Aanvallers maken creditcardinformatie buit bij hack Britse tak Dixons

Aanvallers hebben data van 2,4 miljoen klanten van Britse dochterondernemingen van Dixons buitgemaakt bij een digitale aanval. In de data zaten creditcarddetails van 90.000 klanten en mogelijk wachtwoorden die niet versleuteld waren.

De aanval vond ergens in de afgelopen weken plaats voorafgaand aan de ontdekking afgelopen woensdag. Ondanks dat de Britse tak van Dixons vanaf woensdag op de hoogte was van het datalek, bracht het bedrijf de informatie pas zaterdagnacht Nederlandse tijd naar buiten. Details over het datalek ontbreken. Zo is het onbekend hoe de aanvallers binnen zijn gekomen, hoe lang ze toegang hebben gehad tot de systemen, welke kwetsbaarheden ze hebben misbruikt en wie ze zijn.

Het datalek zat bij Carphone Warehouse. Het gaat om data van klanten van diverse dochtersites, zoals Mobiles.co.uk. Volgens de keten is de data van een klein deel van de klanten gestolen, meldt de Britse publieke omroep BBC. Carphone Warehouse verleent ook diensten aan zijn voormalige dochterbedrijf TalkTalk, een provider van wiens klanten nu ook data gestolen is.

TalkTalk zegt op Twitter dat 'een klein aantal wachtwoorden mogelijk niet versleuteld' waren. TalkTalk was eigendom van de huidige Dixons-dochter Carphone Warehouse, maar is sinds enige jaren een zelfstandig bedrijf. In de gestolen data zitten ook de gegevens van creditcards van 90.000 klanten van het bedrijf.

Door Arnoud Wokke

Redacteur

Feedback • 09-08-2015 08:5231

09-08-2015 • 08:52

31 Linkedin

Lees meer

Dixons Carphone stelt aantal door datalek getroffen personen bij naar 10 miljoen Nieuws van 31 juli 2018
Britse Dixons Carphone meldt lek van 5,9 miljoen creditcardgegevens Nieuws van 13 juni 2018
Politie arresteert vijftienjarige Noord-Ier vanwege hacken TalkTalk Nieuws van 27 oktober 2015
Nederlandse overheid: meldplicht datalekken geldt vanaf volgend jaar Nieuws van 10 juli 2015
Eerste Kamer steunt meldplicht datalekken Nieuws van 27 mei 2015
Gegevens 400.000 met spyware-app bespioneerde gebruikers op straat Nieuws van 15 mei 2015
Klantgegevens van Belgische Delhaize-dochter openbaar door lek Nieuws van 6 maart 2015
CCC wil verbod op onversleutelde communicatie Nieuws van 23 januari 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (31)

-Moderatie-faq
31
31
17
0
0
0
Wijzig sortering
Dacuuu
9 augustus 2015 09:12
Het gaat maar door. De berichten van 'onversleutelde wachtwoorden' blijven maar komen. "het houd niet op niet vanzelf." wanneer gaan bedrijven nu eens leren de boel op orde te hebben?
RobbieB
@Dacuuu9 augustus 2015 09:26
Het grootste probleem is dat het veel mensen gewoon niet boeit. Het is geen nieuws meer. Hier op Tweakers en security.nl zal dit flink besproken worden, maar de gemiddelde persoon zal het compleet negeren.
Daarnaast is er ook geen waarborg via websites. Hoe weet je nu of een website je data en wachtwoorden encrypt? Niet. Maar je wil toch dat product voor de goedkoopste prijs.
blorf
@RobbieB9 augustus 2015 09:45
Ik heb een beetje het idee dat er alles aan wordt gedaan om het zo kwalijk mogelijk te maken. Maar wat zijn deze 'creditcard-details' precies en hoe gevaalijk zijn onversleutelde wachtwoorden van een website-account?
Volgens mij is er in theorie alleen een klein beetje privacy-schade voor de klanten. Waarschijnlijk minder dan het hebben van een dergelijk account op zich al heeft veroorzaakt.
D.Ramakers
@blorf9 augustus 2015 12:51
Dit heb je mis. De banken in de UK zijn lang niet zo ver met 2 staps authenticatie. Maw je kan betalen en afhalen zonder pin.

Online betalen vereist enkel je bankrekeningnummer en een sort code. Maw de on versleutelde data en CC gegevens zijn zo goed als VRIJ te gebruiken in de UK zelf! Vind dit persoonlijk zeer schadelijk (ben 1 van de gedupeerde).

