Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties
Submitter: JKP

Criminelen hebben ingebroken op de accounts van 1827 Vodafone-klanten in het Verenigd Koninkrijk. De kwaadwillenden gebruikten daarbij e-mailadressen en wachtwoorden die vermoedelijk bij andere aanvallen waren buitgemaakt.

Omdat er mensen zijn die wachtwoorden hergebruiken voor diverse online diensten, kwamen de aanvallers binnen bij de 1827 klanten. Daar konden zij onder meer betaalinformatie inzien, zoals de laatste vier cijfers van het bankrekeningnummer, zegt de provider. Het is onbekend op hoeveel accounts de criminelen hebben geprobeerd in te loggen. De 1827 klanten om wie het gaat, hebben bericht gehad. Vodafone benadrukt dat systemen zelf niet zijn gehackt.

De aanval onderstreept het belang van het geregeld wijzigen van wachtwoorden en het gebruiken van verschillende wachtwoorden voor verschillende diensten. Vodafone weet niet waar de combinatie van e-mailadressen en wachtwoorden vandaan kwam, maar het was in elk geval een externe bron. Het ligt voor de hand dat het daarbij gaat om een hack bij een andere site of hack. Klanten van de Nederlandse tak van Vodafone zijn niet betrokken bij de aanval.

Het is de tweede aanval op een klantendatabase van een Britse provider. Enkele weken geleden waren klanten van TalkTalk het slachtoffer van een digitale aanval. Daarvoor zijn inmiddels drie personen opgepakt.

Moderatie-faq Wijzig weergave

Reacties (29)

Wel knap dat Vodafone weet dat er hackers en niet de eigenlijke personen hebben proberen in te loggen met hun eigen account/wachtwoord.

Zitten ze (Vodafone) er dus wel bovenop.
Het meest voor de hand liggende lijkt me dat er met een groot aantal verschillende accounts ingelogd werd van een enkel IP adres dat daarvoor nooit gebruikt werd om in te loggen. Dat is een systeem dat wel meer sites gebruiken om misbruik te signaleren.

Daarnaast zullen ze naast de 1827 geslaagde logins wel een veelvoud van accounts geprobeerd hebben waarbij de gebruiker wel een ander wachtwoord gebruikte voor Vodafone en andere websites. Als je mislukte logins opeens van 10 naar 50 procent gaan dan is dat ook wel een signaal dat de alarmbellen af doet gaan.

Desondanks, blijft netjes dat ze er achter zijn gekomen. Ik verbaas me er soms wel eens over wat criminele hackers allemaal uit kunnen spoken op een netwerk zonder opgemerkt te worden.
Hoe weet Vodafone zeker dat die 1827 logins niet door de rechtmatige personen zijn gedaan?
Het bestuderen van log bestanden en het vinden van overeenkomsten bij geslaagde (en niet geslaagde) login (pogingen).
Het bestuderen van log bestanden en het vinden van overeenkomsten bij geslaagde (en niet geslaagde) login (pogingen).
Dat lijkt me monnikenwerk. Je zou op basis van een legitiem account (dus niet opvallend) een script kunnen schrijven om automatisch in te loggen en belangrijke data op te slaan. Daarna laat je dat script via duizenden verschillende IP-adressen inloggen en hetzelfde doen voor andere users. En doe dat op een moment dat er veel traffic is, zodat het lastiger wordt om op te sporen via de logbooks. Bingo. Een beetje hacker moet zelfs neerkijken op mijn hakkie-takkie-oplossing. Mijn oplossing is zo slecht dat het waarschijnlijk niet eens nuttig zal zijn voor een echte hacker.
Het is lastig om duizenden ip adressen te hebben die in het gebied voorkomen waar de doelgroep is.

Elke proxy is direct te herkennen. Dus alleen een botnet heel specifiek in een gebied zal dit kunnen doen, maar dat is niet interessant voor de gegevens die vodafone laat zien bij deze "hack".

Ik maak het wekelijks mee (met name zondag) dat men gewoon lange lijsten afvuurt om te kijken of er een hit uit voort komt. Dus 1 x username + 1 x password. NIET 1 x username + X x passwords. Dat duidt erop dat men een database ergens anders heeft gevonden die men gebruikt om in te loggen op accounts met zelfde login.

Dit is eenvoudig te blokken, door bijvoorbeeld een bewijs van human te vragen, zoals google dat heeft beschikbaar gesteld.
Het is lastig om duizenden ip adressen te hebben die in het gebied voorkomen waar de doelgroep is.
Ik heb altijd het idee gehad dat die botnets die gebruikt worden voor DDOS bestaan uit duizenden zombie-PC's. En dan bedoel ik minimaal honderdduizend (moet kunnen met automatische scripts die 24/7 op zoek is naar potentiele slachtoffers). Aannemend dat die PC's niet allemaal achter een aantal proxies zit, krijg je zodoende te maken met duizenden unieke IP-adressen. Voor zover ik kan beoordelen moet het voor een gemiddelde hacker dus appeltje eitje zijn om met veel unieke IP-adressen in korte tijd zo'n aanval uit te voeren op Vodafone.
Die zombie-PC's moeten dan allemaal in het gebied staan van de doelgroep van de site.

Een vodafone UK, heeft voornamelijk klanten uit UK. Als er een zombie PC met een IP uit US, NL of IT langskomt, is dit al opmerkelijk.

Dus voor DDOS is een botnet prima, maar om ongemerkt te brute forcen is het niet goed, tenminste als er een oplettende medewerker is, die de log files slim analyseert.
Vodafone hoeft alleen maar te kijken naar dezelfde ip adressen die bij die log
ins gebruikt zijn.
De hacker zit gewoon achter een zooi proxies.

Wat je wel vaak ziet is een ddos aanval ter afleiding van het hacken.
Als je goed je systemen kent qua normaal gebruik en goed inzicht in normaal klantgedrag kan je heel makkelijk geautomatiseerd uit logbestanden halen wanneer er iets raars aan de hand is en daar een onderzoek naar starten. Komt tegenwoordig weinig handwerk meer aan te pas hoor, zelfs bij veel traffic en op drukke tijdstippen.
Kan je zien zoals al vermeld is door de log bestanden, maar ook door IP-adressen.
Als onbekende adressen proberen in te loggen dan moet je daar grote vraagtekens bij zetten.
Vooral als er ook false-inlog meldingen in voorkomen.
Ik kan vanaf een ziggo verbinding gewoon bij mijn telfort komen en vanaf telfort kan ik
gewoon bij mijn ziggo komen, zolang dit mogelijk blijft zonder enig controle zal het
altijd gehackt kunnen worden.

Bij bv steam daar moet ik de computer waarmee ik mij aanmeld authenticatie geven
door middel van een code die naar mijn mail gestuurd wordt, ze creëren een hardware
id en als daar aan iets verandert vervalt de authenticatie.
Tja...ik vind het heel jammer voor die mensen. Maar inmiddels zou je moeten weten dat je wachtwoorden niet moet hergebruiken voor verschillende dingen. Dat kan lastig zijn omdat veel mensen nu al 10+ wachtwoorden moeten onthouden. Als iemand in de ICT kun je wel wijzen op wachtwoordmanagers maar veel mensen weten hier niet vanaf en moeten het dus zo doen.

In principe is het 'eigen schuld dikke bult' maar aan de andere kant vraag je er natuurlijk ook niet om dat je account op een dergelijke manier gehackt wordt.
Als iemand in de ICT kun je wel wijzen op wachtwoordmanagers maar veel mensen weten hier niet vanaf en moeten het dus zo doen.
Tja, niet iedereen wilt een wachtwoord manager gebruiken. Zolang ik het niet 100% uit t hoofdje kan, hoeft het voor mij niet. Afhankelijk moeten zijn van software, of software van derde gaat me te ver.

Ieder zijn eigen keus. Of je nu wel of geen wachtwoord manager gebruikt maakt niet uit. Het is een middel voor hetzelfde doel: verschillende wachtwoorden gebruiken waar nodig.
Het is gewoon enorm frustrerend dat je tegenwoordig voor elk wissewasje een account nodig hebt. En al die diensten stellen weer bepaalde eisen aan jouw wachtwoord.
Dus ja: Veel mensen kiezen voor één ingewikkeld wachtwoord voor meerdere sites/diensten. Anders is het niet te doen.

En password managers.... Tsja, ik twijfel wel eens om er één te gaan gebruiken. Maar om nou afhankelijk te zijn van een stukje software... En soms ook nog eens online? Nee. Doe mij dan maar een encrypted documentje ergens veilig met al mijn passwords.

Als het aan mij lag zou ik al die accounts opzeggen. Maar dan kun je niks meer... Vendor lock-in is een uiterst vervelend fenomeen.
Criminelen breken in op Vodafone-accounts van klanten in Verenigd Koninkrijk
Is het juridisch gezien eigenlijk wel inbraak als je de sleutel hebt? Illegaal toegang verkrijgen zeker, maar inbraak?
Inbraak is het illegaal openbreken van een gebouw of een object om dit binnen te gaan. Als binnengaan niet de bedoeling is, dan spreekt men eenvoudig van vernieling. In juridische taal wordt ook wel over braak gesproken, en geldt het als een strafverzwarende omstandigheid bij diefstal. Iemand die aan inbraak doet noemt men een inbreker.
bron: Wikipedia

Van "openbreken" (in dit geval bijvoorbeeld Bruteforcen) is in dit geval geen sprake aangezien de wachtwoorden voor handen waren.

Verder een klassiek voorbeeld van waarom je niet overal hetzelfde wachtwoord dient te gebruiken.

[Reactie gewijzigd door chaozz op 2 november 2015 09:32]

Lees dit dan even (en hier het wetsartikel). Ook een gestolen wachtwoord kun je beschouwen als valse sleutel.

Ik denk dat er in veel gevallen ook wel sprake is van een valse hoedanigheid omdat er een gebruikersnaam wordt gebruikt die niet bij de aanvaller hoort.

Je kan het wel een beetje vergelijken met een kopietje van een sleutel. Hoe je er aan komt staat los van de inbraak, maar het gebruik ervan is niet toegestaan.

Dit is alleen volgens de nederlandse wet. Hoe het in de UK zit weet ik niet, maar ik durf er wel wat op te verwedden dat het daar alsnog strafbaar is.
Mijn vraag was absoluut niet of het strafbaar is. Daar twijfel ik geen moment aan! Mijn vraag is of er sprake is van inbraak in dit specifieke geval,omdat er bij inbraak sprake moet zijn van openbreken.
Er zou in dit geval dus sprake zijn van computervredebreuk, niet inbraak.
Juridisch gezien mag ik jouw wachtwoord nooit gebruiken... al geef je hem aan mij... dan nog ben ik juridisch gezien een hacker.
Juridisch een hacker? Sinds wanneer is 'hacker zijn' een juridische status?

En waarom zou je iemand anders wachtwoord niet mogen gebruiken met zijn toestemming?
Het mag niet zomaar, maar met toestemming mag het gewoon wel. Het is dan natuurlijk niet zo dat als je van iemand toestemming hebt om wachtwoord xyz op zijn hotmail account te gebruiken dat je niet strafbaar bent als je het ook op andere accounts van die persoon gebruikt. En stel dat je legaal bij zijn inbox mag, dan is het nog steeds niet toegestaan om andere accounts te resetten die aan dit account zijn gekoppeld (tenzij je ook hier voor toestemming hebt).
Dit is wel populair zeg, een hele rage. Eerst lekte de xSplit database uit. Daarna lekte er nog van een aantal grote sites data uit. Wat mij betreft moeten ze die hackers opsporen voor zover mogelijk. En alsnog die getroffen bedrijven aansprakelijk stellen voor eventuele schade. Het is hun systeem waar ingebroken wordt. Zij moeten er voor zorgen dat dat niet mogelijk is.
Als je het artikel goed hebt gelezen weet je dat de systemen van Vodafone niet zijn gehackt, maar individuele accounts van klanten die hun wachtwoord bij verschillende diensten gebruiken.

Je kan Vodafone dus niet aansprakelijk stellen omdat het geen beveiligingsfout van de systemen van Vodafone is, maar dom wachtwoordgebruik door deze klanten.

Edit: toevoeging

[Reactie gewijzigd door c0nnect3d op 2 november 2015 07:35]

Het enige wat je ze kwalijk zou kunnen nemen is het ontbreken van Two-factor authentication.
Het internet is een gevaarlijke plek, ook gewone sites zouden dat moeten overwegen, zeker in het geval van persoonlijke gegevens.
Het internet is een gevaarlijke plek, ook gewone sites zouden dat moeten overwegen, zeker in het geval van persoonlijke gegevens.
Veel mensen beseffen niet dat het internet een gevaarlijke plek is, anders waren ze niet zo slordig omgegaan met hun wachtwoorden.
Mensen kunnen niet meer dan enkele wachtwoorden onthouden, dus dat is de beperking van de gebruiker. Als telecom provider is een 2 weg login via de telefoon wel het minste wat je kan aanbieden. Alleen bij zaken als telefoon gestolen wordt het dan weer lastig.

Het gebruik met wachtwoorden, zonder een scan van digitale fingerprints is gewoon niet goed.

We moeten naar een systeem waarbij het device welk wordt gebruikt om in te loggen, moet worden geregistreerd. Dit zal fysiek moeten met tonen van legitimatie in persoon op een legitimatie service punt. Dit moet beschikbaar zijn op vele locaties in den lande.

Dus alles mooi dat digitale, maar er is niets op tegen om fysiek de zaak te controleren voor gebruik.

Zo'n Legitimatie Service Punt kan voor meerdere diensten worden gebruikt die dan een contract hebben met dit bedrijf (LSP). Denk aan banken, overheid,, verzekeringen, allerlei sites die persoonlijke info opslaan.
Dus alles mooi dat digitale, maar er is niets op tegen om fysiek de zaak te controleren voor gebruik.
Helaas streeft de samenleving naar meer automatisering zonder menselijke tussenkomst. Een persoonlijk legitimatiepunt is een stap terug in de tijd. Leken in de politiek kun je moeilijk overtuigen van je gelijk, omdat technologie voor alles de uitkomst lijkt te zijn. Overigens ben ik het wel met je eens.
Dan moet je dat wel aanbieden... waar mogelijk gebruik ik two-factor authencication.
Helaas bieden providers dit nog steeds niet aan al beweerd Ziggo dit doorgegeven te hebben aan heren hoger op.. maar of het er echt van komt is altijd maar de vraag natuurlijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True