Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Aanvallers hebben data van 2,4 miljoen klanten van Britse dochterondernemingen van Dixons buitgemaakt bij een digitale aanval. In de data zaten creditcarddetails van 90.000 klanten en mogelijk wachtwoorden die niet versleuteld waren.

De aanval vond ergens in de afgelopen weken plaats voorafgaand aan de ontdekking afgelopen woensdag. Ondanks dat de Britse tak van Dixons vanaf woensdag op de hoogte was van het datalek, bracht het bedrijf de informatie pas zaterdagnacht Nederlandse tijd naar buiten. Details over het datalek ontbreken. Zo is het onbekend hoe de aanvallers binnen zijn gekomen, hoe lang ze toegang hebben gehad tot de systemen, welke kwetsbaarheden ze hebben misbruikt en wie ze zijn.

Het datalek zat bij Carphone Warehouse. Het gaat om data van klanten van diverse dochtersites, zoals Mobiles.co.uk. Volgens de keten is de data van een klein deel van de klanten gestolen, meldt de Britse publieke omroep BBC. Carphone Warehouse verleent ook diensten aan zijn voormalige dochterbedrijf TalkTalk, een provider van wiens klanten nu ook data gestolen is.

TalkTalk zegt op Twitter dat 'een klein aantal wachtwoorden mogelijk niet versleuteld' waren. TalkTalk was eigendom van de huidige Dixons-dochter Carphone Warehouse, maar is sinds enige jaren een zelfstandig bedrijf. In de gestolen data zitten ook de gegevens van creditcards van 90.000 klanten van het bedrijf.

Moderatie-faq Wijzig weergave

Reacties (31)

Het gaat maar door. De berichten van 'onversleutelde wachtwoorden' blijven maar komen. "het houd niet op niet vanzelf." wanneer gaan bedrijven nu eens leren de boel op orde te hebben?
Het grootste probleem is dat het veel mensen gewoon niet boeit. Het is geen nieuws meer. Hier op Tweakers en security.nl zal dit flink besproken worden, maar de gemiddelde persoon zal het compleet negeren.
Daarnaast is er ook geen waarborg via websites. Hoe weet je nu of een website je data en wachtwoorden encrypt? Niet. Maar je wil toch dat product voor de goedkoopste prijs.
Ik heb een beetje het idee dat er alles aan wordt gedaan om het zo kwalijk mogelijk te maken. Maar wat zijn deze 'creditcard-details' precies en hoe gevaalijk zijn onversleutelde wachtwoorden van een website-account?
Volgens mij is er in theorie alleen een klein beetje privacy-schade voor de klanten. Waarschijnlijk minder dan het hebben van een dergelijk account op zich al heeft veroorzaakt.
Dit heb je mis. De banken in de UK zijn lang niet zo ver met 2 staps authenticatie. Maw je kan betalen en afhalen zonder pin.

Online betalen vereist enkel je bankrekeningnummer en een sort code. Maw de on versleutelde data en CC gegevens zijn zo goed als VRIJ te gebruiken in de UK zelf! Vind dit persoonlijk zeer schadelijk (ben 1 van de gedupeerde).

Het kan zelfs zo ver gaan dat men een lening afsluit zonder dat daar codes of wat dan ook aan te pas komen.

Mvg
Als consument ben je inderdaad redelijk beschermd tegen misbruik van je credit card gegevens. Voor creditcard betalingen waarbij geen fysieke of elektronische handtekening wordt gezet, gelden speciale regels. En van de belangrijkste regels is dat de consument in een periode tot 6 maanden na de betaling de mogelijkheid heeft om die betaling terug te draaien. Dit word een chargeback genoemd. Het is aan de winkelier om aan te tonen dat die consument ook daadwerkelijk de bestelling via internet heeft voldaan en het product heeft afgenomen.
DIY .. geen shared wachtwoorden. Sinds de komst van password managers goed te doen.
Met een shared wachtwoord kun je immers uiteindelijk nog steeds kwetsbaar zijn voor personeel of hackers die controle over een server hebben. Het maakt het wat minder lucratief aangezien ze de historische / opgeslagen data niet kunnen gebruiken, maar goed waarom ook dit laatste niet voorkomen.
Totdat die password manager wordt gehackt.

Het veiligste is nog steeds ze allemaal te onthouden (mooie hersenoefening) of ze te noteren in een lokaal bestandje met daarop een wachtwoord als je op jezelf woont (als verdediging tegen direct inzien. Het heeft geen enkele kracht tegen unlockers etc van mensen die voorbereid op pad gaan).
password manager is toch een "lokaal bestandje" met sterke encryptie erop ?
Opzich is er nog steeds een risico met malware en een keylogger of geheugen en of klembord uitlezen uiteraard, al proberen ze dat zo moeilijk mogelijk te maken.
Ik gebruik gewoon LastPass. Met een beetje sterk Master Password, meer dan voldoende iteraties PBKDF2 en multifactor authenticatie zit je goed. Een lokaal bestandje of 1Password-achtige manager is een stuk minder handig als je vaker dan eens per maand uit je IT-kelderkamertje komt. :P Afhankelijk van de oplossing is het ook een stuk duurder.
Dan heb ik of m'n flap bij me .. of m'n setje ieniemienie USB sticks .. of en dat is nog beter .. ik doe eens helemaal niets met computers :)
Dat gebeurt zodra boetes als deze: http://www.emerce.nl/nieu...eiliging-persoonsgegevens niet meer worden gezien als kleine onkosten, maar als een serieuze bedreiging van de omzet. Daarom geen boetes van 3,5 ton opleggen, maar 3,5% van de jaaromzet wereldwijd.
Omdat het ze geen geld kost (mensen boeit het blijkbaar niet). Goede IT'ers en beveiligingsmaatregelen kosten wel geld en dan is de keuze snel gemaakt, zeker aangezien de directieleden met IT-kennis zich vaak beperken tot 1 (de IT-directeur) en zelfs daar soms nog het nodige aan schort.

Pas als ze het gaan voelen in de portemonnee doen ze wat.

Zie ook het voorbeeld van Ziggo die nu pas wat gaat doen aan de netwerkproblemen die er zijn sinds de fusie met UPC omdat het ze klanten blijkt te kosten.
Net zoals het Bitdefender debacle. En dat voor een beveiligingsbedrijf. Onbegrijpelijk!
Zodra een IT'r het vrijwillig, gratis, in zijn eigen tijd voor het bedrijf wilt oplossen.

Zo gaan die dingen...
verbaasd me ook dat 'een klein aantal wachtwoorden mogelijk niet versleuteld' waren van 1 bedrijf. neem toch aan dat alles gelijk behandled wordt. of is het zo dat ze alle dochters op 1 hoop hebben gegooid en dat ieder apart bedrijf z'n eigen manier van digitale bedrijfsvoering heeft? lijkt me sterk dat daat het geval is...
Misschien een plain-text log van de inloggegevens van de afgelopen dag?
Dat is de enige reden die ik kan verzinnen waarom slechts een del van de wachtwoorden onversleuteld beschikbaar zijn.
Zou me niet verbazen. Sommige bedrijven hebben hun eigen IT-infrastructuur per afdeling. Wil je graag iets aankopen van afdeling X, wordt je doorgestuurd naar een webshopje. Iets van afdeling Y? Word document wordt je opgestuurd via mail.
Dixons en hun klanten hebben ook wel pech hoor >< tijdje terug was het op een andere manier slachtoffer.

Update dit incident ging over de hollandse Dixons tak.

Via de site kon je gewoon 1000 PS4 kopen en per console n extra controller voor de helft van de prijs.

[Reactie gewijzigd door JehannesWeggen op 10 augustus 2015 13:53]

Dit gaat om de Engelse Dixons. Dit heeft niks met de Nederlandse dixons te maken :)
Dank je WJP en excuus Dixons voor de misplaatste informatie en de negatieve aandacht!

Succes Dixons jullie hebben prachtige winkels ^^ alleen een beetje prijzig.
De volledige naam van het bedrijf dat gehackt is, is Dixons Carphone en heeft niets te maken met het nederlandse Dixons ...
De Engelse elektronicaketen Dixons - waar de Nederlandse dixons inmiddels helemaal los van staat - kocht in 1972 alle filialen van Rinck, waarna de keten verderging als Dixons-Rinck.
Het was vroeger wel van de engels Dixons.

[Reactie gewijzigd door Joostlek op 9 augustus 2015 13:45]

Waarom bewaart Dixons creditcard gegevens?
Die hoef je toch niet te bewaren na een transactie?
Misschien voor terugstorting. Of als aankoopbewijs als jou product niet naar wens is.
Misschien voor terugstorting. Of als aankoopbewijs als jou product niet naar wens is.
Bij terugstorten kunnen ze gewoon de cc weer vragen, sterker nog, de meeste winkels storten het op je rekening of geven cash terug.
Het aankoopbewijs is in bezit van de koper.
Geen goede reden dus om de cc info op te slaan.
Big data doeleinden voor de marketingafdeling. De CC info dient als sleutel aangezien je tegenwoordig vaak niet meer hoeft in te loggen om te bestellen (en je bij het bestellen telkens wisselende namen kunt gebruiken afhankelijk voor wie je het bestelt)
Ik denk ook dat Jan Modaal het niet kan boeien omdat hij niets kocht bij Dixons. Wat eigenlijk relevante info was geweest, welke dochterondernemingen/webshops afhangen van Dixons. Maar waarschijnlijk vindt Dixons hun imago belangrijker dan dat hun eventuele klanten op de hoogte zijn.
Het verbaast me dat het zolang geduurd heeft voor het bij Carphone Warehouse, vroegere eigenaar van Phone House, en nog steeds eigenaar van de Geek Squad verzekeringstak in Nederland, gebeurd is. De IT infrastructuur stamt daar nog uit het stenen tijdperk.
Altijd goed om dit bericht te lezen dat alles plain-text is, als ze het volgende op de site zetten:
As a web-only mobile phone store, we take security seriously – it’s our livelihood.
Even een niet-inhoudelijke reactie: "data" is meervoud (van datum, ook als je het over gegevens hebt).
"Volgens de keten zijn de data van een klein deel van de klanten gestolen"
"een provider van wiens klanten nu ook data gestolen zijn"

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True