×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Meer dan duizend hotels InterContinental-groep getroffen door malware'

Door , 24 reacties

Onderzoeksjournalist Brian Krebs meldt dat uit recente gegevens blijkt dat meer dan duizend Amerikaanse hotels van de Britse InterContinental Hotels Group, IHG, zijn getroffen door malware. In eerste instantie meldde de organisatie dat het om een klein aantal hotels ging.

Krebs schrijft dat IHG in februari nog meldde dat het ging om 'een dozijn hotels'. De omvang van de malware-infectie blijkt nu groter. Dat leidt Krebs af uit gegevens die voortkomen uit een tool die door IHG is gepubliceerd. Daarmee kunnen klanten controleren welke hotels per Amerikaanse stad getroffen zijn door de malware. Omdat de tool nog geüpdatet wordt met nieuwe gegevens, is het mogelijk dat het aantal getroffen hotels groter is dan duizend, aldus Krebs.

In een waarschuwing schrijft IHG dat malware is ontdekt die bedoeld was om creditcardgegevens te stelen via het betaalpunt bij de receptie. De kwaadaardige software zou gegevens als het kaartnummer, de vervaldatum en de beveiligingscode hebben onderschept. Volgens IHG gebeurde dit tussen 29 september en 29 december van vorig jaar, maar de malware was pas opgeschoond in februari of maart van dit jaar.

Betaalpunten die waren voorzien point-to-point-encryptie waren niet getroffen. Krebs betwijfelt dat veel hotels hiervan gebruikmaakten voor het incident. IHG noemt verder dat er 'patronen van ongeautoriseerde betalingen plaatsvonden op kaarten die rechtmatig waren gebruikt' in zijn hotels.

Krebs meldt dat criminelen in de afgelopen jaren vaker grote hotelketens hebben besmet met malware. Vaak gebeurt dit via een hack op een systeem dat beheer op afstand mogelijk maakt. Op die manier is het mogelijk om betaalgegevens te onderscheppen, die vervolgens aan anderen doorverkocht kunnen worden, bijvoorbeeld om betaalkaarten te 'klonen' en daarmee aankopen te doen.

In 2016 werden Hyatt-hotels getroffen door malware, waaronder twee Nederlandse hotels. In het huidige geval lijkt de infectie zich te beperken tot de VS en Puerto Rico. IHG heeft een aantal merken in zijn bezit, waaronder InterContinental, Holiday Inn, Crowne Plaza en Hotel Indigo.

Door Sander van Voorst

Nieuwsredacteur

19-04-2017 • 10:28

24 Linkedin Google+

Reacties (24)

Wijzig sortering
De kwaadaardige software zou gegevens als het kaartnummer, de vervaldatum en de beveiligingscode hebben onderschept.
Wordt de CVC code ook digitaal meegestuurd als je bij een POS terminal je kaart gebruikt?

De CVC code is toch puur ontwikkeld om het "afkijken" van het creditcardnummer en de expiry date te voorkomen (vandaar dat deze op de achterkant stata). Iemand die daar meer over kan vertellen?
Ik monteer dagelijks automaten, en kan je garanderen dat er geen kaartgegevens worden verstuurd naar een POS. De doodsimpele reden is dat een pos niks te maken heeft met jouw gegevens, maar enkel hoeft te weten of de transactie akkoord is.

Dat is ook het enige wat een automaat doorgeeft. Of een transactie akkoord is, afgebroken, afgekeurd of foutief pin.

Waarschijnlijk hebben ze een database gehad waarin dit opgeslagen werd. Via de website vermoed ik. Maar uit de pin automaten komt dit niet.
Heb toevallig een keer de POS in de kantine getroubleshoot bij gebrek aan een specifieke engineer. Hoe ik dit zelf geobserveerd heb is dat de benodigde gegevens inderdaad niet op het POS aan komen maar via een losse internet server bij de payment provider verlopen. Malware kan dit dus inderdaad niet lokaal op de POS uitlezen, wat wel kan is het uitlezen van het dataverkeer van het pinapparaat als deze niet over een sterke encryptie beschikt. Tenslotte zitten deze devices vaak op het zelfde netwerk, ik vermoed dan ook dat iets vergelijkbaars hier is gebeurd.
Ik weet niet hoe het bij hun geregeld is. Maar waar ik over de vloer kom, zitten pins en kassa's altijd op een gescheiden vlan.
Wij hebben het nog makkelijker geregeld, de pin en kassa zitten op hun eigen 4G router en komen dus helemaal niet fysiek in contact met de netwerkomgeving.
Jullie vergeten het endpoint. De pin terminal kan ook gewoon gehacked zijn. Is lastig maar niet onmogelijk. Stop er een aangepaste EMV kaart in klaar...
Je vergeet nog even dat meeste hotels een kopietje maken van je creditkaart. Misschien had deze keten een slechte procedure om dat in een database te plaatsen.
Dat koppietje maken van de credt card is imiddels al electronisch. Het is ook geen slechte procedure maar volkomen legaal en normaal. Zowel in de EU als de VS is het normaal dat bij inchecken je creditcard gegevebns in de computer gezet worden. In de VS is het vaak niet eens mogelijk (zonder veel moeite te doen) een kamer te krijgen zonder credit card.

Dat is niet slecht overigens, maar niet anders dan dat als jij bij een restaurant de rekening betaald, men niet opnieuw je kaart nodig heft om de fooi erbij te kunnen doen. Of dat je kunt uitchecken bij het hotel zonder aan de balie te verschijnen, etc.

Als de kassa systemen van een hotel gehacked zijn maakt dat immers ook niet uit, want of je nu één keer, of gedurende je gehele verblijf de data opgeslagen is maakt niet heel veel uit. Alleen end-to-end encryptie helpt dan, hetgeen ook verklaard dat die terminals niet getroffen zijn.
het kopietje is electronisch, maar helaas weet ik uit ervaring dat de data zelf (nummer, naam, vervaldatum) toch echt wel eens op plekken neergezet worden waar ze niet horen.
De POS moet toch jouw pincode (deze wordt in de keypad ge-encrypt) en kaartgegevens naar de bank sturen (encypted), anders kan de bank niks approven, want anders weten ze niet welke kaarthouder zich aan de POS bevindt. Of redeneer ik dan niet goed?
Nee, de pin automaat controleert jouw pincode, niet jouw pos. Een pin automaat is een vak apart en vrij prijzig door alle beveiligingen die erin zitten. Op een kassa staat software wat het alleen maar kwetsbaar zou maken. Daar zou geen enkele bank ooit mee akkoord gaan.

Er zit meestal een ECR koppeling tussen, soms via IP. ERC kabel gaat via een compoort en ontvangt dus alleen antwoorden van de automaat over de status van jouw betaling, meer niet. Zelfde geld voor over IP. Dus geen pincodes, rekeningnummers, Marchant codes of iets anders worden verwerkt of opgeslagen op de kassa.
Sorry, met POS bedoelde ik de pinpad, niet de POS zelf. My bad. Dan nog steeds wordt je PIN code bij de bank geverifeerd, niet in de pinpad.

Wat de CVC code zoals in het verhaal hierboven er dan precies in doet snap ik dan nog steeds niet helemaal. Die wordt volgens mij bij PIN transacties helemaal niet gebruikt.

[Reactie gewijzigd door Spacecowboy op 19 april 2017 18:07]

Inderdaad, het is weer de klassieke truc van halve informatie geven.

Eerdere hacks, denk aan target, verwezen ook allemaal naar de POS dus dat is safe, dan zijn ze niet de enige. Toegeven dat ook de software er achter gehacked is of dat hun netwerk op andere plekken is geinfiltreerd wilt men natuurlijk niet en altijd weer denkt men dat het dan beter is om dingen te verzwijgen ipv gewoon openheid te geven.

Als ze het nu eens zouden leren: tijdig communiceren en transparant zijn is het halve werk als het gaat om een data breach op te lossen.

[Reactie gewijzigd door Dasprive op 19 april 2017 12:47]

In het originele stuk praten ze over debet en creditcards, niet uitsluitend creditcards.
De debet card(s) in kwestie zullen dan die van de American Express group zijn, dat zijn eigenlijk de enige grote internationale in omloop bij mijn weten. (qua gebruik zijn ze grofweg identiek aan credit cards overigens)
Eh, Nederlanse pin passen zijn ook debet cards.
Dat klopt, maar ik weet niet of dié ook bij deze Amerikaanse hotels gebruikt kunnen worden?
Die hebben toch ook een CVC code?
Denk eerder dat de PIN code wordt bedoeld.
De CVC code is toch puur ontwikkeld om het "afkijken" van het creditcardnummer en de expiry date te voorkomen (vandaar dat deze op de achterkant stata). Iemand die daar meer over kan vertellen?

De CVC code is enkel voor 'card not present' aankopen zoals die online. Bij hotel inchecken wordt die normaal niet gebruikt. Verder is het opslaan van de CVC en aanverwante codes zoals CVV bij andere kaartbedrijven niet toegestaan en krijg je geen PCI licentie als je het wel doen.

Waar Krebs naar verwijst is een andere code die op de magneetstrip staat. Deze is juist bedoeld om te bewijzen dat jij echt een kaart bezit en niet bijvoorbeeld iemands creditcard nummer etc afgelezen hebt, of van een online database gedownload hebt.

Dit was vroeger een best goede beveiliging, want zo kon online gekaapte data niet gebruikt worden om echte kaarten te maken, en juist geskimde data niet gebruikt worden om online te shoppen. Maar anno 2017 nu hackers domweg de terminal zelf hacken, werkt dat niet meer. Ook is een kaart mangneetstrip kopieren ook kinderspel waar dat heel vroeger nog best wel eens mddner geavanceerde crimninelen tegen hield.

Vandaar ook dat de wereld overgegaan is op de chip al dan niet met pin-code. In de VS is die omschakeling echter wat trager om gang gekomen. Meeste retail bedrijven zijn inmiddels al om, maar tankstations en hotels bijvoorbeeld nog niet. Vandaar dus deze hack.
In het huidige geval lijkt de infectie zich te beperken tot de VS en Puerto Rico.
Komt denk ik mede ook door dat wij in europa veelal EMV gebruiken, waarin de V.S. het gigantisch langzaam op gang kwam. (geen idee of dit wat uitmaakt hoor)
Dat verschil tussen chip en magneetstrip komt wel heel vaak naar boven in de stukken van Krebs maar ook een Europese pas heeft de magneetstrip(+data) en kan dus ook gekloond worden het verschil zit hem er meer in dat Europese POS systemen de data van de chip lezen waardoor gekloonde (magneetstrip) kaarten niet werken en buitenlandse betalingen zijn te vaak geblokkeerd,
zelfs in de US proberen "carders" informatie uit dezelfde regio te kopen waar de kaart gebruikt wordt zodat de desbetreffende kaart niet snel geblokkeerd word maar ondanks EMV worden Europese kaarten nog steeds geskimmed en doorgestuurd naar landen zoals Puerto Rico en de VS waar magneetstrips nog steeds gebruikt worden.

Bij de meeste NL'se banken staan betalingen buiten Europa standaard uit waardoor het skimmen flink verminderd is maar als je dus met je NL pas naar de VS gaat kun je dus gewoon geskimmed worden ondanks EMV.
Backwards compatibility....

Vandaar dat er op de site van Krebs regelmatig wordt aangeraden om een aparte vakantie rekening te openen en deze te sluiten bij terugkomst.

[Reactie gewijzigd door the-dark-force op 19 april 2017 11:52]

Vandaar dat er op de site van Krebs regelmatig wordt aangeraden om een aparte vakantie rekening te openen en deze te sluiten bij terugkomst.

Misschien door reageerders, maar niet door Krebs zelf. Reageerders daar suggeren ook andere onzin zoals dat het beter is om credit cards te verlaten en cash te gebruiken. Of dat bankpassen veuiliger zijn dan credit cards.

Dat zijn echter adviezen die 180 graden ingaan tegen het advies van Krebs zelf. Immers die stelt terrecht dat - zeker in de VS - credit cards de meest veilige betaalmiddelen zijn. Het hacken is immers niet gerelateerd aan het soort pas, maar ook je debit-card (bankpas/"pin pas") of charge card (AMEV) kan ook gehacked worden. En ATM skimmers zijn een reeel gevaar.

Echter wanneer je bankpas getroffen wordt (al dan niet omdat je bij de ATM geskimmed was), zijn de gevolgen veel groter en juridische dekking minder. Zeker in de VS waar volgens de wet je maar iets van maximaal 45 dollar eigen risico hebt vaak door de banken tot $0 gereduceerd, is de credit card verrwweg de beste keuze. Maar ook in Nederland, waar de Nederlandse wetgever expliciet een "eigen risico" bij bankpas skimmen wilde, en banken ook daarvoor zelden 100% vergoeden, is de credit card het meest veilige betaalmiddel.

Brian Krebs stelt het ook in dit artikel wederom: "Also, consider using credit cards instead of debit cards; having your checking account emptied of cash while your bank sorts out the situation can be a hassle and lead to secondary problems (bounced checks, for instance)."
Afgelopen zomer in de VS rondgereden en veel hotels gezien.
Het viel mij al op dat ze vaak alleen swipen en geen authenticatie doen.
Twee maand later belde Mastercard dat er fraude in de VS werd gepleegd en dat de klaart geblokkeerd was en dat ik een nieuwe kon halen bij mijn bank.
Het is een risico (geen chip of andere verificatie) dat Mastercard neemt en schijnbaar kunnen ze het risico dragen.
De imago schade is alleen voor de hotels. Dit lijkt me terecht als ze goedkope terminals blijven gebruiken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*