Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers hadden toegang tot data van 143 miljoen mensen bij kredietbeoordelaar VS

Door , 89 reacties, submitter: soczol

De data van mogelijk 143 miljoen Amerikanen is buitgemaakt bij een hack van de Amerikaanse kredietbeoordelaar Equifax. Dat heeft het bedrijf zelf aangekondigd. Onder de verkregen data zijn naast creditcardnummers ook kentekeninformatie.

De criminelen kwamen binnen via een niet nader genoemde exploit van een applicatie op een Amerikaanse website van het bedrijf, waardoor ze toegang kregen tot de database. Ze hadden toegang vanaf medio mei tot aan juli, toen het bedrijf de hack ontdekte, zegt het bedrijf.

De data die in de database stonden is lang niet alle data die het bedrijf in handen heeft. Equifax beheert data van rond zeshonderd miljoen mensen wereldwijd, terwijl het hier gaat om gegevens van maximaal 143 miljoen mensen. Daarbij gaat het vooral om inwoners van de Verenigde Staten. Van meer dan 200.000 mensen hebben de hackers creditcardgegevens ingezien, van nog eens 189.000 gaat het om andere documenten.

Equifax heeft aangifte gedaan van de hack en stelt klanten via mails op de hoogte. Ook heeft het een website geopend, waarop klanten kunnen checken of hun data in de gehackte database staan.

Door Arnoud Wokke

Redacteur mobile

08-09-2017 • 07:04

89 Linkedin Google+

Submitter: soczol

Reacties (89)

Wijzig sortering
En nu pas geven ze het door? Man, man, man..
Leuke toevoeging van het artikel op NOS:

De datadiefstal vond plaats tussen mei en juli van dit jaar, maar is nu pas bekendgemaakt. Volgens persbureau Bloomberg hebben drie directieleden van Equifax hun aandelen verkocht vlak nadat de hack werd ontdekt.
Leuke toevoeging van het artikel op NOS:
Ik had dat ook gezien, en met reden niet in het artikel hierboven gezet. Uit het artikel van Bloomberg waar NOS zich op baseert.
Three Equifax Inc. senior executives sold shares worth almost $1.8 million in the days after the company discovered a security breach that may have compromised information on about 143 million U.S. consumers.

The trio had not yet been informed of the incident, the company said. The three “sold a small percentage of their Equifax shares,” Ines Gutzmer, a spokeswoman for the Atlanta-based company, said in an emailed statement.
Het zou best kunnen dat het verkopen van kleine stukjes aandelen gebruikelijk is bij topmensen van Equifax. Misschien wilden ze wel iets kopen en hadden ze cash nodig, of ze hadden een bijzonder luxe vakantie geboekt.

Desondanks werp je door het te noemen een schaduw van verdenking over topmensen van het bedrijf heen. De nasmaak die je eraan overhoudt is: ze zijn niet alleen gehackt, ze proberen er privé van te profiteren.

Het zou best kunnen dat die indruk juist is, maar het zou evengoed kunnen dat het niet zo is. Mensen zomaar beschuldigen terwijl er een officiële ontkenning ligt. Dat NOS daarin is meegegaan, is uiteraard hun eigen journalistieke en ethische afweging - maar ik heb het idee dat die redactie over het algemeen een andere keuze zou maken.
Ik begreep dat één van die topmensen die aandelen heeft verkocht de CFO was (chief financial officer). Het zou tamelijk bizar zijn als de CFO niet op de hoogte gesteld zou zijn van een dergelijke hack die ongelofelijk veel consequenties voor het bedrijf heeft, zeker ook financieel.
Mwa, ik denk dat je hier best mag spreken van een verdenking ;) Als het inderdaad 'senior executives' betrof, dan waren zij gewoon op de hoogte van het lek. Sterker nog, als blijkt dat zij op de hoogte waren, en aandelen hebben gedumpt, dan is dat zelfs een misdrijf aangezien Equifax een beursgenoteerd bedrijf is op de NYSE. Handelen met voorkennis wordt niet licht genomen bij onze Amerikaanse vrienden.
Mwa, ik denk dat je hier best mag spreken van een verdenking ;) Als het inderdaad 'senior executives' betrof, dan waren zij gewoon op de hoogte van het lek. Sterker nog, als blijkt dat zij op de hoogte waren, en aandelen hebben gedumpt, dan is dat zelfs een misdrijf aangezien Equifax een beursgenoteerd bedrijf is op de NYSE.
Het is een beursgenoteerd bedrijf, zoals je zegt. Liegen - in dit geval ontkennen dat ze op de hoogte waren van de hack - is dan ook een misdrijf en kan het vertrouwen in het bedrijf ontzettend aantasten. Wat je dan vaak ziet, is dat het bedrijf snel toegeeft dat de topmensen verkeerd hebben gehandeld, waarna ze moeten vertrekken. Dat is hier niet gebeurd. Juist omdat het bedrijf er zoveel belang bij heeft om het toe te geven en toch ontkent, twijfel ik eraan of dit iets met de hack te maken heeft.

Maar de verdachtmaking werkt in elk geval wel, merk ik aan je reactie ;)
Dan betalen ze een boete, veranderen ze van naam en in deze tijd waar iedereen de aandachtspanne van een goudvis heeft zijn de mensen dat al vergeten nadat de week voorbij is want OMG KIM KARDASHIAN HEEFT EEN NIEUWE BIJNA NAAKT SELFIE GEMAAKT!
Maar de verdachtmaking werkt in elk geval wel, merk ik aan je reactie ;)
@Yariva vult het artikel aan met een feit welke in essentie verdacht is aangezien handel met voorkennis niet kan worden uitgesloten, betichten van "verdachtmaking" is ronduit belachelijk en naïef.
Juist omdat het bedrijf er zoveel belang bij heeft om het toe te geven en toch ontkent, twijfel ik eraan of dit iets met de hack te maken heeft.
Het in dit stadium naar buiten brengen van eventuele handel met voorkennis zou nog meer schade aan het bedrijf aanrichten. Door het bekendmaken van het lek is de beurswaarde momenteel al 13% gezakt. We praten dus nu al over een verlies van honderden miljoenen, waarschijnlijk enkele miljarden.

[Reactie gewijzigd door Kenmerkend op 8 september 2017 15:28]

Daar moet aan toegevoegd worden dat het hier gaat om "perjury" ofwel liegen als je bent ingezworen of in een officiële uitspraak. Perjury is een van de zwaarste misdaden die je in Amerika kan begaan. Op federaal niveau staat er al 5 jaar celstraf op, maar daarnaast kan je worden veroordeeld voor allerlei bijkomstige zaken zoals samenzwering. Op staat niveau wordt het veel leuker want in meeste staten heeft het hof "unlimited power", dat wil zeggen dat de strafmaat kan zijn wat het hof beslist. Ze kunnen "foei" zeggen of ze kunnen je miljoen miljard keer levenslang geven. In sommige staten kunnen ze je (gezien de omstandigheden) executeren.

Deze mensen zijn al multi multi multi miljonair, het gaat om een totaal bedrag van 2 miljoen dollar over 3 personen. Dat is een zakcentje voor deze mensen en voor het bedrijf. Voor 1 persoon ging het om 15% van de totaal aandelen en voor de andere twee om 2%, een fractie dus. Nog de juridische dienst van het bedrijf nog de mensen zelf gaan zware straffen riskeren voor een paar ton per persoon.
Dat snap ik. Maar verdenking is tenslotte nog steeds slechts een verdenking. Zelfs al zou het toeval zijn, dan persoonlijk zou ik het nog steeds nieuwswaardig vinden. Zeker als het een lek betreft ter grootte van bijna de halve Amerikaanse populatie. Maargoed, liever iets te weinig speculeren, dan iets te veel.
Toegeven resulteert in handelen met voorkennis, iets wat ook een misdrijf is en het vertrouwen in het bedrijf zou schaden. Dit is de optie waarbij je altijd vol kan blijven houden dat het toeval was, wat mensen ook denken.
Dat weten we. Volgens Equifax waren ze er dus totaal niet van op de hoogte, en je moet het ook in perspectief zien. Het hoogste percentage was 15% van de aandelen in bezit. De koersdip is 13% en zal tijdelijk zijn, dat gaat vanzelf gewoon weer omhoog. Daarnaast zijn die heren al steenrijk. Maar dan zouden ze hier om 0,1% van hun vermogen veilig te stellen tegen een dip in de koers die uiteindelijk weer herstelt, het risico nemen op een gevangenisstraf en hoge boetes? :+ Dat is de keerzijde van ‘t verhaal namelijk. En trouwens, waarom dan maar 15%? :P Alle beetjes helpen, of hoe moet ik dat zien? Het is ‘t risico om te handelen met voorkennis in dit geval niet waard, dus het is best plausibel dat ze het idd niet wisten.

Onthoud ook dat bij grootschalige inbraken vaak éérst alle data wordt verzamelt en hoogstens de CSO op de hoogte wordt gesteld. Dit om te zorgen dat als er een rat is, die het schip niet snel kan verlaten en z’n sporen uitwissen.

Het is dus een verdenking, ja, maar verre van een verdenking met definitieve uitkomst en beide opties zijn plausibel. Ja, ze kunnen met voorkennis gehandeld hebben. Ja, het kan ook zijn dat dat niet het geval is en dat het toeval is; ze kopen en verkopen namelijk wel vaker (eigen) aandelen... Dan is ze nu al beschuldigen gewoon zinloos. De toezichthouder gaat er vast een onderzoekje naar starten.

Ben ‘t eens met Wokke’s redenatie. Een goed besluit om mogelijk loze verdachtmakingen dan maar gewoon weg te laten uit het artikel.

[Reactie gewijzigd door WhatsappHack op 8 september 2017 10:43]

Mwa, ik denk dat je hier best mag spreken van een verdenking
Het is natuurlijk gemakkelijk om dergelijke stellingen te poneren. Iedereen wil je graag geloven want "al die rijken aan de top van de bedrijven zijn natuurlijk per definitie witteboordencriminelen" en "je wordt niet rijk als je eerlijk bent".
Insider trading is verplicht te melden bij de NYSE en wordt publiek gemaakt.
Uit de meldingen kun je zelf opmaken dat er sinds medio mei slechts 9 transacties gebeurden, terwijl er dat het voorbije jaar 67 waren. De cijfers bewijzen je ongelijk.
Kijk of ze daarna opties hebben gekocht.....
Dat is volgens mij handel met voorkennis. Dat kan nog wel eens verkeerd voor ze uitpakken.
Zoals @RVervuurt onder mij ook zegt.. natuurlijk geen voorkennis, dan zouden ze de aandelen enkele dagen vóór de hack verkocht moeten hebben ;) dus nee, dat zal wel meevallen, maar het wel 'malpractice' natuurlijk. Nalatigheid, wanbeleid et cetera.
Nee zo werkt dat niet. Directieleden mogen ook niet zomaar hun aandelen gaan verkopen als ze weten dat er verlies gedraaid wordt maar dit is nog niet aan de markt meegedeeld. Er zijn (ook in de VS) regels voor het handelen in aandelen door directieleden van een bedrijf omdat die altijd meer en eerder over informatie beschikken dan de beleggers.

https://nl.wikipedia.org/wiki/Handel_met_voorkennis

Het moment van de hack is niet bepalend, maar het moment waarop het aan de markt is meegedeeld.
Ja ok, het is malpractice, maar niet direct vóórkennis toch? Tenminste, mijn definitie van voorkennis zou zijn als ze van te voren wisten dat er een hack ophanden was (via chantage bijv) en een week voor de daadwerkelijke hack aandelen massaal zouden verkopen.
Nogmaals: Nee. Jouw definitie van voorkennis is niet die in de beurshandel gebruikt wordt. Het betreft mogelijk koersgevoelige informatie die nog niet publiek is gemaakt. Hierdoor hadden de directieleden kennis van iets waar andere beleggers niet van wisten en dus een oneigenlijk voordeel.

Even een stukje van wikipedia over "Insider Trading" (De engelse term voor wat in nederland handel met voorkennis heet):

"In the United States, Canada, Australia and Germany, for mandatory reporting purposes, corporate insiders are defined as a company's officers, directors and any beneficial owners of more than 10% of a class of the company's equity securities. Trades made by these types of insiders in the company's own stock, based on material non-public information, are considered fraudulent since the insiders are violating the fiduciary duty that they owe to the shareholders."

Het gaat om non-public information die ze gebruikt hebben tijdens de verkoop van hun aandelen.
Dat begreep ik al uit de eerdere reactie ;) mijn definitie klopt dan inderdaad niet. Dank voor de opheldering!
Dit is handel met voor kennis, met de kennis die ze hadden voor dat de rest van de wereld het wist hebben ze verkocht voor de hoge prijs per aandeel. Na het bekend maken van de hack is het aandeel 12% gedaald:
https://www.google.nl/search?q=NYSE:EFX
iets wat te verwachten was met de kennis van een hack.
Jaja nou weet ik het wel :P
Nakennis, zul je bedoelen. Ze verkochten immers nadat het binnen het bedrijf bekend werd.
Maar voordat de andere beleggers het wisten (die zien het waarschijnlijk vandaag pas voor het eerst). Ze gebruikten informatie die alleen bij hen bekend was en niet bij andere beleggers. Dat noemen ze voorkennis.
De voorkennis slaat op het feit dat zij informatie hebben voordat die publiek bekend wordt gemaakt.
In theorie wel. Ze handelden waarschijnlijk op basis van nog niet openbare informatie die een grote invloed op de waarde van het bedrijf kan hebben. Maar ik wil het U.S.A.-hof nog wel eens publiekelijk horen erkennen dat privacy en digitale veiligheid middelen zijn om mee te speculeren en/of te frauderen...

[Reactie gewijzigd door blorf op 8 september 2017 12:09]

Hoezo? Die informatie was toch al openbaar op het moment dat ze de aandelen verkochten?
Wat mij bevreemd is dat er wordt gezegd dat alleen de gegevens van Amerikanen zijn gehacked. Ik neem aan dat nationaliteitsgegevens niet werden vastgelegd door Equifax.

Volgens CNET gaat het om inwoners van de VS, Canada en GB.
https://www.cnet.com/how-...ne-of-143-million-hacked/

[Reactie gewijzigd door niki_lauda op 8 september 2017 07:49]

Mijn gegevens ook zie ik net :( Social security nummber is toch wel vervelend aangezien je die niet zomaar kunt vervangen (credit card gegevens zijn in die zin minder erg). Ben permanent resident, geen Amerikaan.
Oei, ook SSN? Mag je die wel zomaar opslaan op een leesbare manier?
Of je hem leesbaar mag opslaan weet ik niet, maar SSN van de meeste Amerikanen zijn bijna per definitie onveilig te noemen. Zie filmpje van CGP Grey:
https://www.youtube.com/watch?v=Erp8IAUouus
Dat nationaliteit gegevens worden zeker vastgelegd. In het bijzonder van Amerikanen. Zoek maar met google op FATCA in combinatie met een (Nederlandse) banknaam. Grote kans als je je persoonsgegevens moet opgeven bij een bank, dat je moet aangeven of je binnen de Amerikaanse belastingwetgeving valt.
Ja ik ken een aantal banken, waaronder bunq, die geen diensten verlenen als je in de states belastingplichtig bent. Teveel administratieve rompslomp zeggen hun.
Dat klopt, je moet continue alle transacties afgaan. En als iemand toevallig van status verandert moet je transacties in het verleden ook af gaan. Concreet moet je daarvoor een heel processtraat inrichten, criteria opstellen etc. En aan het einde van het jaar moet de directeur ervoor tekenen dat de gegevens die aangeleverd zijn, correct zijn. Wat dus kan betekenen dat hij strafbaar is, als er een mail in zijn mailbox blijkt zitten, waarin staat dat de klanten van kantoor Wormerveer niet altijd achterkant van het formulier hebben ingevuld. De kosten voor de FATCA van banken overstijgen dan ook de belastingopbrengsten.
Waarom neem je aan dat ze dat niet vastleggen?
Voor een bedrijf kan dat best waardevolle informatie zijn...
En wat is er mis met "nu pas"? Wanneer je merkt dat je mogelijks gehacked bent ga je dat niet onmiddelijk aan de grote klok hangen. Dan voer je eerst onderzoek naar hoe het is gebeurd, wat er is gebeurd en welke data getroffen is. Pas daarna kom je naar buiten, pas dan kan je je getroffen klanten inlichten omdat je pas dan kan zeggen wie er getroffen is en welke data er is buitgemaakt.
Lange tijd vrij spel voor de criminelen die de creditcard gegevens hebben.
Jij gaat er vanuit dat men na de ontdekking niets hebben gedaan. Ik mag toch hopen dat zodra de hack ontdekt is, men hier onmiddelijk iets aan heeft gedaan.

Ik ben het eensm et Blokker_1999, er is niets mis met het later uitbrengen van dit nieuws. Beter eerst intern gedegen onderzoek doen om daarna een duidelijk en feitelijke statement te kunnen delen.
Als ik hun website met informatie over de hack zo lees, is dit precies wat ze hebben gedaan.

1. Inbreuk stoppen
2. Extern onderzoek laten doen naar de scope en impact.
3. Zodra dit rond was, communicatie erover.
Why was there a delay between when the incident was discovered and the public was notified?
As soon as Equifax discovered the unauthorized access, Equifax acted immediately to stop the intrusion. The company promptly engaged a leading, independent cybersecurity firm which has been conducting a comprehensive forensic review to determine the scope of the intrusion, including the specific data impacted. Because this incident involves a substantial amount of personal identifying information, the investigation has been complex and time-consuming. As soon as we had enough information to begin notification, we took appropriate steps to do so.
Volgens hun statement waren ze 29 juli op de hoogte van de inbreuk.

[Reactie gewijzigd door gorgi_19 op 10 september 2017 14:03]

Ik zie niets brutaals aan Blokker_1999's reactie, hij stipt gewoone een belangrijk punt aan. En je leeftijd van 69 jaar, hoewel respectabel in de context van deze site, is natuurlijk compleet irrelevant.
Men beheert daar gegevens van 600.000.000 man en komt er pas na enkele maanden achter dat er iemand meekijkt?!

Wat voor miljardenboete zit daaraan vast?
Waarschijnlijk geen. Ze zijn het slachtoffer van criminelen, een boete zetten op het zijn van een slachtoffer is nogal dubieus... Wellicht als er grof tekort is geschoten in de beveiliging, maar dat hoeft niet perse zo te zijn en gewoon een reasonable effort geweest zijn. Gehackt worden wil niet automatisch zeggen dat ze dan niet hun best hebben gedaan om het zo goed mogelijk te beveiligen...
Slachtoffer of slechte beveiliging?

Dat een website met een database kan praten waar dit soort gegevens in hangen is eigenlijk al van de zotte. Dat ze maanden mee hebben kunnen kijken zonder dat iemand het doorheeft. Dat het de 3rde keer is (lees ik hierboven) en dat na de hack, maar lang voor de bekendmaking, topmannen hun aandelen verkocht hebben.

Hier mogen voor de ontvangen partij ook best wel consequenties aan hangen.
Ook met slechte beveiliging ben je een slachtoffer. Als jij een slot van ¤5 koopt en een crimineel knipt die met gemak door, dan ben je alsnog een slachtoffer van diefstal. Laten we dat niet vergeten. Doch, hier kan natuurlijk sprake zijn van negligence. Het probleem is: dat weten we niet. Dus eerst maar eens afwachten.

Het BKR heeft eenzelfde systeem hier in NL overigens. Een (belachelijk geprijsd) klantensysteem waar je kan inzien welke data ze over je hebben. Je moet het toch op enige manier inzichtelijk maken he.

Maar laten we zaken ook niet door elkaar gaan halen. Het handelen met voorkennis is een andere zaak dan deze hack. Er wordt gesteld dat het bedrijf een miljardenboete moet krijgen voor de hack. Daar ben ik het niet per direct mee eens, eerst de feiten maar eens horen; dan pas oordelen. De trend schuldig tot het tegendeel bewezen is ben ik niet zo’n fan van. Dat ze daarnaast wellicht voor frauduleuze schimmige beurszaakjes worden aangeklaagd is weer een ander verhaal.
Als elke week je fiets gejat wordt, gaat de verzekering vanzelf eisen dat je een wat beter slot moet gaan kopen dan een Action aanbiedingsbak flutding. Bij een gouden fiets met diamantjes gaat je verzekering ook niet akkoord met een prutslot 's avonds laat in een donker steegje.

We hebben het hier over de gegevens van bijna 1/10de van de wereldbevolking!

Als ze a la stuxnet gehacked zouden zijn, zou het al een ander verhaal worden. Maar een website applicatie die gewoon ongezien maanden lang zo'n database in kan graven, we hebben het niet over een Libelle mailinglist op Wordpress die gehackt is.

Een frontend praat niet zelf met een database, nooit niet. Al helemaal niet als het om gevoelige data gaat, dan bouw je dit met veiligheid voorop. API's, monitoren, laagjes security saus, oplossingen genoeg en niet via 1 of andere mysql_connect gewoon read all op zo'n database krijgt. Zoals ik het lees, zit het in de basis gewoon al niet goed. De rest van de comments geven aan dat het bedrijf niet helemaal koosjer is/werkt en het speelt wel degelijk mee dat het dus de derde keer is en de topmensen hun verantwoordelijkheid al bij voorbaat weigeren te nemen
Dat de verzekering dat zegt zal vast, maar dat verander het feit dat je een slachtoffer van diefstal bent op geen enkele wijze... Dat je best iets meer had mogen investeren in een slot, al is het natuurlijk belachelijk dat dat nodig is gezien mensen gewoon met hun tengels van andermans spullen moeten afblijven, dat klopt; maar je bent er niet minder slachtoffer door als je minder hebt uitgegeven aan dat slot... Dat is wat ik probeer uit te leggen.

We weten allemaal dat je fiets gejat kan worden, en dat er nou eenmaal dieven zijn en je dus gewoon een goed slot nodig hebt. Je fiets in Amsterdam niet op slot zetten bijvoorbeeld is gewoon debiel. Ondanks dat je fiets dan alsnog niet gestolen zou mogen worden, ben je echt gewoon dom bezig. Maar toch, al zet je hem helemaal niet op slot: dat maakt je niet minder het slachtoffer van diefstal als ie tegen je wil in wordt weggenomen.

[Reactie gewijzigd door WhatsappHack op 8 september 2017 09:08]

Om de vergelijking iets beter te maken:
het niet op slot zetten van een fiets van iemand anders die hem bij jou moet achterlaten.
Als elke week je fiets gejat wordt, gaat de verzekering vanzelf eisen dat je een wat beter slot moet gaan kopen dan een Action aanbiedingsbak flutding.
In 1993 is mijn fiets (Sparta) in Tilburg gejat. Ik deed aangifte bij de politie en mocht bij een veiling door de politie van niet opgehaalde fietsen meebieden. Ik kocht daar een fiets van ƒ40,- en liet die opknappen wat me nog eens ƒ40 kostte. Toen kocht ik een goed slot, van het merk ABUS (wat toen het beste merk was) voor ƒ100. Desondanks was een paar maanden later mijn fiets weer gestolen. Sterker nog de fiets die ik daarna kocht werd ook gestolen, precies 53 weken nadat de Sparta gestolen was.

De fiets daarna is tijdens een lang weekeinde (koninginnedag) aan de bushalte in Bruinisse gemolesteerd, er was geen een buis van het frame meer recht.

In het geval van een fietsslot heeft de prijs nauwelijks invloed op het wel of niet gestolen worden, maar wel waar je deze plaatst en of je hem vastmaakt aan iets dat niet meegenomen kan worden, zoals een fietsenrek, lantaarnpaal enzovoorts.

Iets soortgelijks kun je stellen over computerbeveiliging. Als de gebruiker er niet bewust mee om gaat loopt hij extra risico. Als je een high-profile target bent (er is veel te halen) loop je ook een groot risico, en als je makkelijk te hacken bent zal het risico ook groter zijn.

Zoals @WhatsappHack ook zegt, als de beveiliging redelijk was, dan is er geen reden voor vervolging. Als criminelen specifiek jou willen targetten, dan lukt het ze uiteindelijk toch wel, zeker als je niet actief monitort. Of ze hier afdoende maatregelen hebben genomen, voldoende in verhouding tot de gegevens die ze beheerden, dat kan ik niet beantwoorden. Jij suggereert dat dit niet het geval was. Mogelijk heb je gelijk, mogelijk ook niet.
Er wordt gesteld dat het bedrijf een miljardenboete moet krijgen voor de hack. Daar ben ik het niet per direct mee eens
Dan zou ik me maar eens gaan inlezen in GDPR, zeker als een bedrijf nalatig is geweest (zoals je zelf omschrijft: slecht beveiligd) dan kun je zeker wel een boete krijgen die kan oplopen miljoenen (idd niet miljarden). Daarnaast verplicht GDPR je ook binnen 72u dit kenbaar te maken, dat je data van je klanten kwijt bent: doe je dit niet, dan wordt m.i. de boete alleen maar hoger (en je geeft die CxO's geen maanden de tijd meer om hun aandelen te verkopen ;))
The point I’m making is dat we helemaal niet weten of ze nalatig zijn geweest. We weten niet of hun beveiliging super slecht was of juist prima maar er zat een lek ergens down the line. We weten ook niet of ze al in contact waren met de autoriteiten, wellicht wilden die dat ze even afwachtte met publiceren terwijl ‘t onderzoek liep: maar hebben ze wel in stilte voldaan aan hun meldplicht.

En ga zo maar door. We weten het niet, dus laten we nou eerst even afwachten alvorens een oordeel te geven. :)
Ja het heeft er aardig schijn van dat dit bedrijf nalatig is geweest, maar er is te weinig info om het zeker te weten. Dan heeft de schuldvraag nog even weinig zin. :)
En de point I'm making is dat de nalatigheid niet alleen de enige reden tot een boete zou zijn. Als ze 'hun best gedaan hebben' om jouw data niet kwijt te raken, wil niet zeggen dat bedrijven onder de GDPR regulatie onschuldig zouden zijn (en dus geen boete zouden krijgen).

Zij zijn verantwoordelijk voor het veiligheid/beschermd houden van jouw data, raken ze het om wat voor reden kwijt, dan zijn zij verantwoordelijk. En dat realiseren veel bedrijven zich nog niet, ondanks GDPR er al een jaar is en over minder dan een jaar gehandhaafd zal gaan worden.

Daarom is de schuldvraag duidelijk vanuit de regulatie: zíj zijn jouw data kwijt geraakt om wat voor reden dan ook, dat is hún schuld. In dit geval via een schijnbaar zwak beschermde website.

En met betrekking tot je opmerking dat ze het misschien wel gemeld hebben:
Individuals have to be notified if adverse impact is determined (Article 34).
Op het moment dat BSN en creditcard nummers gelekt zijn, heb je het wel degelijk over potentiële 'adverse impact' dus hadden ze binnen 72u ook alle mensen moeten inlichten waarvan dit soort data gelekt is. En dat is niet gebeurd, anders hadden we het wel eerder gehoord ;)

[Reactie gewijzigd door S913 op 8 september 2017 10:44]

Er hoeft niet eens sprake te zijn van een boete. Een schadeloossteling kan ook al een zware klap zijn.
Stel je bank zou gehacked worden (laten we zeggen dat ie een leeg password blijkt te accepteren) en de rekeningen worden geplunderd. Zou je dan ook zeggen 'wat zielig voor die bank, de klanten moeten maar op de blaren zitten'? Nee, want met het vergaren van het geld van de klanten hebben ze daar ook de verantwoordelijkheid voor genomen.
Lees even dat stuk over GDPR, daar worden wel boetes gehanteerd bij overtredingen (lees: lekken van privé data van klanten).

Maar verder zeg je precies wat ik ook zeg: de bank is verantwoordelijk (in dit geval voor het lekken van jouw gegevens ipv kwijtraken van jouw geld) :)
Als er geen verantwoordelijkheid zit aan het hebben van dit soort data, dan moet het hebben van dit soort databases worden verboden.
Volgens mij is dit zo een 'credit rating' bedrijf: ze verzamelen her en der gegevens over je uitgavenpatroon en schulden, en een bedrijf dat zaken met je wil doen kan navragen of je een betalingsrisico vorm.
Daar heb je dus zelf niet om gevraagd, en je hebt er zelf ook niks aan. Alleen heb je er heeel veel last van als je gegevens worden gestlen. Moeten ze niet in een slachtofferrol kruipen.
Succes het te verbieden. In Nederland zijn zulke databases zelfs wettelijk verplicht. Geen idee hoe dat in de VS is, maar ‘t lijkt me dat daar ook wel wat anti-schuld maatregelen zijn. Je gaat overigens vrijwel altijd zélf akkoord dat je gegevens verstuurd naar en gecontroleerd worden door zo’n bedrijf; net als in Nederland het BKR. Je hebt er dus helaas wel wat aan, want zonder toetsing/registratie krijg je gewoon helemaal geen credit card, lening of hypotheek.

“Moeten ze niet in een slachtofferrol kruipen.”

Ahja, want omdat ze toevallig data bijhouden (volstrekt legaal overigens) waarvan jij vindt dat ze het niet zouden moeten hebben, zijn het op de een of andere manier opeens geen slachtoffers van een stel cybercriminelen? C’mon.
Ze zijn wel slachtoffer, maar ze veroorzaken ook schade bij degene wiens data wordt gestolen.
Anders noemen we ze 'illegaal uploader' - want als je een liedje op internet zet ben je wel de sjaak?
Wie veroorzaakt die schade, het bedrijf of de hackers die inbreken en de gegevens jatten? ;) Ietwat kromme en slechte vergelijking, maar even om een perspectief te creëeren: iemand breekt bij je in en steekt je huis in de fik met de spiritus die je in ‘t keukenkastje hebt staan. Het huis van de buren brandt ook af. Die schade is jou schuld ? T is immers jouw huis waar ingebroken is en die spiritus was ook van jou. Als je zegt dat je slachtoffer bent van aan gestoorde pyromaan zeggen mensen vervolgens dat je niet in de slachtofferrol moet kruipen. Dat is toch krom en gaat toch nergens over? :P Wie overigens opdraait voor de schade als de pyromaan niet gevonden wordt is een tweede, maar het feit blijft: jij bent toch echt een slachtoffer en hebt echt niet zelf die schade aan eigen huis en dat van de buren veroorzaakt. Of wil je zeggen van wel?

Nogmaals, ik zeg niet dat het bedrijf perse geen blaam treft; dat ligt helemaal aan hoe de beveiliging in elkaar stak en uiteraard heb je verantwoordelijkheden bij het beheren van zo’n database. Maar het feit blijft: het zijn slachtoffers van criminelen, en uiteindelijk zijn dat de personen die de schade hebben veroorzaakt.

De vergelijking met piraterij slaat overigens nergens op.

[Reactie gewijzigd door WhatsappHack op 8 september 2017 09:00]

Als we dan toch aansprakelijkheid gaan vergelijken met brand-zaken, check even wie er verantwoordelijk is gehouden voor de niet goed beveiligde opslag van vuurwerk in Enschede aan jaartje of 15 terug.
De potentiele brandstichter zelf is niet veroordeeld wegens gebrek aan bewijs, maar de directie van het bedrijf die onjuiste opslag hadden van vuurwerk wel.
Vuurwerk geld als een bijzonder risico, en mag je ook niet thuis bewaren (behalve rond oud- en nieuw en dan in kleine hoeveelheden). Aan de opslag zijn voorwaarden verbonden en daaraan heeft dat bedrijf in Enschede zich niet gehouden. Datzelfde geld voor andere explosieven, munitie en grote hoeveelheden brandbare stoffen zoals in Moerdijk bij Chemiepak. Je mag het niet opslaan tenzij je aan genoemde veiligheidseisen voldoet. Zonder aan die veiligheidseisen te voldoen krijg je ook niet de vergunning om het op te slaan.
Die regels die ik noemde gelden al als beveiliging tegen ongevallen. Inbraak, brandstichting e.d. zijn een slagje zwaarder om je tegen te beschermen, maar in Enschede en Moerdijk voldeed men al niet aan de voorwaarden tegen ongevallen.

Daarnaast zijn in deze hack geen BSN of social security numbers gelekt, althans dat leid ik niet af uit dit artikel. Wel zijn er gevoelige gegevens gelekt, dus er mag zeker onderzocht worden of de beveiliging op orde was. Als dat niet het geval was kan er dus alsnog vervolging ingesteld worden, maar niet omdat men simpelweg niet aan de regeltjes voldeed.
https://www.theguardian.c...each-hack-social-security

Als je niet eens de basisgegevens over deze hack weet is het wellicht niet handig om er op te reageren.
Sinds dit artikel op t.net gepost is is ook gebleken dat de software niet up to date was, dat via daar een inbraak is geweest, dat de chief security officer geen security-achtergrond heeft, en dat er ook op allerlei andere vlakken niet heel handig werd omgesprongen met security. admin,admin als wachtwoord. wachtwoorden van gebruikers plaintext in de html voor alle werknemers zichtbaar etc.
Sinds dit artikel op t.net gepost is is ook gebleken dat de software niet up to date was
Kijk dat verandert de zaak. Dat stond dus ook niet in het T.net artikel.
dat via daar een inbraak is geweest,
Dat stond er wel, maar het had ook zo kunnen zijn dat, net als bij de HBO-hack, de hackers voor kapitalen aan zero-days hadden ingekocht om hier binnen te komen. Als men werkelijk wilt en een bijna/praktisch onbeperkt budget heeft (zoals NSA, GQHC, FSB) dan komt men altijd wel binnen. Dat is wat ik in mijn vorige post argumenteerde.
dat de chief security officer geen security-achtergrond heeft,
Als de rest van het team wel goed is, en hij goed in aansturen
en luistert naar zijn team dan hoeft dat geen probleem te zijn, maar in de praktijk betekent het meestal niet veel goeds.
en dat er ook op allerlei andere vlakken niet heel handig werd omgesprongen met security. admin,admin als wachtwoord. wachtwoorden van gebruikers plaintext in de html voor alle werknemers zichtbaar etc.
Kijk, dat is natuurlijk duidelijk niet goed. Dat maakt inderdaad heel mijn vorige post achterhaald.
Het is echter wel iets dat op basis van het T-net artikel niet te weten was. Ik schreef dan ook dat dit dus wel onderzocht moest worden om te achterhalen of dat hier het geval was. Blijkbaar is dat inmiddels gebeurt. Met deze wetenschap lijkt het me logisch dat er hier ook een flink juridisch staartje achteraan komt.
Nederlandse bedrijven mogen helemaal niet zomaar dit soort data bijhouden. Het equivalent van het Social security number is ons BSN, en die mag je niet verwerken tenzij er daar in de wetgeving ruimte voor is. Iets dat maar weinig bedrijven mogen.

Daarbij, ja. Je mag data verzamelen, mits je toestemming hebt voor de verwerking voor het doel waarvoor je ze verzameld had. En als je die data verzameld om winst mee te maken dan ben je *verantwoordelijk* voor de beveiliging ervan. Je neemt dus per direct een risico dat je als bedrijf moet afdekken. Wordt je gehackt dan heb je dat dus evident niet voldoende gedaan en ben je niet het slachtoffer maar zo goed als hoofdelijk aansprakelijk.
Heb ik dat gezegd dan? ;) Neen. Ik heb gezegd dat zo’n database als het BKR hier helaas verplicht is. Ik heb niet gezegd dat iedereen vrijelijk persoonsgegevens mag verwerken.

Aha, als je ergens geld aan verdient dan kan je geen slachtoffer meer zijn als je overvallen wordt door criminelen. Helder!
Vergeet alleen niet dat er ook nog zoiets bestaat als redelijkheid en billijkheid, iets wat hier ver te zoeken lijkt op ‘t moment. Oo 100% security bestaat niet ya know. Als je kan aantonen dat je je uiterste best hebt gedaan maar ‘t blijkt dat er in third-party software X een lek zat waar jij niets aan kon doen, dan is dat niet jouw schuld en zal er ook niet snel over boetes en/of schadevergoedingen gesproken gaan worden.

En ten overvloede; ik weet niet of dit bedrijf hun uiterste best hebben gedaan. Misschien wel, misschien totaal niet. Maar wat ik zo raar vind is dat iedereen ze direct veroordeeld zonder informatie en ook claimen dat ze om uiteenlopende redenen opeens niet meer gezien moeten worden als slachtoffer van een stel criminelen die zonder toestemming op hun systemen hebben ingebroken...

[Reactie gewijzigd door WhatsappHack op 8 september 2017 10:53]

Die reactie van "de menigte" komt voor uit de *jarenlange* ervaring die we ondertussen hebben met bedrijven die helaas elke keer weer hun beveiliging niet op orde hebben, *en* er ook niet echt moeite in gestoken hadden.

Uiteraard, dat zou niet moeten, maar gelukkig zijn dit niet de mensen die de boetes daadwerkelijk uitdelen, dat doet een rechter vast pas na onderzoek. En tjah, als we niet meer mogen speculeren over de toedracht waar hebben we dan nog een reactiessyteem voor nodig?
Als ze hun aandelen verkocht hebben direct na de hack zonder de hack bekend gemaakt te hebben valt dat volgens mij onder de noemer van Handel met voorkennis.
Ik vermoed dat de FTC daar toch wel z’n vraagtekens bij gaat zetten en mogelijk boetes.
Dat is echter een andere zaak dan een boete krijgen omdat ze gehackt zijn.
Voor dat soort zaken gaat men in de VS ook wel echt de gevangenis in.
Volgens mij ook, maar het is de SEC die daar over gaat dacht ik, niet de FTC. (details :) )
Door getroffen particulieren of de overheid? Vraag me af of je in de VS ook als particulier via een rechtzaak hier geen geld uit kan halen.

[Reactie gewijzigd door litebyte op 8 september 2017 07:42]

Interessant, maar daar vallen dit soort firma's dus juist niet onder.
Als je als particulier kan aantonen dat je privé gegevens zijn misbruikt gerelateerd aan deze hack?
Dat lijkt me nog niet zo eenvoudig. Dit soort firma's schraapt uit allerlei bronnen data bij elkaar. Dan is het lastig aantonen dat je gegevens juist uit deze hack afkomstig zijn, zo je zoiets überhaupt al kan aantonen.
Ah! Ik ging ervan uit dat je als consument/particulier de meeste gegevens zelf moest aanleveren bij Equifax om voor een financiering in aanmerking te komen.
Een essentieel detail wordt hierbij niet benoemd: het is al de derde hack in korte tijd!
dat is inderdaad een leuke saus - maar doe er de volgende keer linkjes bij zodat we kunnen meelezen?
Aardig detail: naar verluidt hebben drie topmannen direct na het lek hun aandelen verkocht... :|
Door getroffen particulieren of de overheid?
Een beschrijving van Equifax ontbreekt. Hun markt is onder andere het tegengaan van phishing oplichting misbruik van te goed vertrouwen met financiële risico beoordelingen.
Daarmee hebben ze veel persoonlijke gegevens die verwerkt worden en ter beschikbaar gesteld moeten kunnen worden aan vertrouwde relaties en opdrachtgevers.
De naw gegeven ssn ofwel bsn zij het meest eenvoudige daarbij.
Creditcardnummers lijkt op de betalingen voor diensten.

Ben benieuwd wat de fout en het probleem nu echt is.

[Reactie gewijzigd door karma4 op 9 september 2017 08:59]

Wat ik me ook afvraag, hadden de hackers ook schrijftoegang tot de database, om zodoende hun opdrachtgevers beoordeling te verbeteren.
Die schrijftoegang tot de echt database verwacht ik niet.

Data analytics zal heel wat meer bevatten dan enkel deze velden. Het is een zwakte in het front-end deel van de winkel (de operatie).
Als je alle data wil dan moet je het data-lake dwh ofwel het magazijn als de backend beetpakken.
Het aandachttrekkende modelleren ofwel de data science R analyses zit er als productbouw laag tussen.
Het zijn 3 aparte belevingswerelden met hun eigen verantwoordelijkheden. De data science open source R krijgt ontzettend veel aandacht die van het data lake (Hadoop) ook nog wel om het goed naar buiten te krijgen tja.... helaas.

Effectief zal whale pshising CEO fraude ofwel degeen die de lening verstrekt van valse informatie voorzien effectiever zijn op de korte termijn aanvallen.
Equifax krijgt nu te maken met een echte vertrouwensbreuk zeer effectief aan de kant nu. Ruimte voor de concullega's. http://www.hoovers.com/co...plc.ec1d57e44e969a75.html
(Eerder gewijzigd: wat typos er uit gehaald)
Equifax wordt onder andere gebruikt voor het bepalen van je creditrating. Als ik een hypotheek wil afsluiten, een lening wil hebben of een credit card worden dit soort buros gebruikt om te bepalen hoe groot het risico is. Ze hebben dus best veel informatie over je, js BSN (social security number) al je adressen waar je hebt gewoond en nu woont. Hoeveel credit je op je creditcards hebt, hoe netjes je betaald, Precies ook alle info die je nodig hebt als je een lening/hypotheek wilt aanvragen of een nieuwe credit card.

Ben erg benieuwd hoeveel last we hier van gaan krijgen, dit is niet zo simpel als het aanvragen van een nieuw creditcard nummer.
Zullen er maar gewoon vanuit gaan dat alle beveiliging bij veel grote bedrijven droevig is en alle gegevens van ons toch wel op straat komen te liggen?

Ik kan me niet voorstellen dat we hier in Nederland het zoveel beter op orde hebben.
Er is waarschijnlijk meer gehacked waaronder social security numbers. Die worden in de VS met regelmaat als identificatie gebruikt. Een zeer ernstige hack.
Mocht je een potentieel slachtoffer zijn, als je https://www.equifaxsecurity2017.com/potential-impact/ checkt doe je automatisch afstand van de optie om deel te zijn van een rechtszaak tegen Equifax.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*