Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Database internetwinkel met 24 miljoen klanten wellicht gekraakt

Database internetwinkel met 24 miljoen klanten wellicht gekraakt

Door Joost Schellevis, maandag 16 januari 2012 12:15, views: 37.989

Online-kledingwinkel Zappos is gekraakt. Criminelen kunnen toegang hebben gehad tot privégegevens van de 24 miljoen klanten. Of dat daadwerkelijk is gebeurd, is nog niet duidelijk. De creditcardgegevens zijn in ieder geval niet benaderd.

Dat schrijft de ceo van het bedrijf in een e-mail aan klanten. Een internetcrimineel heeft mogelijk de privégegevens van de 24 miljoen Zappos-klanten kunnen benaderen. Onder die gegevens waren onder meer e-mailadressen, postadressen, wachtwoord-hashes, telefoonnummers en de laatste vier digits van creditcardnummers. De volledige creditcardnummers liggen niet op straat, bezweert het bedrijf.

Of er daadwerkelijk privégegevens zijn buitgemaakt is onduidelijk. Zeker is wel dat iemand toegang heeft gekregen tot interne systemen van een Zappos-server. Het bedrijf werkt momenteel samen met de politie aan opheldering.

Op dit moment is Zappos.com onbereikbaar voor bezoekers van buiten de Verenigde Staten. Buitenlandse klanten kunnen niet meer inloggen; alle wachtwoorden zijn uit voorzorg gereset. Zappos verkoopt onder meer kleding en schoenen. Ook 6PM.com, dat aan Zappos gelieerd is, zou zijn gekraakt. Het is onduidelijk of die site dezelfde database met klantgegevens gebruikte, noch of er door die kraak nog meer privégegevens zijn buitgemaakt.

Volgende 12:38 Ook Mass Effect 3 niet verkrijgbaar via Steam
Vorige 11:40 'Grote fabrikant wil smartphones waterbestendig maken met coating'
Advertentie

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 58 reacties zichtbaar580 Off-topic / Irrelevant: 56 reacties zichtbaar56+1 On-topic: 31 reacties zichtbaar31+2 Informatief: 1 reactie zichtbaar1+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door jmjap, maandag 16 januari 2012 12:19

Score: 0
Ik kan toch gewoon op de site komen hoor...

Door wizkid_niels, maandag 16 januari 2012 12:21

Score: 1
Alleen de hoofdsite is beschikbaar. Als je doorklikt krijg je de melding dat internationaal verkeer op dit moment niet wordt doorgelaten.

Door Rob Coops, maandag 16 januari 2012 13:14

Score: 2
Nee hoor ik kan gewoon overal bij shoppen dingen in de shopping car dumpen en natuurlijk ook dor naar het betalen (toch maar niet gedaan ;) )
Het kan zijn dat het in middels weer gewoon werkt maar voor zo ver ik kan zien is alles gewoon in orde.

Ik begrijp mensen niet helemaal een site die je de mogelijkheid geeft met paypal te betalen waarom zou je daar geen gebruik van maken. Immers de kans dat je gegevens in handen van een crimineel vallen is vele malen groter als je deze door iedere site maar gewoon laat opslaan. Het is vele malen veiliger om het maar op een locatie op te laten slaan en dan simpel weg via deze site te betalen. Op die manier verklein je de kans dat je gegevens bij iemand anders op een onveilige manier opgeslagen worden. En je kunt zeggen wat je wilt maar paypal is toch al erg lang een zeer interessant doel voor dit soort hack acties maar tot op heden is het niemand gelukt om gegevens te stelen bij dit bedrijf. Dat neemt niet weg dat dat geen enkele garantie voor de toekomst is natuurlijk, maar toch... Ik heb op de een of andere manier meer vertrouwen in een site als paypal dan ik heb in een site zo als bijvoorbeeld deze of een van de honderdduizenden andere online shops die veel al via een simpel of the shelve pakket in elkaar gestampt zijn. Met dat iemand een gat vind in zo'n pakket is het al snel gebeurt met heel erg veel sites want dan is het simpel weg een kwestie van even Google in duiken en de vele tientallen zo niet honderden sites die er gebruik van maken aanvallen.

Nogmaals ik weet dat het verleden niets over de toekomst zegt maar toch heb ik een hogere pet op van ebay en paypal dan van de vele webshops die op dit moment allemaal hun "eigen" oplossing hebben voor hun internet winkel. Al is het maar omdat het budget dat bijvoorbeeld paypal te besteden heeft aan de beveiliging van hun diensten net even groter is dan het budget van een bedrijfje dat ook iets op dat internet wil doen omdat iedereen dat tegenwoordig doet.
Als ik een eigen site op zet waar dingen verkocht worden dan zal ik ook absoluut nooit aanraden maar juist afraden om een eigen betaal regeling aan te bieden. Maak gewoon gebruik van de bedrijven die zich hier in specialiseren en sla alleen dat op wat je ook echt nodig hebt, als het even kan niets anders dan een login naam en een wachtwoord. Mocht iemand dan een geslaagde poging ondernemen om achter de opgeslagen gegevens te komen dan kunnen ze nog niets anders dan alleen wat nutteloze basis informatie in zien. Hoe dan ook als je klant gegevens opslaat dan doe je dit door middel van een tweede database waar je alleen via een API bij kan en niet direct uit kan lezen als je een ingelogde gebruikers tokken/session key o fiets dergelijks mee stuurt bij het verzoek. Het kost je een heel klein beetje aan data maar het is heel erg veel veiliger. Natuurlijk staat de andere machine in een ander subnet zit er een dikke firewall tussen de site en de andere machine en kun je NOOIT van de ene machine bij de andere komen anders dan via deze ene API. Beveiliging is niet zo heel erg moeilijk het is alleen net even duurder dan een standaard pakket je aan opties bied.

Door freaky, maandag 16 januari 2012 13:35

Score: 1
Ik begrijp mensen niet helemaal een site die je de mogelijkheid geeft met paypal te betalen waarom zou je daar geen gebruik van maken.
A) Ik moet paypal niet
B) Waarom slaan ze die gegevens uberhaupt op? Ik heb daar niet om gevraagd in ieder geval en bij >99% van de webshops is het ook helemaal niet nodig. Gewoon opnieuw invoeren bij de volgende betaling
C) Gebruik meestal toch ideal, anders dan de extra verzekeringen die creditcards bieden zijn ze alleen maar ellende. Fraude gevoelig, iedereen vind het nodig die gegevens op te slaan, als je niet op tijd betaald komt er rente overheen en dan kosten ze ook nog ~30 euro per jaar.

Door 4g0ny, maandag 16 januari 2012 13:53

Score: 1
"Ik moet paypal niet" is geen geldig argument.. Heb je een duidelijke reden?
B : Ben ik mee eens, maar C: Kan niet bij elke website.. iDeal is een Nederlands product, als je op Amazon of Play.com iets bestelt heb je vette pech, want je gaat daar niet met iDeal kunnen betalen.

M.A.W.: Your argument is invalid!

Door goestin, maandag 16 januari 2012 14:33

Score: 1
Ik heb ooit eens een paypal account gehad. Ik gebruikte hem niet meer, en om een "dood"-account ergens op internet aan je bankaccount gekoppeld te laten, vind ik geen fijn idee. Echter, nu is online betalen veel meer "ingeburgerd" en zou ik misschien wel weer van de dienst gebruik willen maken. Maar ik mag niet meer met mijn bankrekening, aangezien ik ooit dat account heb opgeheven.

Waarom zou "A" trouwens geen geldige reden zijn? Paypal handelt vanuit Amerika en voor zover ik weet zijn ze daar ook juridisch gestationeerd. Dat is ook een reden waarom ik niet sta te springen om paypal.

Bij punt C werd niet gesteld dat iDeal wereldwijd ingeburgerd is, maar dat het een heel erg betrouwbaar/fijn systeem is. Deze bewering vind ik wel kloppen. Het kan technisch gezien wel degelijk, of het een reëel situatie is, is punt 2.

M.A.W.: Uw retoriek is invalide!

Door mrdemc, maandag 16 januari 2012 15:26

Score: 1
Wat betreft Europese rekeningen zijn ze gestationeerd in Luxemburg =)

Door mphilipp, dinsdag 17 januari 2012 07:26

Score: 1
Dan heb je je PayPal rekening niet (goed) opgeheven, anders kan dat gewoon.

PayPal is een offiële bank en staat onder toezicht van de ECB. Banken moeten zich aan internationale regels houden vwb beveiliging van de klantgegevens. Bizar dat ze dergelijke regels nog niet hebben geïmplementeerd voor webshops. Zo zou het niet toegestaan moeten zijn om de klantgegevens op het online systeem op te slaan. Dit moeten op een systeem staan dat alleen via calls vanuit het online systeem te benaderen is. Dat kun je vervolgens beveiligen om misbruik te voorkomen.

Door mrdemc, dinsdag 17 januari 2012 21:54

Score: 0
Paypal is geen officiele bank en hoeft zich dus ook niet te houden aan dergelijke regels :)
Dat komt omdat paypal in principe niet werkt als een bank, maar meer als een online creditssysteem wat toevallig is gekoppeld aan de bijbehorende currency.
Begrijp me niet verkeerd, ondanks dat het niet gezien wordt als een bank, wordt het wel gezien als een kredietinstelling.

hier meer informatie:
https://www.paypal.com/nl...p/gen/mentions_eu-outside

Door Xenan, maandag 16 januari 2012 15:32

Score: 1
iDeal is een Nederlands product, als je op Amazon of Play.com iets bestelt heb je vette pech, want je gaat daar niet met iDeal kunnen betalen.
Er zijn buitenlandse sites waar je met iDeal kan betalen. Steam bijvoorbeeld. En ik heb ook aan Wikipedia gedoneerd via iDeal.

Door Vendar, dinsdag 17 januari 2012 10:29

Score: 0
Ik zag eens op tv een mannetje melden dat Paypal niet zo veilig is als men denkt. Het is slechts afwachten tot het zo ver is. Hier heb je 24 miljoen benadeelden. Hoe veel mensen gebruike Paypal?

Ik heb geen paypal, ik heb een of andere weerstand er tegen. Ik heb wel eens gedacht zelfs op het punt gestaan me daar een account aan te meten. Maar om een of andere reden durf ik het niet aan. En dat terwijl ik het erg goed zou kunnen gebruiken voor MMO's. Mijn MMO liet Ideal vallen, sindsdien betaal ik niet meer voor de in-game valuta. Daar gingen ze ook nog eens over naar een Engels bedrijf voor betalingen. Nou vertrouw ik Engeland als surveillance cultuur ook niet meer sinds enkele jaren.

Een andere MMO waar ik speel heeft ook al geen Ideal. Ik kan me er niet toe zetten om op een dag uit bed te klimmen mijn PC aan te zetten en dan te moeten lezen dat Paypal gekraakt is. Op dat moment kun je he-le-maal niets doen.

Door robvanwijk, maandag 16 januari 2012 15:19

Score: 1
Gebruik meestal toch ideal
Als je de reactie van Rob Coops even goed leest dan zie je dat ie niet zozeer Paypal aanraadt, maar een gespecialiseerde site in het algemeen; zijn post is net zo geldig als je overal Paypal vervangt door iDeal (behalve dan dat Zappos geen iDeal aanbiedt natuurlijk).
creditcards (..) zijn (..) alleen maar ellende
Mee eens, maar je hoeft niet persé een creditcard te gebruiken voor Paypal; je kunt (als je tenminste een Nederlandse bankrekening hebt) ook via automatische incasso werken. Dan wordt elke keer dat je iets met Paypal betaalt het bedrag via incasso van je bankrekening afgeschreven.

