Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Criminelen die de systemen van de Britse provider TalkTalk afgelopen week kraakten, hebben hoogstwaarschijnlijk klantgegevens in handen gekregen. Daaronder lijken ook creditcarddata te zitten. De gegevens waren deels onversleuteld.

De Metropolitan Police Cyber Crime Unit van Londen is donderdag een onderzoek gestart naar de kraak van de systemen van TalkTalk, meldt de provider. Die kraak vond woensdag plaats na een denial-of-service-aanval op de site van de provider. Details over de hack zijn er verder nog nauwelijks.

Het bedrijf zegt dat er een kans is dat er namen, adressen, geboortedata, e-mailadressen, telefoonnummers, accountinformatie en creditcard- en bankgegevens zijn buitgemaakt. Als een bedrijf die kans noemt na een hack, is het meestal het geval dat die data inderdaad in handen van de criminelen is. In ieder geval een deel van de gegevens waren onversleuteld op de systemen opgeslagen, geeft TalkTalk toe.

Niet bekend is hoeveel klanten getroffen zijn door de inbraak. TalkTalk heeft in totaal vier miljoen klanten in Groot-Brittannië. Een groepering met de naam "TalkTalk hackers" heeft op PasteBin een melding met een greep uit de gestolen gegevens gezet.

Volgens de BBC waren er woensdag meerdere ddos-aanvallen op Britse bedrijven. Ook zouden er connecties zijn met afpersingen, waarbij de hackers een betaling in bitcoins zouden eisen. Details hierover geeft de BBC niet.

Moderatie-faq Wijzig weergave

Reacties (32)

Ze worden vanzelf gestraft. Als je in de UK melding doet van gegevensdiefstal dan krijg je eigenlijk volautomatisch een boete als die gegevens niet encrypted zijn. Saillant detail: de meldplicht is vrijwillig. De boete na de vrijwillige melding niet. ;)
Bron: Bijeenkomst NCSC en CBP over de komende meldplicht.
Wordt een beetje moe van het gebruik van de term HACKER.
Er zijn zoveel niveau's te onderscheiden en het gemak dient de mens om iedereen maar een HACKER te noemen, vind dat we hier mee op moeten houden, zeker omdat de link van Hacker naar crimineel ook snel gemaakt wordt.
Allereerst: er zijn wereldwijd misschien zo rond de 1000 mensen welke bijna dagelijks bezig zijn met het zoeken naar de zogenaamde ZERO DAYS. Mensen die recht hebben, althans in mijn optiek, op de titel HACKER. Dan nog kunnen er drie soorten hackers onder die 1000 mensen onderscheiden worden. Degenen in het witte, zwarte en grijze gebied afhankelijk van wat ze met de gevonden ZERO DAYS doen.
Verder moeten we ook een professioneel onderscheid maken voor mensen in dienst van overheden, welke ook weer in mijn optiek, de titel hacker verdienen.
Al het andere volk, wat zo af en toe eens wat zaken bekijkt, meestal wanneer er iets misgaat, valt wat mij betreft NIET in de categorie HACKER, maar zijn vaak mensen die omwille van hun vakgebied verplicht worden de rommel van anderen op te ruimen of wat kiddies welke het wel leuk vinden om in de rommel te snuffelen.
Nogmaals dit is mijn mening, maar ik vind dat er op professioneel vlak nergens zoveel rommel gegenereerd wordt als in de software business. Het is letterlijk een COPY PASTE wereld waar het luie gedrag van software makers leidt tot een "niche" in de markt.
Zolang als software makers niet bereid zijn om software te updaten op een grondige manier, bottom up, zullen er altijd ZERO DAYS van meer dan 10-30 jaar oud op blijven duiken.
Je hebt uitgesproken kritiek op ongepast gebruik van het woord hacker: dat moet zorgvuldiger.
.
Maar zorgvuldigheid is in je eigen sentiment helaas ook niet te bespeuren, integendeel.
Met je opmerkingen scheer je ongenuanceerd en respectloos de hele software development industrie over één kam: "Het is letterlijk een COPY PASTE wereld waar het luie gedrag van software makers leidt tot een 'niche' in de markt".
Overduidelijk geen woorden van een ware development professional. :P
Jah de media gaat dat allemaal uitleggen in het nieuws of de krant, daarom het woord hacker! daarbij hebben de meeste mensen een idee wat er bedoelt wordt ;)
Je hebt recht op een mening.
In mijn ogen is iemand met uitzonderlijke programmer skills een HACKER.
Sterker nog, ze noemen zichzelf zo.
En om ook nog even op twilex te reageren.
Nee, ik ben inderdaad geen development professional, maar een industriële automatiseerder welke bijna elke dag geconfronteerd wordt met problemen welke eigenlijk door de "development professionals" zouden moeten worden aangepakt. Sorry voor mijn 'ongenuanceerde' uitlatingen, maar het feit dat we in onze branch nog altijd de voorkeur geven aan Windows XP komt toch ergens vandaan zullen we maar stellen.
Als we het hebben over WINDOWS. Even een analogie. Stel je voor het hoogste flatgebouw van de wereld, waar de architekt het nodig vond op bijna elke vierkante meter een raam en deur te installeren. Dit in het jaar 1980. Nu in 2015 vinden we dit nogal tochten en het gaat ten koste van energiekosten omdat we toch wat duurzamer zijn gaan leven. Verder bleek datgene wat in het gebouw werd opgeslagen toch best wel een grote waarde te vertegenwoordigen. Het gebouw is echter zo groot dat we alle ramen en deuren nu nog steeds aan het dichttimmeren zijn. De ramen en deuren in het gebouw zijn de ZERO DAYS voor wie het nog niet begrepen heeft. De kiddies die hackers genoemd worden zijn de geinteresseerde bezoekers welke nieuwsgierig zijn wat er zoal aan de andere kant van een deur of raam te doen is.
Nu mijn gemeende kritiek. Intel produceert geweldige CORE processors. Waar blijft de software welke hier werkelijk 100% gebruik van maakt? Kijk eens naar libraries welke zonder enige vorm van kritisch checken simpelweg gebruikt worden. Enz. enz.
Sorry voor deze uitspatting: tis een gevoelige snaar.
In mijn ogen is iemand met uitzonderlijke programmer skills een HACKER.
Dat is in jouw ogen zo. Ik bezit zelf die uitzonderlijke programmer skills (ahum) en wil daar niet mee geassocieerd worden. Waarom niet? Omdat ik al wat ouder ben, toen ik opgroeide in de jaren 80 waren hackers gewoon criminelen, die het voorbeeld van hacker opa Kevin Mitnick volgden. De term hacker wordt door het journaal, de kranten, eigenlijk alle serieuze pers direct met computercriminaliteit in verband gebracht. Zoek maar eens bij van Dale op wat het nou echt betekend? Om een discussie zuiver te houden is het van enorm belang dat we allemaal dezelfde definitie gebruiken. En daarom is het van belang dat we ageren tegen groeperingen die termen als geuzennaam gebruiken en ze een andere betekenis willen geven.
Het zou strafbaar moeten zijn gevoelige informatie onversleuteld op te slaan, Of ga ik te ver.
Mee eens, je ziet maar weer eens het gevaar ervan als je het niet doet.

[Reactie gewijzigd door stverschoof op 23 oktober 2015 12:59]

er staat dat een deel onversleutelt is opgeslagen.. naam / adres / geboortedatum / etc is jammer als het buit gemaakt is, maar als er een deel wel versleutelt opgeslagen is dan lijkt mij dat het CC gedeelte of/en het login gedeelte (password)

Dus iets te vroeg om te gaan roepen imho
Sterker nog, volgens de PCI-DSS is het zelfs verboden om de CVC code op te slaan.
https://www.pcisecurityst...ocuments/PCI_DSS_v3-1.pdf
Nee hoor ga je niet te ver in, en is volgens mij ook al meerdere malen (vanuit zowel Nederland als de EU) voorgesteld, en in basis beginselen geld het in Nederland zelfs al, komt nog eens bij dat het voor creditkaart informatie sowieso verplicht is die data te versleutelen, er is echter niemand die echt sancties oplegt als een bedrijf dit niet blijkt te doen, ze zullen een paar boze mails/brieven krijgen van Visa en/of Mastercard, maar dat is het dan ook, zou mooi zijn als de EU hier gewoon dikke boetes voor gaat opleggen.

[Reactie gewijzigd door olivierh op 23 oktober 2015 13:08]

zou mooi zijn als de EU hier gewoon dikke boetes voor gaat opleggen.
Wat gewoon in de kosten-batenanalyse van het bedrijfsbewind wordt meegenomen. Als het gaat om persoonlijke informatie gaat zou men persoonlijk vervolgd moeten worden vanaf het laagste relevante leidinggevende niveau tot en met het hoogste. Immers zijn zij verantwoordelijk voor de verwerking.

Dit werkt al heel goed in Amerika met de Sarbanes-Oxley Act, waarbij hoofden van het bedrijf persoonlijk aansprakelijk worden gesteld wanneer de boekhouding niet in orde is. En zie daar: plot is de boekhouding tot op de puntjes in orde.

[Reactie gewijzigd door The Zep Man op 23 oktober 2015 14:32]

Ja, maar een onjuiste boekhouding kan leiden tot minder betaalde belastingcentjes...

Dus daar doet een overheid wat aan, dat raakt ze namelijk direct.

Gestolen non encrypted creditcard data? Overheid kost het niets.. enkel de creditcard maatschappijen. En de overheid geeft er dus niets om..
HUH!! hacken zou strafbaar moeten zijn. is niks meer of minder dan diefstal.
eigenlijk is het al van de zotte dat je je huis,fiets,auto en andere eigendommen steeds beter moet bewaken en beveiligen.
Andermans eigendommen beveiligen hebben we het hier over.

[Reactie gewijzigd door mell33 op 23 oktober 2015 15:04]

in hoeverre maak het uit of de data wel/niet versleuteld is?
de data zal vanuit en ander systeem benaderd moeten kunnen worden. wat inhoud dat dat systeem de sleutel kent.
de data versleutelen heeft eigenlijk alleen zin als deze over straat gaan. digitaal via internet of op een gegevensdrager.
als de server in een eigen datacenter dat beveiligd is als een kluis is versleuteling van de data slechts een kleine vertraging bij de hack. er moet dan nog een beetje extra data worden mee genomen.
Dat is ook mijn gedachte. Een helpdesk van een internetprovider zou misschien willen weten welke abonnementen er zijn op een huisadres, en op welke naam. Dan kan ik me niet voorstellen dat ze bij de helpdesk bij elk telefoontje een wachtwoord gaan invullen, en dat dan alle records een voor een ontsleuteld worden. Alvorens de zoekopdracht afgewikkeld gaat worden. Ergens aan de voorkant zijn de gegevens al ontsleuteld, of makkelijk te ontsleutelen.
In Nederland hangen er dan ook consequenties aan vast. We hebben ons te houden aan het CBP en daar staan dat soort zaken in vermeld.
Volledig mee eens!

Zware straffen op zetten, minimaal 10 jaar of zoiets.

Je bent als bedrijf / beheerder toch wel helemaal van de pot gerukt als je dit soort gevoelige info onversleuteld opslaat.
Alweer?
Volgens mij is dit al de 2e of 3e keer in het afgelopen jaar dat TalkTalk gehacked wordt...
Dat is behoorlijk triest, misschien tijd om eens wat meer geld te spenderen aan security om de boel dicht te timmeren. Die klanten zien hen al aankomen met wéér een hack. Weer al je gegevens mogelijk op straat, weer je wachtwoorden wijzigen, et cetera.

Als ze zo doorgaan en de boel niet serieus verbeteren en dichttimmeren, dan zullen ze niet veel klanten overhouden gezien t vertrouwen nu al zowat nul is.
Je zou inderdaad verwachtten dat ze na een hack alles dichtgooien en dan pas stukje voor stukje weer toegangen openzetten en controleren.
Helaas werk ik zelf ook al lang genoeg in de IT om te weten dat hoe groter het bedrijf; hoe minder er bekend is van wat en hoe security geregeld is.
Security through obscurity :/
En niet alleen TalkTalk, ook Dixons Carphone recent. Twee gesplitste bedrijven sinds een aantal jaar, maar met een sleutelfiguur die blijft geloven in hopeloos verouderde IT systemen. Het zal me derhalve niet verbazen als dit voorlopig een terugkerend fenomeen is bij deze bedrijven. De implementatie van nieuwere systemen is complex en tijdrovend, het moment waarop ingezien wordt dat verandering noodzakelijk is laat misschien nog wel langer op zich wachten.
Ik vraag me af hoe veilig onze data bij Nederlandse providers is. Een voorbeeld is Mijn KPN, bij het aanmaken van het account had ik alleen mijn abbonummer + bankrekening nodig en het koppelen was klaar. Nu weet ik wel dat je niet iedereen je abonnementsnummer gaat geven maar toch. Met die gegevens had iemand dus beschikkening over mijn abonnementsgevens kunnen krijgen.

[Reactie gewijzigd door Kenneloth op 23 oktober 2015 13:04]

off topic:
Dat zouden idd bij de ouderen of digibeet die geen account aanmaken, een probleem kunnen worden /zijn

On topic:
Wat ik mij afvraag, hoe veilig is de school en lidmaatschappen van verenigen enz, en nog maar te zwijgen van de zorginstellingen die alles delen en er geen kaas van hebben gegeten.

[Reactie gewijzigd door mell33 op 23 oktober 2015 13:14]

Dat is inderdaad mijn punt. :)
Een IT bedrijf zonder versleuteling is als een bank zonder kluis...
Onbegrijpelijk hoe zulke zaken nog steeds voorkomen
zou ook niet nodig moeten zijn. gewoon afblijven met je fikken aan iets wat niet van jou is.
Helaas werkt de wereld niet zo.
Juist... Want mensen zijn van nature zo behulpzaam en vredelievend...

Het zou niet nodig moeten zijn als... Wat? Als er wat is? Als de mensheid op houdt met bestaan misschien.
The "talk talk hackers" schreven :

We Have adapted To The Security measures Of The Web,, We Cannot Be Stopped. We Have Made Our Tracks Untraceable Through Onion Routing, Encrypted Chat Messages, Private Key Emails, Hacked Servers. We Will Teach our Children To Use The Web For Allah.. Your Hands Will Be Covered In Blood.. Judgement Day Is Soon

Your One Childrens Name Is Mohammed. Your Women Are being Taken Over By Us. Your Children are being Killed By Us For Being Shit On Earth.

WE Are In The Soviet Russia And Near Place, Your Europe, WE control Asia, We Control AMERICA

1. ik denk dat ze iets te veel films hebben gekeken om zulke spannende zinnen te gebruiken
2. Fijn dat je laat weten waar je zit. (waarschijnlijk toch niet waar)
3. Ze willen bitcoins hebben, waarschijnlijk om hun engelse les te betalen. :9
We Have adapted To The Security measures Of The Web,, We Cannot Be Stopped. We Have Made Our Tracks Untraceable Through Onion Routing, Encrypted Chat Messages, Private Key Emails, Hacked Servers. We Will Teach our Children To Use The Web For Allah.. Your Hands Will Be Covered In Blood.. Judgement Day Is Soon

Your One Childrens Name Is Mohammed. Your Women Are being Taken Over By Us. Your Children are being Killed By Us For Being Shit On Earth.
[...]
Prepare, Secure Your Websites, Secure Your Borders, Secure Your Country, But Jihad From Us Is Coming
8)7
Zegt al genoeg over deze mensen... Ze denken dat ze de hele wereld kunnen overnemen en iedereen zomaar kunnen vermoorden. Ik gok grootheidswaanzin.
Wacht maar tot je aan de grenzen van de EU komt, dan zouden we het als we niet beter weten genocide plegen met onze vriendjes van de NAVO ;)
Droom lekker verder ;)

Disclaimer: nee, ik heb geen hekel/haat aan alle moslims/mensen uit Syrië/Irak.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True