat scheelt echt zo ongelofelijk veel forgotten passwords. Maar dan eisen we wel 2FA bijvoorbeeld.

En eigenlijk is dat me nog niet veilig genoeg. Bij een aantal dingen hebben we als terugval SMS. Veel smartphones geven by default de inhoud van een SMS weer op het lockscreen. Lekker veilig. Dus heel vaak mag je alleen ergens in als je smartphone auth hebt via de app. SMS-code mag voor het HR-systeem want daar kan je alleen je eigen gegevens in inzien. Dat soort dingen.

Voor financiële data is SMS ook prima in ons geval. Alles is belastinggeld en dingen zoals salaris staat in de financiële administratie echt niet als post ABC20187 Salaris deadlock, dat is gewoon een totaalbedrag :D En als ze er in lopen te etteren komen ze er bij de controles wel achter.