Site die kredietbeoordelaar online zette na hack blijkt vatbaar voor xss-aanval

Een site die de Amerikaanse kredietbeoordelaar online zette na een hack zodat klanten konden opzoeken of hun gegevens in verkeerde handen waren gevallen, blijkt zelf vatbaar voor een xss-aanval. Met het xss-lek is phishing veel lastiger op te sporen.

Met het xss-lek kunnen aanvallers willekeurige code uitvoeren op het domein van de site van Equifax, schrijft ZDNet. Op de site kunnen mensen instellen dat ze een seintje krijgen als er verdachte dingen gebeuren met hun creditcard en hun historie inzien. Equifax adviseerde klanten die site te gebruiken na de hack vorige week.

De beveiligingsonderzoeker die het lek aan ZDNet meldde, Martin Hall, zegt dat hij geen reactie heeft gekregen van de kredietbeoordelaar op de melding. Het bedrijf heeft ook niet gereageerd tegenover ZDNet op het xss-lek in de site.

Het xss-lek stelt aanvallers in staat om willekeurige Javascript-code uit te voeren op het domein van Equifax. Een van de mogelijke gevolgen zou kunnen zijn dat aanvallers een phishing-aanval uitvoeren, waarbij klanten een link via e-mail krijgen die echt naar het domein van Equifax leidt, maar toch een nepsite is om gegevens te ontfutselen.

Equifax kondigde vorige week aan te zijn gehackt. De criminelen kwamen binnen via een niet nader genoemde exploit van een applicatie op een Amerikaanse website van het bedrijf, waardoor ze toegang kregen tot de database. Ze hadden toegang vanaf medio mei tot aan juli, toen het bedrijf de hack ontdekte. De gegevens van mogelijk 143 miljoen Amerikanen waren daarbij toegankelijk.

Door Arnoud Wokke

Redacteur

Feedback • 12-09-2017 07:2245

12-09-2017 • 07:22

45 Linkedin

Lees meer

Datalek in app gaf toegang tot plaintext-wachtwoorden Apple ID kinderen Nieuws van 21 mei 2018
Equifax-hack wordt ook in Verenigd Koninkrijk onderzocht door toezichthouders Nieuws van 25 oktober 2017
Equifax-hackers hebben ook gegevens bemachtigd van 15,2 miljoen Britten Nieuws van 11 oktober 2017
Equifax verhielp Apache Struts-lek niet na notificatie Nieuws van 3 oktober 2017
'Equifax-hackers zochten ook naar specifieke personen' Nieuws van 29 september 2017
Directeur van Equifax legt functie neer na omvangrijke hack Nieuws van 26 september 2017
'Kredietbeoordelaar Equifax was al eerder doelwit van grote hack' Nieuws van 19 september 2017
Twee kopstukken van gehackte Amerikaanse kredietbeoordelaar stappen op Nieuws van 17 september 2017
Hack bij kredietbeoordelaar kwam door bekend lek in Apache Struts Nieuws van 14 september 2017
Hackers hadden toegang tot data van 143 miljoen mensen bij kredietbeoordelaar VS Nieuws van 8 september 2017
Telefoon hacking Nieuws van 16 december 1999
Meer producten en artikelen
Netwerk en systeembeheer Datalek

Reacties (45)

-Moderatie-faq
45
45
27
3
0
11
Wijzig sortering
WhatsappHack
12 september 2017 07:51
Haha :’) Ja sorry hoor, maar wat moet je hier nou nog over zeggen? Wat een belachelijk gedoe.

-edit-
Plottwist, XSS-lekken op meerdere delen van de site, waren al sinds 2016 bekend en is gemeld aan Equifax:
https://twitter.com/dustyfresh/status/905935209983610881
https://twitter.com/x0rz/status/906046732722679808
Die er niets mee gedaan hebben.

[Reactie gewijzigd door WhatsappHack op 12 september 2017 08:08]

SCiENTiST
@WhatsappHack12 september 2017 09:24
Kost geld he.
WhatsappHack
@SCiENTiST12 september 2017 09:29
Een schikking met miljoenen gedupeerden kost meer denk ik. :+
WienerBlut
@WhatsappHack12 september 2017 09:39
Hier zijn gewoon verzekeringen voor :) en die zijn helemaal niet zo duur...

Dit is voor kleinere bedrijven: https://www.hiscox.de/geschaeftskunden/cyber-versicherung/
Maar ook voor grote: https://www.marsh.com/us/services/cyber-risk.html
Xcite
@WienerBlut12 september 2017 09:48
maar betalen die wel uit als er sprake is van nalatigheid
WienerBlut
@Xcite12 september 2017 10:00
Nou ja, in hoeverre is een bug nalatigheid? Software zonder bugs bestaat volgens mij niet... Je bent misschien wel aansprakelijk, maar daar ben je dus tegen verzekerd...
Cyber-Haftpflichtversicherung
Sie übernimmt Schadenersatzansprüche von Dritten, die aus einem Hackerangriff, Datenverlust oder einer Datenrechtsverletzung resultieren können – zum Beispiel wenn sensible Kundendaten gestohlen und somit Urheber- und Persönlichkeitsrechte verletzt werden. Oder wenn Sie versehentlich einen Computer-Virus an Ihre Kunden weiterleiten. Auch wehrt die Cyber-Haftpflichtversicherung für Sie unberechtigte Ansprüche ab (passiver Rechtsschutz).
bron

En bij normaal gebruik van de site kom je niet snel op XSS zwakheden... Dus dit is misschien gewoon hacken (ook al in dit geval heel makkelijk ;) )
Jeroen Sack
@WienerBlut12 september 2017 10:08
Als die bug in 2016 al gemeld was, dan is dit volgens mij gewoon nalatigheid.
WienerBlut
@Jeroen Sack12 september 2017 10:10
Oeh ja! Dat is wel erg laat dan... Ik had allang m'n verzekeraar gebeld... Want ja, dit is gewoon domme nalatigheid!
svenslootweg
@WienerBlut12 september 2017 19:43
Nou ja, in hoeverre is een bug nalatigheid? Software zonder bugs bestaat volgens mij niet...
Er is in 2017 echt geen geldige reden meer om nog last te hebben van XSS. Er zijn inmiddels dermate veel templaters en frontend libraries die standaard dingen escapen dat enige vorm van XSS op een site vrijwel altijd een geval van nalatigheid is.

Overigens bestaat software zonder bugs wel zeker, maar dan moet je het in de 'formally proven' hoek zoeken. Dit is voor het gemiddelde softwareproject niet praktisch, maar je kunt er wel heel dicht in de buurt komen door gewoon goed ontworpen tools te gebruiken en de juiste gewoontes aan te leren.

Het probleem is een beetje dat ontwikkelaars (en de bedrijven die ze inhuren) nu het voordeel van de twijfel krijgen bij een bug; "oh, software zonder bugs bestaat niet, dus bewijs maar dat het nalatig was". Dat zou eigenlijk andersom moeten zijn; natuurlijk, bugs kunnen gebeuren, maar je moet uit kunnen leggen waarom het gebeurd is, en hoe je dat in de toekomst gaat voorkomen. Kun je dat niet, dan ben je waarschijnlijk nalatig geweest.

In de praktijk is het overgrote deel van de bugs in real-world software gewoon prima te voorkomen, en zijn ze ontstaan door slechte keuze van ontwikkelaarstools, slechte gewoontes van ontwikkelaars, onvoldoende threat modeling of code review, of gewoon domweg een eigenwijze ontwikkelaar die niet naar advies luistert. Dit zijn allemaal volkomen oplosbare problemen die niets te maken hebben met "mensen kunnen fouten maken, en bugs zijn er nu eenmaal".

Dan hou je alleen nog de echte onvoorziene fouten over. Maar dat zijn doorgaans fouten die ofwel niet zo heel schadelijk zijn, ofwel zo obscuur zijn dat ze vaak niet voorkomen. En dan kunnen we het gaan hebben over "soms maken mensen nu eenmaal fouten" :)
oef!
@WhatsappHack12 september 2017 09:56
70 Miljard dollar }:O
Armin
@oef!12 september 2017 22:03
Weinig kans op slagen, aangezien USA jurisprudentie hier aangeeft dat je schade moet aantonen. Er is *nog* geen schade, en zelfs bij fraude moet je kunnen aantonen dat het door dit lek komt.

Maar waarschijnlijk proberen ze een schikking te forceren.
oef!
@Armin12 september 2017 23:04
Ik snap. Ik ging alleen even lekker mee in de dramamolen :)

Neemt niet weg dat die club misschien alsnog torenhoge boetes/schadeclaims gaat betalen. Een breukdeel ervan zou al best wel dramatisch kunnen zijn voor de organisatie. Aangezien ze blijkbaar als een soort Amerikaanse BKR bekend staan, kun je er op wachten dat de politiek/rechterlijke macht zich er tegenaan gaat bemoeien.
The Zep Man
12 september 2017 07:33
Van de regen in de drup. :/

De XSS exploit an sich is niet zo erg. Veel erger is de reactie (geen) van de organisatie. Ze hadden het ook stilletjes kunnen repareren met minimale communicatie met Martin Hall, en dan was het waarschijnlijk niet zo groot in het nieuws gekomen.

Gecombineerd met de eerdere hack impliceert dit sterk dat deze organisatie niets geeft om informatiebeveiliging, en dat het daarom verstandig is om niet met hun in zee te gaan.

Aan de andere kant, gratis wereldwijde (negatieve) reclame...

[Reactie gewijzigd door The Zep Man op 12 september 2017 07:35]

fiftyhillswest
@The Zep Man12 september 2017 08:12
Het is ook wel duidelijk dat ze niets geven om hun klanten. Zodra je hun tool gebruikt om te controleren of je gegevens gestolen zijn, neem je afstand van het recht om een class-action lawsuit te beginnen.
Blokker_1999
@fiftyhillswest12 september 2017 08:31
Dat soort clausules zien we wel vaker en is ook al door rechters onderuit gehaald. Dat komt ervan als je in een maatschapij leeft die draait rond elkaar aanklagen.
WhatsappHack
@fiftyhillswest12 september 2017 08:31
Dat gaat geen stand houden in de rechtbank, al helemaal niet na Equifax het probeerde te downplayen dat het niet gaat om het datalek zelf maar louter ‘t gebruik van die check service.
jimmy_dg
@fiftyhillswest12 september 2017 09:58
Niet op het gebied van de "cyber security incident". Staat vermeld in de FAQ: https://www.equifaxsecuri...equently-asked-questions/
Do the TrustedID and Equifax Terms of Use limit my options related to the cyber security incident?

To confirm, enrolling in the free credit file monitoring and identity theft protection products that we are offering as part of this cybersecurity incident does not prohibit consumers from taking legal action. We have already removed that language from the Terms of Use on the site www.equifaxsecurity2017.com. The Terms of Use on www.equifax.com do not apply to the TrustedID Premier product being offered to consumers as a result of the cybersecurity incident. Again, to be as clear as possible, we will not apply any arbitration clause or class action waiver against consumers for claims related to the free products offered in response to the cybersecurity incident or for claims related to the cybersecurity incident itself.

[Reactie gewijzigd door jimmy_dg op 12 september 2017 09:58]

Armin
@fiftyhillswest12 september 2017 22:05
Het is ook wel duidelijk dat ze niets geven om hun klanten

Het zijn hun klanten dan ook niet. De klanten zijn financiele dienstverleners. Equifax is een soort BKR, maar dan veel groter. Wij consumenten/burgers zijn het product.

neem je afstand van het recht om een class-action lawsuit te beginnen.

Dat bleek gelukkig een broodje aap, en enkel te slaan op de dienst zelf, en niet de hack.
dakathefox
@The Zep Man12 september 2017 07:35
Uiteindelijk maakt het niet zoveel uit of ze er wel of geen ruchtbaarheid geven. Daar valt wat te halen, dus iedere zichzelf respecterende onderzoeker zal de site op de pijnbank leggen.
StackMySwitchUp
@The Zep Man12 september 2017 07:48
Niet met ze in zee gaan is geen optie.. het is basically de BKR van Amerika, als je moet, dan moet je.. De overheid had hier hard moeten ingrijpen, maar vzviw hebben ze dit nog niet gedaan.
Somoghi
@StackMySwitchUp12 september 2017 08:26
Is dit nu making America GREAT again? :+

Een site die lek is, waarbij de site die de klanten moet vertellen of ze getroffen zijn door het lek ook lek is. Wat komt er zometeen: nog een site die lek is?
dutchgio
12 september 2017 08:57
De hack heeft overigens plaats gevonden door een lek in Apache Struts, het is nog niet bekend of het om de recente kwetsbaarheden van vorige week gaat (zero-days) of een kwetsbaarheid die in maart al is gepatched...
Milmoor
@dutchgio12 september 2017 09:19
Meer info: http://www.theregister.co...ebuts_equifax_allegation/
Snake
12 september 2017 08:41
Ik heb al een Fraud alert op mijn file geplaatst, want ik zit er lekker bij. Wel jammer, dit systeem van credit score is niet slecht uitgedacht.
Harrie_
@Snake12 september 2017 08:53
Ik ben verder een leek op dit gebied en weet alleen dat er in de VS zoiets bestaat als credit score. Zo heb ik een vriend in de US wonen die bewust zo min mogelijk eten koopt met zijn creditcard omdat dat kennelijk zijn credit score harder naar beneden trekt dan bijv. elektronica-aankopen. 8)7

Kun je uitleggen wat er zo bijzonder / uniek / beter is aan het credit score systeem van Equifax?
Snake
@Harrie_12 september 2017 09:07
Dit is niet het systeem van Equifax. Dit is het systeem van de USA. (Equifax, Transunion & Experian)

Credit score is een combinatie van:
1) leeftijd van jouw credit-score-account
2) hoeveel leningen jij hebt lopen
3) de hoeveelheid credit aan jouw beschikbaar
4) hoeveel ervan je momenteel gebruikt
5) interesten dat je betaald (je kan een credit card perfect gebruiken zonder ooit iets te moeten afbetalen)
6) late betalingen
7) hoeveel 'hard' inquiries, dwz opvragingen bij een lening van een auto/huis/enz...

Deze score heeft ook meer invloed op jouw leven dan in BE/NL waar er niet zoveel wordt geregistreerd.

Bij de huur van een appartement wordt deze score dus gecontroleerd, en ook bij het aanvragen van een nieuwe credit card, bij een nieuwe lening voor auto/huis, bij een nieuwe auto-lease.

En rapporteringen gaan VEEL sneller.

Hoe beter de score hoe beter de voorwaarden die je krijgt.

Maar WAT je doet met je credit maakt niet uit, als ik 400$ USD per maand uitgeef aan eten, of aan electronica, en de credit card gewoon afbetaal, is dit geen probleem.

Voor mij was het bijvoorbeeld moeilijk om een appartement te huren als nieuwe persoon in de USA zonder creditscore.

Toevoeging:

Creditscore maakt het veel gemakkelijker om iemand te vertrouwen op basis van zijn verleden.

[Reactie gewijzigd door Snake op 12 september 2017 09:11]

latka
@Snake12 september 2017 09:48
Doet me denken aan die Black Mirror aflevering waarbij mensen alleen nog op basis van hun score met andere mensen op wilden trekken omdat ze anders zelf een lagere score krijgen. Lijkt met dit systeem wel dichterbij te komen (aanrader: kijken). En ik ben bang dat dit soort zaken je langer achtervolgen dan je lief is: een keer een uitglijder en je bent jaren bezig je score weer op te poetsen.
Snake
@latka12 september 2017 09:49
Goede aflevering inderdaad.

Een credit score hier is een sliding window, goede dingen blijven er voor altijd opstaan, slechte dingen de laatste 7 jaar.
latka
@Snake12 september 2017 09:51
7 jaar. Dat is vrij lang op een mensenleven. Dit riekt een beetje naar de 'eens een dief, altijd een dief' gedachte. Tijd om mijn creditcard maar eens weg te doen.
YopY
@latka12 september 2017 10:15
BKR registratie blijf je houden, da's mogelijk nog zwaarder. Evenals een studieschuld, als je pech hebt blijf je die tot je AOW hebben.
latka
@YopY12 september 2017 10:48
Studieschuld is 15 jaar (of 30 max.). BKR is 5 jaar.
Snake
@latka12 september 2017 09:52
1 keer te laat betalen is geen probleem.
2 keer ook niet.

Het gaat allemaal om hoeveelheid.

Consequent te laat betalen is wel slecht.

En credit cards hier zijn nog veel interessanter, bijvoorbeeld door cashbacks. Iedere uitgave krijg ik 2% van terug.
multiplexer
@latka12 september 2017 12:36
Mocht je na lezen van bovenstaande comment deze aflevering willen zien: Dit betreft Black Mirror S03E01 - "Nosedive" ( https://www.netflix.com/watch/80104627 ).

[Reactie gewijzigd door multiplexer op 12 september 2017 12:37]

Harrie_
@Snake12 september 2017 09:36
Creditscore maakt het veel gemakkelijker om iemand te vertrouwen op basis van zijn verleden.
Er valt zeker wat voor te zeggen. Enerzijds vind ik het maar een 'eng idee' dat alles wordt geregistreerd en in de gaten wordt gehouden. Anderzijds heb je hier natuurlijk te maken met een maximale hypotheeksom en bij huren in de vrije sector allerlei gekke regels zoals je moet 3x of 4x de kale huur bruto verdienen. Daarbij wordt iedereen over één kam geschoren terwijl dat natuurlijk niet reëel is; mensen hebben verschillende levensstijlen, uitgavenpatronen en gaan anders met geld om... Ik kan me voorstellen dat je dan in de US met een creditscore 'beloond' wordt als je goed met geld omgaat.

[Reactie gewijzigd door Harrie_ op 12 september 2017 09:36]

xelnaha
@Harrie_12 september 2017 10:49
Dit is ook het geval in Engeland, waar ik op dit moment bij de concurrent van Equifax werk. Ergens is het niet verkeerd dat het betalings gedrag van mensen wordt geregistreerd, aan de andere kant vond ik het uitermate lastig om zaken geregeld te krijgen toen ik verhuisde naar the UK.

inmiddels woon ik er al weer een aantal jaren en heb ik een geschiedenis opgebouwd en heb ik geen problemen meer, maar soms is het verdraaid lastig in ieder geval
Armin
@Harrie_12 september 2017 22:06
Zo heb ik een vriend in de US wonen die bewust zo min mogelijk eten koopt met zijn creditcard omdat dat kennelijk zijn credit score harder naar beneden trekt dan bijv. elektronica-aankopen

Dan snapt hij er niet veel van, want enkel de balans, totale limiet en wat je niet afbetaald worden gemeld. Niet de inhoud.
ndonkersloot
12 september 2017 07:36
*facepalm*.

Dit is natuurlijk wel heel erg knudde. Hebben ze in Amerika ook een meldplicht bij datalekken oid?
Armin
@ndonkersloot12 september 2017 22:06
Dat is per staat verschillend. Federaal is er enkele en plicht bij medische gegevens lekken.
xiphoid
12 september 2017 07:43
haha, hun "freeze pin" is een timestamp v/d datum + tijd. SUPER UNIEK ... not.
Quilt
12 september 2017 09:17
Ik begrijp wel niet welke bijkomende gegevens men kan buitmaken.
Cowamundo
@Quilt12 september 2017 09:45
Men zou door middel van deze kwetsbaarheid zich in een phishing email doen voorkomen als Equifax met bv een melding dat jouw gegevens zijn buitgemaakt bij hack "x".
Om daar wat aan te doen sturen ze je door naar een (fake) website waar je allerlei informatie invult die hun vervolgens weer voor andere illegale doeleinde kunnen gebruiken.

Een soort mail van bv de politie dat iets gestolen is, jij een kopie van jouw id kaart moet opstuurt om dingen te verifieren en de crimineel daarmee vervolgens een huis huurt voor een wietplantage, tel abbo of leningen afsluit etc.

[Reactie gewijzigd door Cowamundo op 12 september 2017 09:47]

Snake
@Quilt12 september 2017 09:38
SSNs.

Zet een link op Reddit met de text: Click here to see if you're infected.

Steek XSS in de URL, en je hebt gratis SSNs.
Quilt
@Snake12 september 2017 10:01
Maar de SSNs met adressen, geboortedata van 1/3e van de Amerikanen zijn gelekt.
Is er echt nog iemand die nood heeft aan meer SSNs?

Men zou beter werk maken van een omkering van het risico. Laat de banken en kredietmaatschappijen ervoor opdraaien, ipv de 'onschuldige' slachtoffers.
Armin
@Quilt12 september 2017 22:09
Dat is dan ook zo. Beide zijn slachtoffer. Immers bij valse aanvragen vancreditcards etc zal deze fraudeur echt die kaart niet gaan afbetalen. Dus zowel de kaart-verstrekker als SSN-'eigenaar' krijgen schade.

In die zin positief dat wellicht banken in de VS meer zorgvuldig zullen zijn bij creditcards verstrekken. Nu kun je soms nog kaarten krijgen bij (per ongeluk) foutief verstrekte gegevens.
Anoniem: 898843
12 september 2017 14:53
Hoe zijn ze erachter gekomen vraag ik mij af?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee