Nieuws
image

Hacker steelt 230 miljoen creditcardnummers - Update

dinsdag 18 augustus 2009, 11:00 door Redactie, 8 reacties

Een hacker die vorig jaar al werd aangeklaagd wegens de creditcarddiefstal bij TJX, was ook betrokken bij de aanval op Heartland Payment System, in totaal maakte hij zo'n 230 miljoen creditcardnummers buit. Bij TJX ging het om de gegevens van 94 miljoen kaarthouders, bij Heartland waren het er meer dan 130 miljoen. Ook sloeg Albert “Segvec” Gonzalez toe bij supermarktketen Hannaford en restaurantketen Dave & Busters. De hacker is samen met twee niet nader genoemde Russische handlangers aangeklaagd voor de aanval op Heartland, wat nu te boek staat als de grootste creditcardroof in de geschiedenis. Daarnaast houdt men rekening dat hij bij meerdere aanvallen is betrokken. "We kennen niet veel hackers die in staat zijn dit te doen, maar voornamelijk een selecte groep, wat laat zien dat deze hacks vrij complex zijn", aldus Erez Liebermann, van het Amerikaanse Ministerie van Justitie.

Eenvoudig
Volgens beveiligingsexperts Robert Graham is er niets complex aan SQL-injectie. "Het is extreem eenvoudig. Een miljoen tiener-hackers over de hele wereld weten hoe ze via SQL-injectie in een website kunnen inbreken." Graham is van mening dat SQL-injectie zoveel voorkomt omdat de programmeurs van de website denken dat het alleen een "theoretisch" lek is. Iedereen met gemiddelde hacking skills kan dit uitvoeren, aldus de expert. "Omdat deze programmeurs niet in het probleem geloven, komt SQL-injectie nog zoveel voor."

SQL-injectie
De 28-jarige Gonzalez en een handlanger genaamd "P.T." vonden hun slachtoffers op een lijst met Fortune 500 bedrijven. Vervolgens verkenden ze de gebruikte betalingssystemen en zochten naar beveiligingslekken. Computers in Nederland, Letland, Oekraïne en Verenigde Staten werden gebruikt voor het opslaan van de malware, het uitvoeren van de aanvallen en het ontvangen van de gestolen creditcardnummers. Via SQL-injectie aanvallen wisten de aanvallers toegang tot het netwerk te krijgen. Daar plaatsten ze de malware die niet alleen de aanwezige virusscanners omzeilde, maar ook zichzelf kon verwijderen.

Het werkelijke aantal gestolen creditcardnummers ligt waarschijnlijk veel hoger, aangezien twee getroffen ketens een aanval op hun netwerk stil hielden. De financiële schade loopt in de tientallen miljoenen. Opmerkelijk detail is dat Gonzalez ten tijde van de aanvallen als informant voor de Secret Service werkte. Gonzalez hangt een maximale gevangenisstraf van 25 jaar boven het hoofd.

Update: Reactie Graham toegevoegd

Reacties (8)
18-08-2009, 11:28 door Anoniem
correctie: 130 miljoen.

athans, dat hoorde ik op RTL ontbijtnieuws
18-08-2009, 11:31 door Redactie
Door Anoniem: correctie: 130 miljoen.

athans, dat hoorde ik op RTL ontbijtnieuws

Het gaat hier alleen om Heartland. In totaal maakte Gonzalez zo'n 230 miljoen kaartnummers buit.
18-08-2009, 11:52 door SirDice
"We kennen niet veel hackers die in staat zijn dit te doen, maar voornamelijk een selecte groep, wat laat zien dat deze hacks vrij complex zijn"
Via SQL-injectie aanvallen wisten de aanvallers toegang tot het netwerk te krijgen. Daar plaatsten ze de malware die niet alleen de aanwezige virusscanners omzeilde, maar ook zichzelf kon verwijderen.

Volgens mij valt die complexiteit wel mee. SQL injection is niet zo heel moeilijk en je malware zo maken dat het niet door een virusscanner gedetecteerd wordt ook niet (http://www.security.nl/artikel/30647/1/%22Schors_studenten_die_virussen_maken%22.html).

Even goed, 230 miljoen CC gegevens is wel erg veel.
18-08-2009, 12:12 door Redactie
Volgens mij valt die complexiteit wel mee.
Zie reactie Graham :)
18-08-2009, 13:30 door SirDice
Door Redactie:
Volgens mij valt die complexiteit wel mee.
Zie reactie Graham :)
Inderdaad :)

Graham is van mening dat SQL-injectie zoveel voorkomt omdat de programmeurs van de website denken dat het alleen een "theoretisch" lek is.
Hehehe... Er zijn wel meer mensen die denken dat iets alleen maar "theoretisch" te hacken is..
18-08-2009, 16:18 door Anoniem
En hoe zijn ze achter zijn identiteit gekomen? Ik neem aan dat hij proxies heeft gebruikt? Vind ik erg raar dan. In de proxychain zal er vast een hoster/isp zijn wat niet met de logs kan/wil komen. Dus dan loopt het onderzoek dood. Vind het zeer merkwaardig dat ze er toch achter zijn gekomen.
18-08-2009, 20:58 door MrBil
230,000,000 x $0,70 is 161 miljoen euro. Is te doen zou je zeggen
18-08-2009, 22:58 door SirDice
Door Anoniem: En hoe zijn ze achter zijn identiteit gekomen?
Lees dat andere bericht ook even: http://www.security.nl/artikel/19260/1/Hackers_grootste_creditcard-diefstal_ooit_aangeklaagd.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search