Hacker steelt 230 miljoen creditcardnummers - Update
Een hacker die vorig jaar al werd aangeklaagd wegens de creditcarddiefstal bij TJX, was ook betrokken bij de aanval op Heartland Payment System, in totaal maakte hij zo'n 230 miljoen creditcardnummers buit. Bij TJX ging het om de gegevens van 94 miljoen kaarthouders, bij Heartland waren het er meer dan 130 miljoen. Ook sloeg Albert “Segvec” Gonzalez toe bij supermarktketen Hannaford en restaurantketen Dave & Busters. De hacker is samen met twee niet nader genoemde Russische handlangers aangeklaagd voor de aanval op Heartland, wat nu te boek staat als de grootste creditcardroof in de geschiedenis. Daarnaast houdt men rekening dat hij bij meerdere aanvallen is betrokken. "We kennen niet veel hackers die in staat zijn dit te doen, maar voornamelijk een selecte groep, wat laat zien dat deze hacks vrij complex zijn", aldus Erez Liebermann, van het Amerikaanse Ministerie van Justitie.
Eenvoudig
Volgens beveiligingsexperts Robert Graham is er niets complex aan SQL-injectie. "Het is extreem eenvoudig. Een miljoen tiener-hackers over de hele wereld weten hoe ze via SQL-injectie in een website kunnen inbreken." Graham is van mening dat SQL-injectie zoveel voorkomt omdat de programmeurs van de website denken dat het alleen een "theoretisch" lek is. Iedereen met gemiddelde hacking skills kan dit uitvoeren, aldus de expert. "Omdat deze programmeurs niet in het probleem geloven, komt SQL-injectie nog zoveel voor."
SQL-injectie
De 28-jarige Gonzalez en een handlanger genaamd "P.T." vonden hun slachtoffers op een lijst met Fortune 500 bedrijven. Vervolgens verkenden ze de gebruikte betalingssystemen en zochten naar beveiligingslekken. Computers in Nederland, Letland, Oekraïne en Verenigde Staten werden gebruikt voor het opslaan van de malware, het uitvoeren van de aanvallen en het ontvangen van de gestolen creditcardnummers. Via SQL-injectie aanvallen wisten de aanvallers toegang tot het netwerk te krijgen. Daar plaatsten ze de malware die niet alleen de aanwezige virusscanners omzeilde, maar ook zichzelf kon verwijderen.
Het werkelijke aantal gestolen creditcardnummers ligt waarschijnlijk veel hoger, aangezien twee getroffen ketens een aanval op hun netwerk stil hielden. De financiële schade loopt in de tientallen miljoenen. Opmerkelijk detail is dat Gonzalez ten tijde van de aanvallen als informant voor de Secret Service werkte. Gonzalez hangt een maximale gevangenisstraf van 25 jaar boven het hoofd.
Update: Reactie Graham toegevoegd
athans, dat hoorde ik op RTL ontbijtnieuws
Het gaat hier alleen om Heartland. In totaal maakte Gonzalez zo'n 230 miljoen kaartnummers buit.
Volgens mij valt die complexiteit wel mee. SQL injection is niet zo heel moeilijk en je malware zo maken dat het niet door een virusscanner gedetecteerd wordt ook niet (http://www.security.nl/artikel/30647/1/%22Schors_studenten_die_virussen_maken%22.html).
Even goed, 230 miljoen CC gegevens is wel erg veel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
