image

American Express India lekt data 690.000 klanten via database

woensdag 7 november 2018, 17:13 door Redactie, 7 reacties

De Indiase tak van creditcardmaatschappij American Express heeft via een onbeveiligde MongoDB-database de persoonsgegevens van 690.000 klanten gelekt. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt.

Onderzoeker Bob Diachenko ontdekte de database op 23 oktober via een zoekmachine. Het grootste deel van de data in de database was versleuteld, maar een deel van de gegevens was dat niet. De grootste verzameling bestond uit de telefoonnummers, namen, e-mailadressen en het soort creditcard van zo'n 690.000 klanten.

De versleutelde data bevatte 2,3 miljoen records, waaronder namen, adressen, Aadhaar-nummers (het identiteitssysteem van de Indiase overheid), kaartnummers en telefoonnummers. Na ontdekking van de database waarschuwde Diachenko American Express, dat de server direct uit de lucht haalde, om vervolgens de database te beveiligen. De creditcardmaatschappij stelde een onderzoek in en liet de onderzoeker weten dat er geen bewijs voor ongeautoriseerde toegang tot de data-omgeving is aangetroffen.

Reacties (7)
07-11-2018, 17:39 door bollie
Triest dat ik zo langzamerhand helemaal niet meer verbaasd ben bij de aantallen.....honderdduizenden...miljoenen.
Het is allang de vraag niet meer OF mijn gegevens op straat komen te liggen; de enige vraag die nog bestaat is WANNEER.
07-11-2018, 19:13 door Anoniem
Tja... India
07-11-2018, 20:25 door karma4
Ze zijn in ieder geval slimmer dan hier. Hier wordt geloofd dat enkel het noemen van een BSN nummer het bewijs is dat je die ook persoon bent. Daar in Idia begrijpt men het verschil wel voor identificatie en authenticatie
https://uidai.gov.in/authentication.html
"A requesting entity may choose suitable mode(s) of authentication from the modes specified in sub-regulation (2) for a particular service or business function as per its requirement, including multiple factor of authentication for enhancing security. For the avoidance of doubt, it is clarified that e-KYC authentication shall only be carried out using OTP and/ or biometric authentication."
08-11-2018, 00:33 door Anoniem
Login to Adminer DB - een Mongo DB hack, die zo ongelooflijk eenvoudig en knullig is (was), dat je het niet wil geloven.

Lees erover bij SNYK, IDS & secure developer platform:
https://snyk.io/blog/mongodb-hack-and-secure-defaults

Via ZoomEye query mogelijk in combinatie met een shodannetje zijn de te compromitteren kandidaten gemakkelijk op te sporen. Wie niet heeft geupdate tot minimaal versie 2.6.0 kan nu al de sjaak zijn.

Ongelooflijk, echt ongelooflijk en zo gaan uw waardevolle data met hele bakken het digitale raam uit.

Wie houden er zo'n waanzinnige beveiligingssituatie in stand? Dit is toch bijna niet meer te verkopen deze voortdurende data-breaches via slecht of niet beveiligde online databases. Wie houdt de veroorzakers verantwoordelijk? Geen moeilijke type manipulatie nodig om een beveiligingsmechanisme mee te kunnen omzeilen, maar gewoon een simpele per default hack, een existerend gapend gat. Man, man, man. Het wordt echt steeds grijzer, hoe zout wil je het gegeten hebben?

Wie neemt de incompentente slecht gekwalificeerde mensen in dienst en in bescherming, die dit mee kunnen veroorzaken?
Wie gedoogt dit onveilige circus om verder mee door te gaan?

luntrus
08-11-2018, 05:59 door Anoniem
Door karma4: Ze zijn in ieder geval slimmer dan hier. Hier wordt geloofd dat enkel het noemen van een BSN nummer het bewijs is dat je die ook persoon bent. Daar in Idia begrijpt men het verschil wel voor identificatie en authenticatie
https://uidai.gov.in/authentication.html
"A requesting entity may choose suitable mode(s) of authentication from the modes specified in sub-regulation (2) for a particular service or business function as per its requirement, including multiple factor of authentication for enhancing security. For the avoidance of doubt, it is clarified that e-KYC authentication shall only be carried out using OTP and/ or biometric authentication."
Je hebt door dat dit compleet offtopic is? Dat hele Adhaar-systeem heeft niets te maken met het niet beveiligd zijn van die database bij die creditcardmaatschappij. Toch een reactie, tegen beter weten in.

Als ik op Adhaar zoek kom ik heel wat problemen tegen. Met Adhaar worden bankrekeningen in naam van anderen geopend, worden leningen afgesloten met valse identiteiten en door fouten met de biometrische identificatie die er deel van uitmaakt wordt zorg aan mensen geweigerd, wat zelfs levens heeft gekost. Alles wat met ons BSN soms misgaat gaat met dat nummer ook mis en nog veel meer.

Wat op papier goed eruit ziet hoeft in werkelijkheid nog niet goed te werken. Wat Nederland met het BSN doet is erkennen dat de praktijk niet zo mooi is geworden als de theorie en erkennen dat identiteitsfraude plaatsvindt omdat het BSN niet altijd zo goed wordt gecontroleerd als je zou willen, bijvoorbeeld in de medische sector omdat men daar geen zorg wil weigeren aan iemand die het nodig heeft en op dat moment niet alle papieren en identiteitsdocumenten paraat heeft. Je krijgt zo'n systeem niet waterdicht als je mensen menselijk wilt behandelen.

Dat onze overheid die realiteit erkent en vanuit die erkenning erop hamert voorzichtig te zijn met dat nummertje is iets anders dan een slechte praktijk sanctioneren en aanmoedigen, het is een erkenning dat je het niet zo makkelijk ideaal krijgt. In realiteitszin is de Nederlandse overheid zo te zien een stuk verder dan die van India.

https://www.medianama.com/2018/05/223-state-of-aadhaar-report/
https://thewire.in/economy/aadhaar-fraud-uidai
https://www.bloombergquint.com/business/2017/01/17/the-dangers-of-aadhaar-based-payments-that-no-one-is-talking-about
https://www.washingtonpost.com/news/theworldpost/wp/2018/08/09/aadhaar/?noredirect=on&utm_term=.64f7fd08b94e
08-11-2018, 09:44 door Anoniem
Ik heb het gevoel dat het veelal MongoDB is, als er een onbeveiligde database is aangetroffen:

Lees b.v.
https://www.security.nl/posting/582000/Navionics+lekt+data+261_000+klanten+via+onbeveiligde+database
https://www.security.nl/posting/577490/Onderzoeker+vindt+marketingdatabase+met+11+miljoen+e-mailadressen
https://www.security.nl/posting/576758/Softwarebedrijf+Veeam+lekte+200+gigabyte+aan+klantgegevens

Daarmee dus concluderend dat locatie (India) niet uitmaakt. Werk voor specifieke beheerders.
Succes.
08-11-2018, 10:10 door -karma4 - Bijgewerkt: 08-11-2018, 10:11
Door Anoniem: Login to Adminer DB - een Mongo DB hack, die zo ongelooflijk eenvoudig en knullig is (was), dat je het niet wil geloven.

Lees erover bij SNYK, IDS & secure developer platform:
...
Wie neemt de incompentente slecht gekwalificeerde mensen in dienst en in bescherming, die dit mee kunnen veroorzaken?
Wie gedoogt dit onveilige circus om verder mee door te gaan?

luntrus

Dit is inderdaad onvoorstelbaar! Een gedeeltelijk onversleutelde database zonder beveiliging aan internet hangen, hoe verzinnen ze het? En als het nou de eerste de beste partij was, maar nee, het gaat blijkbaar om American Express (India). Totaal kansloos dit!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.