Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Grootste Canadese sportketen geeft internetprovider schuld van datalek

zondag 7 juni 2020, 10:18 door Redactie, 15 reacties

De grootste sportketen van Canada, Fitness Depot, heeft klanten gewaarschuwd voor een datalek dat door toedoen van de internetprovider zou zijn veroorzaakt. Criminelen wisten een kwaadaardig formulier op de website van Fitness Depot te plaatsen dat klant- en betaalgegevens verzamelde en terugstuurde naar de aanvallers. Het formulier was van 18 februari tot 22 mei dit jaar op de website actief.

Op deze manier zijn namen, adresgegevens, e-mailadressen, telefoonnummers en creditcardnummers van een onbekend aantal klanten buitgemaakt. "Gebaseerd op voorlopig onderzoek lijkt het erop dat onze internetprovider heeft nagelaten om de antivirussoftware voor ons account te activeren", aldus de verklaring van Fitness Depot over de oorzaak van het datalek. Verdere details worden echter niet gegeven, zoals hoe de uitgeschakelde virusscanner tot het compromitteren van de website leidde.

De sportketen adviseert klanten in de datalekmelding om hun afschriften in de gaten te houden. Afsluitend laat het bedrijf weten dat het de bescherming van klantgegevens zeer serieus neemt en het excuses maakt voor eventueel ongemak. Fitness Depot wist de afgelopen zes jaar naar eigen zeggen meer dan 1,25 miljard dollar om te zetten.

Image

It-bedrijf moet schade door ransomware bij klant grotendeels vergoeden
Exploitcode voor kritiek SMBv3-lek in Windows 10 en Server online verschenen
Reacties (15)
Reageer met quote
07-06-2020, 11:20 door Anoniem
Het zou fijn zijn als ze ook laten weten waarom een provider hier dan ook maar iets van invloed op heeft..
Reageer met quote
07-06-2020, 11:57 door Anoniem
Is meer de fout van degene, die deze website beheert.
Reageer met quote
07-06-2020, 12:11 door Anoniem
Lachwekkend, zo goedkoop en snugger zijn om de malwarescanner aan je isp over te laten (is voor je opa en oma, sukkels..), al je transacties op PayPal te vertrouwen en twee weken na de breach pas je (potentiële) klanten te informeren. Dan ben je lekker bezig en geef je je isp maar de schuld, toch?
Naast dat Fitness Depot zichzelf onsterfelijk belachelijk maakt met hun 'What Happened' quotes, mogen ze hopelijk een claim van hun isp tegemoet zien wegens smaad en daar bovenop een dikke avg-boete wegens lekken van klantgegevens.
Reageer met quote
07-06-2020, 12:40 door Anoniem
De technische term is "hoster" aangezien het gaat om een website, niet "ISP", en hoe "niet activeren van antivirus-software op ons account" kon leiden tot een kwaadaardig formulier op de website ontgaat me ook even. Dus ik zeg dat deze sportketen (want al die vaagheden en onduidelijkheden komen uit het gelinkte persbericht) kennelijk zelf niet snapt wat er aan de hand is en/of niet genoeg kennis van zaken heeft om helder te verwoorden wat ze bedoelen. Wat ook wel weer te begrijpen is want ze verkopen tennisshirtjes dus hun website en dergelijke zullen ze ook wel ergens ingekocht hebben, maar laat dan tenminste iemand die er wel verstand heeft het woord voeren.
Reageer met quote
07-06-2020, 13:35 door Anoniem
Allemaal dozenschuiver-problematiek dus.

Een veilige website in de lucht tillen en houden moet je aan deskundigen overlaten.
Managers moeten shirtjes verkopen en aandeelhouders tevereden stellen, website security niet op orde.

M.i. had men hier IT-incompetenten in huis. Ga je mooi mee de bietenbrug op. Helpt geen shirtje tegen.

Wel een pentester en het inhuren van een ter zake kundige web-admin, die de ruimte krijgt iets te doen.
Wie voor een dubbeltje op de eerste rang wil zitten, zit dat ook en gaat niet de wereld rond.

luntrus
Reageer met quote
07-06-2020, 14:05 door Anoniem
Door Anoniem: De technische term is "hoster" aangezien het gaat om een website, niet "ISP", en hoe "niet activeren van antivirus-software op ons account" kon leiden tot een kwaadaardig formulier op de website ontgaat me ook even. Dus ik zeg dat deze sportketen (want al die vaagheden en onduidelijkheden komen uit het gelinkte persbericht) kennelijk zelf niet snapt wat er aan de hand is en/of niet genoeg kennis van zaken heeft om helder te verwoorden wat ze bedoelen. Wat ook wel weer te begrijpen is want ze verkopen tennisshirtjes dus hun website en dergelijke zullen ze ook wel ergens ingekocht hebben, maar laat dan tenminste iemand die er wel verstand heeft het woord voeren.
Dat is toch ook wat ze beweren? Ze hebben hun website ergens ingekocht en die partij heeft het verprutst, volgens hun.
Nergens voor nodig dat iedereen daar maar verstand van heeft, het probleem is die partijen die beweren dat ze er verstand
van hebben en alles voor je gaan regelen en dan hun handen eraf trekken als het fout gaat.
Reageer met quote
07-06-2020, 17:52 door Anoniem
Het is volkomen duidelijk dat een virusscanner niets te maken heeft met de aanwezigheid van een kwaadaardig "formulier". In de eerste plaats moet de server of de site een lek hebben bevat waardoor het mogelijk was dat formulier te uploaden. In de tweede plaats moet tenminste 1 bestand aangepast of vervangen zijn om dat formulier te kunnen tonen in het betalingsproces.

Een virusscanner scant alleen op bekende malware. De kans op detectie op het moment van misbruik ligt typisch dicht bij nul bij gehackte sites. Als er al sprake is van detectie is dat vaak lang nadat de malware gebruikt is.

Refereren naar ISP wanneer ze managed hoster bedoelen zegt al genoeg over het kennisniveau bij dit bedrijf. Als er al systeemmanagement was overeengekomen. Een server of rackspace huren komt niet inclusief virusscanners.

Ik kom regelmatig site beheerders tegen die denken dat malware van hun site een ongemak is, en dat het opgelost is door de malware te verwijderen. Dat beeld is totaal fout, de oorzaak van de malware neem je niet weg door de malware weg te nemen. Meestal moet je daarvoor patchen. Het duidt meestal op een gebrek aan server of site onderhoud.
Reageer met quote
07-06-2020, 18:11 door Anoniem
Door Anoniem: Allemaal dozenschuiver-problematiek dus.

Een veilige website in de lucht tillen en houden moet je aan deskundigen overlaten.
Managers moeten shirtjes verkopen en aandeelhouders tevereden stellen, website security niet op orde.

M.i. had men hier IT-incompetenten in huis. Ga je mooi mee de bietenbrug op. Helpt geen shirtje tegen.

Wel een pentester en het inhuren van een ter zake kundige web-admin, die de ruimte krijgt iets te doen.
Wie voor een dubbeltje op de eerste rang wil zitten, zit dat ook en gaat niet de wereld rond.

luntrus
Heb je ook het artikel gelezen EN begrepen.
Reageer met quote
07-06-2020, 18:15 door Anoniem
Door Anoniem: Dat is toch ook wat ze beweren? Ze hebben hun website ergens ingekocht en die partij heeft het verprutst, volgens hun.
Dat is niet wat er staat. Ze wijzen naar hun "ISP" die geen "antivirus" zou hebben geinstalleerd "op hun account". Dit is een beetje van het niveau "het internet werkt niet, dus de server is vast down." Op zichzelf technische termen, maar die combinatie geeft de techneut vooral hoofdpijn.

Nergens voor nodig dat iedereen daar maar verstand van heeft,
Dan huur je dus iemand voor je in om het op te zetten. En dan huur je ook iemand voor je in om uit te zoeken wat er precies misgegaan is en die dus ook een zinnig verhaal kan vertellen over wat er misgegaan is en hoe dat de betroffen klanten raakt.

Dat laaste hebben ze kennelijk niet gedaan want wat ze zeggen klopt geen hout van.

het probleem is die partijen die beweren dat ze er verstand
van hebben en alles voor je gaan regelen en dan hun handen eraf trekken als het fout gaat.
Het is niet gezegd dat dat het probleem is. Het kan heel goed zijn dat hier nu in het wilde weg naar oorzaken gewezen wordt die helemaal de oorzaken niet zijn.
Reageer met quote
07-06-2020, 21:10 door Anoniem
Heel veel bedrijven hebben ook in Nederland nog steeds het idee dat ze zelf geen enkele verantwoordelijk dragen voor hun website. Ze besteden als het ware al hun verantwoordelijkheden uit aan diverse experts die zelf geen enkele binding met het bedrijf hebben. Op facturen sturen na, dan.
Ze laten door een Design bureau een leuk ontwerp maken, besteden de implementatie uit aan een marketing/sea club die voor hen de doimeinnaam heeft geregistreerd en het ontwerp in een Wordpress website knoeit, vervolgens zetten deze marketing club het weer bij een aparte hoster neer en niemand kijkt meer naar de website om.

