Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties

Hotelketen Hyatt waarschuwt klanten dat het onlangs malware aangetroffen heeft op zijn betaalsystemen. De keten raadt gebruikers aan hun creditcardafschriften in de gaten te houden en deze te controleren op ongeautoriseerde overboekingen.

De malware stond op computers die de systemen voor betalingsverwerkingen beheren en Hyatt heeft de kwaadaardige code 'recent' ontdekt. Tegen Reuters noemt de hotelketen 30 november als specifieke ontdekkingsdatum maar onduidelijk is hoe lang de malware al op de systemen stond. Het bedrijf heeft beveiligingsexperts van FireEye in de arm genomen en doet verder onderzoek.

In de tussentijd raadt het bedrijf klanten die in hotels verbleven aan hun afschriften te controleren op verdachte overboekingen. Niet bekend is of er al daadwerkelijk misbruik van creditcards is gemaakt en om hoeveel klanten het zou gaan.

Hyatt heeft in totaal 627 hotels wereldwijd maar onduidelijk is of al die hotels getroffen zijn door de malware. Het is de vierde hotelketen die met creditcard-stelende malware kampt. Eerder maakten Hilton, Starwood en Trump vergelijkbare waarschuwingen bekend.

Moderatie-faq Wijzig weergave

Reacties (55)

Dit zou het hotel wel eens duur kunnen gaan staan. Normaal gezien wil je compliant zijn aan de PCI DSS standaard (https://www.pcisecuritystandards.org/ https://en.wikipedia.org/...ry_Data_Security_Standard), zodat als er iets grondig mis gaat met betalingen, jij niet degene bent die verantwoordelijk wordt gehouden.

Ik kan me hier niet voorstellen dat ze voldoen aan requirement 3: Protect stored cardholder data. Het is te hopen voor ze dat ze een goede afspraak hebben met hun software leverancier en dat deze kapitaalkrachtig genoeg is om de claims op te kunnen vangen.
Hotelketens mogen tegenwoordig alleen maar de creditcard nummers bewaren en niet de autorisatie codes. Bij de incheck word er daarom een autorisatie gemaakt voor een bepaald bedrag zodat eventuele extra kosten daarop afgeboekt kunnen worden. In principe zou door deze lek alleen namen en de creditcardnummer op straat kunnen liggen, maar de autorisatie codes dus niet. Dit is naar ik aanneem zo gedaan om juist hieraan te voldoen.
PCI DSS audits zijn relatief vaak papierwerk en verbale gesprekken.
Of het technisch allemaal dicht zit is niet de scope van PCI DSS audits helaas.
De audit wel, maar als het mis gaat dan wordt er wel wat dieper gekeken of je ook wel echt aan PCI voldoet.
Een tijd geleden was er nog een bedrijf dat op papier ook alles PCI compliant ingericht zou hebben en dat bleek uiteindelijk niet het geval toen het mis ging met CC gegevens, waardoor ze goed de zak waren. Heb helaas geen link bij de hand.
De audit wel, maar als het mis gaat dan wordt er wel wat dieper gekeken of je ook wel echt aan PCI voldoet.
Dat is dan wel mooi te laat...
Het hele nut van zo'n audit lijkt me nou net het preventieve karakter. Dus ze moeten gewoon verder gaan dan wat men "gedocumenteerd" heeft te hebben ondernomen en dit verifiëren met een security expert.
Dat is duur, maar ik vind zo'n audit wel een papieren tijger als er in beginsel niets is wat ze er van weerhoud e.e.a. te zeggen en er vervolgens eigen standaarden op na te houden.

[Reactie gewijzigd door Alpha Bootis op 24 december 2015 13:14]

Bijna alle auditsystemen zijn papieren tijgers als er vanuit het management zo gedacht wordt. De bedoeling van de audit is natuurlijk om een bedrijf te helpen om een bepaalde filosofie goed in de praktijk te brengen, maar als het management die filosofie niet ondersteund en enkel doet alsof, krijg je dus een papieren tijger. Persoonlijk vind ik dit geen fout van het auditsysteem maar een fout van het management.
Om een audit sluitend te maken zou er zoveel meer controlerend werk verricht moeten worden dat de kostprijs een pak hoger komt te liggen. Dan worden weeral de goedbedoelende bedrijven gestraft voor iets dat een paar rotte appels mispeuterd hebben.

PS: het zou natuurlijk ook kunnen dat het beveiligingssysteem wel in orde was.

[Reactie gewijzigd door Robbedem op 24 december 2015 14:20]

Het hele nut van zo'n audit lijkt me nou net het preventieve karakter. Dus ze moeten gewoon verder gaan dan wat men "gedocumenteerd" heeft te hebben ondernomen en dit verifiëren met een security expert.
Ik hoor wel eens de vraag "Wil je dat het echt veilig is of wil je dat wij niet verantwoordelijk zijn als er iets gebeurd?". Die twee zijn niet hetzelfde.

Audits worden vaak gezien als eindpunt terwijl ze juist het begin zijn. Bedrijven werken hard om een audit te halen en denken dan "mooi, nu zijn we klaar" en hangen lui achterover. Een audit halen is echter geen garantie voor veiligheid.
Je houden aan bepaalde regeltjes betekend nog niet dat een systeem ondoordringbaar is. En dat eisen de credit card maatschappijen dan ook niet.
Voor requirement 3 is dat natuurlijk afhankelijk hoe die malware werkt. Of dat meer op de skimming (man in the middle) wijze gaat of een andere. Bij een man in the middle is het kwaad immers al geschied voordat ke het (veilig) opslaat.

[Reactie gewijzigd door CH40S op 26 december 2015 15:09]

Het probleem hier is niet het betaalmiddel, maar de 'te infecteren' betalingssystemen. Waarom kan dat überhaupt? Standaard OS? Niet hardened? Patches? Firewall/IPS/packet inspection?

De prioriteit ligt zoals altijd verkeerd. Geld binnenhalen prima! Beveiligen? Veel te kostbaar!
Waarom kan dat überhaupt?
Omdat het onkraakbare systeem nog moet worden uitgevonden.
De prioriteit ligt zoals altijd verkeerd. Geld binnenhalen prima! Beveiligen? Veel te kostbaar!
Zie bovenstaand. Je hebt duidelijk geen idee hoeveel Hyatt wél in beveiliging heeft gestoken en kan dus ook niet oordelen of ze daarin gemakzuchtig zijn geweest. Je weet ook niet hoeveel resources de aanvallende partij heeft moeten gebruiken om dit te realiseren.
Cyber intelligence firm iSight Partners in late November warned merchants about a new strain of payment-card-stealing malware dubbed ModPOS that it said evades almost all security software
Tsja.... Moeilijk verdedigen tegen attacks die bijna alle security omzeilen.

Valt dat dan (mogelijk) onder een zero-day?
CC gegevens, ja ik liep er ook tegenaan.
De oplossing: Asymetrische encryptie.

Op de server heb ik een public key en lokaal een private key.
De lokale server kan alleen data downloaden.

Wie kan lokaal de CC's lezen? Alleen mensen die het wachtwoord van de private key weten.

Goed, het is dan nog steeds lokaal te kraken. Maar dan is het probleem in ieder geval geïsoleerd en niet via een publieke server.
Je gaat er vanuit dat het van buitenaf is gedaan. Als het een inside job is, dan maken al die security zaken die je noemt niet zoveel uit.
Meestal worden Windows-Based systemen gebruikt waar het constant exploits regent die voor doorsnee malware prima te gebruiken is, en slecht geprogrammeerde applicaties om de extra functionaliteit te verzorgen. De meeste tijd gaat vaak in de hardware zitten en dan niet eens de electronica of de firmware maar de fysieke bouw. Een standaard PC in een metalen kast met slot stoppen wordt door veel integrators als 'veilig' bestempeld terwijl dat natuurlijk een donder uit maakt. Dit gebeurt met credit card gegevens erg vaak om dat je de gegevens nodig hebt om transacties te verwerken terwijl dat met PIN & Chip niet zo is.

Apparaten die doorgaans wel goed beveiligd zijn, zijn de PIN & Chip systemen die meestal een aangepast Linux of VxWorks OS draaien met diverse tamper trips. Het enige wat je daar aan interfaces hebt is een beveiligde verbinding naar de bank en een basale verbinding naar externe apparatuur om een bedrag op te geven en een status terug te krijgen.

[Reactie gewijzigd door johnkeates op 24 december 2015 12:27]

Och, best kans dat die systemen nog met windows xp embedded draaien.
Omdat de meeste hotels gebruik maken voor interne betalingsverkeer van retarded ouderwetse protocollen geport van serieel naar tcp/ip zonder enige vorm van encryptie. Als je op het netwerk zit en/of de betalingsserver weet te bereiken is het kinderlijk eenvoudig.

Lees: charge to room, ik gok op een popup boetiek medewerker.

[Reactie gewijzigd door analog_ op 24 december 2015 13:50]

Al meerdere hotelketens, zouden zij soms de zelfde (of vergelijkbare) software gebruiken? Als nog niet getroffen hotelketen zou ik toch alles grondig na laten kijken...
Op dit moment weten we nog niets eigenlijk. Het zou kunnen zijn dat de POS (Point Of Sale a.k.a. kassa) is aan gevallen die zijn vaak in veel locaties het zelfde. Het zou kunnen zijn dat het een aanval is op een gedeelde service waarbij hotels samenwerken om bijvoorbeeld fraudeurs buiten de deur te houden. Misschien is het een inside job waar een medewerker een foute USB stick in een systeem heeft gestoken of een hack vanuit een hotel kamer waar iemand wist in te breken op het interne netwerk van af het gasten net werk. Misschien is het een aanval via de payment provider waarbij Hyatt misschien helemaal geen blaam treft.
Wie weet hoelang deze software al draait misschien nog maar een dag of zo misschien al maanden.

Tot we meer weten kan ik alleen ,aar zeggen heel erg goed van Hyatt om mensen dit te laten weten.

Als nog niet getroffen hotel, keten of niet, zou ik ten alle tijden een regelmatige check op mijn systemen uit laten voeren simpelweg omdat als mensen het gevoel hebben niet veilig bij jouw te kunnen verblijven je een heel veel groter probleem hebt dan ietwat hogere kosten voor de software.
Creditcards zijn net zo veilig als pin passen, eigenlijk zelfs veiliger. Ook Maestro kan zonder code betalingen uitvoeren net als de mastercard/visa. Echter is je pin transactie niet verzekerd maar de creditcard meestal wel. Als iets juist veilig is voor online aankopen is het een creditcard ivm de aankoopverzekering. Ideal?--> geld kwijt in een voorval zoals V&D, Paypal--> erg lange disputes. Wordt je kaart gejat dan blokkeer je hem, dat geld trouwens ook voor alle andere betaalmethoden.

In het geval van Hyatt, er zat blijkbaar een hiaat in de de systemen. Erg slecht voor een grote keten.

Edit: overigens is het niet veilig genoeg? betaal dan cash, bijvoorbeeld in Napels ga je niet met je creditcard/pinpas betalen.

[Reactie gewijzigd door My Tec Master op 24 december 2015 09:40]

Het is niet veiliger, maar het is verzekerd, je verplaatst het probleem dus alleen maar. Cash is op een andere manier onveilig, namelijk een overval.

Voor zoveel mogelijk transacties gebruik ik Paypal als dat kan, achter mijn Paypal account hangt een creditcard die verzekerd is. De cc gaat de deur niet uit en kan niet via het paypal account gestolen worden, plus de luxe van verzekering. In de afgelopen 15 jaar slechts één keer hoeven gebruiken (verzekering).
je hebt gelijk, maar het is wel veiliger voor mij als klant. De Paypal + creditcard is een goede oplossing, ik heb nog steeds mijn bankrekening gekoppeld en ben daar toch niet zo blij mee. Veiligheid is maar relatief, ligt puur aan hoe je er mee omgaat en aan de winkels waar je betaald. Ik heb een creditcard nooit lang trouwens, vraag om de 1,5 jaar een nieuwe aan puur door slijtage (en nee zo vaak gebruik ik hem niet, maar wel bij me). Als je veel buiten Nederland bent kan je helaas gewoon niet zonder, maestro heeft wel eens problemen. Gewoon altijd je betalingsmethodes in de gaten houden en gebruik je iets niet, zeg het dan op!
Wat ik mij afvraag is of het hotel aansprakelijk kan worden gesteld voor eventuele schade. Het lijkt me stug dat een creditcardmaatschappij of de gebruiker voor de kosten op moet draaien.
De creditcardmaatschappij, tenzij Hyatt zich niet aan de regels qua beveiliging heeft gehouden, wat ik in dit geval betwijfel. Die 3.5% transactie kosten die Hyatt al de afgelopen 50 jaar betaald voor de creditcard transacties is niet alleen pure winst voor de creditcardmaatschappij, maar dient ook als een stukje verzekering voor dergelijke incidenten.
Als het van Micros Fidelio komt (zeer dominante speler - heeft enkele jaren geleden hier bij ons nog Torex overgenomen) dan is voor mij alvast een vaststaand feit, dat deze malware, niveau kleuterschool is.

Ik heb verschillende audits gedaan van dit soort van omgevingen en wat ik toen heb gezien tart zowat elke verbeelding:

-Geen AV op POS (anders issues met stabiliteit)
-Alles onder een Administrator account met full access rights.
-Windows zonder updates
-Ordertransacties tussen backend en POS = flat text (ik kon met een MITM de prijs op de kassa aanpassen)
-Zwakke of geen wachtwoorden.
-Een vehikel aan code in de grootorde 'best effort'
-En daar hangt dan een CZAM van Atos aan (met standaard beheer login hardcoded toetscombo)

Het recept: Overal de laatste euro willen afknijpen, Niet investeren in mensen maar in winst.

Het is op zich een half mirakel dat dit zo weinig gebeurd (alhoewel ik denk dat dit frequent gebeurd maar nooit pers haalt)

Zoals altijd gaat alles en iedereen bovenstaande ontkennen en alles afketsen met wat slap geleuter.

En zo dekt de ene de andere af, en blijft alles bij het oude.


Edit: Mijn vermoeden lijkt nog te kloppen ook:
http://www.hospitalitynet.org/news/4015330.html

[Reactie gewijzigd door Gh0zztH0us3 op 24 december 2015 13:21]

Hoe krijg je het dan in 's hemelsnaam voor elkaar om je compliancy te claimen? :?
http://www.micros-fidelio.../General-Information.aspx

Je lijstje is echt schokkend en ik kan me bijna niet voorstellen dat er bedrijven hier zijn die hun POs netwerk zo open en bloot hebben liggen.
Ik begeef met op heel glad ijs (er is wel meer aan de hand met payments tegenwoordig) maar er zijn een aantal redenen:

Ja er is PCI/DSS/HIPAA/ISO27001 ... dat zijn degelijke standaarden. Er hangt ook een behoorlijk prijskaartje aan vast, om ze te implementeren, maar vooral om ze te bewaken.

The fine print illustreert de knoop:

Compliant is een momentopname en mits wat handigheidjes door sommigen gekend, het is ook een 'kleine' wereld, kan je dat blijven zonder het te zijn. Het begint met het polijsten van de resources (lees: zet dat en dat en dat af, haal dat en dat en dat eruit, ...., bescherm het geheel door 'intellectual property' en dat compiant zijn is plots een pak makkelijker.

Daarnaast (en dat is ook zeer handig) is er altijd sprake van een 'maatwerk' en 'gedeelde' verantwoordelijkheid. Beiden goed genoeg om altijd een reden te vinden om de schuld op iets anders af te wentelen, maar veelal is dat zelf niet nodig. Klant en leverancier zouden immers economische schade ondervinden.

Er heerst een soort van Omerta rond deze dingen, deels afgedwongen door non disclosures of door genoeg te betalen tot je zwijgt. Iedereen die de held zou willen uithangen, gaat zeer snel merken hoe efficiënt sommige problemen kunnen worden opgelost.

Money talks.
Minimaal bijna een maand geleden ontdekt en nu pas wereldkundig gemaakt. Er is toch wel een wet die disclosure op een eerder moment gebied?

Houd vooral je afschriften in de gaten...
Payment card rules generally provide that cardholders are not responsible for unauthorized charges that are timely reported.
Hyatt Hotels Corporation, headquartered in Chicago, is a leading global hospitality company with a proud heritage of making guests feel more than welcome.
Niet alleen de gasten...

[Reactie gewijzigd door PcDealer op 24 december 2015 09:28]

Hyatt is niet de enige hotelketen getoffen door malware op hun betaalsystemen. Recentelijk (september) was ook Hilton in het nieuws (Kassensysteme der Hilton-Kette in den USA gehackt). Krebs on Security maakt melding van nog meer getroffen bedrijven in de hospitality-industrie.
Ik heb al meer dan 10 jaar meerdere zakelijke cc's. Ik reis enorm veel en in de meest obscure oorden betaal ik op deze manier.
er zijn weken bij met 40 a 60 transacties, nog nooit heb ik problemen gehad.
de credit card bedrijven bellen me ook niet meer. Dat vind ik dan wel weer wat zorgelijker.
Creditcards...arg. Je hoort dat ook heel vaak in de VS en dan krijg je twee jaar 'creditmonitoring' terwijl je gegevens levenslang zijn gestolen. Goed je kunt je creditcard laten blokkeren maar das dan ook alles.
en bij de Nederlandse bank krijg je 9/10 keer niets. zijn je gegevens gestolen. je geld is weg. en blijft met lege handen achter. dan verkies ik toch liever CC boven onze bank
Ik krijg hier in NL gewoon een nieuwe CC incl nieuw nummer erop,daarnaast zijn ze behoorlijk snel in reageren op charges die niet kloppen,laatst kreeg ik nog een belletje of ik in de VS een aankoop had gedaan,wat niet het geval was,want gewoon thuis,waarna mijn CC werd geblokkeerd en deze charge ongedaan werd gemaakt (in paar dagen nieuwe CC in huis) eventueel even vervelend die paar dagen maar kost mij verder niets.

vergeet ook niet dat je een CC nummer hebt met daarbij de cvc code die dus ook wijzigt dus als deze combi gestolen is kan men er niets meer mee na blokkering ook al wordt ooit weer die CC nummer weer opnieuw gebruikt,het fijne van de CC is verder gewoon dat er weinig gezeik is over dit soort ongein terwijl bij bv skimming uiteindelijk jij nog steeds diegene bent die moet bewijzen dat je niet in oekraine was waar je pas gebruikt werdt ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True