image

Grootste Canadese sportketen geeft internetprovider schuld van datalek

zondag 7 juni 2020, 10:18 door Redactie, 15 reacties

De grootste sportketen van Canada, Fitness Depot, heeft klanten gewaarschuwd voor een datalek dat door toedoen van de internetprovider zou zijn veroorzaakt. Criminelen wisten een kwaadaardig formulier op de website van Fitness Depot te plaatsen dat klant- en betaalgegevens verzamelde en terugstuurde naar de aanvallers. Het formulier was van 18 februari tot 22 mei dit jaar op de website actief.

Op deze manier zijn namen, adresgegevens, e-mailadressen, telefoonnummers en creditcardnummers van een onbekend aantal klanten buitgemaakt. "Gebaseerd op voorlopig onderzoek lijkt het erop dat onze internetprovider heeft nagelaten om de antivirussoftware voor ons account te activeren", aldus de verklaring van Fitness Depot over de oorzaak van het datalek. Verdere details worden echter niet gegeven, zoals hoe de uitgeschakelde virusscanner tot het compromitteren van de website leidde.

De sportketen adviseert klanten in de datalekmelding om hun afschriften in de gaten te houden. Afsluitend laat het bedrijf weten dat het de bescherming van klantgegevens zeer serieus neemt en het excuses maakt voor eventueel ongemak. Fitness Depot wist de afgelopen zes jaar naar eigen zeggen meer dan 1,25 miljard dollar om te zetten.

Image

Reacties (15)
07-06-2020, 11:20 door Anoniem
Het zou fijn zijn als ze ook laten weten waarom een provider hier dan ook maar iets van invloed op heeft..
07-06-2020, 11:57 door Anoniem
Is meer de fout van degene, die deze website beheert.
07-06-2020, 12:11 door Anoniem
Lachwekkend, zo goedkoop en snugger zijn om de malwarescanner aan je isp over te laten (is voor je opa en oma, sukkels..), al je transacties op PayPal te vertrouwen en twee weken na de breach pas je (potentiële) klanten te informeren. Dan ben je lekker bezig en geef je je isp maar de schuld, toch?
Naast dat Fitness Depot zichzelf onsterfelijk belachelijk maakt met hun 'What Happened' quotes, mogen ze hopelijk een claim van hun isp tegemoet zien wegens smaad en daar bovenop een dikke avg-boete wegens lekken van klantgegevens.
07-06-2020, 12:40 door Anoniem
De technische term is "hoster" aangezien het gaat om een website, niet "ISP", en hoe "niet activeren van antivirus-software op ons account" kon leiden tot een kwaadaardig formulier op de website ontgaat me ook even. Dus ik zeg dat deze sportketen (want al die vaagheden en onduidelijkheden komen uit het gelinkte persbericht) kennelijk zelf niet snapt wat er aan de hand is en/of niet genoeg kennis van zaken heeft om helder te verwoorden wat ze bedoelen. Wat ook wel weer te begrijpen is want ze verkopen tennisshirtjes dus hun website en dergelijke zullen ze ook wel ergens ingekocht hebben, maar laat dan tenminste iemand die er wel verstand heeft het woord voeren.
07-06-2020, 13:35 door Anoniem
Allemaal dozenschuiver-problematiek dus.

Een veilige website in de lucht tillen en houden moet je aan deskundigen overlaten.
Managers moeten shirtjes verkopen en aandeelhouders tevereden stellen, website security niet op orde.

M.i. had men hier IT-incompetenten in huis. Ga je mooi mee de bietenbrug op. Helpt geen shirtje tegen.

Wel een pentester en het inhuren van een ter zake kundige web-admin, die de ruimte krijgt iets te doen.
Wie voor een dubbeltje op de eerste rang wil zitten, zit dat ook en gaat niet de wereld rond.

luntrus
07-06-2020, 14:05 door Anoniem
Door Anoniem: De technische term is "hoster" aangezien het gaat om een website, niet "ISP", en hoe "niet activeren van antivirus-software op ons account" kon leiden tot een kwaadaardig formulier op de website ontgaat me ook even. Dus ik zeg dat deze sportketen (want al die vaagheden en onduidelijkheden komen uit het gelinkte persbericht) kennelijk zelf niet snapt wat er aan de hand is en/of niet genoeg kennis van zaken heeft om helder te verwoorden wat ze bedoelen. Wat ook wel weer te begrijpen is want ze verkopen tennisshirtjes dus hun website en dergelijke zullen ze ook wel ergens ingekocht hebben, maar laat dan tenminste iemand die er wel verstand heeft het woord voeren.
Dat is toch ook wat ze beweren? Ze hebben hun website ergens ingekocht en die partij heeft het verprutst, volgens hun.
Nergens voor nodig dat iedereen daar maar verstand van heeft, het probleem is die partijen die beweren dat ze er verstand
van hebben en alles voor je gaan regelen en dan hun handen eraf trekken als het fout gaat.
07-06-2020, 17:52 door Anoniem
Het is volkomen duidelijk dat een virusscanner niets te maken heeft met de aanwezigheid van een kwaadaardig "formulier". In de eerste plaats moet de server of de site een lek hebben bevat waardoor het mogelijk was dat formulier te uploaden. In de tweede plaats moet tenminste 1 bestand aangepast of vervangen zijn om dat formulier te kunnen tonen in het betalingsproces.

Een virusscanner scant alleen op bekende malware. De kans op detectie op het moment van misbruik ligt typisch dicht bij nul bij gehackte sites. Als er al sprake is van detectie is dat vaak lang nadat de malware gebruikt is.

Refereren naar ISP wanneer ze managed hoster bedoelen zegt al genoeg over het kennisniveau bij dit bedrijf. Als er al systeemmanagement was overeengekomen. Een server of rackspace huren komt niet inclusief virusscanners.

Ik kom regelmatig site beheerders tegen die denken dat malware van hun site een ongemak is, en dat het opgelost is door de malware te verwijderen. Dat beeld is totaal fout, de oorzaak van de malware neem je niet weg door de malware weg te nemen. Meestal moet je daarvoor patchen. Het duidt meestal op een gebrek aan server of site onderhoud.
07-06-2020, 18:11 door Anoniem
Door Anoniem: Allemaal dozenschuiver-problematiek dus.

Een veilige website in de lucht tillen en houden moet je aan deskundigen overlaten.
Managers moeten shirtjes verkopen en aandeelhouders tevereden stellen, website security niet op orde.

M.i. had men hier IT-incompetenten in huis. Ga je mooi mee de bietenbrug op. Helpt geen shirtje tegen.

Wel een pentester en het inhuren van een ter zake kundige web-admin, die de ruimte krijgt iets te doen.
Wie voor een dubbeltje op de eerste rang wil zitten, zit dat ook en gaat niet de wereld rond.

luntrus
Heb je ook het artikel gelezen EN begrepen.
07-06-2020, 18:15 door Anoniem
Door Anoniem: Dat is toch ook wat ze beweren? Ze hebben hun website ergens ingekocht en die partij heeft het verprutst, volgens hun.
Dat is niet wat er staat. Ze wijzen naar hun "ISP" die geen "antivirus" zou hebben geinstalleerd "op hun account". Dit is een beetje van het niveau "het internet werkt niet, dus de server is vast down." Op zichzelf technische termen, maar die combinatie geeft de techneut vooral hoofdpijn.

Nergens voor nodig dat iedereen daar maar verstand van heeft,
Dan huur je dus iemand voor je in om het op te zetten. En dan huur je ook iemand voor je in om uit te zoeken wat er precies misgegaan is en die dus ook een zinnig verhaal kan vertellen over wat er misgegaan is en hoe dat de betroffen klanten raakt.

Dat laaste hebben ze kennelijk niet gedaan want wat ze zeggen klopt geen hout van.

het probleem is die partijen die beweren dat ze er verstand
van hebben en alles voor je gaan regelen en dan hun handen eraf trekken als het fout gaat.
Het is niet gezegd dat dat het probleem is. Het kan heel goed zijn dat hier nu in het wilde weg naar oorzaken gewezen wordt die helemaal de oorzaken niet zijn.
07-06-2020, 21:10 door Anoniem
Heel veel bedrijven hebben ook in Nederland nog steeds het idee dat ze zelf geen enkele verantwoordelijk dragen voor hun website. Ze besteden als het ware al hun verantwoordelijkheden uit aan diverse experts die zelf geen enkele binding met het bedrijf hebben. Op facturen sturen na, dan.
Ze laten door een Design bureau een leuk ontwerp maken, besteden de implementatie uit aan een marketing/sea club die voor hen de doimeinnaam heeft geregistreerd en het ontwerp in een Wordpress website knoeit, vervolgens zetten deze marketing club het weer bij een aparte hoster neer en niemand kijkt meer naar de website om.

Dan komt het moment dat de Wordpress website helemaal is volgeblaft met malware en de hoster de website op zwart zet wegen kwaadaardig verkeer naar andere websites, fishing of spamruns en wat er allemaal meer kan met een lekke verouderde Wordpress installatie..

Ja, wie krijgt dan de schuld? De Hoster. Want de website staat toch op hun platform?

Met die logica kan ook iedereen zonder rijbewijs autorijden en is elk ongeluk de schuld van de overheid die laks is geweest met een veilig wegennet en als de benzine op is dan bel je toch boos de dealer op? Dat hadden ze wel mogen vertellen. auto onderhoudsbeurten? Nee, je briest gewoon tegen je dealer dat ie je op de hoogte had moeiten stellen dat de auto weer onderhoud nodig had .. hij is toch de expert en jij niet ?
08-06-2020, 08:42 door karma4
Door Anoniem: ...Met die logica kan ook iedereen zonder rijbewijs autorijden en is elk ongeluk de schuld van de overheid die laks is geweest met een veilig wegennet en als de benzine op is dan bel je toch boos de dealer op? Dat hadden ze wel mogen vertellen. auto onderhoudsbeurten? Nee, je briest gewoon tegen je dealer dat ie je op de hoogte had moeiten stellen dat de auto weer onderhoud nodig had .. hij is toch de expert en jij niet ?
Je hebt gelijk,
Laten we nu eens van de situatie uitgaan met dat autos vergelijk dat er gevraagd is voor het regelen vervoer van personen.
Dan wil ga je er van uit dat de auto's en de bestuurders bij de vervoerder deugdelijk zijn. Jet gaat als opdrachtgever in dat geval er van uit dat dat goed geregeld is en dat bij mogelijke fouten van autowrakken en onverantwoordelijke chauffeurs dat de dienstverlener daarvoor opdraait. Als opdrachtgever moet je wel reageren bij signalen dat het niet goed zou zitten.

Fitness Depot heeft duidelijk de kennis voor websites en ICT niet in huis, Het woordgebruik van virusscanner voor een website en ISP geeft dat aan. Wat je nodig hebt in dat soort gevallen is een SIEM IDS met IRS.
Als de dienstverlener niet aangeeft dat malwarebescherming op servers heel wat anders is dan een virusscanner op een desktop dan is de dienstverlener op dat punt als goed verwijtbaar de fout in gegaan.
08-06-2020, 09:02 door Anoniem
Door karma4: Fitness Depot heeft duidelijk de kennis voor websites en ICT niet in huis, Het woordgebruik van virusscanner voor een website en ISP geeft dat aan. Wat je nodig hebt in dat soort gevallen is een SIEM IDS met IRS.
Dit is een hele interessante logica. "Ze weten er niets van. In dat geval hebben ze een vreselijk ingewikkeld apparaat nodig, alleen geschikt voor gespecialiseerde experts."

Dat ze er kennelijk geen kaas van gegeten hebben, dat had ik er ook al wel uitgehaald. Dat dan deze reeks buzzwords is wat je nodig hebt is niet een conclusie die ik getrokken zou hebben.

Als de dienstverlener niet aangeeft dat malwarebescherming op servers heel wat anders is dan een virusscanner op een desktop dan is de dienstverlener op dat punt als goed verwijtbaar de fout in gegaan.
Je weet alleen wat ze zelf zeggen, dus je weet niet wat de dienstverlener aangegeven heeft, of zelfs of ze ook maar iets gevraagd is, of zelfs of dat er een dienstverlener was*, dus of ze iets te verwijten valt is zo niet te zeggen.

Wat we wel weten is dat een keten van tennisshirtjesverkopers nu hun klanten moet vertellen over een datalek. Volgens de regels van het spel moet je dan beterschap beloven enzo. In dit geval kiezen ze ervoor om vooral naar een andere partij te wijzen als nalatig dus was het niet hun eigen schuld. Tenminste onder Europese regels maakt dat geen drol uit, het is uiteindeljik toch hun eigen verantwoordelijkheid. Hoe het in Canada zit mag iemand anders vertellen.

* Een hoster, zeker de goedkoopste, zal zichzelf alleen als hostingverkoper zien, niet als "dienstverlener". Hij wordt ook niet betaald om mee te denken, maar alleen maar om een enkel "product" (eigenlijk een dienst, maar details) te leveren.
08-06-2020, 09:24 door Anoniem
Misschien heeft het hiermee te maken:
https://www.bleepingcomputer.com/news/security/rogers-data-breach-exposed-customer-info-in-unsecured-database/

De ISP zelf komt met deze melding.
08-06-2020, 10:59 door Anoniem
Door Anoniem: Heel veel bedrijven hebben ook in Nederland nog steeds het idee dat ze zelf geen enkele verantwoordelijk dragen voor hun website. Ze besteden als het ware al hun verantwoordelijkheden uit aan diverse experts die zelf geen enkele binding met het bedrijf hebben. Op facturen sturen na, dan.
Ja en terecht, kennelijk, zie het andere artikel wat vandaag op de site stond en waarin beschreven werd dat een IT
dienstverlener wel degelijk verantwoordelijk was voor het verloren gaan van de gegevens van een bedrijf als gevolg
van een malware aanval. Ze hadden de beveiliging beter moeten regelen en de backups deugdelijker moeten maken.

Dus wellicht moeten degenen die denken "ik maak alleen die site en pleur em ergens op een VPS en die klant die moet
maar zorgen dat ie veilig blijft" zich een keer achter de oren gaan krabben...

Tuurlijk als je alleen een kale VPS aanbiedt en geen software installeert ofzo dan ben je als hoster niet direct aan te
spreken, maar als je "wordpress sites host" dan is dat helemaal niet zo zeker, dan kun je best aangesproken worden
op het niet updaten ervan. En als je "voor een klant een website ontwerpt en regelt dat die ergens gehost wordt" met
een doorlopend contract met die klant (en met de hoster) dan al helemaal.
08-06-2020, 12:31 door karma4
Door Anoniem: .. Dat ze er kennelijk geen kaas van gegeten hebben, dat had ik er ook al wel uitgehaald. Dat dan deze reeks buzzwords is wat je nodig hebt is niet een conclusie die ik getrokken zou hebben. … [/url]
De buzzwords zouden toch redelijke bekend moeten zijn. Het is niet techniek maar de logische activiteiten.
- SIEM Security Infomation & Event Monitoring Zegt niet meer dan weten wat er gebeurt.
- IDS Intrusion Detection System Je moet weten kunnen constateren dat er wat mis is.
- IRS Incident Response System Verantwoord kunnen acteren als er wat mis is.
Een auto zonder dashboard komt tegenwoordig de weg niet meer op. Bij verkeerd gebruik dan wel diefstal gaat er van alles af. Heel nieuw met een ongeluk belt de auto zelf de hulpdiensten.

Nee een dienstverlener kan zich niet verbergen dat hij alles in opdracht van de verwerker deed.
https://www.security.nl/posting/660081/It-bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden
Opgenomen in de GDPR is dat een verwerker wel degelijk verantwoordelijk blijft. Artikel 28
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3139-1-1
"c) alle overeenkomstig artikel 32 vereiste maatregelen neemt;"
Het is de verwerker die de juiste technische maatregelen moet nemen en deze moet uitdragen naar de verwerkingsverantwoordelijke. (sigh)

Denk aan een taxichauffeur, degene die een taxi bestelt gaat er van uit de auto onderhoud en tankvoorraad door de chauffeur gedaan worden. De opdracht is enkel het vervoer van A naar B.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.