Dan komt het moment dat de Wordpress website helemaal is volgeblaft met malware en de hoster de website op zwart zet wegen kwaadaardig verkeer naar andere websites, fishing of spamruns en wat er allemaal meer kan met een lekke verouderde Wordpress installatie..

Ja, wie krijgt dan de schuld? De Hoster. Want de website staat toch op hun platform?

Met die logica kan ook iedereen zonder rijbewijs autorijden en is elk ongeluk de schuld van de overheid die laks is geweest met een veilig wegennet en als de benzine op is dan bel je toch boos de dealer op? Dat hadden ze wel mogen vertellen. auto onderhoudsbeurten? Nee, je briest gewoon tegen je dealer dat ie je op de hoogte had moeiten stellen dat de auto weer onderhoud nodig had .. hij is toch de expert en jij niet ?
Reageer met quote
08-06-2020, 08:42 door karma4
Door Anoniem: ...Met die logica kan ook iedereen zonder rijbewijs autorijden en is elk ongeluk de schuld van de overheid die laks is geweest met een veilig wegennet en als de benzine op is dan bel je toch boos de dealer op? Dat hadden ze wel mogen vertellen. auto onderhoudsbeurten? Nee, je briest gewoon tegen je dealer dat ie je op de hoogte had moeiten stellen dat de auto weer onderhoud nodig had .. hij is toch de expert en jij niet ?
Je hebt gelijk,
Laten we nu eens van de situatie uitgaan met dat autos vergelijk dat er gevraagd is voor het regelen vervoer van personen.
Dan wil ga je er van uit dat de auto's en de bestuurders bij de vervoerder deugdelijk zijn. Jet gaat als opdrachtgever in dat geval er van uit dat dat goed geregeld is en dat bij mogelijke fouten van autowrakken en onverantwoordelijke chauffeurs dat de dienstverlener daarvoor opdraait. Als opdrachtgever moet je wel reageren bij signalen dat het niet goed zou zitten.

Fitness Depot heeft duidelijk de kennis voor websites en ICT niet in huis, Het woordgebruik van virusscanner voor een website en ISP geeft dat aan. Wat je nodig hebt in dat soort gevallen is een SIEM IDS met IRS.
Als de dienstverlener niet aangeeft dat malwarebescherming op servers heel wat anders is dan een virusscanner op een desktop dan is de dienstverlener op dat punt als goed verwijtbaar de fout in gegaan.
Reageer met quote
08-06-2020, 09:02 door Anoniem
Door karma4: Fitness Depot heeft duidelijk de kennis voor websites en ICT niet in huis, Het woordgebruik van virusscanner voor een website en ISP geeft dat aan. Wat je nodig hebt in dat soort gevallen is een SIEM IDS met IRS.
Dit is een hele interessante logica. "Ze weten er niets van. In dat geval hebben ze een vreselijk ingewikkeld apparaat nodig, alleen geschikt voor gespecialiseerde experts."

Dat ze er kennelijk geen kaas van gegeten hebben, dat had ik er ook al wel uitgehaald. Dat dan deze reeks buzzwords is wat je nodig hebt is niet een conclusie die ik getrokken zou hebben.

Als de dienstverlener niet aangeeft dat malwarebescherming op servers heel wat anders is dan een virusscanner op een desktop dan is de dienstverlener op dat punt als goed verwijtbaar de fout in gegaan.
Je weet alleen wat ze zelf zeggen, dus je weet niet wat de dienstverlener aangegeven heeft, of zelfs of ze ook maar iets gevraagd is, of zelfs of dat er een dienstverlener was*, dus of ze iets te verwijten valt is zo niet te zeggen.

Wat we wel weten is dat een keten van tennisshirtjesverkopers nu hun klanten moet vertellen over een datalek. Volgens de regels van het spel moet je dan beterschap beloven enzo. In dit geval kiezen ze ervoor om vooral naar een andere partij te wijzen als nalatig dus was het niet hun eigen schuld. Tenminste onder Europese regels maakt dat geen drol uit, het is uiteindeljik toch hun eigen verantwoordelijkheid. Hoe het in Canada zit mag iemand anders vertellen.

* Een hoster, zeker de goedkoopste, zal zichzelf alleen als hostingverkoper zien, niet als "dienstverlener". Hij wordt ook niet betaald om mee te denken, maar alleen maar om een enkel "product" (eigenlijk een dienst, maar details) te leveren.
Reageer met quote
08-06-2020, 09:24 door Anoniem
Misschien heeft het hiermee te maken:
https://www.bleepingcomputer.com/news/security/rogers-data-breach-exposed-customer-info-in-unsecured-database/

De ISP zelf komt met deze melding.
Reageer met quote
08-06-2020, 10:59 door Anoniem
Door Anoniem: Heel veel bedrijven hebben ook in Nederland nog steeds het idee dat ze zelf geen enkele verantwoordelijk dragen voor hun website. Ze besteden als het ware al hun verantwoordelijkheden uit aan diverse experts die zelf geen enkele binding met het bedrijf hebben. Op facturen sturen na, dan.
Ja en terecht, kennelijk, zie het andere artikel wat vandaag op de site stond en waarin beschreven werd dat een IT
dienstverlener wel degelijk verantwoordelijk was voor het verloren gaan van de gegevens van een bedrijf als gevolg
van een malware aanval. Ze hadden de beveiliging beter moeten regelen en de backups deugdelijker moeten maken.

Dus wellicht moeten degenen die denken "ik maak alleen die site en pleur em ergens op een VPS en die klant die moet
maar zorgen dat ie veilig blijft" zich een keer achter de oren gaan krabben...

Tuurlijk als je alleen een kale VPS aanbiedt en geen software installeert ofzo dan ben je als hoster niet direct aan te
spreken, maar als je "wordpress sites host" dan is dat helemaal niet zo zeker, dan kun je best aangesproken worden
op het niet updaten ervan. En als je "voor een klant een website ontwerpt en regelt dat die ergens gehost wordt" met
een doorlopend contract met die klant (en met de hoster) dan al helemaal.
Reageer met quote
08-06-2020, 12:31 door karma4
Door Anoniem: .. Dat ze er kennelijk geen kaas van gegeten hebben, dat had ik er ook al wel uitgehaald. Dat dan deze reeks buzzwords is wat je nodig hebt is niet een conclusie die ik getrokken zou hebben. … [/url]
De buzzwords zouden toch redelijke bekend moeten zijn. Het is niet techniek maar de logische activiteiten.
- SIEM Security Infomation & Event Monitoring Zegt niet meer dan weten wat er gebeurt.
- IDS Intrusion Detection System Je moet weten kunnen constateren dat er wat mis is.
- IRS Incident Response System Verantwoord kunnen acteren als er wat mis is.
Een auto zonder dashboard komt tegenwoordig de weg niet meer op. Bij verkeerd gebruik dan wel diefstal gaat er van alles af. Heel nieuw met een ongeluk belt de auto zelf de hulpdiensten.

Nee een dienstverlener kan zich niet verbergen dat hij alles in opdracht van de verwerker deed.
https://www.security.nl/posting/660081/It-bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden
Opgenomen in de GDPR is dat een verwerker wel degelijk verantwoordelijk blijft. Artikel 28
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3139-1-1
"c) alle overeenkomstig artikel 32 vereiste maatregelen neemt;"
Het is de verwerker die de juiste technische maatregelen moet nemen en deze moet uitdragen naar de verwerkingsverantwoordelijke. (sigh)

Denk aan een taxichauffeur, degene die een taxi bestelt gaat er van uit de auto onderhoud en tankvoorraad door de chauffeur gedaan worden. De opdracht is enkel het vervoer van A naar B.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

4 reacties
Aantal stemmen: 187
Image
De verkiezingsprogramma's doorgelicht: Deel 1 cybersecurity
25-01-2021 door Redactie

Op woensdag 17 maart mogen alle Nederlanders van achttien jaar en ouder weer naar de stembus voor de Tweede Kamerverkiezingen. ...

28 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 2 privacy
29-01-2021 door Redactie

Nog een aantal weken en dan gaat Nederland weer naar de stembus om een nieuwe Tweede Kamer te kiezen. In aanloop naar de ...

20 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 3 Big Tech
14-02-2021 door Redactie

Het aftellen naar de verkiezingen is begonnen. Nog vier weken en dan mag Nederland in de stemlokalen en per post bepalen wie de ...

9 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter