Partner MasterCard gehackt; 40 miljoen klanten getroffen
MasterCard heeft gewaarschuwd voor de grootste datadiefstal ooit in de Amerikaanse geschiedenis. Aanvallers wisten de systemen van creditcardverwerker CardSystems Solutions te hacken en zouden de gegevens van 40 miljoen MasterCard klanten hebben gestolen. Via een lek in het systeem wisten de aanvallers het netwek te infiltreren en toegang te krijgen tot de gegevens van de kaarthouders, zo laat het bedrijf in een verklaring weten. Een op de zeven uitgegeven creditcards in Amerika loopt mogelijk door de aanval gevaar. Van 68.000 MasterCard accounts is het zeker dat de gegevens gestolen zijn, de rest wordt nog onderzocht.
CardSystems verwerkt jaarlijks voor meer dan 15 miljard dollar aan creditcard transacties. Klanten zijn niet aansprakelijk voor ongeautoriseerde transacties, en mocht dit plaatsvinden, moeten dit meteen melden, zo laat MasterCard weten. Aangezien erop de kaarten geen persoonlijke informatie, zoals SoFi-nummer en geboortedatum, vermeld staat, hoeft men zich geen zorgen te maken over identiteitsdiefstal.
Het is de zoveelste keer in de korte tijd dat klantengegevens gevaar lopen. In April verloor het bedrijf Amertrade backup tapes met de gegevens van 200.000 klanten. Ook Citigroup en de Bank of America verloren backup tapes, met de gegevens van respectievelijk 3,9 miljoen en 1,2 miljoen rekeninghouders. Eerder dit jaar gaf gegevensverstrekker ChoicePoint de informatie van 150.000 burgers aan een groep criminelen die zich als legitiem bedrijf voordeden. "Pas als individuen of het bestuur voor dit soort diefstallen verantwoordelijk gehouden kunnen worden, zal men pas optreden. Tot die tijd doen bedrijven zo weinig mogelijk", aldus Mitchell Ashley van StillSecure.
Met dank aan Frans E voor het melden van dit nieuws
Update: Titel aangepast
infiltreren en toegang te krijgen tot de gegevens van de kaarthouders
Een lek is het zeker. De vraag is alleen of dit menselijke of een technische
fout was. De 1e batch met gegevens werden via een
[url=http://www.wkyc.com/news/news_fullstory.asp?id=36590]virus
besmetting[/url] verkregen van CardSystems volgens een woordvoerder
van MasterCard.
nummers op de achterkant)
600 MB over een pijp trekken en het valt niet op ????
Stel de hebben NAW gegevens erbij: b.v. naam 20 bytes, adres+postcode
15 bytes, woonplaats 15 bytes = 50 bytes x 40 miljoen = 2000 MB
Dus 2600MB valt niet op....
En dit ervan uitgaande dat het in 1 file stond, wat onwaarschijnlijk is tenzij
het een database dump was, maar dan staat er nog veel meer informatie
bij zoals transactie history e.d. waarbij de grote minimaal 2 keer zo groot
kan zijn (gemiddeld 1 transactie per card met NAW winkel, adres,
omschrijving e.d.)
Stel het ging via een lame XML, SQL injection (of rechtreeks database
query) dan moet men misschien wel 40 miljoen een loop zijn uitgevoerd,
wat ook niet is opgevallen....
Al met al stinkt deze zaak.
Zeker als je deze zin leest:
"Van 68.000 MasterCard accounts is het zeker dat de gegevens gestolen
zijn, de rest wordt nog onderzocht. "
Indien je dit al niet met zekerheid kunt stellen.
met hoeveel dataverkeer eruit gaat. Volgens mij hebben die
een massa aan dataverkeer dat het niet eens opvalt. Dus
jouw verhaaltje klopt ook niet.
uit gaat. Dat is niet vreemd, maar heel normaal. Aangezien
ze niet weten hoeveel meer, dan 68.000 er weg is, zal het
wel op een andere manier zijn gegaan. Backup tapes, of
gewoon een mendewerker van het bedrijf. Nog steeds is het zo
dat de meeste security leaks menselijk zijn en niet technisch !
Ik denk niet dat er iemand zich fulltime gaat bezighouden
met hoeveel dataverkeer eruit gaat. Volgens mij hebben die
een massa aan dataverkeer dat het niet eens opvalt. Dus
jouw verhaaltje klopt ook niet.
Niet fulltime wellicht, maar het is wel een onderdeel van je te monitoren
zaken, desnoods dat je genotified word.
Aan het eind van de maand moet men voor de gebruikte bandbreedte
opdraaien en dat zal indien er ECHT nergens iets werd bijgehouden toch
wel een telefoontje van accountant richting security officer opleveren.
Jawel, er wordt wel fulltime gekeken hoeveel data de deur
uit gaat. Dat is niet vreemd, maar heel normaal.
inderdaad, een beetje organisatie heeft een afdeling die zich met
performance monitoring bezig houd en die vanuit dat optiek controleert of
SLA's wel gehaald worden e.d. (en anders word dat bij systeem beheer
belegt.)
Aangezien
ze niet weten hoeveel meer, dan 68.000 er weg is, zal het
wel op een andere manier zijn gegaan. Backup tapes, of
gewoon een mendewerker van het bedrijf. Nog steeds is het zo
dat de meeste security leaks menselijk zijn en niet technisch !
Inderdaad, het is merkwaardig dat je een specifiek getal wel weet maar de
rest slechts vermoed... Doet me denken aan situaties waarin alle logs
gewist werden maar een "partial" log ergens nog te vinden was....
http://www.planet.nl/planet/show/id=118880/contentid=589145/sc=0bb6ac
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.