Partner MasterCard gehackt; 40 miljoen klanten getroffen
MasterCard heeft gewaarschuwd voor de grootste datadiefstal ooit in de Amerikaanse geschiedenis. Aanvallers wisten de systemen van creditcardverwerker CardSystems Solutions te hacken en zouden de gegevens van 40 miljoen MasterCard klanten hebben gestolen. Via een lek in het systeem wisten de aanvallers het netwek te infiltreren en toegang te krijgen tot de gegevens van de kaarthouders, zo laat het bedrijf in een verklaring weten. Een op de zeven uitgegeven creditcards in Amerika loopt mogelijk door de aanval gevaar. Van 68.000 MasterCard accounts is het zeker dat de gegevens gestolen zijn, de rest wordt nog onderzocht.
CardSystems verwerkt jaarlijks voor meer dan 15 miljard dollar aan creditcard transacties. Klanten zijn niet aansprakelijk voor ongeautoriseerde transacties, en mocht dit plaatsvinden, moeten dit meteen melden, zo laat MasterCard weten. Aangezien erop de kaarten geen persoonlijke informatie, zoals SoFi-nummer en geboortedatum, vermeld staat, hoeft men zich geen zorgen te maken over identiteitsdiefstal.
Het is de zoveelste keer in de korte tijd dat klantengegevens gevaar lopen. In April verloor het bedrijf Amertrade backup tapes met de gegevens van 200.000 klanten. Ook Citigroup en de Bank of America verloren backup tapes, met de gegevens van respectievelijk 3,9 miljoen en 1,2 miljoen rekeninghouders. Eerder dit jaar gaf gegevensverstrekker ChoicePoint de informatie van 150.000 burgers aan een groep criminelen die zich als legitiem bedrijf voordeden. "Pas als individuen of het bestuur voor dit soort diefstallen verantwoordelijk gehouden kunnen worden, zal men pas optreden. Tot die tijd doen bedrijven zo weinig mogelijk", aldus Mitchell Ashley van StillSecure.
Met dank aan Frans E voor het melden van dit nieuws
Update: Titel aangepast
infiltreren en toegang te krijgen tot de gegevens van de kaarthouders
Een lek is het zeker. De vraag is alleen of dit menselijke of een technische
fout was. De 1e batch met gegevens werden via een
[url=http://www.wkyc.com/news/news_fullstory.asp?id=36590]virus
besmetting[/url] verkregen van CardSystems volgens een woordvoerder
van MasterCard.
nummers op de achterkant)
600 MB over een pijp trekken en het valt niet op ????
Stel de hebben NAW gegevens erbij: b.v. naam 20 bytes, adres+postcode
15 bytes, woonplaats 15 bytes = 50 bytes x 40 miljoen = 2000 MB
Dus 2600MB valt niet op....
En dit ervan uitgaande dat het in 1 file stond, wat onwaarschijnlijk is tenzij
het een database dump was, maar dan staat er nog veel meer informatie
bij zoals transactie history e.d. waarbij de grote minimaal 2 keer zo groot
kan zijn (gemiddeld 1 transactie per card met NAW winkel, adres,
omschrijving e.d.)
Stel het ging via een lame XML, SQL injection (of rechtreeks database
query) dan moet men misschien wel 40 miljoen een loop zijn uitgevoerd,
wat ook niet is opgevallen....
Al met al stinkt deze zaak.
Zeker als je deze zin leest:
"Van 68.000 MasterCard accounts is het zeker dat de gegevens gestolen
zijn, de rest wordt nog onderzocht. "
Indien je dit al niet met zekerheid kunt stellen.
met hoeveel dataverkeer eruit gaat. Volgens mij hebben die
een massa aan dataverkeer dat het niet eens opvalt. Dus
jouw verhaaltje klopt ook niet.
uit gaat. Dat is niet vreemd, maar heel normaal. Aangezien
ze niet weten hoeveel meer, dan 68.000 er weg is, zal het
wel op een andere manier zijn gegaan. Backup tapes, of
gewoon een mendewerker van het bedrijf. Nog steeds is het zo
dat de meeste security leaks menselijk zijn en niet technisch !
Ik denk niet dat er iemand zich fulltime gaat bezighouden
met hoeveel dataverkeer eruit gaat. Volgens mij hebben die
een massa aan dataverkeer dat het niet eens opvalt. Dus
jouw verhaaltje klopt ook niet.
Niet fulltime wellicht, maar het is wel een onderdeel van je te monitoren
zaken, desnoods dat je genotified word.
Aan het eind van de maand moet men voor de gebruikte bandbreedte
opdraaien en dat zal indien er ECHT nergens iets werd bijgehouden toch
wel een telefoontje van accountant richting security officer opleveren.
Jawel, er wordt wel fulltime gekeken hoeveel data de deur
uit gaat. Dat is niet vreemd, maar heel normaal.
inderdaad, een beetje organisatie heeft een afdeling die zich met
performance monitoring bezig houd en die vanuit dat optiek controleert of
SLA's wel gehaald worden e.d. (en anders word dat bij systeem beheer
belegt.)
Aangezien
ze niet weten hoeveel meer, dan 68.000 er weg is, zal het
wel op een andere manier zijn gegaan. Backup tapes, of
gewoon een mendewerker van het bedrijf. Nog steeds is het zo
dat de meeste security leaks menselijk zijn en niet technisch !
Inderdaad, het is merkwaardig dat je een specifiek getal wel weet maar de
rest slechts vermoed... Doet me denken aan situaties waarin alle logs
gewist werden maar een "partial" log ergens nog te vinden was....
http://www.planet.nl/planet/show/id=118880/contentid=589145/sc=0bb6ac
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
