Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties
Submitter: ongekend41

Criminelen hebben privé-gegevens gestolen van maximaal vijftien miljoen klanten van de Amerikaanse tak van T-Mobile. Dat gebeurde via een hack op een systeem van het bedrijf Experian, dat de kredietcheck doet voor de provider. Het systeem was kort kwetsbaar, claimt Experian.

Bij de hack maakten de aanvallers onder meer namen, adressen, 'bsn's' en aanvullende gegevens buit, zoals nummers van rijbewijzen of andere manieren waarop klanten zich hebben geïdentificeerd, zegt Experian. De gestolen gegevens zijn van mensen die vanaf 1 september 2013 tot ongeveer twee weken geleden klant werden bij de Amerikaanse tak van T-Mobile. De provider heeft in de Verenigde Staten in totaal ongeveer 60 miljoen klanten.

De toegang tot het systeem duurde maar kort en aanvallers hebben geen creditcardgegevens of andere betalingsgegevens buitgemaakt, claimt Experian. T-Mobile is boos over de hack en zal de relatie met het bedrijf 'grondig gaan herzien'.

Experian ontdekte de hack half september, maar maakt hem nu pas openbaar. Dat zou zijn gedaan om de zaak eerst te onderzoeken, zo zegt het bedrijf. Hoe de aanvallers precies toegang hebben gekregen tot de database met klantgegevens is onbekend. Daar wijdt Experian niet over uit. Klanten in andere landen van T-Mobile, zoals in Nederland, zijn niet getroffen door de hack, zo zeggen de bedrijven.

Moderatie-faq Wijzig weergave

Reacties (24)

Dus Experian is gehackt, niet t-mobile.
Lastig. Vanuit de klant gezien is Tmobile gehacked. Want de klant heeft gegevens afgestaan aan tmobile en die liggen nu op straat. Wie de eigenaar van de server was intereseert me als klant niet veel.

Tmobile heeft een beleid en kiest volgens zijn standaarden partners uit. Het audit process van tmobile is dus min of gehacked. Tmobile kiest immers voor deze partner.

[Reactie gewijzigd door World Citizen op 2 oktober 2015 09:12]

Tmobile kiest immers voor deze partner.
Dat maakt niet, dat T-Mobile dan ook verantwoordelijk is voor de (ICT) beveiliging bij die partner.
Nee maar wel dat ze de consument daar dan van op de hoogte stellen dat dit soort dingen via een 3e partij lopen. Vermoedelijk staat dit dan ook ergens in een contract; inclusief dat ze voor eventuele schade van 3e partijen niet verantwoordelijk zijn.

Dit soort dingen zorgen er wel voor dat je goed moet nagaan met wie/wat je je gegevens deelt.
Dat maakt niet, dat T-Mobile dan ook verantwoordelijk is voor de (ICT) beveiliging bij die partner.

Het is nog iets ingewikkelder, want Experian is niet zomaar een partner. Experian is een/het BKR. In Nederland is er maar één BKR ondanks dat dit een private organisatie is. Omdat vrijwel iedereen zaken doet met het BKR is dat de standaard geworden. In de VS heb je er meer maar er zijn maar drie grote, welke samen vrijwel de hele markt in handen hebben.

Een bedrijf als T Mobile USA (50+ miljoen klanten) heeft dus niet veel keuze dan in zee gaan met een van deze grote drie. Experian is bovendien de grootste van de drie.

Eigenlijk is een betere kop van het artikel dus "Amerikaans BKR gehacked" met dan de kanttekening dat het enkel om de klanten van één gebruiker (T Mobile USA) gaat. Dus ik betwifel of T Mobile hier veel te verwijten valt, want een meer betrouwbare partner was eigenlijk niet denkbaar.

Eerlijk is eerlijk, is wel dat Experian al langer onder vuur staat omdat het kampioen data lekken is via hun partners. Maar dit is de eerste keer dat ze zélf gehacked zijn. Dus wat hier gebeurd is, is écht wel een unicum.
Maar dat is natuurlijk niet zo interessant als headline, want wie kent Experian nu..
Het is een van de drie grote credit bureaus (vgl het Nederlandse BKR) van Amerika. In de USA zelf is dit een begrip. Iedere Amerikaan kent Experian. Vandaar dat het ook zo schokkend is dat Experian zélf gehacked is.

Bij mijn weten is dit de eerste keer in de historie dat een BKR gehacked is in de VS.
Volgens mij in principe ook. Hoewel er natuurlijk gegevens van t-mobile zijn buitgemaakt, stonden die bij Experian op het systeem.
De gestolen gegevens zijn van mensen die zich vanaf 1 september 2013 tot ongeveer twee weken geleden klant werden bij de Amerikaanse tak van T-Mobile.
Ha, ik heb me precies een week geleden geregistreerd bij T-mobile in new york.. Scheelde niet veel:p
Lucky! Ik ben toch ook ergens wel benieuwd naar hoe ze zo'n hack aanpakken zodat ze ook maar bij data kunnen van specifieke datums. Ik snap wel dat het allemaal op datum staat in de systemen maar hoezo dan precies dat stuk.
Veel interessanter is natuurlijk waarom er data bestaat vanaf 2 jaar geleden. Het zou om data gaan die nodig is (geweest) voor krediet-checks en afhandeling van abonnements-aanvragen. Welke *** laat dat meer dan 2 jaar op dezelfde plek staan?

Simpel gezegd: een aanvraag krijgt status "Ja, doe maar" of "Nee, afgewezen". Dat zet je dan ergens in een systeem van T-Mobile wel want de persoon klant (non grata). Waarom moet dat dan ook nog op een extern systeem staan van Experian.

Mij klinkt het meer in de oren dat er een opruim-aktie is geweest halverwege september om data van de afgelopen 2 jaar te schonen en dat ze er bij toeval achter zijn gekomen dat er dus tot recentelijk ongeauthoriseerd ingelogd kon worden op die machine.
De gegevens moet volgens Amerikaanse wetgeving 25 maanden worden bewaard, vandaar de specifieke data.
Lekker slordig zeg! Denk dat ze T-mobile niet lang meer als klant hebben.

Wel terecht dat ze eerst onderzoeken en dan pas de hack naar buiten brengen! :*)
Experian heeft een lange historie van lak hebben aan klanten. Zo zijn ze ook al kampioen data lekken via partners. Ofwel denk aan de autodealer die een krediet-check doet voor ene autolening. Echter die autodealer kan slordig omgaan met inloggegevens etc. Experian heeft een reputatie in de security wereld van hier minder strak mee om te gaan dan de andere twee grote bureaus.

Ook staan ze nog steeds onder vuur vanwege een incident waar men een bedrijf opkocht, welke gegevens aan een Vietnamese crinineel doorverkocht die een online credit check service op de zwarte markt opgezet had. Klinkt ingewikkeld? Welnu ik vertel de simpele versie, maar het resultaat was dat men via Experian's dochter krediet-informatie inclusief alles wat nodig is voor indentiteitsdiefstal kon krijgen van letterlijk elke Amerikaan boven de 18. Die Vietnamees is door de FBI opgepakt en zit nu in een Amerikaanse cel, maar Experian heeft vooralsnog geen straf gekregen.

Het kan zijn dat T Mobile naar een van de andere twee gaat, maar dat zal dan meer zijn ivm juridische afwikkeling van schadeclaims, dan dat men slordig was. Experian is zo groot en zo dominant dat je als bedrijf in de VS geen keuze hebt. Niet veel anders dan in Nederland: er is één BKR, en dat is het.
Krijgt men hier nu ook een vergoeding voor?

Het is ondertussen een stereotype geworden dat Amerikanen "regelmatig" bedrijven aanklagen, of het nu terecht is of niet.
In dit geval zou dergelijke dus wel terecht zijn, en zie ik in het artikel geen sprake van vergoeding.

Ondanks dat het grootste gedeelte van je gegevens ondertussen toch al "op straat ligt", lijkt het me toch niet prettig om te horen dat 'criminelen' op zo'n manier je BSN e.d. hebben achterhaald.
Dit is dus een beveiligingsissue bij T-Mobile*, en zou je dus terecht een claim kunnen indienen?

*In principe een beveiligingsissue bij Experian, maar 'als klant zijnde van' T-Mobile, is het aan hun om hier op te letten.
*In principe een beveiligingsissue bij Experian, maar 'als klant zijnde van' T-Mobile, is het aan hun om hier op te letten.
Hoe zou T-Mobile dan de beveiliging van Experian moeten controleren? T-Mobile is slachtoffer, zij zijn tenslotte klant van Experian. Misschien moet T-Mobile namens zijn klanten maar een claim bij Experian neerleggen.

Maar om T-Moblle verantwoordelijk te maken voor fouten bij een ander, dat zou wat raar zijn. Zeker wanneer deze "ander" de grootste en bekendste aanbieden van deze dienst is. Of wil je soms beweren dat ieder bedrijf dat zaken doet met de grootste partij, de verkeerde keuze heeft gemaakt? Zo ja, dan ben ik benieuwd hoe je in Nederland denkt over het BKR, wat niet alleen de grootste is in Nederland, maar ook de enige. Dát is pas een veiligheidsrisico! Gelukkig hebben we het dan over Nederland, een vlek op de kaart... :-)
Stuk verkeerd begrepen info weggehaald. Arnoud heeft gelijk. Excuus in deze.

[Reactie gewijzigd door Nefiorim op 2 oktober 2015 07:19]

Experian North America today announced that one of its business units, notably not its consumer credit bureau, experienced an unauthorized acquisition of information from a server that contained data on behalf of one of its clients, T-Mobile USA, Inc. The data included some personally identifiable information for approximately 15 million consumers in the US, including those who applied for T-Mobile USA postpaid services or device financing from September 1, 2013 through September 16, 2015, based on Experian's investigation to date. This incident did not impact Experian's consumer credit database.
Ik snap niet hoe je dit anders kunt lezen. De hack was op een server met gegevens van klanten van Tmo USA.
Edit: kan niet vaststellen welke lezing de juiste is, bewoording in kop en inleiding aangepast. Thx!

[Reactie gewijzigd door arnoudwokke op 2 oktober 2015 07:17]

Wat er in het linkje ook staat:
Q: What happened?

A: Experian's network server was accessed by an unauthorized party.The unauthorized access an isolated incident over a limited period of time. It included access to a server that contained personal information for consumers who applied for T-Mobile USA postpaid services between Sept. 1, 2013 and Sept. 16, 2015.
Er lijkt meer aan de hand te zijn want de toegang tot de data van klanten van T-Mobile behoorde onder andere tot de unauthorized access.

Dat het niet logisch is dat op dezelfde server ook data van, bijvoorbeeld, AT&T staat lijkt me logisch maar wat er nog wel op de machine stond, wordt in het artikel ook niet vrijgegeven.
Nvm, vroeg, je hebt gelijk. Ik ga er vanuit dat het feitenrelaas van het getroffen bedrijf zelf meer waarde heeft dan wat de TMobile CEO snel in een statement naar buiten brengt. Maar titel en inleiding staan sowieso wel netter nu :)

[Reactie gewijzigd door Nefiorim op 2 oktober 2015 07:21]

Nee, de gegevens zijn gedupliceerd zonder toestemming, gok ik zo maar.

Stelen is nog altijd gedefinieerd als wegnemen zonder intentie tot teruggave waardoor de data niet meer bij Experian aanwezig zou zijn
Dan wordt het tijd om de definitie van "stelen" aan te passen aan het digitale tijdperk.
"Stelen" in deze vorm van spreken betekent het onrechtmatig wegnemen van informatie, waar je normaalgesproken niet aan kunt komen.

Dit kan zijn het kopiëren van, of daadwerkelijk wegnemen van desbetreffende informatie.
Het feit dat Experian nog steeds over de informatie beschikt, neemt het feit niet weg dat potentieel kwaadwillende nu 'ook' over deze informatie beschikken.
Ja, zo staat het inderdaad in de wet en het woordenboek. In de praktijk zijn termen als datadiefstal of gegevensdiefstal gewoon ingeburgerd. Ook in spreektaal wordt de term diefstal vaak in ruimere zin gebruikt, bijvoorbeeld bij het rekenen van exorbitante prijzen.

Hoewel het voor een nieuwssite belangrijk is om een feitelijk correcte omschrijving van een gebeurtenis te geven denk ik niet dat het mee zal vallen om dan nog met een pakkende titel te komen. Iets als 'individuen plegen computervredebreuk en nemen wederrechtelijk gegevens over.' is waarschijnlijk juridisch gezien een stuk correcter, maar voor de gemiddelde lezer aan de andere kant weer volledig nietszeggend.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True