"Het allerbelangrijkste zijn onze klanten en na uitgebreid onderzoek kunnen we zeggen dat er geen klantgegevens zijn gestolen’’

Dat is knap dat ze een dergelijke garantie kunnen geven, en interessant dat ze tijd hadden voor zo'n uitgebreid onderzoek op een moment dat je zou verwachten dat het alle hens aan dek voor het herstellen van de systemen zou zijn...

Ha! Ik had mijn klantgegevens een aantal maanden geleden al weggehaald.
Ik was nog eerder dan die hackers!

Als de klantgegevens op een aparte omgeving staat die niet getroffen is door de aanval dan kun je redelijk snel uitzoeken of deze gegevens zijn benadert of niet.

Ik kan me niet voorstellen dat er naast die 3000 servers die besmet zijn nog een aparte omgeving is waar de klantgegevens
op staan en die niet benaderd kan zijn.
Zeker ook omdat zaken als "artikel afhalen in de winkel" ook niet meer kan.
Het enige waar ze op kunnen hopen is dat die criminelen alleen gegevens encrypted hebben en niet gedownload.
Zou kunnen dat ze weten waar ze binnen zijn gekomen en daar bijv traffic graphs van hebben die vertellen dat er niet
vele gigabytes zijn gedownload, maar "geen" gegevens dat weet je dan nog niet, kan nog zijn dat er gegevens van 10
klanten gestolen zijn.

Waarom denk je dat het niet alle hens aan dek is om klantvertrouwen te stabiliseren? MediaMarkt bestaat net zoals alle tientallen miljoenen winkels over de hele wereld bij de gratie van iemand (klant) die iets koopt. Jij denkt dat MediaMarkt zich redt door alleen de IT weer op orde te krijgen ?? Als er na die redding alleen nog maar een straathond langs de MediaMarkt loopt om tegen de gevel zijn achterpootje op te lichten is het helemaal definitief failliet.

Waarom haat iedereen op security.nl echt ieder bedrijf? Zo triest

Ik vind dat niet zo vreemd. Met ruim 1000 filialen in Europa heb je het over maar zo'n 3 servers per filiaal, aangenomen dat alle filialen getroffen zijn. Het is heel goed denkbaar dat ze naast die servers een centraal systeem hebben waar alles bij elkaar komt, en dat de servers in de filialen vooral dienen om gegevens door te sluizen van en naar de centrale administratie, en om bepaalde locale functies af te handelen die voor de centrale administratie oninteressant zijn.

Bedenk dat de communicatie met zo'n centraal systeem niet via gedeelde schijven of databaseconnecties hoeft te lopen, het is ook mogelijk dat er remote APIs zijn gedefinieerd, gecommuniceerd wordt dus via strak gedefinieerde berichten die niets overbodigs bevatten (geen grafische opsmuk, geen macro's, alleen de kale letters en cijfers die in artikelnummers, namen en omschrijvingen etc. voorkomen) en dat die altijd goed gevalideerd worden op een geldige inhoud en op het centrale systeem nooit als iets anders worden geïnterpreteerd dan ze verondersteld worden te zijn. Het is voor ransomware verdomd moeilijk om een centraal systeem aan te tasten als er geen ingang is om daar uitvoerbare code naar over te brengen, en als versleutelde API-berichten of versleutelde gegevensvelden in die berichten direct bij ontvangst als onherkenbaar worden geblokkeerd.

Daar zou zo'n locale functie bij betrokken kunnen zijn met data die niet in de centrale administatie zit, of misschien kost het locaal inspanning om dit weer op orde te krijgen en geven ze voorrang aan het herstellen van andere dingen, zoals de directe verkoop, zodat dit wat langer duurt.

Als de klantgegevens op een centraal systeem staan dat niet gecompromitteerd is en toegang gelogd wordt dan is vrij makkelijk vast te stellen hoe het ervoor staat.

Ik weet niet hoe Mediamarkt zijn IT ingericht heeft, maar dit is gewoon een van de mogelijkheden, en voor zover ik nu kan overzien is wat er naar buiten komt consistent met een dergelijke architectuur. Dat ze, veel sneller dan menig ander die geraakt wordt door een ransomwareaanval, grotendeels weer operationeel zijn past bij het beeld dat de systemen die kritisch zijn niet geraakt zijn. Gegevens die niet op de systemen in de filialen staan hoeven ook niet hersteld te worden, wie weet is het een kwestie van alle systemen vanuit disk-images herinstalleren en weer doordraaien, met alleen verlies van gegevens die uitsluitend locaal aanwezig waren, zoals misschien iets dat voor het afhandelen van afhalen van bestellingen nodig is en nu extra tijd kost om weer op te bouwen.

Nogmaals: ik weet niet hoe Mediamarkt zijn IT ingericht heeft, dus ik heb geen idee of dit allemaal klopt. Mijn punt is dat zoiets als dit tot de mogelijkheden behoort, terwijl jij je een dergelijke opzet kennelijk niet voor kon stellen. Ik hoop dat dat je nu beter lukt ;-).

Je verwoord exact wat ik denk.

Dit soort stellige reacties in dit stadium van een cyber attack geven mij altijd het gevoel dat de markteing afdeling in de lead is en dat de communicatie over impact volledig onbetrouwbaar is.

Omdat gedegen onderzoeken wat er is gebeurd en of er gegevens gestolen zijn heel veel tijd kost van schaarse experts. Evalueer een aantal grote cyberattacks en je zal zien dat die tijdslijnen om goed inzicht te krijgen op de impact heel anders zijn dan 'drie dagen'.
En inderdaad, imago is voor een bedrijf als MediaMarkt heel belangrijk, daarom is (lijkt) nu de marketing afdeling in de lead voor wat betreft communicatie. Maar dit is wel heel korte termijn denken, als later blijkt dat er toch meer gestolen is (deze hackers groep staat erom bekend dat ze eerst data stelen), dan heb je als MediaMarkt een heel slecht verhaal.
Ik denk dat eerlijkheid hier het langst duurt. Als MediaMarkt uitlegt dat ze met man en macht bezig zijn om te onderzoeken wat er precies is gebeurd en of er klantgegevens buitgemaakt zijn, mensen daar prima begrip voor hebben. Zeker als je wat inhoudelijke kennis van enterprise omgevingen hebt weet je dat dit meer dan drie dagen kost.

Juist de diensten waar je klantgegevens nodig hebt werken niet.
Het is meer aannemelijk dat juist die systemen zijn geraakt.

Is mij ook al eens opgevallen. Ik heb het al vaker gezegd hier, ten eerste wordt een bedrijf die getroffen is door ransome ware of andere aanval als een boeman afgeschilderd, terwijl die hier ook niet om vragen. De echte criminelen zijn de aanvallers, die vergallen delen van onze samenleving.

Ik heb soms het idee dat veel gasten hier geen werk hebben, niet snappen dat iedereen een boterham hoeft te verdienen dat alles gewoon maar aan komt waaien. Staan schijnbaar niet stil wat dit financieel veroorzaakt, laat staan wat voor een stress die veroorzaakt bij de beheerders van het systeem.

Het is alleen maar negativiteit wat hier gevoed wordt. Negatief in het leven staan is een keus, iets wat je kunt omkeren als je er moeite voor doet. Maar de enige moeite die velen hier nemen is hun vingers over het toetsenbord laten dansen, en daar blijft het bij volgens mij.

Of zoals de schrijver aangeeft, los staan van de locale systemen en dat die verbindingen pas hersteld worden, op het moment dat alles veilig is.

Ik heb wat moeite met het voorstellen van een praktijksituatie waarbij men het A. zo goed voor elkaar heeft en B. dan toch nog 3000 servers heeft staan.
Wat jij beschrijft is prima te implementeren met een klassiek systeem (IBM CICS) waarbij je op je vestigingen alleen maar terminals hebt of computers die terminals emuleren. Maar in een dergelijke totaal gecentraliseerde infrastructuur ga je niet voor de lol ook nog even 3000 servers neerzetten!

Het is veel en veel waarschijnlijker dat er op die 3000 servers op zijn minst ook copietjes staan van de klant informatie die lokaal in de vestiging waar die server staat verwerkt zijn.
Kan zijn dat de centrale omgeving waar "alle klantinformatie in staat" niet geraakt is maar de conclusie dat er dan ook niks gelekt is dat lijkt me voorbarig...
Maar we gaan het zien. Zoals iemand anders al schreef, als er achteraf toch wat gelekt is dan gaat men dubbel op de bek.

O, ik weerspreek dat niet. Ik reageer slechts op de reactie: "alle hens aan dek voor het herstellen van de systemen " en dat je daarmee alleen het bedrijf niet redt omdat de klant de absolute basis is van het bestaan van MediaMarkt, en niet de IT.

Gevoelens hebben geen plaats bij cyber security. We reageren op data niet op persoon er is een reden waarom meeste zaken militaire termen hebben en we spreken over operations, red teams blue teams etc.


Een bedrijf verantwoordelijk voor de veiligheid van een enorme klantenbasis is getroffen waarbij 3000+ servers zijn vergrendeld. Dit bedrijf heeft daarnaast een track record van incidenten en niet leren van hun fouten.
https://nos.nl/artikel/2213786-mediamarkt-gaat-nog-steeds-slordig-om-met-wachtwoorden

Vervolgens komt het zelfde bedrijf met een bericht dat er geen contactgegevens gestolen zouden zijn en dat hebben ze in drie dagen onderzocht. Als je ervaring hebt in IT audits dan weet je dat je in drie dagen *niet* dit onderzocht hebt. Want je weet niet wanneer er infiltratie heeft plaatsgevonden daar moet je ver terug voor in je logs je kan de apparatuur ook niet on-site bekijken datadragers moeten gecloned worden en elke actie moet worden gelogd want 1 verkeerde handeling en je forensisch onderzoek is niets waard.

Daarna gaan de resultaten langs een redactie die controleert de rapportage op grammatica opbouw en factcheck. Dan krijgt de klant de rapportage en de kans op revisie met motivatie of hercontrole van bepaalde data. Je bent al gauw twee weken verder met redelijk simpele infrastructuur.

Dus nee drie dagen is *niet* geloofwaardig. Maar dat weet MediaMarkt ook ze zijn nu damage control aan het doen via PR wat logisch is economische belangen gaan bij dit soort bedrijven boven alle andere prioriteiten.
PR gaat uit van geen datalek tenzij anders bewezen. Auditors gaan uit van datalek tenzij anders bewezen.


En dan omtrent de response management:
Full disk encryption kost tijd een gemiddelde consumenten SSD in iets van 2 uur eengemiddelde HD 6 uur en dat is als er *geen* andere activiteit plaatsvind. Dit soort acties geven een enorme piek In IO requests en daarvoor moet je als beheerder alerts ontvangen in het NOC als je SOC al niet belt dat er excessief verbruik wordt geconstateerd en een beetje server heeft beveiliging hiertegen dat IO requests ernstig inperkt per service of user.

En de Ransomware zelf:
Daarnaast is Hive Ransomware niet bijzonder (ja gevaarlijk maar niet bijzonder in executie). Infiltratie via phishing, social engineering, tool misbruik in de vorm van Cobalt Strike, Connectwise en command execution via RDP https://www.ic3.gov/Media/News/2021/210825.pdf
https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike
https://www.joesandbox.com/analysis/191720/0/html

Dit soort situaties zijn *niet* goed te praten als je kennis van zaken hebt.
MIljoenen mensen hun gegevens zijn potentieel gestolen we weten ook dat de meeste mensen hoe dom het ook is zelfde inloggegevens gebruiken bij andere diensten dus dat geeft een cascading effect. Ze zullen jaren last ondervinden van verhoogd spam volume sommige zullen te maken krijgen met identiteits diefstal.

Dus met deze kennis moeten medeleiden hebben met het bedrijf die dit heeft toegelaten?
Onderzoek zal uitwijzen of er inderdaad geen data is gestolen alsmede field reports en media artikelen maar ieder in IT weet dat de kans vele malen hoger is dat er wel data gestolen is biedingen gestart gaan worden en er veel meer slijk naar bovenkomt drijven.

Oogkleppen voor doen is ook een keuze ik kies liever voor de negativiteit voeden door nergens sugarcoating te verkondigen.

Mediamarkt - wasda?

In uw voorstelling is het duidelijk dat u niet wordt gehinderd door kennis van winkel informatiesystemen. Wel jammer dat juist dat de grootste schreeuwers zijn op een site als dit...

Hebben burgers gekozen voor een digitale samenleving?

1998 vs 2021

The Matrix