image

'Diefstal 1,2 miljard wachtwoorden lijkt marketingactie'

maandag 11 augustus 2014, 09:59 door Redactie, 22 reacties

De diefstal van 1,2 miljard wachtwoorden door cybercriminelen die vorige week geopenbaard werd zou best weleens een marketingactie kunnen zijn, zo stelt Axel Arnbak, onderzoeker cybersecurity en informatierecht aan de Universiteit van Amsterdam, tegenover het Financieele Dagblad.

De grootschalige datadiefstal werd gemeld door het Amerikaanse Hold Security. Een bedrijf dat Arnbak niet zegt te kennen. Daarnaast werden er ook geen details over de inbraak met andere partijen gedeeld en zouden mensen moeten betalen om te weten of ze in de database met gestolen gegevens voorkomen. Hier is echter onduidelijkheid over, aangezien Hold Security op de eigen website zegt dat consumenten gratis worden gewaarschuwd. Eigenaren van websites zouden echter wel moeten betalen als ze willen weten of hun website gehackt is.

Een ander punt dat Arnbak hekelt is dat de gegevens voor Twitterspam gebruikt zouden worden. Informatie die volgens de onderzoeker weinig waard is. "Alles bij elkaar heb ik me daarom nogal gestoord aan hoeveel aandacht en dynamiek dit al snel kreeg in alle media. Het had toch echt meer weg van een goede marketingactie van Hold Security."

Hoewel het Amerikaanse beveiligingsbedrijf bij veel mensen onbekend is, zat het achter de ontdekking van de inbraak bij Adobe waar broncode en miljoenen gebruikersgegevens door criminelen waren buitgemaakt. Deze inbraak werd uiteindelijk door Adobe bevestigd. Vorige week stelde D66 nog Kamervragen aan Minister Opstelten van Justitie en Veiligheid over de datadiefstal.

Reacties (22)
11-08-2014, 10:15 door Anoniem
Als je stelt dat de _diefstal_ van wachtwoorden een marketingactie is, dan ga je best ver. Je kunt maar beter zo'n uitspraak voorzien van bewijs.
11-08-2014, 10:33 door Anoniem
Brian Krebs staat vermeld als lid van de advisory board van Hold Security. Hij heeft er dit over gezegd:
http://krebsonsecurity.com/2014/08/qa-on-the-reported-theft-of-1-2b-email-accounts/
11-08-2014, 11:10 door Anoniem
Ik denk dat tegenwoordig alle security gerelateerde nieuwsberichten wel een marketing-laagje hebben.
voor meer informatie, zie mijn bedrijfswebsite:
www.link spammer/marketing.@.com ;-)
11-08-2014, 11:58 door Anoniem
zo stelt Axel Arnbak, onderzoeker cybersecurity en informatierecht aan de Universiteit van Amsterdam, tegenover het Financieele Dagblad.

Onder de link een popup op de nieuwspagina

FD.nl

Welkom bij FD.nl.
Registreren heeft zijn voordelen. U leest elke maand 10 artikelen en u ontvangt 1 week gratis de krant. U heeft direct toegang zonder verplichtingen.

@ Redactie
Wat is precies het nut of de bedoeling van het in het nieuwsartikel opnemen van een actieve link naar fd artikel content waarvoor je je eerst moet registreren danwel een abonnement moet nemen op het fd??
11-08-2014, 12:25 door Anoniem
"De grootschalige datadiefstal werd gemeld door het Amerikaanse Hold Security. Een bedrijf dat Arnbak niet zegt te kennen. "

Dat Arnbak het bedrijf niet kent zegt mij helemaal niets. Heeft hij contact opgenomen met Hold Security ? Heeft hij, net zoals Brian Krebs, inzage in de data waarover het gaat ? Ik vind de informatie van Brian Krebs veel interessanter.
11-08-2014, 12:27 door Anoniem
Door Anoniem: Ik denk dat tegenwoordig alle security gerelateerde nieuwsberichten wel een marketing-laagje hebben.
Iets met een hele industrietak vergeven van potten en ketels, en oh oh oh wat een gekakel. Maarja, je moet toch wat als je een "product" (liever, "diensten", maarja zulke onderscheiden zijn zulk een laatste eeuw-denken, en we moeten wel met de tijd mee "natuurlijk") te bieden hebt dat vooral bestaat uit keizerskleding (pret-a-porter EN bespoke, toe maar), stofjes voor keizerskleding, leuke accessoires voor keizerskleding, keizersmodebladen, keizerlijk kleedstrategieadvies, en zo verder.

Nu goed, die vergelijking is wellicht wat doorzichtig. Het is meer een hele coterie van "professionals" die vuiltjes en vlekjes in software weet te vinden en daar iedere keer geweldige stennis over weet te maken, maar echt structureel het productieproces verbeteren om gelijk betere software te produceren met minder vuiltjes en vlekjes en wellicht zelfs minder weeffouten, dat interesseert noch de fabrikant noch de klant noch de omheenhangende "dienst"verleners. Wat mij betreft een weeffoutje in deze hele tak van sport.
11-08-2014, 12:50 door Anoniem
Door Anoniem: Als je stelt dat de _diefstal_ van wachtwoorden een marketingactie is, dan ga je best ver. Je kunt maar beter zo'n uitspraak voorzien van bewijs.
Ook bewijs is nooit waterdicht.
11-08-2014, 13:49 door meneer
Dit stond vorige week al op een blog: http://www.youarenotpayingattention.com/2014/08/08/the-lie-behind-1-2-billion-stolen-passwords/
11-08-2014, 14:40 door Anoniem
Door meneer: Dit stond vorige week al op een blog: http://www.youarenotpayingattention.com/2014/08/08/the-lie-behind-1-2-billion-stolen-passwords/

Dat is een ranzige verzameling ad hominem aanvallen.

Als je het niet inhoudelijk kunt winnen, dan kom je met zo'n typisch Amerikaanse frame.
11-08-2014, 15:42 door Anoniem
Door Anoniem: "De grootschalige datadiefstal werd gemeld door het Amerikaanse Hold Security. Een bedrijf dat Arnbak niet zegt te kennen. "

Dat Arnbak het bedrijf niet kent zegt mij helemaal niets. Heeft hij contact opgenomen met Hold Security ? Heeft hij, net zoals Brian Krebs, inzage in de data waarover het gaat ? Ik vind de informatie van Brian Krebs veel interessanter.

Ook Bruce Schneier zegt het bedrijf niet te kennen:
https://www.schneier.com/blog/archives/2014/08/over_a_billion_.html

Peter
11-08-2014, 15:58 door Anoniem
Laat onze specialist eerst maar eens achterhalen en ons duidelijk maken waarom marketing hoofdzakelijk onze behoefte creert ipv indexeert.

Waarom dat dus vanwege omzetgarantie komt ipv kwaliteitsgarantie wat werkelijk kapitalisme is.

Hebben we meteen meneer de slimmerik met zn bolle kop uit GEVOLGEN als PROBLEMEN benoemen.

kusje op je voorhoofd
11-08-2014, 17:19 door Anoniem
Kritische geluiden zijn niet nieuw.

In associatie heeft de wijze van publiciteit genereren, kenmerken van een marketingachtige aanpak.
Tel daarbij op de meer commerciële insteek het bedrijf men aanvankelijk hieromheen bedacht en op de site had geplaatst maar na negatieve publiciteit opnieuw heeft geformuleerd en wat heeft afgebogen naar een 'minder commercieel ogende aanpak'.

http://www.forbes.com/sites/kashmirhill/2014/08/05/huge-password-breach-shady-antics/

De ontdekking van de database hoeft op zichzelf niet onwaar te zijn.
Los daarvan kan een bedrijf dus met met een dergelijke ontdekking alle kanten op.
Bijvoorbeeld communiceren en samenwerken met allerlei instanties en diensten om het probleem te inventariseren en naar oplossingen te zoeken.

Of zelf bovenop de gegevens blijven zitten en er een verdienmodel aan hangen.
Dat laatste lijkt meer aan de hand te zijn, veel publiciteit helpt bij dat verdienmodel, als er geen interesse voor je product is verdien je niets.

Welke balans een bedrijf binnen dat spanningsveld kiest staat haar vrij.
Ze had kunnen weten dat met veel aandacht genereren en onrust veroorzaken op een dergelijk onderwerp in combinatie met een sterk commercieel eigenbelang dat kan gaan wringen en kan omslaan in vragen over integriteit en waarheidsgehalte.

De vraag is nog wat de koers van het bedrijf wordt, of zij dat op tijd doet voordat zij met lege handen staat en of zij misschien al wel met een aantal diensten en overheden op de achtergrond al hard aan het samenwerken is.
Dat sommige diensten niets horen hoeft nog niet te betekenen dat er niets gebeurt; mogelijk een kwestie van plaats in de samenwerk prioriteit rangorde.
11-08-2014, 17:38 door Dick99999 - Bijgewerkt: 11-08-2014, 17:49
Wat zou een Amerikaans bedrijf kunnen winnen met deze 'marketing'?
- Een geweldige claim via een 'class action' omdat abonnementen als groep geen waar voor hun geld krijgen?
- Of terugbetaling van abonnementsgelden als een individuele gebruiker geen waar voor z'n geld krijgt.
- Een naam te grabbel gooien vanwege de grootste Internet hoax?

Wij kunnen ons dat misschien niet goed voorstellen, maar bijna alles wordt terugbetaald als je als klant niet tevreden bent in de US. Zelfs het verschil tussen aankoopprijs en een uirverkoopprijs binnen zo'n 2 weken na aankoop, wordt in gewone winkels terugbetaald als je een bonnetje hebt.
Wat valt er te winnen?

"In het algemeen moeten volgens Arnbak vraagtekens worden gezet bij berichten over aanvallen "
Misschien, maar steeds meer , steeds groter lijkt waar te zijn. Hier zo'n aanval die in Nederland weinig aandacht heeft gekregen:

Target, een warenhuisketen zoals V&D
- 1917 (ja bijna 2 duizend) warenhuizen, 366.000 werknemers, 300 man op Informatie beveiliging
- Kassa's gehackt, eind nov- beg dec 2013
- 3 weken lang, niet gedetecteerd
- Hackers 'kregen' password via toeleverancier

Gestolen:
- 40 miljoen credit cards, 80 mijoen customer records

Schade:
- 21 miljoen credit cards opnieuw uitgegeven door banken
- CEO, CISO ontslagen (sorry, ze namen ontslag)
- Kosten banken $220miljoen.
- Target correctieve maatregelen $60 miljoen
- Target nog eens $100 miljoen om te investeren in nieuwe chip kaarten
- Customers offered one year of free credit monitoring service, geschat $ 191 miljoen
- Omzet verlies 5% geschat

Beveiligingsfirma had 6-9 maanden daarvoor een nieuw beveiligingssysteem geïnstalleerd
- kosten $1.6 miljoen
- aandelen van die firma verdubbelde !
- systeem detecteerde namelijk malware installatie
- ook 24x7 security monitor team in India stuurde waarschuwing naar hoofdkantoor in USA,
- waarschuwing belandde in de prullenbak
- 2-de keer( hackers moesten hun software updaten!), zelfde detectie, zelfde prullenbak

Case is goed gedocumenteerd: binnen 4 maanden stond de firma Target voor een congres commissie.


"Er zijn allerlei anonimiseringstechnieken, waardoor aanvallen gedaan kunnen worden zonder dat er een duidelijke dader is te vinden. [Arnbak in FD]"
- Daders Target Hack (Rusland) zijn gearresteerd
- Ze waren slordig
11-08-2014, 18:47 door Anoniem
Ik zeg "aanklagen die tent"!
11-08-2014, 18:56 door Anoniem
De diefstal van 1,2 miljard wachtwoorden door cybercriminelen die vorige week geopenbaard werd zou best weleens een marketingactie kunnen zijn, zo stelt Axel Arnbak, onderzoeker cybersecurity en informatierecht aan de Universiteit van Amsterdam, tegenover het Financieele Dagblad.

Was de eerste gedachte die in me op kwam.
Niemand hoort een service te verkopen waarmee je kan controleren of je wel van die service gebruik moet maken.
11-08-2014, 21:57 door Anoniem
Ter aanvulling van de link naar Schneier, van Peter/ 14:40

https://www.schneier.com/blog/archives/2014/08/over_a_billion_.html
Ctrl+ F op Pretty Fly


Volgens deze gaat het om een blackhat going white?

Blijft een vage situatie, hoe dan ook.
12-08-2014, 09:47 door Anoniem
http://www.volkskrant.nl/vk/nl/2664/Nieuws/article/detail/3716873/2014/08/12/Is-NYTimes-in-een-marketingtruc-getrapt-van-het-schimmige-Hold-Security.dhtml
12-08-2014, 10:17 door Anoniem
Door Anoniem: Als je stelt dat de _diefstal_ van wachtwoorden een marketingactie is, dan ga je best ver. Je kunt maar beter zo'n uitspraak voorzien van bewijs.

Oh? Wat is de reden dat veel mensen een virusscanner kopen ?

FUD..... Hele "security branche" ongeacht of het IT of fysieke security aangaat heeft haar bestaansrecht te danken aan ANGST, ONZEKERHEID en TWIJFEL.

Als je iemand vind die 1,2 miljard passworden hebt, dan ga je je afvragen of dat een gevaar voor jezelf is.... conclusie de kans dat jij specifiek slachtoffer zal worden is 1 op 1,2 miljard indien je in database voorkomt...

Als men echt ethisch bezig zou zijn zouden ze bij dit soort schaalgrote FBI benaderen die dan via diplomatieke kanalen Rusland (of welk land dan ook) erop zal wijzen, zodat die land kan pronken met het feit dat ze dader(s) hebben gepakt die zo grootschalig bezig zijn geweest. Er zullen maar weinig landen zijn die niet door zo weinig tijd/energie/geld te investeren wereldwijd zichzelf positief in het daglicht zal willen etaleren.

Dus een hoax verzinnen voor marketing actie is niet zo gekke actie. Ga voor de grap eens de bronnen na van alle onderzoeken die anti-virus bedrijven publiceren. Ga ze eens wat kritische vragen stellen b.v. "Hoeveel dollars eindgebruikers feitelijk kwijt zijn geraakt door misbruik van hun creditcard..." het antwoord moet 0 zijn, maar daarmee verkoop je geen marketingverhaal.
12-08-2014, 10:40 door Anoniem
@Dick99999 Je dient dingen wel in perspectief te plaatsen:

Schade:
- 21 miljoen credit cards opnieuw uitgegeven door banken

Heb jij een bron gezien waarin dat daadwerkelijk ook is gebeurd?
Bovendien zijn die kosten niet voor Target en in de VS sturen ze creditcards gewoon per post...

- CEO, CISO ontslagen (sorry, ze namen ontslag)

Wat een verschil is.


- Kosten banken $220miljoen.

€ 220 miljoen is niet t.o.v. wat er in de VS aan bonussen uitgekeerd worden.
Bovendien pakken CC bedrijven een percentage van de omzet van elke transactie dus € 220 miljoen is helemaals niets ten opzichte van wat ze er aan verdienen.

- Target correctieve maatregelen $60 miljoen

Zijn ze voor verzekerd.

- Target nog eens $100 miljoen om te investeren in nieuwe chip kaarten

Dan hoeven ze niet zelf te doen, leverancier van kassa systeem en banken.
Bovendien is chip op creditcard nog geen veel gebruikte standaard in Amerika, alleen Amerikanen expliciet een creditcard voor internationaal gebruik hebben aangevraagd hadden een chip, dus indien de nieuwe uitgegeven credit card een chip krijgt zijn dat kosten die toch al eens gemaakt zouden worden.


- Customers offered one year of free credit monitoring service, geschat $ 191 miljoen

Als je een gold of platinum card hebt gebeurd dat altijd al. Bovendien is er altijd een credit monitoring service aanwezig, de tolerantie is alleen niet "instelbaar". Creditcard bedrijven weten heel goed wat voor de massa goed is, want dat is ook voor hun eigen risico goed.

- Omzet verlies 5% geschat

Dit is onzin, bedrijven als Target en Wallmart zijn bedrijven waar je niet zomaar om heen kunt. Gedrag van winkelende massa gaat niet zomaar veranderen na een dergelijke incident, waar de meeste Amerikanen niet eens van gehoord zullen hebben.


Het is in perspectief van mensen die wat affiniteit hebben met security allemaal "gigantisch" spectaculair wat er heeft plaatsgevonden, maar in werkelijkheid zullen er meer mensen in Europa vernomen hebben over wat er bij Target gebeurd is dan Target klanten en de kleine percentage die het wel vernomen hebben zal het ze niets interesseren, omdat ze weten dat het ze niets zal gaan kosten.

Ik denk dat er een reden is dat voornamelijk Amerikaanse security bedrijven met rapporteren waarin schade met/door creditcards in Europa publiceren omdat het hier kennelijk wel indruk maakt. Banken nemen bewust rest-risico in acht waarbij het oplossen duurder is dan de schade die ze moeten compenseren. Het schermen met die cijfertjes is misleidend.
12-08-2014, 11:07 door Anoniem
Ik geloof er ook niks van.

Vreemde website bij dat US bedrijf, je moet je eerst registreren om iets te weten te komen, en niet zoals eerder bij andere lekkages en andere organisaties door een IP adres ergens in te toetsen. Ik zou er ver bij wegblijven. Het lijkt op verzamelen gebruikers gegevens.

Bovendien, wat is het probleem, iedereen veranderd toch zijn/haar wachtwoorden regelmatig en gebruikt unieke wachtwoorden voor tal van diensten?
12-08-2014, 12:57 door Dick99999 - Bijgewerkt: 12-08-2014, 13:18
"tthis is how you can sue Hold Security for having your personal information"
(Geen reclame, naar onder scrollen)
http://belsec.skynetblogs.be/archive/2014/08/11/this-is-how-you-can-sue-hold-security-for-having-your-person-8254888.html
Maar lees het bericht ook, lijkt dus voor dit voorbeeld wel waar te zijn!
12-08-2014, 13:12 door Dick99999 - Bijgewerkt: 12-08-2014, 19:52
Door Anoniem: met tussengevoegde reactie @Dick99999 Je dient dingen wel in perspectief te plaatsen:

Schade:
- 21 miljoen credit cards opnieuw uitgegeven door banken

Heb jij een bron gezien waarin dat daadwerkelijk ook is gebeurd?
>> ja en ik dacht stand van zaken maart 2014
Bovendien zijn die kosten niet voor Target en in de VS sturen ze creditcards gewoon per post...
>> staat toch ook niet dat het voor Target is, staat 'door banken'

- CEO, CISO ontslagen (sorry, ze namen ontslag)
Wat een verschil is.
>> jaja


- Kosten banken $220miljoen.

€ 220 miljoen is niet t.o.v. wat er in de VS aan bonussen uitgekeerd worden.
Bovendien pakken CC bedrijven een percentage van de omzet van elke transactie dus € 220 miljoen is helemaals niets ten opzichte van wat ze er aan verdienen.
>> dus laat maar gaan?

- Target correctieve maatregelen $60 miljoen

Zijn ze voor verzekerd.
>> nee, slechts voor een klein deel. Bank claim volgt nog volgens de kranten. Maar maakt dat wat uit, verzekerd is toch ook schade, maar dan bij een andere partij

- Target nog eens $100 miljoen om te investeren in nieuwe chip kaarten

Dan hoeven ze niet zelf te doen, leverancier van kassa systeem en banken.
>> Bronnen zeggen dat Target dit zelf investeert (en overigens al van plan was)

Bovendien is chip op creditcard nog geen veel gebruikte standaard in Amerika, alleen Amerikanen expliciet een creditcard voor internationaal gebruik hebben aangevraagd hadden een chip, dus indien de nieuwe uitgegeven credit card een chip krijgt zijn dat kosten die toch al eens gemaakt zouden worden.
>> Ja , maar nu dubbelle kosten vanwege interim verstrekking


- Customers offered one year of free credit monitoring service, geschat $ 191 miljoen

Als je een gold of platinum card hebt gebeurd dat altijd al. Bovendien is er altijd een credit monitoring service aanwezig, de tolerantie is alleen niet "instelbaar". Creditcard bedrijven weten heel goed wat voor de massa goed is, want dat is ook voor hun eigen risico goed.
>> gaat om wat het kost om dat weg te geven

- Omzet verlies 5% geschat

Dit is onzin, bedrijven als Target en Wallmart zijn bedrijven waar je niet zomaar om heen kunt. Gedrag van winkelende massa gaat niet zomaar veranderen na een dergelijke incident, waar de meeste Amerikanen niet eens van gehoord zullen hebben.
>> geen onzin, zoek en gij zult vinden.


Het is in perspectief van mensen die wat affiniteit hebben met security allemaal "gigantisch" spectaculair wat er heeft plaatsgevonden, maar in werkelijkheid zullen er meer mensen in Europa vernomen hebben over wat er bij Target gebeurd is dan Target klanten en de kleine percentage die het wel vernomen hebben zal het ze niets interesseren, omdat ze weten dat het ze niets zal gaan kosten.
>>Zo in perspectief dat het congres zich er mee bemoeit

Ik denk dat er een reden is dat voornamelijk Amerikaanse security bedrijven met rapporteren waarin schade met/door creditcards in Europa publiceren omdat het hier kennelijk wel indruk maakt. Banken nemen bewust rest-risico in acht waarbij het oplossen duurder is dan de schade die ze moeten compenseren. Het schermen met die cijfertjes is misleidend.
>>Misleidend? Wie betaalt dit dan allemaal? Wij. de aandeelhouder, onze verzekeringspremies etc etc
Van mij zijn het Internet feiten, dus een beetje zoeken en je vindt verschillende bronnen die allemaal in de dezelfde richting wijzen. Reactie heb hierboven voor mijn gemak ertussen geplaatst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.