×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Site die kredietbeoordelaar online zette na hack blijkt vatbaar voor xss-aanval

Door , 45 reacties

Een site die de Amerikaanse kredietbeoordelaar online zette na een hack zodat klanten konden opzoeken of hun gegevens in verkeerde handen waren gevallen, blijkt zelf vatbaar voor een xss-aanval. Met het xss-lek is phishing veel lastiger op te sporen.

Met het xss-lek kunnen aanvallers willekeurige code uitvoeren op het domein van de site van Equifax, schrijft ZDNet. Op de site kunnen mensen instellen dat ze een seintje krijgen als er verdachte dingen gebeuren met hun creditcard en hun historie inzien. Equifax adviseerde klanten die site te gebruiken na de hack vorige week.

De beveiligingsonderzoeker die het lek aan ZDNet meldde, Martin Hall, zegt dat hij geen reactie heeft gekregen van de kredietbeoordelaar op de melding. Het bedrijf heeft ook niet gereageerd tegenover ZDNet op het xss-lek in de site.

Het xss-lek stelt aanvallers in staat om willekeurige Javascript-code uit te voeren op het domein van Equifax. Een van de mogelijke gevolgen zou kunnen zijn dat aanvallers een phishing-aanval uitvoeren, waarbij klanten een link via e-mail krijgen die echt naar het domein van Equifax leidt, maar toch een nepsite is om gegevens te ontfutselen.

Equifax kondigde vorige week aan te zijn gehackt. De criminelen kwamen binnen via een niet nader genoemde exploit van een applicatie op een Amerikaanse website van het bedrijf, waardoor ze toegang kregen tot de database. Ze hadden toegang vanaf medio mei tot aan juli, toen het bedrijf de hack ontdekte. De gegevens van mogelijk 143 miljoen Amerikanen waren daarbij toegankelijk.

Door Arnoud Wokke

Redacteur mobile

12-09-2017 • 07:22

45 Linkedin Google+

Reacties (45)

Wijzig sortering
Haha :’) Ja sorry hoor, maar wat moet je hier nou nog over zeggen? Wat een belachelijk gedoe.

-edit-
Plottwist, XSS-lekken op meerdere delen van de site, waren al sinds 2016 bekend en is gemeld aan Equifax:
https://twitter.com/dustyfresh/status/905935209983610881
https://twitter.com/x0rz/status/906046732722679808
Die er niets mee gedaan hebben.

[Reactie gewijzigd door WhatsappHack op 12 september 2017 08:08]

Een schikking met miljoenen gedupeerden kost meer denk ik. :+
Hier zijn gewoon verzekeringen voor :) en die zijn helemaal niet zo duur...

Dit is voor kleinere bedrijven: https://www.hiscox.de/geschaeftskunden/cyber-versicherung/
Maar ook voor grote: https://www.marsh.com/us/services/cyber-risk.html
maar betalen die wel uit als er sprake is van nalatigheid
Nou ja, in hoeverre is een bug nalatigheid? Software zonder bugs bestaat volgens mij niet... Je bent misschien wel aansprakelijk, maar daar ben je dus tegen verzekerd...
Cyber-Haftpflichtversicherung
Sie übernimmt Schadenersatzansprüche von Dritten, die aus einem Hackerangriff, Datenverlust oder einer Datenrechtsverletzung resultieren können – zum Beispiel wenn sensible Kundendaten gestohlen und somit Urheber- und Persönlichkeitsrechte verletzt werden. Oder wenn Sie versehentlich einen Computer-Virus an Ihre Kunden weiterleiten. Auch wehrt die Cyber-Haftpflichtversicherung für Sie unberechtigte Ansprüche ab (passiver Rechtsschutz).
bron

En bij normaal gebruik van de site kom je niet snel op XSS zwakheden... Dus dit is misschien gewoon hacken (ook al in dit geval heel makkelijk ;) )
Als die bug in 2016 al gemeld was, dan is dit volgens mij gewoon nalatigheid.
Oeh ja! Dat is wel erg laat dan... Ik had allang m'n verzekeraar gebeld... Want ja, dit is gewoon domme nalatigheid!
Nou ja, in hoeverre is een bug nalatigheid? Software zonder bugs bestaat volgens mij niet...
Er is in 2017 echt geen geldige reden meer om nog last te hebben van XSS. Er zijn inmiddels dermate veel templaters en frontend libraries die standaard dingen escapen dat enige vorm van XSS op een site vrijwel altijd een geval van nalatigheid is.

Overigens bestaat software zonder bugs wel zeker, maar dan moet je het in de 'formally proven' hoek zoeken. Dit is voor het gemiddelde softwareproject niet praktisch, maar je kunt er wel heel dicht in de buurt komen door gewoon goed ontworpen tools te gebruiken en de juiste gewoontes aan te leren.

Het probleem is een beetje dat ontwikkelaars (en de bedrijven die ze inhuren) nu het voordeel van de twijfel krijgen bij een bug; "oh, software zonder bugs bestaat niet, dus bewijs maar dat het nalatig was". Dat zou eigenlijk andersom moeten zijn; natuurlijk, bugs kunnen gebeuren, maar je moet uit kunnen leggen waarom het gebeurd is, en hoe je dat in de toekomst gaat voorkomen. Kun je dat niet, dan ben je waarschijnlijk nalatig geweest.

In de praktijk is het overgrote deel van de bugs in real-world software gewoon prima te voorkomen, en zijn ze ontstaan door slechte keuze van ontwikkelaarstools, slechte gewoontes van ontwikkelaars, onvoldoende threat modeling of code review, of gewoon domweg een eigenwijze ontwikkelaar die niet naar advies luistert. Dit zijn allemaal volkomen oplosbare problemen die niets te maken hebben met "mensen kunnen fouten maken, en bugs zijn er nu eenmaal".

Dan hou je alleen nog de echte onvoorziene fouten over. Maar dat zijn doorgaans fouten die ofwel niet zo heel schadelijk zijn, ofwel zo obscuur zijn dat ze vaak niet voorkomen. En dan kunnen we het gaan hebben over "soms maken mensen nu eenmaal fouten" :)
Weinig kans op slagen, aangezien USA jurisprudentie hier aangeeft dat je schade moet aantonen. Er is *nog* geen schade, en zelfs bij fraude moet je kunnen aantonen dat het door dit lek komt.

Maar waarschijnlijk proberen ze een schikking te forceren.
Ik snap. Ik ging alleen even lekker mee in de dramamolen :)

Neemt niet weg dat die club misschien alsnog torenhoge boetes/schadeclaims gaat betalen. Een breukdeel ervan zou al best wel dramatisch kunnen zijn voor de organisatie. Aangezien ze blijkbaar als een soort Amerikaanse BKR bekend staan, kun je er op wachten dat de politiek/rechterlijke macht zich er tegenaan gaat bemoeien.
Van de regen in de drup. :/

De XSS exploit an sich is niet zo erg. Veel erger is de reactie (geen) van de organisatie. Ze hadden het ook stilletjes kunnen repareren met minimale communicatie met Martin Hall, en dan was het waarschijnlijk niet zo groot in het nieuws gekomen.

Gecombineerd met de eerdere hack impliceert dit sterk dat deze organisatie niets geeft om informatiebeveiliging, en dat het daarom verstandig is om niet met hun in zee te gaan.

Aan de andere kant, gratis wereldwijde (negatieve) reclame...

[Reactie gewijzigd door The Zep Man op 12 september 2017 07:35]

Het is ook wel duidelijk dat ze niets geven om hun klanten. Zodra je hun tool gebruikt om te controleren of je gegevens gestolen zijn, neem je afstand van het recht om een class-action lawsuit te beginnen.
Dat soort clausules zien we wel vaker en is ook al door rechters onderuit gehaald. Dat komt ervan als je in een maatschapij leeft die draait rond elkaar aanklagen.
Dat gaat geen stand houden in de rechtbank, al helemaal niet na Equifax het probeerde te downplayen dat het niet gaat om het datalek zelf maar louter ‘t gebruik van die check service.
Niet op het gebied van de "cyber security incident". Staat vermeld in de FAQ: https://www.equifaxsecuri...equently-asked-questions/
Do the TrustedID and Equifax Terms of Use limit my options related to the cyber security incident?

To confirm, enrolling in the free credit file monitoring and identity theft protection products that we are offering as part of this cybersecurity incident does not prohibit consumers from taking legal action. We have already removed that language from the Terms of Use on the site www.equifaxsecurity2017.com. The Terms of Use on www.equifax.com do not apply to the TrustedID Premier product being offered to consumers as a result of the cybersecurity incident. Again, to be as clear as possible, we will not apply any arbitration clause or class action waiver against consumers for claims related to the free products offered in response to the cybersecurity incident or for claims related to the cybersecurity incident itself.

[Reactie gewijzigd door jimmy_dg op 12 september 2017 09:58]

Het is ook wel duidelijk dat ze niets geven om hun klanten

Het zijn hun klanten dan ook niet. De klanten zijn financiele dienstverleners. Equifax is een soort BKR, maar dan veel groter. Wij consumenten/burgers zijn het product.

neem je afstand van het recht om een class-action lawsuit te beginnen.

Dat bleek gelukkig een broodje aap, en enkel te slaan op de dienst zelf, en niet de hack.
Uiteindelijk maakt het niet zoveel uit of ze er wel of geen ruchtbaarheid geven. Daar valt wat te halen, dus iedere zichzelf respecterende onderzoeker zal de site op de pijnbank leggen.
Niet met ze in zee gaan is geen optie.. het is basically de BKR van Amerika, als je moet, dan moet je.. De overheid had hier hard moeten ingrijpen, maar vzviw hebben ze dit nog niet gedaan.
Is dit nu making America GREAT again? :+

Een site die lek is, waarbij de site die de klanten moet vertellen of ze getroffen zijn door het lek ook lek is. Wat komt er zometeen: nog een site die lek is?
De hack heeft overigens plaats gevonden door een lek in Apache Struts, het is nog niet bekend of het om de recente kwetsbaarheden van vorige week gaat (zero-days) of een kwetsbaarheid die in maart al is gepatched...
Ik heb al een Fraud alert op mijn file geplaatst, want ik zit er lekker bij. Wel jammer, dit systeem van credit score is niet slecht uitgedacht.
Ik ben verder een leek op dit gebied en weet alleen dat er in de VS zoiets bestaat als credit score. Zo heb ik een vriend in de US wonen die bewust zo min mogelijk eten koopt met zijn creditcard omdat dat kennelijk zijn credit score harder naar beneden trekt dan bijv. elektronica-aankopen. 8)7

Kun je uitleggen wat er zo bijzonder / uniek / beter is aan het credit score systeem van Equifax?
Dit is niet het systeem van Equifax. Dit is het systeem van de USA. (Equifax, Transunion & Experian)

Credit score is een combinatie van:
1) leeftijd van jouw credit-score-account
2) hoeveel leningen jij hebt lopen
3) de hoeveelheid credit aan jouw beschikbaar
4) hoeveel ervan je momenteel gebruikt
5) interesten dat je betaald (je kan een credit card perfect gebruiken zonder ooit iets te moeten afbetalen)
6) late betalingen
7) hoeveel 'hard' inquiries, dwz opvragingen bij een lening van een auto/huis/enz...

Deze score heeft ook meer invloed op jouw leven dan in BE/NL waar er niet zoveel wordt geregistreerd.

Bij de huur van een appartement wordt deze score dus gecontroleerd, en ook bij het aanvragen van een nieuwe credit card, bij een nieuwe lening voor auto/huis, bij een nieuwe auto-lease.

En rapporteringen gaan VEEL sneller.

Hoe beter de score hoe beter de voorwaarden die je krijgt.

Maar WAT je doet met je credit maakt niet uit, als ik 400$ USD per maand uitgeef aan eten, of aan electronica, en de credit card gewoon afbetaal, is dit geen probleem.

Voor mij was het bijvoorbeeld moeilijk om een appartement te huren als nieuwe persoon in de USA zonder creditscore.

Toevoeging:

Creditscore maakt het veel gemakkelijker om iemand te vertrouwen op basis van zijn verleden.

[Reactie gewijzigd door Snake op 12 september 2017 09:11]

Doet me denken aan die Black Mirror aflevering waarbij mensen alleen nog op basis van hun score met andere mensen op wilden trekken omdat ze anders zelf een lagere score krijgen. Lijkt met dit systeem wel dichterbij te komen (aanrader: kijken). En ik ben bang dat dit soort zaken je langer achtervolgen dan je lief is: een keer een uitglijder en je bent jaren bezig je score weer op te poetsen.
Goede aflevering inderdaad.

Een credit score hier is een sliding window, goede dingen blijven er voor altijd opstaan, slechte dingen de laatste 7 jaar.
7 jaar. Dat is vrij lang op een mensenleven. Dit riekt een beetje naar de 'eens een dief, altijd een dief' gedachte. Tijd om mijn creditcard maar eens weg te doen.
BKR registratie blijf je houden, da's mogelijk nog zwaarder. Evenals een studieschuld, als je pech hebt blijf je die tot je AOW hebben.
Studieschuld is 15 jaar (of 30 max.). BKR is 5 jaar.
1 keer te laat betalen is geen probleem.
2 keer ook niet.

Het gaat allemaal om hoeveelheid.

Consequent te laat betalen is wel slecht.

En credit cards hier zijn nog veel interessanter, bijvoorbeeld door cashbacks. Iedere uitgave krijg ik 2% van terug.
Mocht je na lezen van bovenstaande comment deze aflevering willen zien: Dit betreft Black Mirror S03E01 - "Nosedive" ( https://www.netflix.com/watch/80104627 ).

[Reactie gewijzigd door multiplexer op 12 september 2017 12:37]

Creditscore maakt het veel gemakkelijker om iemand te vertrouwen op basis van zijn verleden.
Er valt zeker wat voor te zeggen. Enerzijds vind ik het maar een 'eng idee' dat alles wordt geregistreerd en in de gaten wordt gehouden. Anderzijds heb je hier natuurlijk te maken met een maximale hypotheeksom en bij huren in de vrije sector allerlei gekke regels zoals je moet 3x of 4x de kale huur bruto verdienen. Daarbij wordt iedereen over één kam geschoren terwijl dat natuurlijk niet reëel is; mensen hebben verschillende levensstijlen, uitgavenpatronen en gaan anders met geld om... Ik kan me voorstellen dat je dan in de US met een creditscore 'beloond' wordt als je goed met geld omgaat.

[Reactie gewijzigd door Harrie_ op 12 september 2017 09:36]

Dit is ook het geval in Engeland, waar ik op dit moment bij de concurrent van Equifax werk. Ergens is het niet verkeerd dat het betalings gedrag van mensen wordt geregistreerd, aan de andere kant vond ik het uitermate lastig om zaken geregeld te krijgen toen ik verhuisde naar the UK.

inmiddels woon ik er al weer een aantal jaren en heb ik een geschiedenis opgebouwd en heb ik geen problemen meer, maar soms is het verdraaid lastig in ieder geval
Zo heb ik een vriend in de US wonen die bewust zo min mogelijk eten koopt met zijn creditcard omdat dat kennelijk zijn credit score harder naar beneden trekt dan bijv. elektronica-aankopen

Dan snapt hij er niet veel van, want enkel de balans, totale limiet en wat je niet afbetaald worden gemeld. Niet de inhoud.
*facepalm*.

Dit is natuurlijk wel heel erg knudde. Hebben ze in Amerika ook een meldplicht bij datalekken oid?
Dat is per staat verschillend. Federaal is er enkele en plicht bij medische gegevens lekken.
haha, hun "freeze pin" is een timestamp v/d datum + tijd. SUPER UNIEK ... not.
Ik begrijp wel niet welke bijkomende gegevens men kan buitmaken.
Men zou door middel van deze kwetsbaarheid zich in een phishing email doen voorkomen als Equifax met bv een melding dat jouw gegevens zijn buitgemaakt bij hack "x".
Om daar wat aan te doen sturen ze je door naar een (fake) website waar je allerlei informatie invult die hun vervolgens weer voor andere illegale doeleinde kunnen gebruiken.

Een soort mail van bv de politie dat iets gestolen is, jij een kopie van jouw id kaart moet opstuurt om dingen te verifieren en de crimineel daarmee vervolgens een huis huurt voor een wietplantage, tel abbo of leningen afsluit etc.

[Reactie gewijzigd door Cowamundo op 12 september 2017 09:47]

SSNs.

Zet een link op Reddit met de text: Click here to see if you're infected.

Steek XSS in de URL, en je hebt gratis SSNs.
Maar de SSNs met adressen, geboortedata van 1/3e van de Amerikanen zijn gelekt.
Is er echt nog iemand die nood heeft aan meer SSNs?

Men zou beter werk maken van een omkering van het risico. Laat de banken en kredietmaatschappijen ervoor opdraaien, ipv de 'onschuldige' slachtoffers.
Dat is dan ook zo. Beide zijn slachtoffer. Immers bij valse aanvragen vancreditcards etc zal deze fraudeur echt die kaart niet gaan afbetalen. Dus zowel de kaart-verstrekker als SSN-'eigenaar' krijgen schade.

In die zin positief dat wellicht banken in de VS meer zorgvuldig zullen zijn bij creditcards verstrekken. Nu kun je soms nog kaarten krijgen bij (per ongeluk) foutief verstrekte gegevens.
Hoe zijn ze erachter gekomen vraag ik mij af?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*