Hack bij MasterCard en Visa is waarschijnlijk hoax
Het is niet geheel duidelijk waar de gestolen creditcardgegevens die maandag op het internet verschenen vandaan komen. Bovendien lijkt het erop dat de 'hacker' die de gegevens publiceerde, zelf helemaal niet achter de hack zit.
De kans is groot dat de maandag gepubliceerde 'creditcardgegevens' niet van de hacker, met de naam Reckz0r, afkomstig zijn. Zoals tweaker Johny_B aanvoert, zijn de gegevens begin mei al gepubliceerd op een Palestijnse hackerssite. De kans is dan ook groot dat 'hacker' Reckz0r de gegevens simpelweg heeft gekopieerd en als zijn eigen werk heeft gepubliceerd.
De 'aanvaller' claimt bovendien opeens niet Visa en MasterCard te hebben gekraakt, maar de banken. Hij zou in de afgelopen drie maanden toegang tot 79 grote banken hebben gehad, waaronder de Amerikaanse gigant Chase. Eerder stelde hij bij de creditcardmaatschappijen Visa en MasterCard 50GB aan data te hebben buitgemaakt.
Reckz0r heeft maandag een deel van de buitgemaakte gegevens gepubliceerd, maar al snel ontstond twijfel over de herkomst van de gegevens. Op de lijst stonden namelijk ook gegevens van klanten van creditcardbedrijf American Express, een concurrent van Visa en MasterCard. Er is geen reden waarom die laatste twee bedrijven over gegevens van American Express-klanten zouden beschikken.
Het lijkt waarschijnlijker dat de gegevens afkomstig zijn van een andere bron, ook omdat er op de lijst geen enkel creditcardnummer of verwante gegevens, zoals de security-code en de verloopdatum, te vinden zijn. Volgens de hacker zelf zou hij die gegevens hebben weggelaten om de privacy van de klanten te beschermen, maar tegelijk publiceerde hij wel e-mailadressen en telefoonnummers.
Reacties (57)
Gezien de mailadressen op de oorspronkelijke lijst waar het vandaan lijkt te komen, lijkt me dit een simpel gevalletje phishing.
Denk het ook maar stel je eens de vraag. 50 gb aan data dan heb je het denk ik over een tiental miljoen credit card gegevens wereldwijd. Lijkt me dat dat niet kan kloppen.
Het leukste deel van een hoax is dat je dingen kunt zeggen die nergens op slaan. 50GB lijkt me dus gewoon onzin 
Precies! 'Pics or it didn't happen' zoals 4Chan zou zeggen...
Maar goed - ik heb die vrijgegeven lijst gedownload en effe snel gezocht naar Nederlandse slachtoffers. Voor & achternaam in google - en de gegevens lijken in ieder geval te matchen.
Ik vraag me verder af wat erger is - 2 credit card maatschappijen hacken, of 79 banken...
Zou dit de nieuwe trend in de 'scene' zijn - gegevens op straat gooien met een claim dat je een multinational gehackt hebt?
Maar goed - ik heb die vrijgegeven lijst gedownload en effe snel gezocht naar Nederlandse slachtoffers. Voor & achternaam in google - en de gegevens lijken in ieder geval te matchen.
Ik vraag me verder af wat erger is - 2 credit card maatschappijen hacken, of 79 banken...
Zou dit de nieuwe trend in de 'scene' zijn - gegevens op straat gooien met een claim dat je een multinational gehackt hebt?
Als ik een hoax zou willen maken zou ik ook wel eventjes checken of de data klopt, via de Facebook API...
In theorie zou daar ook de volledige aankoop- en betalingsgeschiedenis van zo'n kaart kunnen zijn. Of misschien ook alle servicedesk-contacten van een klant. En bij de kaartverwerkers zou het ook niet zo gek zijn om in de database een scan van het oorspronkelijke formulier + handtekening in een ongecomprimeerd formaat te hebben zitten (dus als 'blob').Denk het ook maar stel je eens de vraag. 50 gb aan data dan heb je het denk ik over een tiental miljoen credit card gegevens wereldwijd. Lijkt me dat dat niet kan kloppen.
Dus, er zijn genoeg dingen te verzinnen om aan die 50 GB te komen.
Neemt niet weg dat zonder verdere duiding het een waardeloos gegeven blijft dat niet bijdraagt aan de geloofwaardigheid.
Ja of opgenomen gesprekken met de klanten.
Dan is 50gb nog weinig.
Dan is 50gb nog weinig.
Als het echt om alleen (relevante) creditcardgegevens gaat - kaarthouder, nummer, expiry date en code - dan kun je (ruwe schatting) miljarden creditcardgegevens in 50 GB verstouwen.
Een enkele creditcardmaatschappij hacken zou al een hele prestatie zijn. Laat staan de twee grootste maatschappijen. Toen ik hoorde dat er ook 79 grote banken gehackt waren wist ik al genoeg dat het een grappenmaker was.
Alles goed en wel, maar hij zal zijn doel nu al wel bereikt hebben: reputatieschade. Moet je de reacties op het eerste artikel (hier op Tweakers) zien, van mensen die meteen riepen dat het een schande was wat betreft beveiliging. Dit nieuws heeft de gewone media ook bereikt, dit is gewoon gezichtsverlies voor de CC-maatschappijen terwijl er niets is gebeurd.
Als dat het doel was van deze 'hacker', dan heeft ie dat prima voor mekaar. Het blijft me verbazen hoeveel effect hoax blijft hebben. Vroeger was het al wel opletten met broodje-aap-verhalen, maar met de opkomst van massacommunicatie de afgelopen 20 jaar wordt het toch wel steeds beter oppassen geblazen vermoed ik.
Als dat het doel was van deze 'hacker', dan heeft ie dat prima voor mekaar. Het blijft me verbazen hoeveel effect hoax blijft hebben. Vroeger was het al wel opletten met broodje-aap-verhalen, maar met de opkomst van massacommunicatie de afgelopen 20 jaar wordt het toch wel steeds beter oppassen geblazen vermoed ik.
[Reactie gewijzigd door ktf op 19 juni 2012 11:33]
Een scheet laten op de beursvloer doet ook wonderen! maar in werkelijkheid doet het niets met de bedrijven qua functioneren, alleen de handel in bedrijfdelen gaat wat omlaag.
maar in werkelijkheid doet het niets met de bedrijven qua functioneren, alleen de handel in bedrijfdelen gaat wat omlaag.
Het is in dit geval dan niet waar geweest, maar als er 79 banken zijn die eenzelfde systeem gebruiken, en dat systeem zelf wordt gekraakt (bijv. SHA-1 - ik roep maar iets), dan kan dat wel op hetzelfde neerkomen.Een enkele creditcardmaatschappij hacken zou al een hele prestatie zijn. Laat staan de twee grootste maatschappijen. Toen ik hoorde dat er ook 79 grote banken gehackt waren wist ik al genoeg dat het een grappenmaker was.
Inderdaad: Je roept maar iets, zoals zovelen dat elke keer weer doen.
Wat ik me verder afvraag: hoe kan iemand 50GB aan data downloaden zonder dat er een alarmbel gaat rinkelen ergens, het lijkt me toch dat dit makkelijk traceerbaar is, en het lijkt me dat CC maatschappijen vol inzetten op security. Alles staat of valt met vertrouwen.
Je kunt natuurlijk over een lange termijn veel data verzamelen zonder dat er sprake is van een eenmalige piek.
Met de offsite replicatie van backups en de sowieso al enorme hoeveelheden data die dat soort partijen verzetten betwijfel ik dat 50GB opvalt.
Als je netwerk meter al 6TB per dag aan geeft zal die 50GB niet snel opvallen.
Je praat hier niet over een 5 mans timmer bedrijfje dat mss 15GB aan internetverkeer per maand heeft.
Als je netwerk meter al 6TB per dag aan geeft zal die 50GB niet snel opvallen.
Je praat hier niet over een 5 mans timmer bedrijfje dat mss 15GB aan internetverkeer per maand heeft.
Reken maar dat het opvalt als je 50Gb verscheept naar een server die niet in binnen je eigen netwerk valt.
De vraag is of het op zou vallen als je die 50Gb verscheept naar een door jou aangestuurd botnet, maar als het naar 1 server gaat buiten je eigen netwerk dan moeten alle alarmbellen gaan rinkelen.
De vraag is of het op zou vallen als je die 50Gb verscheept naar een door jou aangestuurd botnet, maar als het naar 1 server gaat buiten je eigen netwerk dan moeten alle alarmbellen gaan rinkelen.
50GB / 79 grote banken = nog geen GB maar 600/700 MB per bank dus vrij ontraceerbaar.
Geloof me bij een goed systeem (en dat zit er bij de meeste banken in) is zelfs 3 mb bij bepaalde data al opvallend. Zelfs bij een bepaalde hoeveelheid kb´s al genoeg zijn (immers sleutels zijn vaak maar een paar honderd kb´s groot.
idd, de CC maatschappijen zelf zijn / worden ook (voor zover ik weet) nooit gehacked; het zijn altijd webshops en dergelijke die hun beveiliging niet op orde hebben.
Natuurlijk, mijns insziens, moet CC gegevens die derde partijen opslaan ook geen invloed hebben op de veiligheid van een betalingsaanbieder. iDeal is bijvoorbeeld belachelijk veel veiliger, simpelweg omdat de (web)winkel zelf niks hoeft op te slaan qua jouw bank/betalingsgegevens.
Natuurlijk, mijns insziens, moet CC gegevens die derde partijen opslaan ook geen invloed hebben op de veiligheid van een betalingsaanbieder. iDeal is bijvoorbeeld belachelijk veel veiliger, simpelweg omdat de (web)winkel zelf niks hoeft op te slaan qua jouw bank/betalingsgegevens.
De tweede hackhoax in korte termijn, ik voelde hem wel al aankomen.
Mooi woord: Hackhoax. Hackhoax is nu al de trend van 2012. Zie de zogenaamde KPN-lijst die kwam van de babydump.
Het wordt dus tijd dat media (tweakers, NOS-journaal) kritisch kijken en zoeken naar bewijs voordat ze publiceren dat er een hack is.
Dat is geen makkelijke taak, maar wel nodig, juist omdat echte hacks wel bekend gemaakt moeten worden.
Het wordt dus tijd dat media (tweakers, NOS-journaal) kritisch kijken en zoeken naar bewijs voordat ze publiceren dat er een hack is.
Dat is geen makkelijke taak, maar wel nodig, juist omdat echte hacks wel bekend gemaakt moeten worden.
Tja.... vroeger betekent journalistiek automatisch dat je kritisch keek naar de geboden informatie. Tegenwoordig schijnt dat niet meer het geval te zijn... Alles moet snel snel snel, voordat een andere website het geplaatst heeft...
Dat vind ik hier nogal meevallen eerlijk gezegd. Tweakers is juist vaak wat later met actueel nieuws dan bijvoorbeeld nu.nl, maar biedt wel (veel) meer diepgang en inhoud.
En het voordeel van Tweakers is dat je door de comments (zoals in dit geval van johny_B) vaak een beter beeld krijgt van wat er aan de hand is dan door alleen het artikel te lezen. Bij NuJij is het die keren dat ik gekeken heb onkunde troef.
En het voordeel van Tweakers is dat je door de comments (zoals in dit geval van johny_B) vaak een beter beeld krijgt van wat er aan de hand is dan door alleen het artikel te lezen. Bij NuJij is het die keren dat ik gekeken heb onkunde troef.
De niet uniforme manier waarop de "sample" gegevens in het tekstbestand op pastebin waren opgesteld, deed mij al vermoeden dat dit fake was...
Het leek me al zeer sterk toen hij zijn verhaal veranderde naar '79 banken in de afgelopen 3 maanden'.
Hij heeft het zo ongeloofwaardig gemaakt dat het wel een hoax moet zijn.
Hij heeft het zo ongeloofwaardig gemaakt dat het wel een hoax moet zijn.
oftopic, Ik vind het mooi om te zien dat sommige tweakers hier echt mee bezig zijn.
Ontopic, wat een opscheppertje. Met de eer strijken en allerlij onzin in de wereld brengen. Vraag mij wel af wie hier achter zit.
Ontopic, wat een opscheppertje. Met de eer strijken en allerlij onzin in de wereld brengen. Vraag mij wel af wie hier achter zit.
Zou wel lullig zijn als die nu als nog gewoon opgepakt werd. Is die gewoon de lul voor iets wat die helemaal niet gedaan heeft.
Zou zeker wel terecht zijn als die berecht word, hij steld mastercard en visa in slecht daglicht en dit valt gewoon onder smaad
Smaad is het zwartmaken van een ander door deze in het openbaar van feiten te beschuldigen waaraan hij of zij zich schuldig zou hebben gemaakt, zonder dat wordt gehandeld uit noodzakelijke verdediging of dat te goeder trouw kon worden aangenomen dat deze feiten waar zijn en dat het algemeen belang vereiste dat de feiten naar buiten werden gebracht. Het doel is het ruïneren van de reputatie van het slachtoffer.
[Reactie gewijzigd door michaaeel op 19 juni 2012 11:47]
dat dit kan gebeuren bij een groot bedrijf en dat er niet goed beveiligd word het gaat hier toch om geld van andere mensen
"Ik heb Visa en Mastercard vanochtend ook gehackt".
Hoppa! Het is al gebeurd! Ik heb het gezegd! Mensen kunnen zoveel zeggen.
M.a.w.: Hoax.
Aan alle meelezende juridische instanties: Het moge duidelijk zijn dat bovenstaande tekst geen smaad is, maar enkel een voorbeeld
Hoppa! Het is al gebeurd! Ik heb het gezegd! Mensen kunnen zoveel zeggen.
M.a.w.: Hoax.
Aan alle meelezende juridische instanties: Het moge duidelijk zijn dat bovenstaande tekst geen smaad is, maar enkel een voorbeeld
[Reactie gewijzigd door kakanox op 19 juni 2012 12:11]
Overigens is dat wel geinig want het zijn CREDITcardmaatschappijen... dus technisch gezien is het nog geen geld van andere mensen...
Men ziet mij toch altijd als verantwoordelijke voor de opgelopen schuld hoor... dus kweenie of het altijd zo is.. 
Welnee als bewezen is dat er criminelen achter zitten worden die aangekeken voor de schuld.
Staan er nou wel of geen creditcard nummers in? Ik heb even kort gekeken of ik er zelf in voorkwam, en toen geen nummers gezien, maar misschien iets gemist.Op de lijst stonden namelijk ook creditcardnummers van creditcardbedrijf American Express, een concurrent van Visa en MasterCard. Er is geen reden waarom die laatste twee bedrijven over gegevens van American Express-klanten zouden beschikken.
Het lijkt waarschijnlijker dat de gegevens afkomstig zijn van een andere bron, ook omdat er op de lijst geen enkel creditcardnummer of verwante gegevens, zoals de security-code en de verloopdatum, ...
Er stonden geen CC nummers in.. maar .. en ik heb dit vaker gezegd :-).. een CC nummer is helemaal niet zo heel erg interessant..
het is maar een nummer van 16 lang..
waarvan de eerste 6 de BIN van de Bank zijn (BankIdentificationNumber)
dan nog 9 nummertjes en dan 1 laatste checkdigit via luhncheck methode.
dus wat heb je dan..
4563530000000004 theoretisch geldig kaartnummer.. en ga zo maar door..
maar wat ga je er mee doen? je hebt geen CVC2 waarde, geen chipinfo, geen vervaldatum (hoewel die redelijk simpel te gokken is).. dan heb je een nummer..
Maar goed.. dat is net zoals ik heb een lijst gehackt met pincodes:
1231
4923
2942
3234
9426
3942
Het zijn maar nummertjes..(alleen korter)
het is maar een nummer van 16 lang..
waarvan de eerste 6 de BIN van de Bank zijn (BankIdentificationNumber)
dan nog 9 nummertjes en dan 1 laatste checkdigit via luhncheck methode.
dus wat heb je dan..
4563530000000004 theoretisch geldig kaartnummer.. en ga zo maar door..
maar wat ga je er mee doen? je hebt geen CVC2 waarde, geen chipinfo, geen vervaldatum (hoewel die redelijk simpel te gokken is).. dan heb je een nummer..
Maar goed.. dat is net zoals ik heb een lijst gehackt met pincodes:
1231
4923
2942
3234
9426
3942
Het zijn maar nummertjes..(alleen korter)
Heeey, hoe kom je aan mijn pincode ???
stond in deze lijst....
http://www.positiveatheism.org/crt/pin.htm
http://www.positiveatheism.org/crt/pin.htm
Okay ik geef toe.. het was niet mijn hack...
Als je die in willekeurige volgorde zet kan je er gegarandeerd nieuwssites mee halen
Klopt. Met wiskunde heb ik laatst tellen weer eens gehad. Stel dat de eerste nummers bekend zijn en dat zouden dan allemaal 5'en zijn, en het laatste nummer is ook bekend en dat is een 6, dan heb je in theorie dus: 1*1*1*1*1*1*10*10*10*10*10*10*10*10*10*1
wat neerkomt op 10*10*10*10*10*10*10*10 wat neerkomt op 10^9 mogelijkheden. Dat is dus "maar": 1.000.000.000 opties...Oh en stel dat er dus helemaal niets bekend is (de eerste 6 niet, en de laatste ook niet), tja dan kom je op 10^16= 10.000.000.000.000.000, en dat is veel.
Pincodes? 10^4= 10.000 (als je cijfers dubbel gebruikt).
Ik ga weer verder, ajooeh
wat neerkomt op 10*10*10*10*10*10*10*10 wat neerkomt op 10^9 mogelijkheden. Dat is dus "maar": 1.000.000.000 opties...Oh en stel dat er dus helemaal niets bekend is (de eerste 6 niet, en de laatste ook niet), tja dan kom je op 10^16= 10.000.000.000.000.000, en dat is veel.
Pincodes? 10^4= 10.000 (als je cijfers dubbel gebruikt).
Ik ga weer verder, ajooeh
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
