InterContinental onderzoekt mogelijke creditcarddiefstal
De InterContinental Hotels Group (IHG), moederbedrijf van meer dan 5.000 hotels wereldwijd waaronder Holiday Inn, onderzoekt een mogelijke inbraak op de systemen waarbij creditcardgegevens van klanten zijn buitgemaakt. Werknemers van verschillende banken lieten it-journalist Brian Krebs weten dat er een fraudepatroon zichtbaar was geworden dat duidde op een incident bij hotels van IHG.
Met name locaties van Holiday Inn Express zouden zijn getroffen. Een woordvoerder van IHG bevestigt dat het dezelfde meldingen heeft ontvangen en er een onderzoek is ingesteld. In afwachting van het onderzoek krijgen hotelgasten het advies om hun afschriften nauwlettend te controleren en bij ongeautoriseerde transacties meteen de bank te waarschuwen. IHG is eigenaar van verschillende merken, waaronder Holiday Inn, Holiday Inn Express, InterContinental en Crowne Plaza.
Het afgelopen jaar kregen meerdere hotelketens met malware te maken die creditcardgegevens van klanten wist te stelen. Criminelen gebruiken de gestolen data vervolgens voor het plegen van fraude. In augustus waarschuwde de Amerikaanse Secret Service hotelketens dan ook voor creditcardstelende malware.
Een BSN/SSN/Creditcard/bankrekening hoeft helemaal niet leesbaar worden opgeslag als de verzender het telkens invult en verstuurt: Je kan in de app/computer lokaal deze gegevens opslaan en bij gebruik (aankoop, inloggen enz) versleuteld versturen. Aan de server kant moet je dan wel de ontvangen gegevens vergelijken met een opgeslagen hash (niet MD5!) en een salt.
Dan is nog steeds de verzender het zwakke punt, niet een database van miljoenen mensen. De aanval vector wordt een stuk kleiner en is afhankelijk hoe "aantrekkelijk" de verzender is (qua geld, kennis, macht, .....)
Een BSN/SSN/Creditcard/bankrekening hoeft helemaal niet leesbaar worden opgeslag als de verzender het telkens invult en verstuurt: ....
Voor bsn ssn moet je de verplichte wettelijke controle dat de persoon die beweerd dat het bsn bij hem hoort ook de waarheid zegt. Als ssn in de VS is het veel makkelijker om de schuld bij het slachtoffer te leggen. De macht van het kapitaal gaat boven de ethiek. Het bsn is in nl alleen bijzonder omdat politici geloven dat het zonder zo'n registratie te lastig is om bestanden te koppelen. Dat hebben marketeres weerlegd.
Met een goede controle is er enkel nog de validatie van de betaling. Crc code en een taak voor de credit card maatschappij. Aantrekkelijkheid van de beoogde persoon als slachtoffer. Whaling is heel lucratief.
In dit kader de micros omgeving van Oracle bleek dit jaar lek te zijn. Betaalsystemen worden ingekocht niet zelf gebouwd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
