Gehackt bedrijf wil slachtoffers virusscanner geven
Een bedrijf waar hackers de gegevens van 6 miljoen mensen wisten te stelen, komt er niet vanaf door slachtoffers alleen een virusscanner aan te bieden, zo heeft een Amerikaanse rechter bepaald. De rechter vond de schikking die Ameritrade wilde treffen niet eerlijk, redelijk of adequaat, omdat die voornamelijk het bedrijf ten goede zou komen en niet de slachtoffers. In september 2007 waarschuwde Ameritrade dat aanvallers een database hadden gehackt met de namen, adresgegevens, telefoonnummers en handelsinformatie van meer dan zes miljoen klanten. De gestolen informatie werd later gebruikt om klanten te spammen.
Naast het verstrekken van een virusscanner zou het bedrijven ook het netwerk op beveiligingslekken laten auditen. Een veel te mager aanbod, aldus de rechter, die opmerkte dat elk respectabel bedrijf pentesten regelmatig hoort uit te laten voeren. "De twee zeer tijdelijke oplossingen overtuigen het hof er niet van dat het bedrijf de veiligheid van klantgegevens op een serieuze manier heeft opgelost of dit zal doen, laat staan dat het aanwijsbare voordelen biedt." Een woordvoerster van Ameritrade is teleurgesteld over de afwijzing van de schikking. "We vonden dat het eerlijk en redelijk was." In december zitten beide partijen weer om de tafel. "We hebben nog verschillende opties", aldus de woordvoerster.
Chocola
Beveiligingsexpert Ira Winkler noemt het aanbod van Ameritrade lachwekkend. "Het aanbieden van anti-virus software is nog belachelijker. Er is absoluut geen enkele manier hoe anti-virus software identiteitsdiefstal kan voorkomen als de crimineel al over alle identificerende informatie beschikt. Ameritrade had beter elk slachtoffer een doos chocola kunnen geven, dat zou tenminste helpen met het verlagen van de stress omdat je kreditrating in puin ligt."
krijg je dan ook een windows CD ,met virus scanner ? xD
Wat een uitspraak !!
Dus als er dan iets gebeurd dan staat ie wettelijk uit de wind.
Wat een onzin.
Hoe vaak dan wel meneer de Rechter
1 x maand - 2 x jaar ??
Hoe kom je daar in hemelsnaam bij. Dat je audits uitvoert betekent nog niet dat je geen aansprakelijkheid meer hebt. Daarnaast heeft de rechter volledig gelijk, audits / pen testen horen standaard procedure te zijn, en niet een reactie achteraf op een incident ?
krijg je dan ook een windows CD ,met virus scanner ? xD
Inloggen met je eigen pc (met bijvoorbeeld digipass) die je verbindt met een (dichtgetimmerde) virtuele computer. Deze maakt op zijn beurt weer contact met de database's van de bank/financiele instelling. Kost wat maar is veilig.
Het Orakel
Inloggen met je eigen pc (met bijvoorbeeld digipass) die je verbindt met een (dichtgetimmerde) virtuele computer. Deze maakt op zijn beurt weer contact met de database's van de bank/financiele instelling. Kost wat maar is veilig.
Het Orakel
Dat iets dichtgetimmerd is, wil nog niet zeggen dat het veilig is.
Gooi nog een proxy en IDP/IPS tussen de dichtgetimmerde (virtuele) computer en je database en je bent weer een stukje veiliger (en armer qua financieel geld :) ).
Inloggen met je eigen pc (met bijvoorbeeld digipass) die je verbindt met een (dichtgetimmerde) virtuele computer. Deze maakt op zijn beurt weer contact met de database's van de bank/financiele instelling. Kost wat maar is veilig.
Het Orakel
Dat iets dichtgetimmerd is, wil nog niet zeggen dat het veilig is.
Gooi nog een proxy en IDP/IPS tussen de dichtgetimmerde (virtuele) computer en je database en je bent weer een stukje veiliger (en armer qua financieel geld :) ).
Allemaal erg leuk maar wat het dichttimmeren van de endpoint gaat helpen als je gegevens uit de centrale database van een bedrijf worden gestolen is me nog niet echt duidelijk. Daarnaast is het zo dat een virtuele computer nog steeds kwetsbaar kan zijn voor aanvallen. Ook een virtuele computer moet beschermd worden.
Je kunt je kind in een zandbak laten spelen maar als honden hun behoefte in de zandbak doen is het toch verstandig om je maatregelen te nemen om geen besmettelijke ziektes op te lopen.
[/quote]
Het probleem is niet het endpoint, maar de manier waarop ze inloggen. Als je het op de tussenliggende (virtuele) pc onmogelijk maakt om foute software te installeren kun je ook er van uitgaan dat het wat moeilijker wordt om hogerop te hacken. Het bedrijf is aangeklaagd omdat ze te weinig gedaan hadden om de inloggers te controleren dat ze soft/hard combi op orde hadden. Rabo voorkomt dit door een tijdelijke sleutel te genereren met de digipass. Blijkbaar was bij dit bedrijf een un/pw voldoende....en dit kan misbruikt worden.......
Het Orakel
Kan überhaupt een bedrijf dan eigenlijk nog wel absolute veiligheid garanderen?
Onze overheid slaat ook al onze privacy minstens 5 jaar "veilig" op (ook via uw provider.)
Privacy heeft één levens-duur en hoeft maar 1 keer gestolen te worden, het is onomkeerbaar.
(IP Logged)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.