Bank mailde gegevens 10.000 klanten naar verkeerde domein
De Australische Commonwealth Bank (CBA) heeft in 2016 en 2017 honderden e-mails met de data van 10.000 klanten naar een verkeerd domein gestuurd. CBA gebruikt cba.com.au als intern e-maildomein. Bankmedewerkers stuurden interne e-mails echter naar het domein cba.com, dat niet van de bank was.
Het ging in totaal om 651 e-mails met de data van zo'n 10.000 klanten. De Commonwealth Bank wist vorig jaar april de domeinnaam in handen te krijgen. Vandaag laat de bank in een verklaring weten dat alle verstuurde interne e-mails automatisch door de toenmalige eigenaar van cba.com werden verwijderd. Alleen informatie over de afzender, ontvanger en onderwerp van de e-mail zouden zijn opgeslagen. De bank stelt verder dat de klantgegevens niet zijn gebruikt en permanent zijn verwijderd. Alle klanten waarvan de gegevens zijn verstuurd worden door de bank ingelicht.
Veel inepter en nog steeds emails versturen lijkt me lastig.
Het zullen ook veel cc mailtjes naar interne adressen geweest zijn. Die worden misschien niet eens gemist als ze verkeerd gaan, omdat de bedoelde ontvanger wel zijn mail krijgt.
De snelste oplossing was het blokkeren van dit domein via de interne dns server wat ze blijkbaar al in januari 2017 gedaan hebben.
Het kopen van dat domein was dan alleen nodig voor mail die vanaf een externe locatie verstuurd werd. Er kunnen ook kanten zijn met mail voor de bank die dezelfde fout maken. En dat kun je goed oplossen door dat domein uit de lucht te halen waar de vergissingen mee plaats vinden.
De vraag blijft bij mij, waarom dit pas in 2016 begon? Als je dit soort fouten in 2016 maakt, zullen ze toch ook in jaren ervoor gemaakt zijn? Of is die foute naam een database binnengeslopen gedurende 2016?
Of werden ervoor ook al foute mails verstuurd? Ik denk het wel als je tussen de regels leest. Dat domein was vanaf 2016 in eigendom van een cyber security bedrijf. Zij hebben alles goed gelogd en daar zijn 651 e-mails naar toe gegaan.
Hiervoor was dit domein in eigendom van weer een ander bedrijf. De mededeling van de bank gaat er niet op in of daar wel of niet mailtjes naar toe gestuurd zijn. (Dus in de periode vóór 2016). Dit zal zeker ook gebeurd zijn, want anders was wel nadrukkelijk vermeld dat er geen foute mailtjes verstuurd zijn vóór 2016.
Hiervoor was dit domein in eigendom van weer een ander bedrijf. De mededeling van de bank gaat er niet op in of daar wel of niet mailtjes naar toe gestuurd zijn. (Dus in de periode vóór 2016). Dit zal zeker ook gebeurd zijn, want anders was wel nadrukkelijk vermeld dat er geen foute mailtjes verstuurd zijn vóór 2016.
Die paniek is (meestal) niet nodig hoor. Op het werk hebben we lang geleden ook een domein in gebruik genomen wat
daarvoor van een ander bedrijfje geweest was en de mail adressen waarnaar soms nog gemaild werd waren volgens een
andere structuur dan wij gebruiken dus die bestonden nooit, en de mail werd in SMTP fase gewoon geweigerd met
een 550 error. Die errors werden wel gelogd (en het werden er uiteraard steeds minder) maar de mails zelf die kwamen
niet binnen. Dat zal in de meeste gevallen zo gaan.
Je hebt gelijk. De meeste mailservers staan ingesteld om mail te weigeren als de locale gebruiker niet bestaat. De meeste gebruikers zullen onbekend zijn in een andere omgeving. Alleen gebruikers als "info", "postmaster" etc zullen vaak aanwezig zijn.
Bij een mailserver als postfix staat b.v. de optie "REJECTING MAIL FOR UNKNOWN LOCAL USERS" standaard aan.
Dat alle mail bij het Cybersecurity bedrijf wel is afgeleverd, zal zijn omdat zij mail aan onbekende gebruikers naar een verzamelpostbus stuurden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
