Ik ben gehacked.

[Briolet]

Wel ik begreep dus dat hij vermoed dat dit in Oostenrijk is gebeurd door op een "publieke" hotspot in te loggen en vervolgens in HTTP naar DSM te zijn gegaan waar de login + password in cleartext verzonden is.

Synology heeft het beter voor elkaar en stuurt ook met HTTP nooit cleartext wachtwoorden bij een inlog. (Net als deze site)

Wachtwoorden op de nas staan al niet cleartext opgeslagen, dus DSM kan al niets met zo'n wachtwoord. Dit moet eerst gehashed worden en dat gebeurt via JS in de browser zelf.  En omdat het onderscheppen van een gehashed wachtwoord ook schadelijk is, wordt deze ook nog eens 'gesalt' met de session key. Als dat onderschept wordt, is dit alleen bruikbaar zolang de inlog sessie duurt. Daarom ook altijd expliciet uitloggen op een site zodat de sessie key ongeldig wordt. (Het is een heel slechte gewoonte om een sessie te beëindigen door gewoon een browservenster te sluiten.)

[Babylonia]

Wel ik begreep dus dat hij vermoed dat dit in Oostenrijk is gebeurd door op een "publieke" hotspot in te loggen en vervolgens in HTTP naar DSM te zijn gegaan waar de login + password in cleartext verzonden is.

Dat voorbeeld waar ik naar verwees (reactie #7) met "Oostenrijk" is al zeker 10 jaar oud.
Indertijd kwam het veel meer voor dat websites / verbindingen gewoon onder  http  werden opgezet.
Tegenwoordig is dat (gelukkig) allemaal veel strakker geïmplementeerd met    https  en gebruik van bijv. Let's Encrypt certificaten.
Ook direct vanuit browsers met meldingen die waarschuwen voor onveilige verbindingen.
(Waar je dan evt. dan wel een uitzondering voor zou kunnen maken ?)

Er kan in een NAS dan wel een instelling zitten om http automatisch om te leiden naar https.
Beter is het om in een router helemaal geen port forwarding voor een  http verbinding  daarin op te nemen.
Dus van buitenaf is dan alleen een verbinding via  https  mogelijk.

....je mag toch verwachten na 14 jaar een nas, dat die bepaalde zaken dan toch wat beter in orde heeft.
Info, waarschuwingen genoeg op dit forum.
Zo ook voorbeelden genoeg hoe het niet moet.....

afijn was goed bedoeld verder 

Daar ga ik bij voorbaat al vanuit, dat reacties altijd goed zijn bedoeld.   
Maar dat wil niet zeggen dat gegeven antwoorden ook altijd voldoen (en in mogelijke gevallen zelfs helemaal "niet"). 

Beveiliging is niet een kwestie van instellingen van een NAS "alleen".
Het gaat juist om alle  "niet"  NAS gerelateerde handelingen, alertheid bij internet connecties, gebruiksethiek hoe met data om te gaan.
Allerlei spam, e-mail fishing berichten, "nep" websites waar mensen mee geconfronteerd worden waar rekening mee te moeten houden.
Dat is niet altijd zo gemakkelijk te herkennen.  Of er zijn momenten dat men minder alert is, met het hoofd ergens anders mee bezig is.

Ook  "officiële"  organisaties, leveranciers en bedrijven maken achterliggend in e-mails van typische "omleid" websites gebruik
naar heel andere domeinen,  dan wat ze in hun nieuwsberichten of "vragenlijst" aan de gebruiker voorhouden.
Zonder de gebruiker daarvan in kennis te stellen dat ze van externe bureaus gebruik maken, en data via andere kanalen loopt.
Ofwel van dezelfde  "fishing"  technieken gebruik maken, als "nep" websites dat doen.
Zie daar als gebruiker maar eens onderscheid in te maken?

Als je de Support afdeling van een organisatie daarop aanspreekt. Reageren ze of ze water zien branden.
En gebeurt er verder helemaal niets mee.  Gaat men op dezelfde  "foute manier"  verder.


En wat dacht je van  "data lekken"  helemaal buiten de schuld van mensen zelf, via bedrijven, instanties / overheidsinstellingen.
Waarbij data op straat ligt?

Afgelopen jaren ben ik al meerdere malen geconfronteerd geweest met data-lekken  "bij anderen".
(Leveranciers, en o.a. bedrijven die "corona tests" uitvoerden....)
Waarbij naast persoonsgegevens mogelijk bij toeval toch ook wel eens een wachtwoord meegenomen zou kunnen zijn?

Een hack door "Russen" van mijn Google account, een aantal jaren jaren geleden.
Waarbij peperdure "Russische nep games" in de playstore stonden, waar ik op geabonneerd zou zijn (met automatische incasso).
Ofwel Google zelf hun zaakjes niet op orde had.  Wel die foute games in de Playstore verwijderen, maar verder zich in onschuld wentelen.

Hacks en data-lekken worden steeds omvangrijker.
De kans dat je daar  "onvrijwillig"  ook slachtoffer van wordt, is groot.

Sommige worden breed in het nieuws uitgemeten:
https://www.bevolkingsonderzoeknederland.nl/nieuws/update-datalek-bevolkingsonderzoek-baarmoederhalskanker
https://www.nu.nl/binnenland/6365360/openbaar-ministerie-niet-enige-slachtoffer-van-hack-na-lek-in-software.html
https://www.nu.nl/tech/6350449/losgeld-universiteit-maastricht-vijf-jaar-na-cyberhack-terug-plus-forse-bonus.html

Maar andere veel meer grootschalige data-leks, geeft men relatief weinig ruchtbaarheid aan.  Wellicht om geen paniek te zaaien?
https://opgelicht.avrotros.nl/alerts/artikel/mogelijk-grootste-wereldwijde-datalek-ooit-16-miljard-inloggegevens-op-straat/
https://hcc.nl/kennis/kennis/reviews/groot-datalek-meer-dan-2-5-miljard-gmail-adressen-op-het-darkweb

Dus uitspraken als:

        "....je mag toch verwachten na 14 jaar een nas, dat die bepaalde zaken dan toch wat beter in orde heeft."

Gaan wel erg ver.
Mensen die zo'n rotsvast vertrouwen hebben "in hun eigen gelijk", zouden IMO juist beter kunnen oppassen met hun evengrote "naïviteit".
Morgen wordt je mogelijk zelf slachtoffer van een of andere voor jou "onbedoelde" hack?   En dan?         
-

[stapper]

ok , ik had moeten zeggen, dan heb je het wat betreft de instellingen van je NAS, al redelijk voor elkaar
Het is een prima uitleg van een gedeelte wat mocht hij dit niet voor elkaar hebben, wel moet lukken bedoelde ik
Ik zal mijn woorden voortaan op een wat zwaardere weegschaal leggen