Het kan zelfs zo ver gaan dat men een lening afsluit zonder dat daar codes of wat dan ook aan te pas komen.

Mvg
Theorri
@blorf9 augustus 2015 14:49
Als consument ben je inderdaad redelijk beschermd tegen misbruik van je credit card gegevens. Voor creditcard betalingen waarbij geen fysieke of elektronische handtekening wordt gezet, gelden speciale regels. Eén van de belangrijkste regels is dat de consument in een periode tot 6 maanden na de betaling de mogelijkheid heeft om die betaling terug te draaien. Dit word een chargeback genoemd. Het is aan de winkelier om aan te tonen dat die consument ook daadwerkelijk de bestelling via internet heeft voldaan en het product heeft afgenomen.
gekkie
@Dacuuu9 augustus 2015 09:33
DIY .. geen shared wachtwoorden. Sinds de komst van password managers goed te doen.
Met een shared wachtwoord kun je immers uiteindelijk nog steeds kwetsbaar zijn voor personeel of hackers die controle over een server hebben. Het maakt het wat minder lucratief aangezien ze de historische / opgeslagen data niet kunnen gebruiken, maar goed waarom ook dit laatste niet voorkomen.
Pyrone89
@gekkie9 augustus 2015 16:39
Totdat die password manager wordt gehackt.

Het veiligste is nog steeds ze allemaal te onthouden (mooie hersenoefening) of ze te noteren in een lokaal bestandje met daarop een wachtwoord als je op jezelf woont (als verdediging tegen direct inzien. Het heeft geen enkele kracht tegen unlockers etc van mensen die voorbereid op pad gaan).
gekkie
@Pyrone899 augustus 2015 22:11
password manager is toch een "lokaal bestandje" met sterke encryptie erop ?
Opzich is er nog steeds een risico met malware en een keylogger of geheugen en of klembord uitlezen uiteraard, al proberen ze dat zo moeilijk mogelijk te maken.
Blizz
@gekkie10 augustus 2015 05:45
Ik gebruik gewoon LastPass. Met een beetje sterk Master Password, meer dan voldoende iteraties PBKDF2 en multifactor authenticatie zit je goed. Een lokaal bestandje of 1Password-achtige manager is een stuk minder handig als je vaker dan eens per maand uit je IT-kelderkamertje komt. :P Afhankelijk van de oplossing is het ook een stuk duurder.
gekkie
@Blizz10 augustus 2015 10:30
Dan heb ik of m'n flap bij me .. of m'n setje ieniemienie USB sticks .. of en dat is nog beter .. ik doe eens helemaal niets met computers :)
rr7r
@Dacuuu9 augustus 2015 10:59
Dat gebeurt zodra boetes als deze: http://www.emerce.nl/nieu...eiliging-persoonsgegevens niet meer worden gezien als kleine onkosten, maar als een serieuze bedreiging van de omzet. Daarom geen boetes van 3,5 ton opleggen, maar 3,5% van de jaaromzet wereldwijd.
Pyrone89
@Dacuuu9 augustus 2015 16:36
Omdat het ze geen geld kost (mensen boeit het blijkbaar niet). Goede IT'ers en beveiligingsmaatregelen kosten wel geld en dan is de keuze snel gemaakt, zeker aangezien de directieleden met IT-kennis zich vaak beperken tot 1 (de IT-directeur) en zelfs daar soms nog het nodige aan schort.

Pas als ze het gaan voelen in de portemonnee doen ze wat.

Zie ook het voorbeeld van Ziggo die nu pas wat gaat doen aan de netwerkproblemen die er zijn sinds de fusie met UPC omdat het ze klanten blijkt te kosten.
desalniettemin
@Dacuuu9 augustus 2015 11:10
Net zoals het Bitdefender debacle. En dat voor een beveiligingsbedrijf. Onbegrijpelijk!
Adr01
@Dacuuu9 augustus 2015 23:00
Zodra een IT'r het vrijwillig, gratis, in zijn eigen tijd voor het bedrijf wilt oplossen.

Zo gaan die dingen...
A4-tje
9 augustus 2015 09:19
verbaasd me ook dat 'een klein aantal wachtwoorden mogelijk niet versleuteld' waren van 1 bedrijf. neem toch aan dat alles gelijk behandled wordt. of is het zo dat ze alle dochters op 1 hoop hebben gegooid en dat ieder apart bedrijf z'n eigen manier van digitale bedrijfsvoering heeft? lijkt me sterk dat daat het geval is...
CivLord
@A4-tje10 augustus 2015 09:22
Misschien een plain-text log van de inloggegevens van de afgelopen dag?
Dat is de enige reden die ik kan verzinnen waarom slechts een del van de wachtwoorden onversleuteld beschikbaar zijn.
beerendlauwers
@A4-tje10 augustus 2015 10:15
Zou me niet verbazen. Sommige bedrijven hebben hun eigen IT-infrastructuur per afdeling. Wil je graag iets aankopen van afdeling X, wordt je doorgestuurd naar een webshopje. Iets van afdeling Y? Word document wordt je opgestuurd via mail.
Tri Force
10 augustus 2015 02:45
Dixons en hun klanten hebben ook wel pech hoor >< tijdje terug was het op een andere manier slachtoffer.

Update dit incident ging over de hollandse Dixons tak.

Via de site kon je gewoon 1000 PS4 kopen en per console één extra controller voor de helft van de prijs.

[Reactie gewijzigd door Tri Force op 10 augustus 2015 13:53]

WJP
@Tri Force10 augustus 2015 10:46
Dit gaat om de Engelse Dixons. Dit heeft niks met de Nederlandse dixons te maken :)
Tri Force
@WJP10 augustus 2015 13:51
Dank je WJP en excuus Dixons voor de misplaatste informatie en de negatieve aandacht!

Succes Dixons jullie hebben prachtige winkels ^^ alleen een beetje prijzig.
Anoniem: 428562
9 augustus 2015 10:09
De volledige naam van het bedrijf dat gehackt is, is Dixons Carphone en heeft niets te maken met het nederlandse Dixons ...
rr7r
@Anoniem: 4285629 augustus 2015 11:02
Je hebt gelijk lijkt het:
https://en.wikipedia.org/wiki/Dixons_Carphone
https://nl.wikipedia.org/wiki/Dixons
Joostlek
@Anoniem: 4285629 augustus 2015 13:35
De Engelse elektronicaketen Dixons - waar de Nederlandse dixons inmiddels helemaal los van staat - kocht in 1972 alle filialen van Rinck, waarna de keten verderging als Dixons-Rinck.
Het was vroeger wel van de engels Dixons.

[Reactie gewijzigd door Joostlek op 9 augustus 2015 13:45]

ASS-Ware
9 augustus 2015 12:34
Waarom bewaart Dixons creditcard gegevens?
Die hoef je toch niet te bewaren na een transactie?
Joostlek
@ASS-Ware9 augustus 2015 13:40
Misschien voor terugstorting. Of als aankoopbewijs als jou product niet naar wens is.
ASS-Ware
@Joostlek9 augustus 2015 21:02
Misschien voor terugstorting. Of als aankoopbewijs als jou product niet naar wens is.
Bij terugstorten kunnen ze gewoon de cc weer vragen, sterker nog, de meeste winkels storten het op je rekening of geven cash terug.
Het aankoopbewijs is in bezit van de koper.
Geen goede reden dus om de cc info op te slaan.
Pyrone89
@ASS-Ware9 augustus 2015 16:40
Big data doeleinden voor de marketingafdeling. De CC info dient als sleutel aangezien je tegenwoordig vaak niet meer hoeft in te loggen om te bestellen (en je bij het bestellen telkens wisselende namen kunt gebruiken afhankelijk voor wie je het bestelt)
Arator
9 augustus 2015 10:00
Ik denk ook dat Jan Modaal het niet kan boeien omdat hij niets kocht bij Dixons. Wat eigenlijk relevante info was geweest, welke dochterondernemingen/webshops afhangen van Dixons. Maar waarschijnlijk vindt Dixons hun imago belangrijker dan dat hun eventuele klanten op de hoogte zijn.
NLblabla
9 augustus 2015 17:01
Het verbaast me dat het zolang geduurd heeft voor het bij Carphone Warehouse, vroegere eigenaar van Phone House, en nog steeds eigenaar van de Geek Squad verzekeringstak in Nederland, gebeurd is. De IT infrastructuur stamt daar nog uit het stenen tijdperk.
Justinfailber
9 augustus 2015 22:14
Altijd goed om dit bericht te lezen dat alles plain-text is, als ze het volgende op de site zetten:
As a web-only mobile phone store, we take security seriously – it’s our livelihood.
J_Gonggrijp
10 augustus 2015 07:54
Even een niet-inhoudelijke reactie: "data" is meervoud (van datum, ook als je het over gegevens hebt).
"Volgens de keten zijn de data van een klein deel van de klanten gestolen"
"een provider van wiens klanten nu ook data gestolen zijn"

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee