Nieuws

Datalek bij Amerikaanse bank raakt 106 miljoen mensen

dinsdag 30 juli 2019, 09:42 door Redactie, 2 reacties

De Amerikaanse bank Capital One waarschuwt 106 miljoen mensen nadat hun gegevens via een "configuratielek" konden worden gestolen. Dat laat de bank in een persbericht weten. De verantwoordelijke dader zou inmiddels door de FBI zijn aangehouden, aldus de bank.

De gegevens zijn afkomstig van klanten en personen die een creditcard wilden aanvragen. Het gaat om zo'n 100 miljoen mensen in de Verenigde Staten en zo'n 6 miljoen mensen in Canada. De verdachte wist namen, adresgegevens, postcodes, telefoonnummers, e-mailadressen, geboortedata en inkomen buit te maken. Van creditcardklanten werden ook transactiegegevens, kredietscores, kredietlimieten, betaalgeschiedenis, social security nummers en rekeningnummers gestolen.

Volgens de bank wist de verdachte via een "configuratielek" toegang tot de gegevens te krijgen. Een externe beveiligingsonderzoeker had de bank op 17 juli over de kwetsbaarheid geïnformeerd. Dat leidde tot de ontdekking van de datadiefstal op 19 juli. Capital One stelt dat het gegevens standaard versleutelt, maar dat de verdachte door de "omstandigheden" van dit incident de data ook kon ontsleutelen.

De kosten van het datalek zullen naar verwachting tussen de 100 en 150 miljoen dollar liggen. Het geld gaat voornamelijk naar het informeren van klanten, kredietmonitoring, technologische kosten en juridische ondersteuning.

Nieuwe Android-ransomware verspreidt zich via sms'jes

Windows 10 voldoet niet aan nieuwe privacyvoorwaarden Rijk

Reacties (2)

30-07-2019, 10:40 door Anoniem

Honderd miljoen? Dat is een derde van de hele bevolking in de VS. Lijkt me sterk dat die allemaal bij capital one hebben aangeklopt om een credit card aan te vragen. Oftewel, hun marketeering-bestanden zijn gelekt.

Of mischien lees ik het verkeerd:

The largest category of information accessed was information on consumers and small businesses as of the time they applied for one of our credit card products from 2005 through early 2019.

Bedrijfjes en mensen en mischien nog zelfs wel een hele hoop doublures. Dan nog is honderd miljoen heel erg veel, dus ik trek nog steeds de vrijwilligheid van in dat databestand in twijfel. En waarom houden ze veertien jaar data bij de hand? Lijkt me ook een goede vraag.

En dat "door omstandigheden" is wat, ze hebben de encryptiesleutels naast de versleutelde bestanden opgeslagen?

However, it is also our practice to tokenize select data fields, most notably Social Security numbers and account numbers. Tokenization involves the substitution of the sensitive field with a cryptographically generated replacement. The method and keys to unlock the tokenized fields are different from those used to encrypt the data. Tokenized data remained protected.

Dat ligt er maar helemaal aan hoe ze dat gedaan hebben. Als je botweg een hash van de data trekt dan is het vrij simpel die te brute forcen, simpelweg omdat SSNs (==VS BSNs) en rekeningnummers beperkt zijn in lengte en een bekende structuur hebben.

Al die bitcoin/altcoin miners doen in essentie precies dat. Je kan miner-ASICs niet zomaar omzetten, maar er bestaat ook best een en ander aan miner software voor bijvoorbeeld GPUs of andere "compute" kaarten. Dus hier is best een en ander aan expertise en hardware beschikbaar. Daarnaast zijn er, excusez le buzzword, synergieën te behalen door slim veel versleutelde of verhaspelde berichten tegelijk aan te vallen.

This type of vulnerability is not specific to the cloud. The elements of infrastructure involved are common to both cloud and on-premises data center environments.

The speed with which we were able to diagnose and fix this vulnerability, and determine its impact, was enabled by our cloud operating model.

Oftewel "onze manier van cloud computing is veiliger dan on-premises". Ik denk dat ik hier maar even "bullshit" roep.

30-07-2019, 13:54 door Anoniem

Door Anoniem: Honderd miljoen? Dat is een derde van de hele bevolking in de VS. Lijkt me sterk dat die allemaal bij capital one hebben aangeklopt om een credit card aan te vragen. Oftewel, hun marketeering-bestanden zijn gelekt.

Zou kunnen. Maar bedenk dat Amerikanen gemiddeld twee creditcards per persoon hebben. Gemiddeld, dus er zijn mensen die er meer hebben. Ik ben de suggestie tegengekomen dat er mensen zijn met geen of een slechte ziektekostenverzekering die zoveel mogelijk credit cards hebben zodat ze daarmee ziekenhuiskosten kunnen afrekenen, om daarna wel weer verder te zien. Capital One limiteert het aantal dat ze per persoon uitgeven op twee, sinds 2009, maar ze zijn ook de leverancier van allerlei creditcards die winkelbedrijven en dergelijke aan hun klanten verstrekken, en daar geldt die limiet niet voor. En dan gaat het ook nog eens om aanvragen en niet alleen om creditcards die ook werkelijk verstrekt zijn. Al met al best een complex geheel.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer