Transport for London meldt diefstal van klantgegevens bij cyberaanval
De aanvaller die wist in te breken op systemen van Transport for London heeft toch klantgegevens gestolen, zo heeft het vervoersbedrijf bekendgemaakt. Daarnaast is er in het onderzoek naar het incident een Britse tiener aangehouden. Begin deze maand meldde de vervoerder dat het was getroffen door een cyberincident, waardoor onder andere aankomstinformatie, reisgeschiedenis en de mogelijkheid om geld terug te vragen niet voor reizigers beschikbaar waren.
Transport for London meldde ook dat er geen informatie was dat er klantgegevens waren gestolen. Daar is het vervoersbedrijf op teruggekomen. Bij de aanval zijn toch klantgegevens buitgemaakt. Het gaat om namen en contactgegevens van klanten, waaronder e-mailadressen en adresgegevens. Van vijfduizend mensen is ook informatie over teruggaven voor de Oyster-card in handen van de aanvaller gekomen, waaronder rekeninginformatie. Als gevolg van de aanval hebben werknemers nog altijd beperkte toegang tot systemen.
Het Britse National Crime Agency (NCA) laat weten dat in het onderzoek naar de aanval een 17-jarige man is aangehouden. De aanhouding vond al op 5 september plaats, maar is nu pas bekendgemaakt. De tiener is verhoord en inmiddels op borgtocht vrijgelaten. Verdere details zijn niet gegeven.
Het begint zo langzamerhand wel heel vervelend te worden zeg..
Het begint zo langzamerhand wel heel vervelend te worden zeg..
Volgens de nieuwsberichten hier -er zijn wereldwijd natuurlijk veel meer incidenten- is vooral Engeland de klos de laatste tijd.
• "Kopie-ID: kap ermee!"
https://security.nl/posting/827137
• "Authenticatie en impersonatie" (lang)
https://security.nl/posting/792391
En zorg er sowieso eerst maar eens voor dat het internet en browsers stukken veiliger worden, o.a. om te voorkómen dat mensen op een nepsite gaan VideoIdenten - met als gevolg een onmiddelijk gekloonde identiteit (beide Engelstalig: https://infosec.exchange/@ErikvanStraten/113124204291514950, m.b.t. Firefox onder Android zie https://infosec.exchange/@ErikvanStraten/113125611232033225).
Computer met sputumbakje aan het toetsenbord lijkt mij een onvermijdelijke ontwikkeling worden.
In elk geval vindt TFL VideoIdent of een kopietje-paspoort niet veilig genoeg, ontdekte Kevin Beaumont een paar uur geleden. Uit https://cyberplace.social/@GossiTheDog/113129647875705563:
Uit een van de plaatjes onder die toot:
Given the severity of the situation and how important it is to protect ourselves and our customers, you will need to attend an in-person appointment to verify your identity and reset your password.
Getting back online
Resetting 30,000 colleague passwords in person will take some time and we will be prioritising the allocation of appointments centrally.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
