Nieuws

Gehackt bedrijf wil slachtoffers virusscanner geven

dinsdag 3 november 2009, 15:52 door Redactie, 12 reacties

Een bedrijf waar hackers de gegevens van 6 miljoen mensen wisten te stelen, komt er niet vanaf door slachtoffers alleen een virusscanner aan te bieden, zo heeft een Amerikaanse rechter bepaald. De rechter vond de schikking die Ameritrade wilde treffen niet eerlijk, redelijk of adequaat, omdat die voornamelijk het bedrijf ten goede zou komen en niet de slachtoffers. In september 2007 waarschuwde Ameritrade dat aanvallers een database hadden gehackt met de namen, adresgegevens, telefoonnummers en handelsinformatie van meer dan zes miljoen klanten. De gestolen informatie werd later gebruikt om klanten te spammen.

Naast het verstrekken van een virusscanner zou het bedrijven ook het netwerk op beveiligingslekken laten auditen. Een veel te mager aanbod, aldus de rechter, die opmerkte dat elk respectabel bedrijf pentesten regelmatig hoort uit te laten voeren. "De twee zeer tijdelijke oplossingen overtuigen het hof er niet van dat het bedrijf de veiligheid van klantgegevens op een serieuze manier heeft opgelost of dit zal doen, laat staan dat het aanwijsbare voordelen biedt." Een woordvoerster van Ameritrade is teleurgesteld over de afwijzing van de schikking. "We vonden dat het eerlijk en redelijk was." In december zitten beide partijen weer om de tafel. "We hebben nog verschillende opties", aldus de woordvoerster.

Chocola
Beveiligingsexpert Ira Winkler noemt het aanbod van Ameritrade lachwekkend. "Het aanbieden van anti-virus software is nog belachelijker. Er is absoluut geen enkele manier hoe anti-virus software identiteitsdiefstal kan voorkomen als de crimineel al over alle identificerende informatie beschikt. Ameritrade had beter elk slachtoffer een doos chocola kunnen geven, dat zou tenminste helpen met het verlagen van de stress omdat je kreditrating in puin ligt."

Google: Ontwijken porno geen garantie voor veilige PC

Video's Louisville Infosec conferentie online

Reacties (12)

03-11-2009, 15:59 door Anoniem

ilse anyone?

03-11-2009, 16:37 door spatieman

en wat als, je als slachtoffer nu geen windows gebruikt?
krijg je dan ook een windows CD ,met virus scanner ? xD

03-11-2009, 17:30 door Anoniem

Feit is dat het bedrijf eigenlijk geen andere mogelijke bescherming kan bieden dan wat ze al hadden moeten toepassen voor het ernstig mis ging. Het kadotje wat ze willen uitdelen is niet voor niet niet adequaat, het stelt eigenlijk alleen een waarde voor die het bedrijf bereid is als schadevergoeding te betalen. En dat is, zeker naar Amerikaanse begrippen, om te huilen zo laag. Je bent als klant blijkbaar niet veel waard op het moment dat je last hebt bezorgd door klant te zijn en als gevolg van hun puinhoop waarschijnlijk geen klant meer wenst te zijn. Dat proberen ze nu uit te keren als zogenaamde genoegdoening naar zichzelf.

03-11-2009, 17:52 door Syzygy

Een veel te mager aanbod, aldus de rechter, die opmerkte dat elk respectabel bedrijf pentesten regelmatig hoort uit te laten voeren

Wat een uitspraak !!

Dus als er dan iets gebeurd dan staat ie wettelijk uit de wind.
Wat een onzin.
Hoe vaak dan wel meneer de Rechter
1 x maand - 2 x jaar ??

03-11-2009, 19:00 door Anoniem

"Wat een uitspraak !! Dus als er dan iets gebeurd dan staat ie wettelijk uit de wind. Wat een onzin."

Hoe kom je daar in hemelsnaam bij. Dat je audits uitvoert betekent nog niet dat je geen aansprakelijkheid meer hebt. Daarnaast heeft de rechter volledig gelijk, audits / pen testen horen standaard procedure te zijn, en niet een reactie achteraf op een incident ?

03-11-2009, 19:21 door MrBil

Absolute veiligheid is een illusie

03-11-2009, 21:37 door Anoniem

Door spatieman: en wat als, je als slachtoffer nu geen windows gebruikt?
krijg je dan ook een windows CD ,met virus scanner ? xD

Maar dan kan je toch helemaal geen slachtoffer zijn? Dat roep je zelf elke keer. Keloel dus.

04-11-2009, 12:55 door Anoniem

Er is maar één manier;

Inloggen met je eigen pc (met bijvoorbeeld digipass) die je verbindt met een (dichtgetimmerde) virtuele computer. Deze maakt op zijn beurt weer contact met de database's van de bank/financiele instelling. Kost wat maar is veilig.

Het Orakel

04-11-2009, 18:29 door wimbo

Door Anoniem: Er is maar één manier;

Inloggen met je eigen pc (met bijvoorbeeld digipass) die je verbindt met een (dichtgetimmerde) virtuele computer. Deze maakt op zijn beurt weer contact met de database's van de bank/financiele instelling. Kost wat maar is veilig.

Het Orakel

is misschien veiliger...
Dat iets dichtgetimmerd is, wil nog niet zeggen dat het veilig is.

Gooi nog een proxy en IDP/IPS tussen de dichtgetimmerde (virtuele) computer en je database en je bent weer een stukje veiliger (en armer qua financieel geld :) ).

05-11-2009, 09:35 door Anoniem

Door wimbo:

Allemaal erg leuk maar wat het dichttimmeren van de endpoint gaat helpen als je gegevens uit de centrale database van een bedrijf worden gestolen is me nog niet echt duidelijk. Daarnaast is het zo dat een virtuele computer nog steeds kwetsbaar kan zijn voor aanvallen. Ook een virtuele computer moet beschermd worden.

Je kunt je kind in een zandbak laten spelen maar als honden hun behoefte in de zandbak doen is het toch verstandig om je maatregelen te nemen om geen besmettelijke ziektes op te lopen.

05-11-2009, 11:00 door Anoniem

[/quote]Je kunt je kind in een zandbak laten spelen maar als honden hun behoefte in de zandbak doen is het toch verstandig om je maatregelen te nemen om geen besmettelijke ziektes op te lopen.
[/quote]

Het probleem is niet het endpoint, maar de manier waarop ze inloggen. Als je het op de tussenliggende (virtuele) pc onmogelijk maakt om foute software te installeren kun je ook er van uitgaan dat het wat moeilijker wordt om hogerop te hacken. Het bedrijf is aangeklaagd omdat ze te weinig gedaan hadden om de inloggers te controleren dat ze soft/hard combi op orde hadden. Rabo voorkomt dit door een tijdelijke sleutel te genereren met de digipass. Blijkbaar was bij dit bedrijf een un/pw voldoende....en dit kan misbruikt worden.......

Het Orakel

14-11-2009, 18:46 door Anoniem

Als "veiligheid" een illusie is, dan is je privacy dat dus ook.
Kan überhaupt een bedrijf dan eigenlijk nog wel absolute veiligheid garanderen?

Onze overheid slaat ook al onze privacy minstens 5 jaar "veilig" op (ook via uw provider.)
Privacy heeft één levens-duur en hoeft maar 1 keer gestolen te worden, het is onomkeerbaar.

(IP Logged)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer