Hackers breken in op webwinkel Acer

Hackers hebben ingebroken op de servers die de webwinkel van Acer hosten, en hebben daarbij mogelijk toegang gekregen tot allerlei persoonlijke informatie van klanten. Daarbij gaat het onder meer om creditcardgegevens, namen en adressen.

Acer logo In een brief naar Amerikaanse klanten heeft Acer bekendgemaakt het slachtoffer te zijn geworden van hackers. De bewuste brief is online gezet op een Amerikaanse overheidswebsite. Onduidelijk is of het ook alleen om de Amerikaanse webwinkel gaat, of dat ook mogelijk gegevens van internationale klanten zijn gestolen. Volgens Acer lopen klanten die tussen 12 mei vorig jaar en 28 april dit jaar een bestelling hebben geplaatst risico dat hun gegevens zijn gestolen.

Of er daadwerkelijk persoonlijke gegevens zijn gestolen na de inbraak is nog niet volledig opgehelderd, maar Acer waarschuwt zijn klanten alvast wel dat mogelijk creditcardgegevens met bijbehorende cvc-codes, namen, adressen en andere persoonlijke gegevens in handen van de hackers zijn gevallen. Het Taiwanese bedrijf stelt de betalingsverwerkers en de autoriteiten op de hoogte te hebben gesteld.

Wie heeft ingebroken op de servers van Acer is niet bekend. Wel zou de kwetsbaarheid die de hackers hebben gebruikt om in te breken op de servers van de webwinkel, inmiddels zijn gedicht.

IT-banen

Reacties (70)

drecaise 18 juni 2016 10:20

Ik vraag me af hoe het kan dat er cvc gegevens ontvreemd zijn. Volgens mij mogen die namelijk helemaal niet opgeslagen worden. Is er iemand die dat kan bevestigen dan wel ontkennen?

xmenno @drecaise • 18 juni 2016 10:38

Zie 3.6, dat mag dus niet.
1 Sensitive authentication data must not be stored after authorisation (even if encrypted).
https://www.pcisecurityst...k%20Reference%20Guide.pdf

Het is natuurlijk wel nodig voor de verwerking, dus het is wel even ergens in transit of opgeslagen gedurende de transactie.
Gezien de lange periode "tussen 12 mei vorig jaar en 28 april dit jaar" konden ze het misschien ergens onderscheppen.

[Reactie gewijzigd door xmenno op 23 juli 2024 23:57]

Soldaatje @drecaise • 18 juni 2016 10:30

Vind ik ook vreemd.
Met het creditcardnummer en de bijbehorende cvc-code kan je overal direct betalingen doen.

Perkele @Soldaatje • 19 juni 2016 09:23

Bij Amazon heb je al genoeg aan het kredietkaartnummer, die vragen niets eens naar de cvc-code, laat staan naar een 3D Secure code.

ChAiNsAwII @Perkele • 20 juni 2016 09:11

Echt niet, als je gaatbetalen moet je alsnog je paypal of je creditcard ww invullen.

KingFox @ChAiNsAwII • 20 juni 2016 14:30

Nope, dat is niet waar wat jij zegt

De eerste keer misschien wel, maar nadien niet meer. Er zijn nog shops (Coolblue) waar je aan kaartnummer genoeg hebt).

[Reactie gewijzigd door KingFox op 23 juli 2024 23:57]

ChAiNsAwII @KingFox • 21 juni 2016 15:26

Ik bestel vaak met mijn cc wereldwijd, elke keer dat ik wil afrekenen wordt ik naar de cc-portal geleid om mn ww in te vullen, dus ja het is waar wat ik zeg...( ok bij coolblue nog nooit wat besteld maar klinkt vreemd dat bij hun dat niet zo is.. miss instelling van je cc, heb iig al jaren dat je niks kan bestellen zonder mn ww)

KingFox @ChAiNsAwII • 22 juni 2016 16:02

*zucht* Veralgemeen je case niet als het niet klopt (en zeg vooral niet 'Echt niet' als het niet klopt, hieronder zijn nog comments van mensen die wél zonder code kan betalen met CC.

ChAiNsAwII @KingFox • 22 juni 2016 21:26

Dan wordt het tijd dat ze dat instellen, dit kan namelijk al jaren, en als jij zo slim bent omdat lekker niet te doen moet je dan zelf maar weten, als vervolgens je geld gepikt wordt moet je niet janken...zucht (bestel wereldwijd) altijd mn extra ww nodig

Perkele @ChAiNsAwII • 21 juni 2016 20:50

Ik heb bij Amazon nog nooit mijn cvc-code of 3D-code in moeten geven, en ik bestel er zowat maandelijks iets.

[Reactie gewijzigd door Perkele op 23 juli 2024 23:57]

Coy @Soldaatje • 18 juni 2016 11:57

Is niet correct, 99,9% procent van de creditcard bedrijven heeft extra beveiliging voor het tegengaan van malafide betalingen.
Visa heeft verified by Visa (Extra code die ingevoerd moet worden voordat betaald kan worden) en veel amerikaanse bedrijven hebben een systeem waar je een aantal cijfers van je social-security nummer moet invoeren.

Het feit dat er credit card gegevens gestolen zijn betekent niet per se dat men er ook aan heeft.

segil @Coy • 18 juni 2016 12:55

Verified by Visa is alleen nodig als de tegenpartij daarom vraagt. Ik heb een Visa kaart en kan vaak genoeg (gelukkig) betalingen doen zonder deze optie. Alleen wanneer de andere partij deze extra controle stap wilt, dan wordt hierom gevraagd.

Verwijderd @segil • 18 juni 2016 15:30

Inderdaad ik heb 3d secure van Mastercard, en eigenlijk wordt die extra controle code alleen gevraagd bij Nederlandse bedrijven. Als ik iets koop bij een winkel buiten Nederland hoef ik deze stap meestal niet te doen.

ArmEagle

@Coy • 19 juni 2016 08:29

Als de CVC data bij het lek zit, zullen andere extra codes daar ook vast bij zitten.

Swerfer @drecaise • 18 juni 2016 11:00

Als het al opgeslagen is, dan verwacht ik minimaal dat het encrypted opgeslagen is en niet terug te herleiden is naar...

KingFox @Swerfer • 20 juni 2016 14:32

Op de meeste websites _verwacht_ je ook dat je wachtwoord minimaal encrypted is opgeslagen, maar helaas is dat in de praktijk vaak anders. Mocht je zelf in de ontwikkelaarsbranche zitten, kom je genoeg gevallen tegen waarbij je schrikt als je de security bekijkt.

Nokian95dude @drecaise • 19 juni 2016 11:55

lijkt me dat zulke gegevens evenals wachtwoorden ge-encrypt op de server staan en liefst nog op een andere. Anders zijn ze wel dom bezig. Zou echt ongelooflijk zijn... Want alsszehet goed hadden gedaan en deze sleutels zowel gescheiden als versteuteld hebben staan hebben de hackers niks aan de gegevens want ze kunnen niks koppelen. Echter vrees ik dat ze niet zo slimzijn geweest. Echt onbegrijpelijk...

Verwijderd 18 juni 2016 09:57

"Acer waarschuwt zijn klanten alvast wel dat mogelijk creditcardgegevens met bijbehorende cvc-codes, namen, adressen en andere persoonlijke gegevens in handen van de hackers zijn gevallen."

Ongelooflijk! Levert dat nog een sanctie op voor 't bedrijf (Acer) dat zo slordig met gegevens omgaat?

xmenno @Verwijderd • 18 juni 2016 10:05

Ik neem aan dat ze er niet "slordig" mee om zijn gegaan.
Om credit card gegevens op te mogen slaan moet je PCI DSS compliant zijn en daar gaat nog best wat werk in zitten.
Of het makkelijk toegankelijk was weet ik ook niet, maar bedrijven uit Taiwan zijn regelmatig slachtoffer van Chinese hackers vanwege het geschilletje met de communisten op het vaste land dat er nog ligt. Dus daar zou juist extra oplettendheid moeten zijn. Maar geen enkel systeem is 100% veilig.

Unimproved @xmenno • 18 juni 2016 10:19

Wie zegt dat ze dat ook deden? Kan dat ze via een externe payment provider werken maar de CC gegevens zelf ook opslaan

repmeer @xmenno • 18 juni 2016 10:52

CVC codes mogen ze niet eens opslaan. Dus dat die wel opgeslagen zijn vind ik behoorlijk slordig.

xmenno @repmeer • 18 juni 2016 11:26

Maar wie zegt dat het door Acer is opgeslagen?
Gezien de periode "12 mei vorig jaar en 28 april dit jaar" kan het ook zijn dat ze denken dat het is onderschept.

triplecore @Verwijderd • 18 juni 2016 10:18

Ga er maar vanuit dat ze beveiliging zo goed mogelijk hadden geconfigureerd. Het is onmogelijk om alles te dichten. Zeker wanneer men met meerdere lagen over de applicatie gaan werken, de complexiteit neemt ook alsmaar toe. Acer heeft hier, zover ik het bericht goed interpreteer, goed gehandeld door het te melden.

xmenno @Verwijderd • 18 juni 2016 10:40

Een boete zou bijvoorbeeld kunnen.

https://en.wikipedia.org/...ry_Data_Security_Standard
" Although the PCI DSS must be implemented by all entities that process, store or transmit cardholder data, formal validation of PCI DSS compliance is not mandatory for all entities. Currently both Visa and MasterCard require merchants and service providers to be validated according to the PCI DSS."

" In the event of a security breach, any compromised entity which was not PCI DSS compliant at the time of breach will be subject to additional card scheme penalties, such as fines."

Jack Flushell

@Verwijderd • 18 juni 2016 10:02

Sanctie. Van wie dan?

Swerfer 18 juni 2016 10:05

offtopic:
Wanneer stoppen we (vooral de Amerikanen) niet eens een keer met die onveilige creditcards?

Pietervs @Swerfer • 18 juni 2016 11:07

[off-topic]
En, wat voor briljant alternatief heb jij dat mensen kunnen gebruiken voor hun aankopen in andere continenten als waar ze zelf wonen? Terug naar bank-overmakingen en bezorging via paard en wagen aangezien dat misschien ook wat minder schade op kan leveren aan de te bezorgen pakketjes?

supersnathan94 @Pietervs • 18 juni 2016 16:30

Nouja. Op z'n minst een tweede partij ertussen die 100% kan garanderen dat niemand er met die gegevens vandoor gaat. Ik snap niet dat de systemen die Apple Pay en Google Pay gebruiken niet groter zijn. Deze systemen garanaderen namelijk dat een klein bedrijf nooit jouw gegevens in handen kan krijgen. Des te kleiner het risico op fraude en misbruik. Betalen door te zeggen "hee ik heb een nummer en nog een ander nummer" is eigenlijk heel raar. Puur gebasseerd op een dergelijk systeem kan je moeilijk zeggen dat het veilig is. Ga je werken met digitale middelen die jou vrij nauwkeurig kunnen identificeren dan is dat per definitie een stuk veiliger. Naast de nummertjes zijn er dan ook nog andere factoren die erg lastig te vervalsen zijn (vingerafdruk, irisscanner en andere biometrische identificatie). Als deze verificatie dan ook nog eens lokaal op een eigen apparaat wordt uitgevoerd (zoals de rabo en ABN scanners) dan is het geheel zo goed als onkraakbaar.

ChAiNsAwII @supersnathan94 • 20 juni 2016 10:01

Apple en google hoefen geen bank te spelen imo, ze hebben al te veel in de melk te brokkelen gaan ze nu zeker al het betaalverkeer regelen, na dank u..

supersnathan94 @ChAiNsAwII • 20 juni 2016 12:02

Ik heb liever 1 grote instantie die het verkeer 100% veilig en niet anoniem afhandeld dan 15 kleinere die dat "iets meer anoniem, maar net niet anoniem genoeg" doen. Dan krijg je dus dit soort gezeik.

Een winkelier hoeft niet te weten wie er afrekent, met welk betaalmiddel, rekeningnummer en pin-/cvc code. Die hoeft alleen te weten dat er daadwerkelijk betaald is.

ChAiNsAwII @supersnathan94 • 21 juni 2016 15:19

Nee een winkelier hoeft dat niet te weten nee, maar google of apple wel?...

supersnathan94 @ChAiNsAwII • 21 juni 2016 15:52

Die weten het toch al. Als je een creditcard hebt is de kans erg klein dat je met iTunes gift cards of Goolge bonnen gaat zitten klooien. Gewoon CC in je account koppelen en klaar. Google en Apple geven mij tenminste de garantie dat zij de enige zijn die erbij kunnen (als ze er überhaupt wel zo bij kunnen). Mocht het dan een keer fout gaan hebben we ook direct slechts 1 iemand om aan te klagen en niet 3 kleine bedrijven.

dakathefox @Pietervs • 18 juni 2016 11:39

Ooit gehoord van PayPal? Zeker met tweetraps-authenticatie geactiveerd is PayPal gewoon een veilig betaalmiddel.

Neemt niet weg dat ik PayPal een boevenclub vind, maar dat is een hele andere discussie. Ook de Rabobank vind ik een boevenclub.

Pietervs @dakathefox • 18 juni 2016 12:16

Per definitie zijn alle financiele instellingen boevenclubs: jij zal nooit beter worden van hun transacties met jouw geld, tenminste niet zoveel als zij erop vooruit gaan

Maar om Paypal nu als zoveel veiliger te bestempelen... Eerlijk gezegd heb ik meer vertrouwen in de "gevestigde orde". Hoewel ik wel een Paypal rekening heb. Maar hoe ga je de tolwegen in Frankrijk daarmee betalen, bijvoorbeeld? Of de benzine voor je auto?

Ieder boevensysteem heeft zijn eigen voor- en nadelen, ik vind het te kort door de bocht om te roepen dat creditcards maar afgeschaft moeten worden...

field33P @Swerfer • 18 juni 2016 10:36

Creditcards zijn niet schokkend veel onveiliger dan andere online betaalmethoden, sinds de introductie van chip&pin, de CVC-code en een hele berg aan veiligheidsmaatregelen (en als het een keer fout gaat wordt de schade vaak vergoed)

avdongen

@field33P • 18 juni 2016 15:20

Jouw onterecht afgeschreven bedrag wordt teruggeboekt, maar uiteindelijk betaalt de klant wel de rekening. Of anders gezegd, het komt uit een fraudepot waar de klanten eerst geld hebben ingelegd. Zou het 100% veilig zijn dan zou (in theorie) de prijs van de CC omlaag kunnen.

Daarnaast is het me wel eens opgevallen dat bij internetbetalingen soms eerst om CC-nummer en CVCcode gevraagd wordt, en vervolgens nog om een elektronische ondertekening met chip en paslezer. Op zo'n moment valt de extra security van de CVCcode in het niet bij de elektronische ondertekening. Zouden ze die CVC in dit geval achterwege laten, dan kan die ook niet in verkeerde handen vallen.

Verwijderd @avdongen • 18 juni 2016 22:40

Alsof het niks kost om iets "100%" veilig te maken en CC maatschappijen nooit kosten-baten analyses maken. Een van de sterke punten van de credit card is de eenvoud. Met de opkomst van allerlei alternatieve betalingsmethoden, moeten ze ook erg goed uitkijken extra beveiligingsmaatregelen in te voeren die de gebruiksvriendelijkheid vermindert en klanten wegjaagt.

ArmEagle

@field33P • 19 juni 2016 08:33

Creditcards kunnen meer beveiliging hebben ja. Maar zolang je op sommige plekken met zelfs een handtekening nog gewoon kan betalen, is het natuurlijk zo lek als een mandje.

ChAiNsAwII @ArmEagle • 21 juni 2016 15:20

Je moet die creditcard dan ook niet op de grond in je straat bewaren...

The Zep Man

Netwerk en systeembeheer
Hackers

@Swerfer • 18 juni 2016 10:38

Wanneer stoppen we (vooral de Amerikanen) niet eens een keer met die onveilige creditcards?

Je krijgt gegarandeert je geld terug. Wat is het probleem?

De vraag is: wanneer gaan bedrijven beseffen dat persoonlijke (betaal)gegevens behandeld moeten worden als giftige afvalstoffen? Gebruik het tot zover nodig, en niet verder.

Bijvoorbeeld: al moet je CC gegevens opslaan, doe dat in een backend die vanaf de winkelomgeving enkel eenrichtingsverkeer van de informatiestroom accepteert. Betalingen worden verwerkt via een payment provider, en die hoeft echt niet vanuit hetzelfde domein aangesproken te worden als de publiekelijke voorkant van een webshop.

Vexxon @The Zep Man • 18 juni 2016 11:09

Ja, je krijgt je geld terug maar het moet eerst geconstateerd en afgehandeld worden en dat is een allerminst fijn proces. Ik nog nog zo goed verzekerd zijn tegen diefstal, inbraak of brand het is nog steeds niet wanneer er bij je ingebroken wordt of je huis afbrandt.
Creditcards gebben vooralsnog vooral een groot voordeel voor de geldverstrekkers, namelijk een dikke rente op je schuld en zodra je iets betaald met je creditcard is dat het in principe ook. Terwijl een spaarrekening helemaal niets meer oplevert.

The Zep Man

Netwerk en systeembeheer
Hackers

@Vexxon • 18 juni 2016 11:39

Ja, je krijgt je geld terug maar het moet eerst geconstateerd en afgehandeld worden en dat is een allerminst fijn proces.

Meerdere malen meegemaakt voor kredietkaarten. Dat valt hartstikke mee. Vaak herkent de maatschappij al een verkeerd uitgavenpatroon en zoeken ze zelf contact op.

Creditcards gebben vooralsnog vooral een groot voordeel voor de geldverstrekkers, namelijk een dikke rente op je schuld en zodra je iets betaald met je creditcard is dat het in principe ook. Terwijl een spaarrekening helemaal niets meer oplevert.

Oh, commerciële bedrijven zijn uit op winst. Wat erg!

Gewoon maandelijks (automatisch) aflossen. Dan betaal je 0 rente.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 23:57]

Vexxon @The Zep Man • 18 juni 2016 11:48

Het valt wellicht mee, maar voorkomen is beter dan genezen. Ik heb gewoon liever niet dat mijn geld gestolen wordt, blijkbaar heb jij minder problemen mee. Een dergelijke instantie zou de indruk moeten wekken dat zij dat in ieder geval wel heel belangrijk vinden.

Winst maken heb ik geen problemen mee hoor, zolang een bedrijf mij een waardevolle dienst aanbiedt betaal ik daar maar al te graag voor. Maar de beveiliging bij creditcards is duidelijk minder dan bij andere betaalsystemen. De reden dat die instanties dit toch blijven ondersteunen is om meer winst te maken en niet voor de consument en daar heb ik wat op tegen. Mag dat? Dank je.

[Reactie gewijzigd door Vexxon op 23 juli 2024 23:57]

ChAiNsAwII @Vexxon • 20 juni 2016 09:59

Je dient je rekening van je CC dan ook op tijd te voldoen, dan heb je geen rente...

arnovos @The Zep Man • 18 juni 2016 14:58

Die maatregelen neem je alleen wanneer jij als winkelier een financieël risico loopt bij problemen met de opgeslagen gegevens. Zolang consumenten hun geld toch wel terugkrijgen van de creditcardmaatschappijen, is de noodzaak er voor jou als winkelier niet om zware c.q. dure beveiliging te bouwen. Jouw financiële aansprakelijkheidsrisico als winkelier is immers kleiner en minder frequent dan de kosten van die beveiliging. En het regelmatige onderhoud en auditen van die beveiliging.

Dorhout 18 juni 2016 09:49

Wel goed dat ze de klanten informeren dat er een risico bestaat dat hun gegevens zijn ontvreemd. Ik mis alleen de datum waarop het gebeurde. Acer is verplicht om de klanten zo snel mogelijk op de hoogte te stellen nadat gemerkt is dat er ongeautoriseerde toegang is geweest. Dat valt niet op te maken uit de berichtgeving.

dakathefox @Dorhout • 18 juni 2016 09:59

Inderdaad, positief dat ze het in ieder geval melden. Een groot deel van dit soort veiligheidslekken wordt namelijk niet gemeld heb ik gemerkt. Gisteren ben ik ook nog een lek tegengekomen waarmee ik bij tenminste 50 verschillende sites toegang kan verkrijgen op de database. De ontwikkelaar reageerde wat tammetjes, want wat voor bijzonders stond er nou in de database? Ja, wat namen en omzet, maar zo erg is dat toch niet? Knuppel.

Daniel_Elessar @dakathefox • 18 juni 2016 10:15

Dat is wel heel slecht van zo'n beheerder ja. Bedanken om het lek te melden en het zo snel mogelijk dichten. Maakt niet uit wat er op die servers staat.

dakathefox @Daniel_Elessar • 18 juni 2016 10:33

Er kon geen bedankje vanaf trouwens. Direct gaan lopen schreeuwen dat ik er vooral geen misbruik van moet maken.

theBazz @dakathefox • 18 juni 2016 10:39

Kun je dit niet (eventueel anoniem) melden bij de autoriteit persoonsgegevens?

repmeer @theBazz • 18 juni 2016 10:47

Volgens mij alleen als je zelf betrokkende/gedupeerde bent.

dakathefox @repmeer • 18 juni 2016 11:36

Ook als niet-gedupeerde mag je gewoon een melding maken bij de Autoriteit Persoonsgegevens.

dakathefox @theBazz • 18 juni 2016 11:36

Ik wijs de betrokkene altijd op de wettelijke verplichting om het zelf te melden. Dan kom je er vaak nog vanaf met een waarschuwing. Als het niet adequaat genoeg opgepakt wordt, kan ik in theorie de melding zelf doen bij de Autoriteit Persoonsgegevens. Gelukkig is nooit zover gekomen.

arnovos @Dorhout • 18 juni 2016 10:36

Volgens de brief die Acer schreef geldt dit voor alle klanten in de periode tussen 12 mei 2015 en 28 april 2016.

Verwijderd 18 juni 2016 12:22

Altijd het zelfde liedje, creditcard gegevens buit gemaakt. Betaal gewoon met Paypal of wat voor service dan ook..Laat die creditcard maatschappijen eens met een oplossing komen met hun woeker rentes en belachelijke commissies.

ChAiNsAwII @Verwijderd • 20 juni 2016 10:02

Paypal is niks anders dan je credit card gekoppeld met een emailadres..

jerkitout @ChAiNsAwII • 20 juni 2016 16:49

Maar mijn PayPal wachtwoord word niet naar de bedrijf verstuurd

ChAiNsAwII @jerkitout • 21 juni 2016 15:28

Mn cc ww ook niet, zodra je wil betalen en je ww nodig wordt je naar de portal van je cc geleid...nee dat zou wat zijn als jeje ww bij de site zelf moest invullen.

LogiForce 19 juni 2016 03:19

Het is toch triest dat ik de dag nog mag meemaken dat zelfs Tweakers het verschil niet meer weet tussen een hacker en een cracker.
Kom op jongens... het is sloten kraken en niet hakken. Het is net zo met website beveiliging, die kraak je ook ("to crack open a lock/security measure")

analfabeet 19 juni 2016 08:57

Gerucht: Russen zitten achter aanslagen 9/11.

Gerucht: Russen backten Hitler.

Really? Propagandamachine draait weer op volle toeren?

ChAiNsAwII 20 juni 2016 10:04

Rusland zeker, hackers van putin of nee wacht was t noord koreadeze keer vanaf een van de 10 ip adressen die ze daar hebben.

Saven 18 juni 2016 09:42

De shop ziet er dan ook nog uit alsof het in 2004 is ontwikkeld

Mizgala28 @Saven • 18 juni 2016 10:20

2004 is wel erg overdreven, eerder 2010 maar ook daar is niks mee (daarnaast hebben ze een vrij moderne mobiele website blijkbaar).

_Arjen_ @Saven • 18 juni 2016 10:45

Uiterlijk zegt niets over de achterliggende techniek

_Arjen_ @dakka • 18 juni 2016 19:33

Dus een flitsende site is volgens jouw redenatie veiliger?
Het gaat hier om de beveiliging van de server en het gebruikte pakket. Niet om het uiterlijk, dat zegt nl niks.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: