Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 37, views: 19.098 •

Hackers zijn er in geslaagd de infrastructuur van Vodafone Duitsland binnen te komen en toegang te krijgen tot databases met gegevens van ongeveer 2 miljoen klanten. De telecomaanbieder heeft zijn klanten over de hack geïnformeerd.

Volgens Vodafone Duitsland gaat het om een geavanceerde criminele aanval waarbij kennis van binnen het bedrijf zelf gebruikt moet zijn. De aanval heeft volgens het bedrijf 'diep in de infrastructuur' van Vodafone plaatsgevonden. De hackers wisten toegang te krijgen tot databanken met onder andere klantnamen, klantadressen, geboortedata, geslacht, bankrekeningnummers en factuurnummers. Gegevens over onder andere creditcards, wachtwoorden en mobiele telefoonummers zijn niet in handen van de criminelen gekomen, stelt Vodafone.

Volgens het bedrijf is de kans aanwezig dat de hackers de data gaan gebruiken voor phishingaanvallen en andere methodes om klanten creditcard- en inlog-gegevens te ontfutselen. De lekken die hackers gebruikten zijn gedicht en Vodafone werkt samen met de politie en de Duitse justitie om de daders op te sporen. Om het onderzoek niet in gevaar te brengen verstrekt het bedrijf geen verdere details.

Vodafone garandeert dat de hack alleen Duitsland betreft en dat andere landen, zoals Nederland, niet getroffen zijn.

Reacties (37)

Volgens de Telegraaf gaat het om een medewerker (wiens identiteit bekend is) van een toeleverancier die toegang had tot het netwerk van Vodafone.

Bron:
http://www.telegraaf.nl/d...Vodafone_Duitsland__.html

Edit: Verkeerde link

[Reactie gewijzigd door CNS op 12 september 2013 12:46]

Misschien wordt het toch eens tijd om niet alleen paswoorden encrypted op te slaan, maar ook andere persoonsgegevens.
Al was het alleen maar om potentiele hackers/dieven moeilijker te maken.
Als je vervolgens de gegevens 10-10.000 x hashed is het ook een beste klus om dit te kraken.

[Reactie gewijzigd door Dreeke fixed op 12 september 2013 12:48]

Er is een groot verschil tussen wachtwoorden en persoonsgegevens. Bij wachtwoorden hoef je alleen te controleren of een ingevoerd wachtwoord overeenkomt met een eerder ingesteld wachtwoord. Dat kan door twee hashes met elkaar te vergelijken, waarbij je nooit het wachtwoord zelf nodig hebt of op hoeft te slaan.

Persoonsgegevens heb je als bedrijf uiteraard wel nodig in je bedrijfsvoering, wat in een database staat moet dus altijd te herleiden zijn tot de daadwerkelijke gegevens. Je kan dus niet zeggen dat je persoonsgegevens gewoon even moet encrypten net als wachtwoorden.
encrypten != hashen. Het hashen van persoonsgegevens is inderdaad compleet doelloos, encrypten kan uiteraard wel. Al blijft het nut natuurlijk afhankelijk van de "diepte" van de hack.
Encrypten kan wel... maar werkelijk elke machine op de klantenservice moet erbij kunnen, dus waar doe je dan de decryptie? Ik ben bang dat je het in de praktijk nauwelijks moeilijker maakt voor hackers om de plain-text gegevens te pakken te krijgen.
Persoonsgegevens zijn niet altijd nodig voor bedrijfsvoering.
Bv. de bonuskaarten van appie, jumbo, en andere toko's gebruiken die gegevens enkel om inzicht te krijgen in het gedrag van hun klanten. Maar de naam, adresgegevens e.d. hebben ze helemaal niet nodig.
Juist wel, als ze zien dat mensen uit Lutjebroek veel pindakaas kopen, dan kunnen ze het aanbod daarop aanpassen. Of dat een winkel in Appelscha veel mensen uit een ander dorp trekt, dat kan een teken zijn om een nieuwe winkel te starten in dat andere dorp.

[Reactie gewijzigd door Dreamvoid op 12 september 2013 16:11]

Er zijn ook meestal andere manieren om dat uit te vinden. Als mensen in de winkel in Lutjebroek veel pindakaas kopen, kun je dat gewoon zien aan de totale omzet aan pindakaas van de hele winkel in Lutjebroek. Als je overweegt een nieuwe winkel in een ander dorp op te richten, kun je ook gewoon een bordje ophangen in de winkel in Appelscha, "zoudt U een winkel in dorp x appreciëren?". Maar waarom zou je een extra winkel bouwen in dorp x als mensen toch wel bereid zijn naar Appelscha af te reizen...? Zo'n nieuwe winkel zou alleen nut hebben wat betreft de mensen die niet bereid zijn af te reizen, en die bereik je ook niet met bonuskaartonderzoek in Appelscha.
Je hebt helemaal gelijk, en ik heb mijn opmerking een beetje kort door de bocht omschreven.
Ik weet dat je de gegeven zo moet versleutelen dat je ze ook moet kunnen ontsleutelen. Als je dit 1x doet is dit waarschijnlijk simpel te kraken, doe je dit 10.000x kost dit misschien te veel tijd.
Punt is dat een volledig versleutelde DB niet een heel interessant doel is, je moet er immers nog heel veel energie in steken voordat je iets kan lezen. En mensen die wel de DB kunnen kopieren kunnen deze hopelijk niet ontsleutelen, en mensen die de database kunnen lezen kunnen deze hopelijk niet copieren...
Lijkt mij niet handig. Dit betekend dat elke keer als je persoongegevens worden gebruikt (een bestelling, wijziging, update-mail, etc) je je gegevens opnieuw moet invoeren om te checken of je gegevens overeen komen met de gehashde gegevens.
Dat is totaal niet praktisch, encryptie is niet gratis en zou de bedrijfsvoering vertragen. Daarbij is dit natuurlijk vervelend maar niet heel schadelijk, vooral aangezien die mensen op de hoogte zijn en zich niet zomaar zullen laten pakken.
het wordt tijd dat op datadiefstal zware straffen komen, voor het bedrijf dat het overkomt dan heh? IT Security moet echt belangrijker worden, nu komen bedrijven weg met een "foei"
Er staan zware straffen op datadiefstal. Bedrijven komen niet weg met een foei.
Ik vrees dat de bedrijven er grotendeels wel mee wegkomen. De zware straffen staan vooral aan de kant van de hackers.
Dat is toch ook logisch? Er zitten wat mij betreft 2 kanten aan zo'n situatie.

Stel ik heb een huis en ik heb mijn deuren niet op slot, dan is dat een keuze van mij. In deze maatschappij een niet al te slimme keuze. Maar eigenlijk moet je er vanuit kunnen gaan dat een ander gewoon van je spullen afblijft. Anders zou het mooi zijn, zegt de verzekeringsmaatschappij van ja, je had wel sloten van categorie 3, en niet categorie 4, dus er geldt nu een eigen risico van 25% ofzo. Dan zou je dus als onschuldige burger, je hebt immers niet gekozen om bestolen te worden, nog meer de dupe worden van een inbraak.

Je doet er als bewoner of beveiliger natuurlijk zoveel mogelijk aan om je zaakjes op orde te hebben maar als men kwaad wil kan er altijd wel kwaad gedaan worden. Ze kunnen ook de volledige voorpui van je woning eruit blazen en naar binnen... Moet je daar dan ook verantwoordelijk voor zijn?
Kleine nuance is dat jij zelf verantwoordelijk bent voor het sluiten van je deuren en ramen. Als iemand anders er door naar binnen gaat omdat jij de ramen niet dicht hebt gedaan (bewust of niet), dan ligt dat in zekere zin aan je eigen falen.

In dit geval heb jij jouw persoonsgegevens aan een andere partij toevertrouwd. En die partij is de controle over die gegevens verloren (!). Of die andere partij daarin nalatig is geweest of niet, is vervolgens de vraag en dat zal uitgezocht moeten worden.
Maar jouw persoonsgegevens liggen nu wel metaforisch op straat. En dit zijn gegevens waarmee jij vaak geidentificeerd wordt. Als ik bijvoorbeeld een partij bel waar ik een dienst oid afneem dan wordt mijn identiteit vaak door de medewerker aan de telefoon geverifieerd door mij te vragen om mijn postcode+huisnummer en mijn geboortedatum. Die gegevens heeft een hacker en wie weet ik nog meer nu dus van alle getroffen personen.
Met die gegevens kunnen ze zeer veel irritante dingen doen als ze dat zouden willen. Ook zijn de gegevens te gebruiken om bijvoorbeeld gericht email accounts te gaan hacken om vervolgens accounts (Facebook, Twitter, Apple, allerlei websites) over te nemen en/of vrolijk mee te lezen. Je weet nu immers al een stuk meer over je doelwit. Met deze informatie is ooit een Apple account gehacked en daar heeft de getroffen persoon (Mat Honan) aardig onder geleden (lees: http://www.wired.com/gadg...amazon-mat-honan-hacking/ ).

Dergelijke informatie in de handen van de verkeerde persoon is echt niet grappig.

De suggestie van "Dreeke fixed" om persoongegevens dan ook versleuteld op te gaan slaan vind ik dan ook geen slechte. Hoe effectief het is hangt wel af van de gebruikte methode en hoe er mee gewerkt moet worden. Het bedenken van een oplossing is een mooie uitdaging voor security experts.
Zelf ben ik er nu over aan het nadenken en ik zit aan asymmetrische encryptie met keys te denken. Per medewerker/werkstation een key waarmee een record lokaal ontsleuteld kan worden, waardoor alles dus versleuteld in de opslagserver staat en ook versleuteld over het (interne) netwerk gaat. Combineer dat met een restrictie hoeveel records per keer mogen worden opgevraagd op een dag of per key om eventuele schade te beperken mocht er een key uitlekken (want dat gebeurd zeker).
En dan is wellicht zelfs mogelijk om te traceren wiens key is gelekt... enfin...

Wat summier en of het haalbaar is is nog maar de vraag. Maar het lijkt mij duidelijk dat op het gebied van beveiliging binnen het bedrijfsleven nog grote stappen gezet kunnen en moeten worden.
quote: .......
Stel ik heb een huis en ik heb mijn deuren niet op slot, dan is dat een keuze van mij ....

Tuurlijk maar een verzekering zal dan ooit uitkeren.
Als je dat maar weet.
Raampje open laten, wordt niet uitgekeerd.
etc.
Gegevens over onder andere creditcards, wachtwoorden en mobiele telefoonummers zijn niet in handen van de criminelen gekomen, stelt Vodafone.
Ik vraag me toch altijd af hoe ze zo zeker kunnen weten welke gegevens wel en niet opgevraagd zijn.

Om dat 100% zeker te weten moeten alle aanvragen (dus lees + schrijf acties) gelogd worden en moeten ze al precies weten waar de aanval vanaf kwam. Ik geloof niet dat ik 1 bedrijf ken wat alles logt (schrijf acties misschien, maar lees acties zeker niet).
Mogelijk omdat deze in een andere database zitten? Alles loggen lijkt me inderdaad niet echt toegepast is de meeste bedrijven.
Dat kan je niet weten, waar ze toegang hebben gehad of niet, als je weet hoe ze ingelogd zijn weet je vaak waar hun toegang tot hebben gekregen, omdat ze dan toegang hebben tot een hele bepaald database, echter zijn er vaak meerdere databases. Dus die zijn niet getroffen, tenzij ze daar ook gelogd waren/zijn.
Gegevens voor een applicatie zitten voor zo ver ik weet altijd in 1 database. Hoe ga je anders joins leggen en efficient je gegevens opvragen?

Persoonlijk geloof ik ook niets van die uitleg van Vodafone: wel gegevens van bankrekeningnummers maar niet van creditcards???

Yeah right !
Uit normalisatie-oogpunt is dat nog wel te verklaren.

tabel met n.a.w. gegevens
tabel passwords
tabel bankrekeningen
tabel creditcards
tabel telefoonnummers

Geen idee overigens aan welke standaard ze moeten voldoen als Telecom-provider, bij mijn vorige werkgever zou de complete access tot de betreffende tabellen gelogd zijn (in tweevoud) zodat precies te achterhalen zou zijn wat er ge-accessed was.
Ik heb als webdeveloper ook meerdere databases gebruikt voor één website. Tot aan 3 verschillende toe voor 1 view.

Het nut daarvan?
  • Snelheid: zware taken & cronjobs verdelen over verschillende soorten data die eigenlijk niets met elkaar te maken hebben[/i]
  • Data-ownership: sommige databases zijn niet van jou, ook al maak je er gebruik van
Uiteraard zou je dan kunnen zeggen; regel dat via één databasecontroller en laat die controller maar data ergens anders vandaan trekken. In de praktijk kost dat alleen maar tijd en extra expertise die mogelijk zelfs van buitenaf moet komen.
Credit card gegevens worden voor andere use cases gebruikt, dus zo gek is het niet dat die niet samen met bankrekeningnummers is opgeslagen.
Ik geloof niet dat ik 1 bedrijf ken wat alles logt (schrijf acties misschien, maar lees acties zeker niet).
Zeker nooit voor een bedrijf in de medische sector gewerkt?
Daar wordt in veel gevallen (maar helaas inderdaad niet altijd) gelogd wie, wanneer en vanaf welke locatie welke patientendata geraadpleegd heeft. Deze data wordt (in de gevallen waar dit wel goed geregeld is) 10 jaar bewaard.
In de zorg is dit wettelijk geregeld. Overigens is er onlangs een rapport verschenen waaruit blijkt dat dit inderdaad lang niet overal correct wordt gedaan...
Betaalsector ook. PCI DSS schrijft redelijk wat logging voor.
Uit de tekst :

"De lekken die hackers gebruikten zijn gedicht en Vodafone werkt samen met de politie en de Duitse justitie om de daders op te sporen."

Als je dit zo snel voor elkaar hebt, heeft Vodafone dan niet van de kwetsbaarheid afgeweten ?
Hack bij Vodafone Duitsland treft 2 miljoen klanten
Hack
"Hacken is het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Complexiteit speelt hierbij geen rol, integendeel, gemakkelijke en snelle alternatieve oplossingen hebben de voorkeur. Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack."
Er is geen sprake van een hack als een ongenode gast gewoon door de voordeur naar binnen kan; je hebt het dan alleen over ongeautoriseerde toegang.

[Reactie gewijzigd door mrlammers op 12 september 2013 14:43]

Alleen weten we dus niet wat er precies is gebeurt.
Vooralsnog wordt het een hack genoemd.
En die kan ook prima van binnenuit gedaan zijn. Niet iedereen heeft zomaar overal toegang.
Wat zijn hackers? Crackers bedoelen jullie vast?
Hackers zijn mensen gespecialiseerd in het vinden van toepassingen die niet door de maker van het middel bedoeld zijn
Hackers gebruiken dus features voor zaken waar ze niet voor bedoeld zijn.

Crackers passen software aan om 'lastige' features te wijzigen of te verwijderen.

Da's de korte versie.

[Reactie gewijzigd door mrlammers op 12 september 2013 14:40]

Hmm,.., volgens mij wordt onder cracking specifiek het omzeilen van beveiligingen bedoelt.
Wordt inderdaad vrijwel altijd verward met hacking, wat eigenlijk neerkomt op het creatief/oneigenlijk toepassen van technologie.
Die verwarring is ontstaan omdat er bij cracking vaak hacking wordt gebruikt. Dat wil zeggen dat er middels een onbedoelde interactie (creatief gebruik van een protocol) een beveiliging omzeilt wordt. Vervolgens is hacking dan synoniem geworden voor omzeilen van beveiligingen.
En zo begint de decennia oude discussie weer, over één onderwerp, terwijl duidelijk is in welke context het gebruikt is ....

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013