Door DutchStoner, maandag 16 januari 2012 14:24

Score: 1
een site zo als bijvoorbeeld deze of een van de honderdduizenden andere online shops die veel al via een simpel of the shelve pakket in elkaar gestampt zijn
Je beseft jezelf dat Zappos.com in 2009 voor $1.2 billion dollar is gekocht door amazon. Dit is echt geen kant en klaar wordpress template hoor.

En daarnaast... PayPal is van Ebay, Zappos is van Amazon.

[Reactie gewijzigd door DutchStoner op maandag 16 januari 2012 14:35]

Door immetjes, maandag 16 januari 2012 23:29

Score: 0
Rob, leuk stuk, maar doe eens een cursus alinea's en leestekens. Niet echt uitnodigend leesbaar zo.

Door Biertje?, maandag 16 januari 2012 12:19

Score: 0
het blijft maar doorgaan met kraken hacken enz....

Door BeerenburgCola, maandag 16 januari 2012 12:31

Score: 1
Zolang webshops hun site niet goed beveiligen gaat het gewoon door ja.
Maar hopen dat er genoeg white hat hackers zijn die deze webshops op eventuele gaten kunnen wijzen.

Je zou bijna zelf gaan (white) hacken om te kijken hoe slecht het werkelijk is gesteld.

Door Timo002, maandag 16 januari 2012 13:01

Score: 1
Het hacken kan ook van binnenuit komen. Als je eigen werknemers, waarvan je denkt ze te kunnen vertrouwen, je dit lappen. Wat kun je er dan aan doen? Zo min mogelijk mensen toegang tot de gegevens verlenen, maar er is iemand die toegang tot de gegevens heeft en dit kan veroorzaken.

Wat ik ermee wil zeggen, een hack komt niet altijd van buitenaf. Het grootste gevaar zit hem denk ik in ontevreden medewerkers of medewerkers welke zijn ontslagen. Dat is dan wel weer hacken vanaf extern, maar wel met veel kennis van het systeem.

Door Siempie, maandag 16 januari 2012 13:08

Score: 1
Het hacken zou juist van binnen moeten komen. De beste hackers zijn de beste beveiligers, want die weten waar de gaten zitten. Sites die zo groot zijn dat ze een database met 24 miljoen klanten hebben moeten een hackersbedrijf inhuren om naar gaten te speuren. Kleine sites zouden nog kunnen zeggen dat ze dat niet kunnen betalen, maar dit soort sites zou gewoon 30% van hun winst in beveiliging moeten steken.

Door Iftert, maandag 16 januari 2012 12:19

Score: 1
Het is te makkelijk om te zeggen : leren ze hier nu niets van? Want dit de zoveelste keer dat hackers dit doen.

Als ze willen inbreken, breken ze in. Maar wat ik dan slecht vind : ze weten niet wat er is gehacked.
Belangrijskste is dat de CC gegevens niet aangetast zijn. Zolang dat goed beveiligd is is er in feite weinig aan de hand. (ja ok alleen je naam en adres/email gegevens liggen op straat, is kut maar overheen te komen, 80% geeft toch al veel meer prijs op bv een facebook of twiter)

[Reactie gewijzigd door Iftert op maandag 16 januari 2012 12:20]

Door Zer0, maandag 16 januari 2012 12:24

Score: 1
Maar wat ik dan slecht vind : ze weten niet wat er is gehacked.
Er zal niet een simpel servertje staan met een paar kb aan logfiles, maar meerdere, complexe systemen met een hele hoop logs. Die neem je niet even door, dus het kost tijd om te onderzoeken waar de hacker precies geweest is.

Door Webdoc, maandag 16 januari 2012 12:31

Score: 1
Ja dat is lekker kort door de bocht... besef even dat hier helemaal geen sprake is van "ze" - elk bedrijf heeft zijn eigen system admin, eigen interne politiek, eigen software pakketten en eigen ideeen over hoe je security moet aanpakken. Dus "ze" leren, maar allemaal voor zich. Tel daarbij op dat mensen geneigd zijn om hun eigen kunde te overschatten en de kunde van anderen te onderschatten, en je kan er vergif op innemen dat dit soort gebeurtenissen nog jaren en jaren zullen gebeuren.

Door Nailgun, maandag 16 januari 2012 12:21

Score: 1
Je zou toch vermoeden dat, na alle publicaties van de laatste tijden, iedere website zichzelf binnenstebuiten heeft gekeerd om dit soort zaken te voorkomen? Of is er intussen weer een nieuwe backdoor gevonden o.i.d?

Door Zodiax1, maandag 16 januari 2012 12:25

Score: 1
Er zwerven altijd 0-days rond. (exploits die niet publiekelijk bekend zijn en er dus nog ook geen fixes voor zijn)
Dus ook al heb je alles in orde dan nog kun je wel gehackt worden.

Enige wat je echt kan doen is zorgen dat je database goed geëncrypt is in ieder geval.

Door bwerg, maandag 16 januari 2012 12:48

Score: 1
Volgens mij komt de overgrote meerderheid van dit soort hacks door simpele SQL-injecties en dergelijke. Nu wil ik niet zeggen dat dat hierbij ook het geval is geweest, maar ook de basale beveiligingsmethoden worden vaak nog niet toegepast. Dus misschien niet helemaal relevant voor deze specifieke hack, maar het lijkt nog steeds alsof lang niet alle webwinkels en andere websites met grote databases deze golf van hacks hebben opgepikt...

Door In Search of Sunrise, maandag 16 januari 2012 12:27

Score: 0
Nee hoor. Veel bedrijven die online opereren of naast de gewone zaak een site hebben denken dat het bij hun niet zo'n vaart zal lopen.
Zappos zal ook wel zo'n instelling hebben gehad. Er moet eerst wat gebeuren voordat er actie wordt ondernomen.

Door freaky, maandag 16 januari 2012 13:36

Score: 0
Uh huh, enig idee wat een fatsoenlijke penetratie test kost? Genoeg om menig webshop failliet te verklaren voor ze klaar zijn...

edit:
Mss handig om er bij te vermelden dat de meeste shops hun software elders kopen en er van uit gaan dat de leverancier/ontwikkelaar zorg draagt voor de veiligheid er van

[Reactie gewijzigd door freaky op maandag 16 januari 2012 13:41]

Door killercow, maandag 16 januari 2012 14:37

Score: 0
Heb je enig idee wat t lekken van prive gegevens van 24m klanten de slachtoffers kost?

Door geerttttt, maandag 16 januari 2012 12:21

Score: 1
Het lijkt wel ineens een sport te worden om zo groot mogelijke en zoveel mogelijk sites te gaan hacken omwille van klantgegevens. Dit gebeurt zo vaak de laatste tijd. Dit gaat veranderingen geven in de wetgeving en bemoeienis van de overheid als dit zo doorgaat denk ik.

Mooie tijd voor IT personeel met Security papieren lijkt mij zo (ben ik blij dat ik net hier een minor van aan het afronden ben..)

Door DavidWebb, maandag 16 januari 2012 12:23

Score: 0
Als ik dit zo allemaal lees de afgelopen half jaar vraag ik me af of er een systeem bestaat die niet te kraken valt. Ik hoor nooit wat over bijvoorbeeld dat de pentagon gehackt wordt.

Door Biertje?, maandag 16 januari 2012 12:25

Score: 0
die hebben een firewall voor een firewall,firewall...

Door v-god, maandag 16 januari 2012 13:00

Score: 0
Dat komt voor een stuk doordat zowel het pentagon als de hacker zelf er weinig reclame mee maken als het is gebeurd.

Iemand die in het pentagon binnen geraakt probeert zoveel mogelijk informatie te halen en gaat niet op twitter/pastebin lopen rondbazuinen dat ie 't gedaan heeft.
Ook het pentagon probeert dat binnenskamers uit te klaren.

Dat betekent echter niet dat het niet gebeurt, zoals laatste zomer nog:
http://www.businessinside...e-a-theater-of-war-2011-7

Door Nick_S, maandag 16 januari 2012 13:02

Score: 0
Nog nooit gehoord van de Brit Gary McKinnon? V.z.i.w. zit hij nog steeds te wachten om uitgeleverd te worden aan de VS.

Door Yippie, maandag 16 januari 2012 13:06

Score: 1
Ken je Gary McKinnon niet meer ?
nieuws: 'Britse Pentagon-hacker kan in eigen land worden berecht'

Tevens denk ik niet dat alle webwinkel eigenaren dit nieuws volgen.
Beter zou natuurlijk zijn, dat bijv. in NL aan de verschillende keurmerken gekoppeld wordt dat je een bepaalde mate van beveiliging hebt ingebouwd. De eisen/richtlijnen zouden bepaald kunnen worden door het hagelnieuwe Cyber Security Centrum ( zie nieuws: 'Cyber Security Centrum' opent deuren )

Door BryanD, maandag 16 januari 2012 12:25

Score: 0
Hmm, vorige week de nederlandse site, van het weekend de minecraft server waar ik speel (niet heel groot toegegeven, maar desalnietemin wel kut) en nu, de voor mij onbekende site, zappos gehackt, gaat weer lekker in 2012.

Ik vraag me af wat de statistieken zijn m.b.t. het aantal nieuws berichten over hacks. Ik zou persoonlijk best graag een grafiekje van internet criminaliteit willen zien het liefst met een voorspelling voor de toekomst.

Het is namelijk wekelijks dat er tenminste 1 hack gepleegd word (soms met hoge uitzondering niets). Dit in (volgens mij) tegenstelling tot een paar jaar geleden waar je dit nog maar zelden tegen kwam.

Door bwerg, maandag 16 januari 2012 12:51

Score: 1
In tegenstelling tot zaken als moord, winkeldiefstal e.d. zijn hacks vaak extreem moeilijk te detecteren en in het "wilde westen van het internet" is het ook totaal niet overzichtelijk wie welke sites beheerd en kleinere websites doen misschien helemaal geen aangifte. Die aantallen lijken me dus extreem moeilijk in te schatten.

Door freaky, maandag 16 januari 2012 14:00

Score: 0
Die toekomstverspelling kan ik je wel geven.

Gezien de interesse van veel mensen voor bijna alles, inclusief hun privacy, in die nieuwe generatie nagenoeg 0 is, zal het alleen maar erger worden.

Niet dat het ze boeit, ze hebben toch niks te verbergen. Althans, dat houden ze zelf bij hoog en laag vol tot iemand de creditcard plundert.

Door Gulftown, maandag 16 januari 2012 12:26

Score: 0
De CEO van Zappos heeft een bericht naar zijn werknemers gestuurd: http://twitter.com/#!/zappos/status/158722675517300737

Door ADQ, maandag 16 januari 2012 12:34

Score: 1
Die tweet verwijst naar hun eigen domein, en dan krijg je "We are so sorry – we are currently not accepting international traffic. If you have any questions please email us at mailto:help@zappos.com"
Dus we kunnen dat bericht niet lezen zonder zijsprongetje. Even moeite besparen:
The following email was sent to our employees today:
Subject: Important - Security
Dear Zappos Employees -
Please set aside 20 minutes to carefully read this entire email.
We were recently the victim of a cyber attack by a criminal who gained
access to parts of our internal network and systems through one of our
servers in Kentucky. We are cooperating with the FBI to undergo an
exhaustive investigation.
Because of the nature of the investigation, the information in this email
is being sent a bit more formally, and unfortunately we are not able to
provide any more details about specifics of the attack beyond what is in
this email and the link at the end of this email, but we can say that THE
SECURE DATABASE THAT STORES OUR CUSTOMERS' CRITICAL CREDIT CARD AND OTHER
PAYMENT DATA WAS NOT AFFECTED OR ACCESSED.
The most important focus for us is the safety and security of our
customers'
information. Within the next hour, to ensure a greater level of security,
we
will begin the process of notifying the 24+ million customer accounts in
our
database about the incident and help step them through the process of
choosing a new password for their accounts. (We've already reset and
expired
their existing passwords.)
Here is the email that our customers will be receiving:
-------------------------------------------------------------------------
Subject: Information on the Zappos.com site - please create a new password
First, the bad news:
We are writing to let you know that there may have been illegal and
unauthorized access to some of your customer account information on
Zappos.com, including one or more of the following: your name, e-mail
address, billing and shipping addresses, phone number, the last four
digits of your credit card number (the standard information you find on
receipts), and/or your cryptographically scrambled password (but not your
actual password).
THE BETTER NEWS:
The secure database that stores your critical credit card and other
payment
data was NOT affected or accessed.
SECURITY PRECAUTIONS:
For your protection and to prevent unauthorized access, we have expired
and
reset your password. Please see the link at the end of this message to
create a new password.
As always, please remember that Zappos.com will never ask you for personal
or account information in an e-mail. Please exercise caution if you
receive
any emails or phone calls that ask for personal information or direct you
to
a web site where you are asked to provide personal information. We also
recommend that you change your password on any other web site where you
use
the same or a similar password.
PLEASE CREATE A NEW PASSWORD:
We have expired and reset your password. Please create a new password by
clicking on the link below:
http:// [we will provide a secure, unique link for each customer]
We sincerely apologize for any inconvenience this may cause. If you have
any
additional questions about this process, please email us at
mailto:passwordchange@zappos.com
-------------------------------------------------------------------------
We have also created a web page that we will continue to update as we
learn
more about what questions customers have:
http://www.zappos.com/passwordchange
In order to service as many customer inquiries as possible, we will be
asking all employees at our headquarters, regardless of department, to
help
with assisting customers.
Due to the volume of inquiries we are expecting, we realized that we
could
serve the most customers by answering their questions by email. We have
made
the hard decision to temporarily turn off our phones and direct customers
to
contact us by email because our phone systems simply aren't capable of
handling
so much volume. (If 5% of our customers call, that would be over 1
million
phone calls, most of which would not even make it into our phone system
in the
first place.)
We've spent over 12 years building our reputation, brand, and trust with
our
customers. It's painful to see us take so many steps back due to a single
incident. I supposed the one saving grace is that the secure database that
stores our customers' critical credit card and other payment data was not
affected or accessed.
Over the next day or so, we will be training everyone on the specifics of
how to best help our customers through their password change process now
that their passwords have been reset and expired. We need all hands on
deck
to help get through this.
Thanks everyone.
-

Date: Sun, 15 Jan 2012
From: Tony Hsieh (CEO - Zappos.com)
To: Zappos Employees
Subject: Important - Security

Dear Zappos Employees -

Please set aside 20 minutes to carefully read this entire email.

We were recently the victim of a cyber attack by a criminal who gained access to parts of our internal network and systems through one of our servers in Kentucky. We are cooperating with law enforcement to undergo an exhaustive investigation.

Because of the nature of the investigation, the information in this email is being sent a bit more formally, and unfortunately we are not able to provide any more details about specifics of the attack beyond what is in this email and the link at the end of this email, but we can say that THE DATABASE THAT STORES OUR CUSTOMERS' CRITICAL CREDIT CARD AND OTHER PAYMENT DATA WAS NOT AFFECTED OR ACCESSED.

The most important focus for us right now is the safety and security of our customers' information. Within the next hour, we will begin the process of notifying the 24+ million customer accounts in our database about the incident and help step them through the process of choosing a new password for their accounts. (We've already reset and expired their existing passwords.)

Here is the email that our customers will be receiving:

-------------------------------------------------------------------------

Subject: Information on the Zappos.com site - please create a new password

First, the bad news:

We are writing to let you know that there may have been illegal and unauthorized access to some of your customer account information on Zappos.com, including one or more of the following: your name, e-mail address, billing and shipping addresses, phone number, the last four digits of your credit card number (the standard information you find on receipts), and/or your cryptographically scrambled password (but not your actual password).

THE BETTER NEWS:

The database that stores your critical credit card and other payment data was NOT affected or accessed.

SECURITY PRECAUTIONS:

For your protection and to prevent unauthorized access, we have expired and reset your password so you can create a new password. Please follow the instructions below to create a new password.

We also recommend that you change your password on any other web site where you use the same or a similar password. As always, please remember that Zappos.com will never ask you for personal or account information in an e-mail. Please exercise caution if you receive any emails or phone calls that ask for personal information or direct you to a web site where you are asked to provide personal information.

PLEASE CREATE A NEW PASSWORD:

We have expired and reset your password so you can create a new password.

Please create a new password by visiting Zappos.com and clicking on the "Create a New Password" link in the upper right corner of the web site and follow the steps from there.

We sincerely apologize for any inconvenience this may cause. If you have any additional questions about this process, please email us at mailto:passwordchange@zappos.com

-------------------------------------------------------------------------

We have also created a web page that we will continue to update as we learn more about what questions customers have:

http://www.zappos.com/passwordchange

In order to service as many customer inquiries as possible, we will be asking all employees at our headquarters, regardless of department, to help with assisting customers. Due to the volume of inquiries we are expecting, we realized that we could serve the most customers by answering their questions by email. We have made the hard decision to temporarily turn off our phones and direct customers to contact us by email because our phone systems simply aren't capable of handling so much volume. (If 5% of our customers call, that would be over 1 million phone calls, most of which would not even make it into our phone system in the first place.)

We've spent over 12 years building our reputation, brand, and trust with our customers. It's painful to see us take so many steps back due to a single incident. I suppose the one saving grace is that the database that stores our customers' critical credit card and other payment data was not affected or accessed.

Over the next day or so, we will be training everyone on the specifics of how to best help our customers through their password change process now that their passwords have been reset and expired. We need all hands on deck to help get through this.

Thanks everyone.

-Tony Hsieh
CEO - Zappos.com

Door broodjekaas92, maandag 16 januari 2012 12:44

Score: 0
dit is dezelfde tekst als waarnaar het artikel ook verwijst

Door chaozz, maandag 16 januari 2012 14:00

Score: 0
We are so sorry – we are currently not accepting international traffic. If you have any questions please email us at mailto:help@zappos.com
krijg je als je op de link in het twitter-bericht klikt.

Door dragonlords1, maandag 16 januari 2012 12:30

Score: 0
Zouden ze hosten bij amazon? Het zou me raar lijken als dit niet zo zou zijn. Slecht nieuws voor amazon.

Door freaky, maandag 16 januari 2012 14:00

Score: 1
Want?

Als ik brakke PHP code op de server van Amazon gooi is dat ook hun fout?

Door vlaflipper, maandag 16 januari 2012 12:50

Score: 1
Ok, Dat een systeem gehackt word dat kan. Dat er dan gegevens meegenomen snap ik ook nog. Maar waarom beveilig je gevoelige informatie niet zo dat een 3th party er niks mee kan? Cryptografie? Dan staat alles gecodeerd opgeslagen. Het duurt wel langer voordat de gegevens geladen zijn en het kost meer server capaciteit. Maar dat lijkt mij voor zo een grote organisatie geen issue.

Door gedonie, maandag 16 januari 2012 13:07

Score: 1
Cryptografie klinkt leuk maar biedt in een online omgeving enkel schijnveiligheid. De computer die de gegevens versleuteld en decodeerd is immers ook in datzelfde netwerk aanwezig.

Met andere woorden als je toegang hebt tot de database dan is de kans groot dat je ook bij de systemen kunt komen die de encryptie regelen, en dus bij de encryptie sleutels.

Door vlaflipper, maandag 16 januari 2012 21:57

Score: 1
Ben ik niet helemaal met je eens, hoezo zijn ze dan niet aan de creditcard gegevens gekomen? Omdat deze in een afzonderlijk systeem stonden dan kan je dat met de het encrypten en decrypten ook doen.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 12:38 Ook Mass Effect 3 niet verkrijgbaar via Steam
Vorige 11:40 'Grote fabrikant wil smartphones waterbestendig maken met coating'
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011