Criminelen stelen gegevens klanten Amerikaanse tak T-Mobile bij hack

Criminelen hebben privé-gegevens gestolen van maximaal vijftien miljoen klanten van de Amerikaanse tak van T-Mobile. Dat gebeurde via een hack op een systeem van het bedrijf Experian, dat de kredietcheck doet voor de provider. Het systeem was kort kwetsbaar, claimt Experian.

Bij de hack maakten de aanvallers onder meer namen, adressen, 'bsn's' en aanvullende gegevens buit, zoals nummers van rijbewijzen of andere manieren waarop klanten zich hebben geïdentificeerd, zegt Experian. De gestolen gegevens zijn van mensen die vanaf 1 september 2013 tot ongeveer twee weken geleden klant werden bij de Amerikaanse tak van T-Mobile. De provider heeft in de Verenigde Staten in totaal ongeveer 60 miljoen klanten.

De toegang tot het systeem duurde maar kort en aanvallers hebben geen creditcardgegevens of andere betalingsgegevens buitgemaakt, claimt Experian. T-Mobile is boos over de hack en zal de relatie met het bedrijf 'grondig gaan herzien'.

Experian ontdekte de hack half september, maar maakt hem nu pas openbaar. Dat zou zijn gedaan om de zaak eerst te onderzoeken, zo zegt het bedrijf. Hoe de aanvallers precies toegang hebben gekregen tot de database met klantgegevens is onbekend. Daar wijdt Experian niet over uit. Klanten in andere landen van T-Mobile, zoals in Nederland, zijn niet getroffen door de hack, zo zeggen de bedrijven.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 02-10-2015 06:56
24 • submitter: ongekend41

02-10-2015 • 06:56

24

Submitter: ongekend41

Lees meer

Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update
Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update Nieuws van 27 november 2015
'In VS levert Bing meer gewenste zoekresultaten dan Google'
'In VS levert Bing meer gewenste zoekresultaten dan Google' Nieuws van 9 februari 2011
Twitter introduceert Connections-functie
Twitter introduceert Connections-functie Nieuws van 27 januari 2011
Netwerk en systeembeheer

Reacties (24)

-Moderatie-faq
24
24
17
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
Flappiewappie 2 oktober 2015 07:03
Dus Experian is gehackt, niet t-mobile.
World Citizen @Flappiewappie2 oktober 2015 09:10
Lastig. Vanuit de klant gezien is Tmobile gehacked. Want de klant heeft gegevens afgestaan aan tmobile en die liggen nu op straat. Wie de eigenaar van de server was intereseert me als klant niet veel.

Tmobile heeft een beleid en kiest volgens zijn standaarden partners uit. Het audit process van tmobile is dus min of gehacked. Tmobile kiest immers voor deze partner.

[Reactie gewijzigd door World Citizen op 23 juli 2024 05:04]

CH4OS @World Citizen2 oktober 2015 13:03
Tmobile kiest immers voor deze partner.
Dat maakt niet, dat T-Mobile dan ook verantwoordelijk is voor de (ICT) beveiliging bij die partner.
Flappiewappie @CH4OS2 oktober 2015 14:36
Nee maar wel dat ze de consument daar dan van op de hoogte stellen dat dit soort dingen via een 3e partij lopen. Vermoedelijk staat dit dan ook ergens in een contract; inclusief dat ze voor eventuele schade van 3e partijen niet verantwoordelijk zijn.

Dit soort dingen zorgen er wel voor dat je goed moet nagaan met wie/wat je je gegevens deelt.
Armin
@CH4OS2 oktober 2015 17:34
Dat maakt niet, dat T-Mobile dan ook verantwoordelijk is voor de (ICT) beveiliging bij die partner.

Het is nog iets ingewikkelder, want Experian is niet zomaar een partner. Experian is een/het BKR. In Nederland is er maar één BKR ondanks dat dit een private organisatie is. Omdat vrijwel iedereen zaken doet met het BKR is dat de standaard geworden. In de VS heb je er meer maar er zijn maar drie grote, welke samen vrijwel de hele markt in handen hebben.

Een bedrijf als T Mobile USA (50+ miljoen klanten) heeft dus niet veel keuze dan in zee gaan met een van deze grote drie. Experian is bovendien de grootste van de drie.

Eigenlijk is een betere kop van het artikel dus "Amerikaans BKR gehacked" met dan de kanttekening dat het enkel om de klanten van één gebruiker (T Mobile USA) gaat. Dus ik betwifel of T Mobile hier veel te verwijten valt, want een meer betrouwbare partner was eigenlijk niet denkbaar.

Eerlijk is eerlijk, is wel dat Experian al langer onder vuur staat omdat het kampioen data lekken is via hun partners. Maar dit is de eerste keer dat ze zélf gehacked zijn. Dus wat hier gebeurd is, is écht wel een unicum.
SuperDre @Flappiewappie2 oktober 2015 10:37
Maar dat is natuurlijk niet zo interessant als headline, want wie kent Experian nu..
Armin
@SuperDre2 oktober 2015 17:37
Het is een van de drie grote credit bureaus (vgl het Nederlandse BKR) van Amerika. In de USA zelf is dit een begrip. Iedere Amerikaan kent Experian. Vandaar dat het ook zo schokkend is dat Experian zélf gehacked is.

Bij mijn weten is dit de eerste keer in de historie dat een BKR gehacked is in de VS.
Septimamus @Flappiewappie2 oktober 2015 07:35
Volgens mij in principe ook. Hoewel er natuurlijk gegevens van t-mobile zijn buitgemaakt, stonden die bij Experian op het systeem.
pim 2 oktober 2015 07:32
De gestolen gegevens zijn van mensen die zich vanaf 1 september 2013 tot ongeveer twee weken geleden klant werden bij de Amerikaanse tak van T-Mobile.
Ha, ik heb me precies een week geleden geregistreerd bij T-mobile in new york.. Scheelde niet veel:p
Septimamus @pim2 oktober 2015 07:38
Lucky! Ik ben toch ook ergens wel benieuwd naar hoe ze zo'n hack aanpakken zodat ze ook maar bij data kunnen van specifieke datums. Ik snap wel dat het allemaal op datum staat in de systemen maar hoezo dan precies dat stuk.
MAX3400 @Septimamus2 oktober 2015 07:47
Veel interessanter is natuurlijk waarom er data bestaat vanaf 2 jaar geleden. Het zou om data gaan die nodig is (geweest) voor krediet-checks en afhandeling van abonnements-aanvragen. Welke *** laat dat meer dan 2 jaar op dezelfde plek staan?

Simpel gezegd: een aanvraag krijgt status "Ja, doe maar" of "Nee, afgewezen". Dat zet je dan ergens in een systeem van T-Mobile wel want de persoon klant (non grata). Waarom moet dat dan ook nog op een extern systeem staan van Experian.

Mij klinkt het meer in de oren dat er een opruim-aktie is geweest halverwege september om data van de afgelopen 2 jaar te schonen en dat ze er bij toeval achter zijn gekomen dat er dus tot recentelijk ongeauthoriseerd ingelogd kon worden op die machine.
Arjant2 @MAX34002 oktober 2015 08:29
De gegevens moet volgens Amerikaanse wetgeving 25 maanden worden bewaard, vandaar de specifieke data.
Jelmer505 2 oktober 2015 11:00
Lekker slordig zeg! Denk dat ze T-mobile niet lang meer als klant hebben.

Wel terecht dat ze eerst onderzoeken en dan pas de hack naar buiten brengen! :*)
Armin
@Jelmer5052 oktober 2015 17:45
Experian heeft een lange historie van lak hebben aan klanten. Zo zijn ze ook al kampioen data lekken via partners. Ofwel denk aan de autodealer die een krediet-check doet voor ene autolening. Echter die autodealer kan slordig omgaan met inloggegevens etc. Experian heeft een reputatie in de security wereld van hier minder strak mee om te gaan dan de andere twee grote bureaus.

Ook staan ze nog steeds onder vuur vanwege een incident waar men een bedrijf opkocht, welke gegevens aan een Vietnamese crinineel doorverkocht die een online credit check service op de zwarte markt opgezet had. Klinkt ingewikkeld? Welnu ik vertel de simpele versie, maar het resultaat was dat men via Experian's dochter krediet-informatie inclusief alles wat nodig is voor indentiteitsdiefstal kon krijgen van letterlijk elke Amerikaan boven de 18. Die Vietnamees is door de FBI opgepakt en zit nu in een Amerikaanse cel, maar Experian heeft vooralsnog geen straf gekregen.

Het kan zijn dat T Mobile naar een van de andere twee gaat, maar dat zal dan meer zijn ivm juridische afwikkeling van schadeclaims, dan dat men slordig was. Experian is zo groot en zo dominant dat je als bedrijf in de VS geen keuze hebt. Niet veel anders dan in Nederland: er is één BKR, en dat is het.
Awesomehobo 2 oktober 2015 12:25
Krijgt men hier nu ook een vergoeding voor?

Het is ondertussen een stereotype geworden dat Amerikanen "regelmatig" bedrijven aanklagen, of het nu terecht is of niet.
In dit geval zou dergelijke dus wel terecht zijn, en zie ik in het artikel geen sprake van vergoeding.

Ondanks dat het grootste gedeelte van je gegevens ondertussen toch al "op straat ligt", lijkt het me toch niet prettig om te horen dat 'criminelen' op zo'n manier je BSN e.d. hebben achterhaald.
Dit is dus een beveiligingsissue bij T-Mobile*, en zou je dus terecht een claim kunnen indienen?

*In principe een beveiligingsissue bij Experian, maar 'als klant zijnde van' T-Mobile, is het aan hun om hier op te letten.
cariolive23 @Awesomehobo3 oktober 2015 09:50
*In principe een beveiligingsissue bij Experian, maar 'als klant zijnde van' T-Mobile, is het aan hun om hier op te letten.
Hoe zou T-Mobile dan de beveiliging van Experian moeten controleren? T-Mobile is slachtoffer, zij zijn tenslotte klant van Experian. Misschien moet T-Mobile namens zijn klanten maar een claim bij Experian neerleggen.

Maar om T-Moblle verantwoordelijk te maken voor fouten bij een ander, dat zou wat raar zijn. Zeker wanneer deze "ander" de grootste en bekendste aanbieden van deze dienst is. Of wil je soms beweren dat ieder bedrijf dat zaken doet met de grootste partij, de verkeerde keuze heeft gemaakt? Zo ja, dan ben ik benieuwd hoe je in Nederland denkt over het BKR, wat niet alleen de grootste is in Nederland, maar ook de enige. Dát is pas een veiligheidsrisico! Gelukkig hebben we het dan over Nederland, een vlek op de kaart... :-)
Nefiorim 2 oktober 2015 07:02
Stuk verkeerd begrepen info weggehaald. Arnoud heeft gelijk. Excuus in deze.

[Reactie gewijzigd door Nefiorim op 23 juli 2024 05:04]

Auteurarnoudwokke Redacteur Tweakers @Nefiorim2 oktober 2015 07:09
Experian North America today announced that one of its business units, notably not its consumer credit bureau, experienced an unauthorized acquisition of information from a server that contained data on behalf of one of its clients, T-Mobile USA, Inc. The data included some personally identifiable information for approximately 15 million consumers in the US, including those who applied for T-Mobile USA postpaid services or device financing from September 1, 2013 through September 16, 2015, based on Experian's investigation to date. This incident did not impact Experian's consumer credit database.
Ik snap niet hoe je dit anders kunt lezen. De hack was op een server met gegevens van klanten van Tmo USA.
Edit: kan niet vaststellen welke lezing de juiste is, bewoording in kop en inleiding aangepast. Thx!

[Reactie gewijzigd door arnoudwokke op 23 juli 2024 05:04]

MAX3400 @arnoudwokke2 oktober 2015 07:22
Wat er in het linkje ook staat:
Q: What happened?

A: Experian's network server was accessed by an unauthorized party.The unauthorized access an isolated incident over a limited period of time. It included access to a server that contained personal information for consumers who applied for T-Mobile USA postpaid services between Sept. 1, 2013 and Sept. 16, 2015.
Er lijkt meer aan de hand te zijn want de toegang tot de data van klanten van T-Mobile behoorde onder andere tot de unauthorized access.

Dat het niet logisch is dat op dezelfde server ook data van, bijvoorbeeld, AT&T staat lijkt me logisch maar wat er nog wel op de machine stond, wordt in het artikel ook niet vrijgegeven.
Nefiorim @arnoudwokke2 oktober 2015 07:15
Nvm, vroeg, je hebt gelijk. Ik ga er vanuit dat het feitenrelaas van het getroffen bedrijf zelf meer waarde heeft dan wat de TMobile CEO snel in een statement naar buiten brengt. Maar titel en inleiding staan sowieso wel netter nu :)

[Reactie gewijzigd door Nefiorim op 23 juli 2024 05:04]

MAX3400 @Nefiorim2 oktober 2015 07:08
Nee, de gegevens zijn gedupliceerd zonder toestemming, gok ik zo maar.

Stelen is nog altijd gedefinieerd als wegnemen zonder intentie tot teruggave waardoor de data niet meer bij Experian aanwezig zou zijn
Verwijderd @MAX34002 oktober 2015 09:44
Dan wordt het tijd om de definitie van "stelen" aan te passen aan het digitale tijdperk.
Awesomehobo @MAX34002 oktober 2015 12:30
"Stelen" in deze vorm van spreken betekent het onrechtmatig wegnemen van informatie, waar je normaalgesproken niet aan kunt komen.

Dit kan zijn het kopiëren van, of daadwerkelijk wegnemen van desbetreffende informatie.
Het feit dat Experian nog steeds over de informatie beschikt, neemt het feit niet weg dat potentieel kwaadwillende nu 'ook' over deze informatie beschikken.
Tribits @MAX34002 oktober 2015 14:45
Ja, zo staat het inderdaad in de wet en het woordenboek. In de praktijk zijn termen als datadiefstal of gegevensdiefstal gewoon ingeburgerd. Ook in spreektaal wordt de term diefstal vaak in ruimere zin gebruikt, bijvoorbeeld bij het rekenen van exorbitante prijzen.

Hoewel het voor een nieuwssite belangrijk is om een feitelijk correcte omschrijving van een gebeurtenis te geven denk ik niet dat het mee zal vallen om dan nog met een pakkende titel te komen. Iets als 'individuen plegen computervredebreuk en nemen wederrechtelijk gegevens over.' is waarschijnlijk juridisch gezien een stuk correcter, maar voor de gemiddelde lezer aan de andere kant weer volledig nietszeggend.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq