Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties

Amazon stelt dat het geen datalek heeft vastgesteld in een database van Kindle-gebruikers. Onlangs claimde een hacker dat hij de gegevens van 80.000 gebruikers in handen had gekregen en bood deze op internet aan.

AmazonTegenover The Register stelt Amazon dat de uitgelekte gegevens niet afkomstig zijn van een van zijn eigen servers. Bovendien zou het bij de gegevens niet gaan om echte accounts van Amazon-klanten. Het is onduidelijk wat de herkomst van de gegevens is, het bedrijf geeft daar geen aanvullende informatie over.

De uitgelekte database was vorige week onderzocht door het bedrijf Hacked-DB, dat concludeerde dat de gegevens echt zijn en niet eerder online zijn verschenen, zo liet Hackread weten. Het zou bij de gegevens gaan om e-mailadressen, gehashte wachtwoorden en debug-informatie. De hacker zou deze informatie eerst aan Amazon hebben aangeboden voor een bedrag van 700 dollar, maar het bedrijf reageerde niet op dit aanbod. Toen besloot hij de informatie openbaar te maken.

Moderatie-faq Wijzig weergave

Reacties (29)

Stel dat dit wel echt was, dan heeft Amazon dus voor $700,- gespeeld met de gegevens van 80000 gebruikers, vind ik nogal een risico.

Even een aanvulling, als ik het lees op https://www.hackread.com/amazon-suffers-security-breach/ dan lijkt het dus wel op daadwerkelijke klantdata.

Bovendien is het voorkomen van reputatieschade (is mijn data wel veilig bij Amazon) een stuk meer waard dan die $700,-

[Reactie gewijzigd door kevin33 op 11 juli 2016 11:52]

Stel dat het niet echt is, en nog eens 1000 mensen doen hetzelfde door ook zo'n database aan te bieden (bluffen). Dan zit je al op 700.000 dollar.

[Reactie gewijzigd door badnews.nl op 11 juli 2016 11:47]

ik denk dat je beter die 700 gewoon beter kan betalen met het risico dat ze je bedonderen dan dat je helemaal niks doet en nu gaat ontkennen. die 700 kunnen ze wel missen en als ze daarna gaan bluffen weet je wel hoelaat het is. nu geeft het mij het beeld dat ze het niet serieus namen en geen idee hebben eigenlijk hoe die data de wereld is in gekomen.
En dan betaal je die 700 en komt de hacker terug en vraagt deze om nog eens 7000 extra. Betaal je die 7000 staat de db een uur later alsnog online. Handel drijven met een crimineel is altijd een slecht idee.
Het punt is niet alleen dat het versprijt kan worden maar vooral of de gegevens correct zijn. Dat heb je u niet kunnen nagaan. Het is natuurlijk nooit goed om te doen maar door nu te zeggen dat de gegevens niet van hun komen terwijl ze eerder helemaal geen reactie hebben gegeven vind ik behoorlijk slecht. Als de gegevens echt van hun zijn hebben ze dus een beveiligings gat (gehad) en dat ontkennen ze gewoon. Ik vind dat ze er dan veel transparanter in moeten zijn. Ik kan er ook niet uit halen of die 700 euro staat voor het exclusief ontvangen van de lijst of voorkomen van verspreiden. Hierdoor kan je er anders in gaan
Overigens zijn Amerikaanse bedrijven verplicht om dergelijke leaks te publiceren en doen ze dit doorgaans ook, zeker de grote spelers.
Nee, want zo beloon je criminaliteit. Toegeven aan alle vormen van afpersing zou verboden moeten zijn, inclusief het betalen van losgeld voor personen of data.
Ligt denk wel een beetje aan de situatie, gezien de ontwikkelingen van IS.
Nu in het geval van Amazon is het altijd twijfelachtig of de gestolen data valide is. Het beveiligingsbedrijf dat claimt dat de gegevens echt zijn had dit wel mogen delen met Amazon zodat zij zelf ook konden vaststellen dat er iets is gestolen uit de data. Maar nee, Amazon speelt het niet transparant en zegt dat er niks is gestolen. De waarheid zal wel ergens in het midden liggen.

Maar terugkomend op dat toegeven aan afpersing verboden moet worden (off topic). Wanneer een familielid van jou wordt gekidnapt en er wordt losgeld gevraagd, speel dan niet de moraalridder dat je naar de politie stapt. Je zit niet in een film ofzo.
Nee, en juist daarom moet het algemeen verboden zijn. Juist omdat als je zelf in die situatie komt, je de keus niet goed kan maken.
Als hij de gegevens echt in bezit heeft kan hij deze natuurlijk gewoon aan Amazon sturen als bewijs. Daar verliest hij niets mee. Als Amazon hem zou betalen is dat namelijk gewoon zwijggeld. De gegevens zelf zijn voor Amazon niet zoveel waard (ze hebben ze immers al). Het stelt ze hooguit in staat om gebruikers gericht te informeren.
Moet je dan maar voor elke hack(er) $700,- neerleggen, ook al is er geen aanwijzing dat de server gehackt is?
Straks volgen er meer, die elk 'gewoon' een database-bestand aanmaken, en claimen dat dit van een (gehackte) server afkomt.

Goed dus dat Amazon hier niet in mee gaat.
Straks volgen er meer, die elk 'gewoon' een database-bestand aanmaken, en claimen dat dit van een (gehackte) server afkomt.
Dat is best wel een reŽel scenario. Immers een belangrijke eigenschap van criminelen is dat het ze met de waarheid niet al te nauw nemen. Snel, gemakkelijk geld verdienen, daar gaat het hun om.
Je kan de hacker om 1000 van de 80000 gegevens vragen, als bewijs.
Wellicht dat ze hebben gecontroleerd of deze gebruikersdata bij hen vandaan komt? Lijkt me inderdaad sterk dat ze zo'n risico nemen... Dan alsnog moeten ze erg zeker van hun zaak zijn :P
Mjah. Maar moet je je dan door elke scriptkiddie maar laten chanteren voor wat kleingeld? Dat gaat dan ook flink in de papieren lopen. En ik neem aan dat Amazon daar wel een team serieuze specialisten naar heeft laten kijken en daar een meer dan weloverwogen risico analyse van heeft laten maken alvorens tegen hacker te zeggen dat ie niks krijgt.

Edit: taalvoutuh

[Reactie gewijzigd door UptownWings op 11 juli 2016 11:49]

wij (startup) krijgen dagelijks meldingen van mensen die een bug in onze website of beveiliging zeggen te hebben gevonden. En ze willen allemaal eerst tussen de $500 en $1500 en daarna zullen ze, zeggen ze, de gevonden bug melden. Dit gebeurd massaal, en je kan gewoon niet ingaan op dit soort oplichters.
Los van het aantal mensen wat zal claimen dat ze de database gehacked hebben, lijkt mij gewoon als algemene instelling om geen zaken te doen met criminelen een best goed idee.
Niet helemaal.

Ik heb nl gisteren ingebroken bij jou thuis (je ziet er niets van, maar het is echt waar) en foto's gemaakt van je poŽzie albums. Als je niet wil dat ik deze online verkoop/publiceer dan moet je even §50 overmaken. Doe je dat niet dan weet straks de hele wereld welke plaatjes je oma erbij heeft geplakt.

Amazon kan niet ingaan op elk verzoek. Er blijkt niet uit het verhaal of ze wel een sample hebben ingezien en vinden/dachten-dat het niet om echte informatie gaat, of dat ze het volledig hebben genegeerd. Er blijkt ook niet of de heer/dame zich aan het goede loket heeft gemeld of dat hij simpelweg support@amazon.com heeft gemailt met deze mededeling.
ja joh, vooral betalen zodat mensen in de toekomst nog vaker gaan afpersen... Als niemand betaald is er voor deze zieke personen ook niets meer mee te verdienen..
En hacked-DB kan nooit met 100% zekerheid aangeven dat het hier om echte amazon data gaat zonder dat ze de originele data van amazon hebben (en dus ook de gebruikte hashing methode kennen)..
Ik denk dat Amazon ook niet zo snel zal toegeven dat dit zo is. Vooral een bedrijf met zo'n reputatie, mocht het waar zijn dan ligt het gelijk onder vuur.
Ook al geven ze het toe, en geven ze aan dat het lek gelijk aangepast is.

Voor amazon is er op dit moment geen "win win" situatie. Ze zijn hoe dan ook de lul:

1.) Ze zeggen dat het valse informatie is, weinig mensen geloven het.
2.) Ze zeggen dat het klopt, de veiligheid van het systeem krijg een aardige klap


Overigens! Of het inderdaad kloppende informatie was of niet, dat durf ik niet te zeggen. Het is voor Amazon best handig om 1 van de 2 opties te gebruiken

[Reactie gewijzigd door corset op 11 juli 2016 11:48]

Denk dat je dit niet wil gaan ontkennen met de datalek wetten van tegenwoordig. Helamaal Amazon niet.
Daar heb je ook een punt :) Nog niet bij stil gestaan eigenlijk.
Uit het artikel can Hackread begrijp ik dat het gaat om een log uit de begintijd van de Kindle. De Kindle is inmiddels 9 jaar oud. Wellicht heeft Amazon vastgesteld dat die ca. 9 jaar oude data inmiddels niet meer bruikbaar is. Mogelijk zijn ze ook niet verplicht zo'n oud lek te melden.
Amazon heeft het vertrouwen van zijn klanten nodig. Dat win je niet door met leugens te komen. Als men liegt en het komt later uit dan ben je niet langer betrouwbaar.
Mwoah valt mee hoor, na Snowden zie ik nog genoeg mensen Office 365, Google, Facebook etc. gebruiken.
Zijn bevindingen zijn nooit uitgelicht naar het publiek toe. Alleen mensen die er verstand van en interesse in hebben weten waar hij het over heeft... Of wat hij gedaan heeft... of wie hij is.

Vraag een gemiddelde Amerikaan eens wie Snowden is ;)
Denk je dat nieuws van een hack bij Amazon anders is dan? Denk dat Snowden zijn bevindingen breder in het nieuws zijn uitgemeten dan een DB hack van Amazon zou worden.

Imho natuurlijk.
http://www.nu.nl/tag/edward%20snowden
http://www.nu.nl/tag/Datalek


Zet ze eens naast elkaar, welke artikelen hebben een hoger roep gehalte?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True