Bank mailde gegevens 10.000 klanten naar verkeerde domein
De Australische Commonwealth Bank (CBA) heeft in 2016 en 2017 honderden e-mails met de data van 10.000 klanten naar een verkeerd domein gestuurd. CBA gebruikt cba.com.au als intern e-maildomein. Bankmedewerkers stuurden interne e-mails echter naar het domein cba.com, dat niet van de bank was.
Het ging in totaal om 651 e-mails met de data van zo'n 10.000 klanten. De Commonwealth Bank wist vorig jaar april de domeinnaam in handen te krijgen. Vandaag laat de bank in een verklaring weten dat alle verstuurde interne e-mails automatisch door de toenmalige eigenaar van cba.com werden verwijderd. Alleen informatie over de afzender, ontvanger en onderwerp van de e-mail zouden zijn opgeslagen. De bank stelt verder dat de klantgegevens niet zijn gebruikt en permanent zijn verwijderd. Alle klanten waarvan de gegevens zijn verstuurd worden door de bank ingelicht.
Veel inepter en nog steeds emails versturen lijkt me lastig.
Het zullen ook veel cc mailtjes naar interne adressen geweest zijn. Die worden misschien niet eens gemist als ze verkeerd gaan, omdat de bedoelde ontvanger wel zijn mail krijgt.
De snelste oplossing was het blokkeren van dit domein via de interne dns server wat ze blijkbaar al in januari 2017 gedaan hebben.
Het kopen van dat domein was dan alleen nodig voor mail die vanaf een externe locatie verstuurd werd. Er kunnen ook kanten zijn met mail voor de bank die dezelfde fout maken. En dat kun je goed oplossen door dat domein uit de lucht te halen waar de vergissingen mee plaats vinden.
De vraag blijft bij mij, waarom dit pas in 2016 begon? Als je dit soort fouten in 2016 maakt, zullen ze toch ook in jaren ervoor gemaakt zijn? Of is die foute naam een database binnengeslopen gedurende 2016?
Of werden ervoor ook al foute mails verstuurd? Ik denk het wel als je tussen de regels leest. Dat domein was vanaf 2016 in eigendom van een cyber security bedrijf. Zij hebben alles goed gelogd en daar zijn 651 e-mails naar toe gegaan.
Hiervoor was dit domein in eigendom van weer een ander bedrijf. De mededeling van de bank gaat er niet op in of daar wel of niet mailtjes naar toe gestuurd zijn. (Dus in de periode vóór 2016). Dit zal zeker ook gebeurd zijn, want anders was wel nadrukkelijk vermeld dat er geen foute mailtjes verstuurd zijn vóór 2016.
Hiervoor was dit domein in eigendom van weer een ander bedrijf. De mededeling van de bank gaat er niet op in of daar wel of niet mailtjes naar toe gestuurd zijn. (Dus in de periode vóór 2016). Dit zal zeker ook gebeurd zijn, want anders was wel nadrukkelijk vermeld dat er geen foute mailtjes verstuurd zijn vóór 2016.
Die paniek is (meestal) niet nodig hoor. Op het werk hebben we lang geleden ook een domein in gebruik genomen wat
daarvoor van een ander bedrijfje geweest was en de mail adressen waarnaar soms nog gemaild werd waren volgens een
andere structuur dan wij gebruiken dus die bestonden nooit, en de mail werd in SMTP fase gewoon geweigerd met
een 550 error. Die errors werden wel gelogd (en het werden er uiteraard steeds minder) maar de mails zelf die kwamen
niet binnen. Dat zal in de meeste gevallen zo gaan.
Je hebt gelijk. De meeste mailservers staan ingesteld om mail te weigeren als de locale gebruiker niet bestaat. De meeste gebruikers zullen onbekend zijn in een andere omgeving. Alleen gebruikers als "info", "postmaster" etc zullen vaak aanwezig zijn.
Bij een mailserver als postfix staat b.v. de optie "REJECTING MAIL FOR UNKNOWN LOCAL USERS" standaard aan.
Dat alle mail bij het Cybersecurity bedrijf wel is afgeleverd, zal zijn omdat zij mail aan onbekende gebruikers naar een verzamelpostbus stuurden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.