Nieuws
image

TJX betaalt 10 miljoen dollar wegens hackeraanval

donderdag 25 juni 2009, 11:21 door Redactie, 3 reacties

Retailketen TJX, waar een van de grootste diefstal van creditcards in de geschiedenis plaatsvond, betaalt een kleine 10 miljoen dollar om alle lopen zaken en onderzoeken te schikken. Wegens een slecht beveiligd draadloos netwerk wisten aanvallers een netwerksniffer te plaatsen die zo'n 50 miljoen creditcard onderschepte. De leider van de criminelen hield er een riante levensstijl op na. T.J. Maxx betaalt 7,25 miljoen dollar om alle aanklachten en het onderzoek te schikken. Verder gaat er nog 2,5 miljoen dollar naar een "databeveiligingsfonds" van de 41 staten waar de retailketen een deal mee maakte.

Nalatig
In een verklaring laat TJX weten dat het ervan overtuigd is dat het de databeschermingswetgeving niet overtreden heeft. De Californische Minister van Justitie was het daar niet mee eens. Uit een interne audit kwamen verschillende beveiligingslekken bovendrijven. "TJX negeerde lekken in de creditcard database, totdat hackers daar wisten in te breken en toegang tot de persoonlijke informatie van 50 miljoen mensen kregen", aldus Jerry Brown. Als gevolg van de schikking moet TJX de beveiliging van alle systemen laten testen en naar de hoogste standaard upgraden. Uiteindelijk werden elf mensen wegens de aanval gearresteerd, waarvan er vier schuld bekenden.

Reacties (3)
25-06-2009, 11:30 door SirDice
Slim.. Door te schikken zijn ze niet per definitie schuldig volgens mij.. Dat maakt het makkelijker om die badgasten te veroordelen die daar handig misbruik van maakten.
25-06-2009, 11:59 door Anoniem
Helaas zijn de PCI assessors ook niet helemaal scherp geweest. TJX voldeed niet aan de PCI DSS standaard (niet dat dat zegt dat je niet gehacked kan worden, maar dan zijn er andere garant stellingen te vinden en hoef je als bedrijf niet moeilijk te doen met schikken en onder verantwoordelijkheden uit komen), maar mocht dus toch credit card betalingen af handelen.

Toch zie je maar weer dat je als nog kan blunderen op grote schaal, mensen direct in hun portemonee rakend, en als nog je bedrijf in leven kan houden.... Geen goed teken, dit kan wel eens zorgen voor minder investeringen in security/compliance.

10 milioen is een hoop geld natuurlijk, maar wel iets om mee te nemen in je risico analyses. Laten we hopen dat dit soort bedrijven toch iets van ethiek na streven, anders dan zakken vullen over de ruggen van de klant.
29-06-2009, 13:09 door AceHighness
PCI DSS is opgezet in 2004, de TJX hack was in 2005 ... er was toen praktisch niemand PCI DSS certified.
De PIC DSS 1.1 standaard is pas in 2006 ontwikkeld / published ... Ook nu in 2009 zijn de meeste bedrijven nog niet certified hoor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure