Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cryptocurrency-handelaar LiteBit meldt nieuwe inbraak op server

Door , 123 reacties, submitter: ChristianBurger

De in Nederland gevestigde cryptocurrency-exchange LiteBit meldt dat onbevoegden toegang hebben gehad tot e-mailadressen, gehashte wachtwoorden, ibans, telefoonnummers en portfoliogegevens van klanten. Vorige maand gebeurde dat ook al.

In een e-mail aan gebruikers schrijft LiteBit dat er een aanval heeft plaatsgevonden op een 'toeleverancier' en daarbij is een server van de exchange betrokken geweest. Het bedrijf zegt de aanval te onderzoeken, maar nu al te kunnen concluderen dat een onbevoegd persoon toegang heeft gehad tot persoonsgegevens.

LiteBit benadrukt dat de aanval geen invloed heeft op tegoeden van de gebruikers. Ook zouden er geen verificatiedocumenten zijn betrokken bij het incident. Het bedrijf merkt op dat het van groot belang is dat klanten tweetrapsauthenticatie opnieuw instellen.

Het bedrijf uit Zoetermeer heeft melding gedaan van het lek bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Het is de tweede keer in korte tijd dat LiteBit melding maakt van een datalek. Vorige maand waarschuwde het bedrijf ook al zijn klanten; ook toen hadden onbevoegden toegang tot vergelijkbare persoonsgegevens.

Door Julian Huijbregts

Nieuwsredacteur

13-09-2017 • 16:41

123 Linkedin Google+

Submitter: ChristianBurger

Reacties (123)

Wijzig sortering
Volledige e-mail:

Toeleverancier van LiteBit slachtoffer cyberaanval

Beste <vul in>,

Een toeleverancier van LiteBit is op 12 september 2017 slachtoffer geworden van een gerichte cyberaanval. Helaas heeft dit betrekking gehad op een server van LiteBit. De details van de cyberaanval worden momenteel onderzocht, maar wij kunnen concluderen dat een onbevoegd persoon toegang heeft gekregen tot uw: emailadres, gehasht wachtwoord, IBAN’s, telefoonnummer, adres en portfolio gegevens.


Deze aanval heeft nadrukkelijk geen invloed gehad op de tegoeden van gebruikers, alle munten van gebruikers staan veilig. Ook zijn er geen verificatie documenten (identiteitsgegevens) betrokken bij dit incident.

Het is van groots belang dat 2FA instellingen opnieuw ingesteld worden. Hier kunt u lezen hoe u dat kunt doen: LiteBit 2FA

Wij begrijpen dat de recente problemen bij LiteBit en haar toeleverancier een deuk slaan in het vertrouwen in onze organisatie. Hiervoor bieden wij onze oprechte excuses aan. Wij hebben direct maatregelen getroffen en wij zullen in de toekomst maatregelen blijven treffen om uw vertrouwen in LiteBit te herstellen. Er is aangifte gedaan bij de politie en een melding gemaakt bij de Autoriteit Persoonsgegevens.


Heeft u nog vragen? Neem gerust contact op met de helpdesk!

Telefoon: +31 (0) 10 307 48 20
E-mail: support@litebit.eu
Onze excuses voor het ongemak,

Team LiteBit.eu
Zelf je portofolio gegevens, dus met welk bedrag en welke valutas je momenteel mee handelt zijn bij ze bekend?

[Reactie gewijzigd door robertpNL op 13 september 2017 16:56]

Wellicht je 'balans-mutaties'; maar uiteindelijk is dit alleen een methode om je spullen te verkrijgen. Vervolgens verhandel je het op een exchange of transfer je het naar een wallet. Dus ja er zal staan dat je x gekocht hebt en x verkocht hebt. Er zal een SQL dump gemaakt zijn, en ze houden transacties bij.

Tenzij het miljoenen zijn lijkt het me niet zo boeiend. Ook kunnen ze het wellicht misbruiken voor phishing naar mensen met veel assets.
Wat apart dat de persoonsgegevens zoals IBAN, transacties en naam/adres zomaar toegankelijk zijn voor vriend en vijand van de "toeleverancier".

Waren die niet in eigen beheer en beveiligd opgeslagen dan?

Zou het zin hebben om aangifte te doen tegen Litebit wegens het niet afdoende beschermen van deze persoons gegevens?

[Reactie gewijzigd door MaabuS op 13 september 2017 17:10]

Ik weet niet of dat nut heeft. Waarschijnlijk pas nadat de AP heeft geconstateerd dat de beveiliging niet afdoende was. Je kan uiteraard altijd bij je rechtsbijstand checken.

Ik ga dat sowieso doen!
Leg eens uit. Wat wil je met de rechtsbijstand doen? Misschien handig voor anderen.
vragen of ik Litebit aansprakelijk kan stellen voor nalatigheid in hun beveiliging, waardoor de hack plaats heeft kunnen vinden. Twee maal binnen een maand ziet er naar uit dat ze gewoon een hele slechte beveiliging hadden en niets doen om het beter te maken.
Plus wat Maabus aangeeft. Dat derden dus onbeperkt toegang krijgen (kregen?) tot persoonlijke gegevens.

Ik vind het echt not done als 1 van de dienstverleners waar ik klant bij ben, mijn IBAN en NAW gegevens lekker doorspeeld met derden. Ben wel benieuwd of hier wettelijk wat tegen te doen is, want volgens mij is ergens in de TOS neerplempen van "We kunnen al je persoonlijke info delen met iedereen" niet afdoende.
Daarom ga ik eerst informatie inwinnen bij mijn rechtsbijstand.
Ik vind het van de zotte, dat al mijn gegevens zo op straat worden gegooid.
Stuur mij even een DM als je er een zinnig antwoord op ontvangt.
Ik heb dan ook interesse om Litebit te laten betalen voor hun fout.

[Reactie gewijzigd door jimbo123 op 14 september 2017 11:16]

Ik wil het ook graag weten, vind het namelijk zelf ook echt niet kunnen dat er gegevens van mij zijn gelekt.
Wil je mij ook op de hoogte houden?
Kan ik ook bij in het rijtje?
Als je meer weet, graag laten weten :)
Sorry maar de gegevens zijn *gestolen*. Dat is natuurlijk heel wat anders dan delen met anderen.

Ik ben de eerste om bedrijven die laks om gaan met persoonsgegevens te veroordelen maar er bestaat natuurlijk ook zoiets als overmacht. Of de servers onvoldoende beveiligd waren weet je natuurlijk niet. Dat iets beveiligd is wil niet zeggen dat het onmogelijk is om er bij te kunnen. Verder geeft LiteBit aan dat een toeleverancier (hosting partij?) gericht is aangevallen. Vreemd overigens dat ze die niet gewoon bij naam noemen. Dat zou ik wel doen als ik LiteBit was.

Voor de rest lijkt het er op dat LiteBit geheel correct ermee om gaat: Aangifte doen, melden bij AP, klanten informeren. Er zijn heel wat bedrijven geweest die dat heel anders hebben gedaan. Zoals Yahoo van wie 1 miljard (!!) accounts werden gestolen en die dat 3 jaar (!!) verzweeg voordat het eindelijk aan het licht kwam.

Bovendien maken de aanvallers vrijwel altijd gebruik van een lek in de software. Hoe zit het met de aansprakelijkheid van de leverancier van die software?

Wat rechtsbijstand betreft... good luck with that.
Ik heb zojuist contact met ze gehad. Ze geven aan dat hun hosting provider is gehackt en dat ze zelf al juridische stappen aan het voorbereiden zijn. Op mijn vraag of in ieder geval mijn verificatiedocumenten verwijderd kunnen worden; dat kan alleen tezamen met je hele account. Dit vind ik wel belangrijk, want als ze al mijn gegevens hebben, en daar komt mijn BSN bij, dan ben ik zeker de lul. Het is dus niet zo, eenmaal geverifieerd, altijd geverifieerd. Ik zeg mijn account in ieder geval op!
Ook al is hun provider gehacked, wil dat nog niet zeggen dat hun eigen beveiliging afdoende was. Ik bedoel, ze beheren zelf de servers die gehost worden.
Je zou zeggen dat een ezel in het algemeen zich nooit 2x stoot aan dezelfde steen.
Ik heb ze in eerste instantie gevraagd wat de autoriteit persoonsgegevens in dit verhaal kan doen. Een volgende stap zou zoiets kunnen zijn.
Vreemde opmerking. Zeg je zoiets ook tegen mensen van wie twee keer iets gestolen wordt?

Die ezel stoot zich door zijn eigen domme schuld. Het lijkt er op dat LiteBit weinig te verwijten valt in dit geval, behalve wellicht het gebruiken van de verkeerde leverancier.
Vind het toch niet ok dat de IBAN ongecrypt erin staat. Die heb je alleen nodig bij geldtransacties en niet bij normaal gebruik van de account. Dat hoort dus in een apart systeem te draaien (net zoals bij credit cards gebeurt). Juist met de NAW + IBAN kan een kwaadwillende een stuk meer dan met losse gegevens.

Ik vind de conclusie dat LB 'weinig' te verwijten valt ook te voorbarig. Juist nu om de haverklap sites gehackt worden moet je als moderne geldexchange toch 2x nadenken wat je gegevensbeveiliging betreft, ze zijn geen webwinkel in visspullen of iets dergelijks.
Er valt hen nalatigheid te verwijten. Als je slot bij de eerste keer gesloopt is, dan vervang je het door een betere. Ik hoop dat dit in jouw logica past.
Bedenk wel dat als het inderdaad in beide gevallen via een/de leverancier ging dat het lastig is om binnen een maand je hele dienst over te zetten naar een andere leverancier.

Net als dat ze in jouw auto inbreken jij ook niet meteen je hele auto zult vervangen neem ik aan.
In dit geval gaat het over een lease, nietwaar?
Wat is de beste optie om je coins naar een andere "betrouwbare" partij te verplaatsen?
Zelf een wallet aanmaken, in eigen beheer nemen en alles lokaal opslaan met dubbele backup en eventueel een Nano Ledger. Eigen backup encrypten als je geen gebruik maakt van een Ledger om de beveiliging nog een stapje te verhogen.

Je currency wegzetten bij een exchange geeft nooit garantie. Zelf heb ik alles in eigen beheer.

[Reactie gewijzigd door ruudvgeleuken op 13 september 2017 16:52]

Precies dat, gewoon lokaal beheren. Niks op exchanges...
Ledger Nano S

Een relatief dure oplossing, maar op dit moment wel als veiligst beschouwd.
¤70,- is niks, als je een gemiddelde handelaar berooft is hij een heel stuk meer kwijt.
Moet wel minstens nog een maand wachten voor ze versturen, enige alternatieven die momenteel wel beschikbaar zijn (en ook veilig natuurlijk)
Paper wallets of op een Wallet op je PC.
Zolang je zelf de private keys maar hebt.

Beurzen als Poloniex, Bittrex, Cryptopia, Kraken...... ik hou m'n hart vast als daar ooit iets heftigs gebeurt. :-/ Het is echt schering en inslag vandaag de dag dat je gegevens op straat belanden.
Zoals ruudvgeleuken zegt: Zorg dat je assets altijd op je eigen hard wallet staan, een wallet waarbij je dus je eigen keys beheerd. De exodus wallet is een goed voorbeeld van zo een wallet waarin je ook nog eens een aantal verschillende coins/tokens kunt opslaan en deze onderling kunt verhandelen. Veel mensen zweren bij een ledger wallet (hardware wallet) echter een digitale wallet waarbij je je restore key en wachtwoorden encryt en in een dropbox wegzet.is minimaal net zo veilig en overal ter wereld te bereiken.
Ik ben net ingestapt, wel geschrokken van deze hack. Maar je id gegevens zijn veilig zeggen ze, omdat het offline op een server bewaard wordt.
Maar die server moet in een netwerk hangen, lijkt me niet dat ze die data via USB sticks gaan overzetten. Maar dan kun je bij een hack toch ook in die server komen?
Kan iemand met kennis van netwerken uitleggen hoe zoiets veilig kan zijn?
Zoiets kan niet veilig zijn, maar je kunt het wel veiliger maken dan de indruk die ze mij nu geven.

3rde partijen die schijnbaar zonder moeite en op grote schaal, direct bij dit soort persoonlijke gegevens kunnen komen is gewoon een grote faal, alsof ze niet eens de moeite hebben genomen een security 101 les te volgen.
lijkt me niet dat ze die data via USB sticks gaan overzetten.
Ja, wel dus. Bij zogenaamde cold storage is dat precies wat ze doen. De data bewaren op een plek die niet via een netwerk te benaderen is. Dit kan natuurlijk nooit met alle coins want dat zou onwerkbaar zijn, maar vergelijk het met een bank die ¤10.000 in kas heeft liggen, maar onder in een kluis nog eens een ton achter de hand heeft, mocht dit net een dag zijn dat heel veel mensen geld op komen nemen.
Nou, ik ga m'n account verwijderen daar, 2 x zo snel achter elkaar, mijn vertrouwen is weg
Hoe? ik zie geen verwijder opie.
ik heb ze gelijk gemaild, met de vraag hoe

[Reactie gewijzigd door Boy op 13 september 2017 16:51]

Top! ik hoor het graag van je als je antwoord krijgt. Want ik verwacht dat hun servicedesk overspoeld wordt.

Als iemand anders dit weet hoor ik het ook graag. Zo als meerdere mensen denk ik.
Ik zou in ieder geval je wallets verplaatsen naar een veiligere locatie.
Op dit moment waren die min of meer veilig.. maar ik zou als eerste mijn coins weghalen daar.
ik heb er gelukkig geen coins staan / nooit via hun gekocht...maar m'ng gegevens liggen daar wel en nu blijkbaar al 2 x gehackt, dat is gewoon klote
Gaat via het contactformulier. Staat ook bij de FAQ.
Dear Boy,

We are sorry to hear you want to leave LiteBit but we do understand your decision. Your LiteBit account and all details have been removed at this moment. We wish you the best in the future.

We apologize for the inconvenience this event has caused and I completely understand and respect your decision to leave LiteBit.
De gemakkelijkste manier is blijkbaar om in te loggen op hun servers en dan handmatig in SQL uw records te verwijderen.
Deze reactie is door een moderator gefixeerd. Modereren is niet mogelijk.
Wow Biglia, je hebt een gevoelige snaar geraakt blijkbaar. Zit nu bijna 20 jaar op Tweakers maar dit heb ik nog nooit eerder gezien.

Het grote publiek kon je humor i.i.g. wél waarderen:
+3 Spotlight 28
+2 Informatief 4
+1 On-topic 23
0 Off-topic / Irrelevant 4
-1 Ongewenst 2
Ook ik wil het verwijderen maar er is nergens een verwijder optie :(
Ik ben helemaal klaar met LiteBit.
Schijnbaar moet je hun support mailen om je account te verwijderen.....
Gadverdamme, wat een amateurs. Dat je je eigen account niet kan verwijderen is volgens mij zelfs tegen de wet. Vieze grapjes.
Je moet je account kunnen laten verwijderen hoe dit kan maakt niet uit volgens de wet.
Een optie in het contact formulier is dus voldoende.
Ter hun verdediging, er is best een logische reden om accounts niet zomaar via de web interface te laten verwijderen. Want als daar dan eens een fout in zit en mensen kunnen de accounts van anderen verwijderen dan zijn de rapen natuurlijk pas écht gaar.
Zelfs bij Google kan het, dus verdediging niet aanvaard.
Zelfs bij Google? Je hebt het over het meest rijke, meest technisch onderlegde IT bedrijf ter wereld. Ik zou het omdraaien: Google lukt het, maar dat is dan ook Google.

Kun je hier bij Tweakers je account verwijderen? En wordt alle data dan ook echt weggegooid? Nooit geprobeerd eerlijk gezegd.
Gewoon een bevesting auth. sturen naar jou mobiel. Zo simpel kan het. Als je kan auth. via een mobiel dan kan dat ook andersom.
Tuurlijk. Maar ik snap echt wel waarom bedrijven niet veel geld investeren in het laten verwijderen van accounts via de web interface. Het is zeg maar een feature die minder prioriteit heeft dan andere features en dat is begrijpelijk denk ik. Want het is gewoon een riskante feature als je het niet helemaal goed doordacht doet en let's face it mensen die hun account willen verwijderen zijn nou niet echt de doelgroep waarmee een bedrijf zijn geld gaat verdienen.
En terecht, de info die ze verzamelen van een toeleverancier is zeker veel te veel. En ik twijfel of het uberhaubt echt nodig is.
Hebben ze wel iets geleerd van de vorige keer? Is er geen informatie bekend hoe dit ongeveer is gegaan?
Vorige keer is nog maar een maand terug!
Tijd genoeg dus om er iets aan te doen!
Onzin. Je kan fantastische verhalen verzinnen over hoe je dit moet aanpakken binnen 24 uur, maar de beste stuurlui staan aan wal.

Ik ben ruim zes maanden bezig geweest met het juiste beleid voor een organisatie, en dat werd door adviseurs nog als snel beschouwd.
Ik heb de vorige aanval 2FA ingeschakeld (wat destijds werd aanbevolen).
Ik ben nu wel benieuwd of ik daarmee veilig ben of dat ze dan nog steeds bij mijn gegevens kunnen?
Ze hebben je gegevens. Alleen als ze je wachtwoord kunnen kraken, kunnen ze niet direct bij je account inloggen omdat je dan 2FA hebt ingeschakeld. Ik zou zowiezo je wachtwoord wijzigen.

Edit: en je 2FA instellingen opnieuw instellen

[Reactie gewijzigd door xDiglett op 13 september 2017 16:57]

Als de aanvallers een SQL dump hebben gemaakt (wat mij aannemelijk lijkt) kun je net zo hard 2FA aanzetten, maar als ze de informatie toch al hebben zie ik niet in wat 2FA nu nog gaat oplossen.

Het is niet alsof litebit een eigen wallet systeem heeft. Je koopt coins en geeft je eigen adres aan. Het is geen beurs ofzo.

Ik denk dat dit een soort van schijn-veiligheidsmaatregel van Litebit is. Zovan: als je 2FA had aangezet was er niks gebeurd 8)7.
Litebit heeft voor diverse coins wel degelijk een eigen wallet. Ik noem een xvg...

Zal wel ergens gehost worden in india voor 2 cent... je weet toch... lekker goedkoop.... waarom voelt dit bedrijf aan als helderhosting..????
Fair enough; was ik niet van op de hoogte. Dessalnietemin: als je daar je coins na de eerste keer nog had staan moet je misschien ook niet in de crypto business duiken.
Het is van groots belang dat 2FA instellingen opnieuw ingesteld worden. Hier kunt u lezen hoe u dat kunt doen: LiteBit 2FA

Alles wijzigen dus
Als ze de hashes van de 2FA in dezelfde database opslaan, dan hebben die ook weinig zin en ben je dus niet veilig.
heb inderdaad net een e-mail gekregen, zeer treurig dat dit de zoveelste lek is waar consumenten de dupe van worden en niks tegen kunnen doen.

dit is de eerste keer (voor zover ik weet) dat gevoelige gegevens van mij gehacked is, waaronder dus mijn adres, telefoonnummer en IBAN.
zijn er bepaalde stappen die ik moet nemen? ik weet niet precies wat met deze gegevens gedaan kan worden. (identiteitsfraude? spam?)
Als je geen BSN hebt opgegeven, dan kan er in principe weinig gebeuren. Met alleen adres en bankrekening kunnen ze niet zoveel.

/edit:
En qua spam is het natuurlijk zaak om een goede spam filter te installeren (of Gmail te gebruiken).

[Reactie gewijzigd door OverSoft op 13 september 2017 17:18]

Punt is nu wel dat deze hackers dus nu weten welke cryptos jij hebt gekocht en waar jij die naar toe hebt gestuurd. Vervolgens hebben zij ook jou email adres dus kunnen zij jou benaderen met mail en virussen erin. Ze kunnen jou email adres tegen eerder gehackte databases aan houden en kijken of het ww daar bekend is. Om die vervolgens te proberen bij litebit en exchanges. Zijn altijd mensen die dezelfde gegevens overal gebruiken. Via de mobiel kunnen zij mbv sms jou ergens naar toe sturen en je mobiel infecteren.. Met een beetje fantasie is er een hoop mogelijk. Maar ja ik ben ook behoorlijk paranoïa op internet..
Tsja, laat ik het zo zeggen. Ik ben al veel vaker bij haveibeenpwned langs gekomen in verschillende hacks en naast wat spam (die eenvoudig op te lossen is, ik gebruik aparte e-mail adressen per account, e-mail blokkeren na spam ontvangen) is er nog nooit verder iets van gekomen.

Als je gewoon een beetje nadenkt kan er weinig gebeuren. Als je daarentegen op iedere link klikt die je via SMS of e-mail binnen krijgt, tsja, dan maakt deze hack ook geen verschil.
Met een bankrekening nummer kunnen ze meer dan je denkt.

Namelijk, een bult diensten afsluiten en je een boel gezeik op de nek halen. Bedrijven kijken namelijk al jaren niet meer naar "Naam + rekening nummer" om te zien of dit wel klopt, want deze aanvraag kost geld en is niet verplicht.

Mijn bankrekening nummer is voor mij bijna net zo gevoelig als mijn BSN nummer. 1 van de 2 is voldoende om mij in mijn leven dwars te zitten. Als ik een nieuw BSN nummer moet krijgen, zal me aan me reet roesten. Een nieuw rekening nummer, liever niet. Nog een lekker kort 9 cijferig nummer uit het vorige millenium.
Ach, bij internet overeenkomsten moet er altijd een proef betaling met iDeal plaatsvinden vanaf het bankrekening nummer wat wordt gebruikt voor het abo. Bij telefonisch moet er een gesproken opgenomen goedkeuring plaatsvinden (welke eenvoudig te ontkrachten is, dat ben jij niet). En bij schriftelijk moet er een handtekening geplaatst worden.

In alle gevallen is "bewijs maar" eenvoudig te bekrachtigen.

Natuurlijk, het kost je tijd om het op te lossen, dat is vervelend, dat snap ik, maar het is geen permanente schade.
Wat moet een toeleverancier met iban login hashed ww en portofolio gegevens ???
Een 3de partij......... wtf... litebit mag zich hier even nader verklaren.......

[Reactie gewijzigd door innerchild op 13 september 2017 17:20]

Zal wellicht een VPS provider zijn, technisch gezien hebben de server eigenaren dan alle data van de klanten.
Als je hosting provider bij jou data kan, doe je het verkeerd. Helemaal dit soort gevoelige persoonsgegevens... Daar moet je zelfs met fysieke toegang niet bij moeten kunnen komen.
Je kan de harddisk encrypten. Maakt het onderhoud knap lastig door te vereisen dat je iedere reboot de encryptie key in moet voeren (en ook dat is natuurlijk af te luisteren als het een VPS betreft, de provider zou iedere keystroke kunnen loggen), maar het kan wel.
Wel irritant dat je vrij makkelijk online een account kan aanmaken, maar er geen makkelijke manier is om je account te verwijderen. Bij iBood had ik daar ook al last van. Is er geen wetgeving die zegt dat je min of meer net zo makkelijk moet kunnen opzeggen als dat je je aanmeldt?
Ik ben het met je eens maar er zitten gevolgen aan het verwijderen van een account. Bij iets als Facebook mag het geen probleem zijn maar als er financiële transacties zijn dan moeten die toch echt in een boekhouding terecht komen. In princiepe kan het account dan worden gewist maar de transactie niet. Bij de transactie wil je ook wat details zoals NAW gegevens. Dat maakt het wel enigszins complex.
Dramatisch...

Ik baalde er al van dat ik mijn account niet had opgezegd na de eerste keer..

[Reactie gewijzigd door Crasheeee op 14 september 2017 08:18]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*