Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cryptocurrency-handelaar LiteBit meldt nieuwe inbraak op server

Door , 123 reacties, submitter: ChristianBurger

De in Nederland gevestigde cryptocurrency-exchange LiteBit meldt dat onbevoegden toegang hebben gehad tot e-mailadressen, gehashte wachtwoorden, ibans, telefoonnummers en portfoliogegevens van klanten. Vorige maand gebeurde dat ook al.

In een e-mail aan gebruikers schrijft LiteBit dat er een aanval heeft plaatsgevonden op een 'toeleverancier' en daarbij is een server van de exchange betrokken geweest. Het bedrijf zegt de aanval te onderzoeken, maar nu al te kunnen concluderen dat een onbevoegd persoon toegang heeft gehad tot persoonsgegevens.

LiteBit benadrukt dat de aanval geen invloed heeft op tegoeden van de gebruikers. Ook zouden er geen verificatiedocumenten zijn betrokken bij het incident. Het bedrijf merkt op dat het van groot belang is dat klanten tweetrapsauthenticatie opnieuw instellen.

Het bedrijf uit Zoetermeer heeft melding gedaan van het lek bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Het is de tweede keer in korte tijd dat LiteBit melding maakt van een datalek. Vorige maand waarschuwde het bedrijf ook al zijn klanten; ook toen hadden onbevoegden toegang tot vergelijkbare persoonsgegevens.

Door Julian Huijbregts

Nieuwsredacteur

13-09-2017 • 16:41

123 Linkedin Google+

Submitter: ChristianBurger

Reacties (123)

Wijzig sortering
Volledige e-mail:

Toeleverancier van LiteBit slachtoffer cyberaanval

Beste <vul in>,

Een toeleverancier van LiteBit is op 12 september 2017 slachtoffer geworden van een gerichte cyberaanval. Helaas heeft dit betrekking gehad op een server van LiteBit. De details van de cyberaanval worden momenteel onderzocht, maar wij kunnen concluderen dat een onbevoegd persoon toegang heeft gekregen tot uw: emailadres, gehasht wachtwoord, IBAN’s, telefoonnummer, adres en portfolio gegevens.


Deze aanval heeft nadrukkelijk geen invloed gehad op de tegoeden van gebruikers, alle munten van gebruikers staan veilig. Ook zijn er geen verificatie documenten (identiteitsgegevens) betrokken bij dit incident.

Het is van groots belang dat 2FA instellingen opnieuw ingesteld worden. Hier kunt u lezen hoe u dat kunt doen: LiteBit 2FA

Wij begrijpen dat de recente problemen bij LiteBit en haar toeleverancier een deuk slaan in het vertrouwen in onze organisatie. Hiervoor bieden wij onze oprechte excuses aan. Wij hebben direct maatregelen getroffen en wij zullen in de toekomst maatregelen blijven treffen om uw vertrouwen in LiteBit te herstellen. Er is aangifte gedaan bij de politie en een melding gemaakt bij de Autoriteit Persoonsgegevens.


Heeft u nog vragen? Neem gerust contact op met de helpdesk!

Telefoon: +31 (0) 10 307 48 20
E-mail: support@litebit.eu
Onze excuses voor het ongemak,

Team LiteBit.eu
Zelf je portofolio gegevens, dus met welk bedrag en welke valutas je momenteel mee handelt zijn bij ze bekend?

[Reactie gewijzigd door robertpNL op 13 september 2017 16:56]

Wellicht je 'balans-mutaties'; maar uiteindelijk is dit alleen een methode om je spullen te verkrijgen. Vervolgens verhandel je het op een exchange of transfer je het naar een wallet. Dus ja er zal staan dat je x gekocht hebt en x verkocht hebt. Er zal een SQL dump gemaakt zijn, en ze houden transacties bij.

Tenzij het miljoenen zijn lijkt het me niet zo boeiend. Ook kunnen ze het wellicht misbruiken voor phishing naar mensen met veel assets.
Wat apart dat de persoonsgegevens zoals IBAN, transacties en naam/adres zomaar toegankelijk zijn voor vriend en vijand van de "toeleverancier".

Waren die niet in eigen beheer en beveiligd opgeslagen dan?

Zou het zin hebben om aangifte te doen tegen Litebit wegens het niet afdoende beschermen van deze persoons gegevens?

[Reactie gewijzigd door MaabuS op 13 september 2017 17:10]

Ik weet niet of dat nut heeft. Waarschijnlijk pas nadat de AP heeft geconstateerd dat de beveiliging niet afdoende was. Je kan uiteraard altijd bij je rechtsbijstand checken.

Ik ga dat sowieso doen!
Leg eens uit. Wat wil je met de rechtsbijstand doen? Misschien handig voor anderen.
vragen of ik Litebit aansprakelijk kan stellen voor nalatigheid in hun beveiliging, waardoor de hack plaats heeft kunnen vinden. Twee maal binnen een maand ziet er naar uit dat ze gewoon een hele slechte beveiliging hadden en niets doen om het beter te maken.
Plus wat Maabus aangeeft. Dat derden dus onbeperkt toegang krijgen (kregen?) tot persoonlijke gegevens.

Ik vind het echt not done als 1 van de dienstverleners waar ik klant bij ben, mijn IBAN en NAW gegevens lekker doorspeeld met derden. Ben wel benieuwd of hier wettelijk wat tegen te doen is, want volgens mij is ergens in de TOS neerplempen van "We kunnen al je persoonlijke info delen met iedereen" niet afdoende.
Wat is de beste optie om je coins naar een andere "betrouwbare" partij te verplaatsen?
Zelf een wallet aanmaken, in eigen beheer nemen en alles lokaal opslaan met dubbele backup en eventueel een Nano Ledger. Eigen backup encrypten als je geen gebruik maakt van een Ledger om de beveiliging nog een stapje te verhogen.

Je currency wegzetten bij een exchange geeft nooit garantie. Zelf heb ik alles in eigen beheer.

[Reactie gewijzigd door ruudvgeleuken op 13 september 2017 16:52]

Ledger Nano S

Een relatief dure oplossing, maar op dit moment wel als veiligst beschouwd.
¤70,- is niks, als je een gemiddelde handelaar berooft is hij een heel stuk meer kwijt.
Paper wallets of op een Wallet op je PC.
Zolang je zelf de private keys maar hebt.

Beurzen als Poloniex, Bittrex, Cryptopia, Kraken...... ik hou m'n hart vast als daar ooit iets heftigs gebeurt. :-/ Het is echt schering en inslag vandaag de dag dat je gegevens op straat belanden.
Zoals ruudvgeleuken zegt: Zorg dat je assets altijd op je eigen hard wallet staan, een wallet waarbij je dus je eigen keys beheerd. De exodus wallet is een goed voorbeeld van zo een wallet waarin je ook nog eens een aantal verschillende coins/tokens kunt opslaan en deze onderling kunt verhandelen. Veel mensen zweren bij een ledger wallet (hardware wallet) echter een digitale wallet waarbij je je restore key en wachtwoorden encryt en in een dropbox wegzet.is minimaal net zo veilig en overal ter wereld te bereiken.
Ik ben net ingestapt, wel geschrokken van deze hack. Maar je id gegevens zijn veilig zeggen ze, omdat het offline op een server bewaard wordt.
Maar die server moet in een netwerk hangen, lijkt me niet dat ze die data via USB sticks gaan overzetten. Maar dan kun je bij een hack toch ook in die server komen?
Kan iemand met kennis van netwerken uitleggen hoe zoiets veilig kan zijn?
Zoiets kan niet veilig zijn, maar je kunt het wel veiliger maken dan de indruk die ze mij nu geven.

3rde partijen die schijnbaar zonder moeite en op grote schaal, direct bij dit soort persoonlijke gegevens kunnen komen is gewoon een grote faal, alsof ze niet eens de moeite hebben genomen een security 101 les te volgen.
Nou, ik ga m'n account verwijderen daar, 2 x zo snel achter elkaar, mijn vertrouwen is weg
Hoe? ik zie geen verwijder opie.
ik heb ze gelijk gemaild, met de vraag hoe

[Reactie gewijzigd door Boy op 13 september 2017 16:51]

Top! ik hoor het graag van je als je antwoord krijgt. Want ik verwacht dat hun servicedesk overspoeld wordt.

Als iemand anders dit weet hoor ik het ook graag. Zo als meerdere mensen denk ik.
Gaat via het contactformulier. Staat ook bij de FAQ.
De gemakkelijkste manier is blijkbaar om in te loggen op hun servers en dan handmatig in SQL uw records te verwijderen.
Ook ik wil het verwijderen maar er is nergens een verwijder optie :(
Ik ben helemaal klaar met LiteBit.
Schijnbaar moet je hun support mailen om je account te verwijderen.....
Gadverdamme, wat een amateurs. Dat je je eigen account niet kan verwijderen is volgens mij zelfs tegen de wet. Vieze grapjes.
Je moet je account kunnen laten verwijderen hoe dit kan maakt niet uit volgens de wet.
Een optie in het contact formulier is dus voldoende.
Hebben ze wel iets geleerd van de vorige keer? Is er geen informatie bekend hoe dit ongeveer is gegaan?
Tijd genoeg dus om er iets aan te doen!
Onzin. Je kan fantastische verhalen verzinnen over hoe je dit moet aanpakken binnen 24 uur, maar de beste stuurlui staan aan wal.

Ik ben ruim zes maanden bezig geweest met het juiste beleid voor een organisatie, en dat werd door adviseurs nog als snel beschouwd.
Ik heb de vorige aanval 2FA ingeschakeld (wat destijds werd aanbevolen).
Ik ben nu wel benieuwd of ik daarmee veilig ben of dat ze dan nog steeds bij mijn gegevens kunnen?
Ze hebben je gegevens. Alleen als ze je wachtwoord kunnen kraken, kunnen ze niet direct bij je account inloggen omdat je dan 2FA hebt ingeschakeld. Ik zou zowiezo je wachtwoord wijzigen.

Edit: en je 2FA instellingen opnieuw instellen

[Reactie gewijzigd door xDiglett op 13 september 2017 16:57]

Als de aanvallers een SQL dump hebben gemaakt (wat mij aannemelijk lijkt) kun je net zo hard 2FA aanzetten, maar als ze de informatie toch al hebben zie ik niet in wat 2FA nu nog gaat oplossen.

Het is niet alsof litebit een eigen wallet systeem heeft. Je koopt coins en geeft je eigen adres aan. Het is geen beurs ofzo.

Ik denk dat dit een soort van schijn-veiligheidsmaatregel van Litebit is. Zovan: als je 2FA had aangezet was er niks gebeurd 8)7.
Litebit heeft voor diverse coins wel degelijk een eigen wallet. Ik noem een xvg...

Zal wel ergens gehost worden in india voor 2 cent... je weet toch... lekker goedkoop.... waarom voelt dit bedrijf aan als helderhosting..????
Fair enough; was ik niet van op de hoogte. Dessalnietemin: als je daar je coins na de eerste keer nog had staan moet je misschien ook niet in de crypto business duiken.
Het is van groots belang dat 2FA instellingen opnieuw ingesteld worden. Hier kunt u lezen hoe u dat kunt doen: LiteBit 2FA

Alles wijzigen dus
heb inderdaad net een e-mail gekregen, zeer treurig dat dit de zoveelste lek is waar consumenten de dupe van worden en niks tegen kunnen doen.

dit is de eerste keer (voor zover ik weet) dat gevoelige gegevens van mij gehacked is, waaronder dus mijn adres, telefoonnummer en IBAN.
zijn er bepaalde stappen die ik moet nemen? ik weet niet precies wat met deze gegevens gedaan kan worden. (identiteitsfraude? spam?)
Als je geen BSN hebt opgegeven, dan kan er in principe weinig gebeuren. Met alleen adres en bankrekening kunnen ze niet zoveel.

/edit:
En qua spam is het natuurlijk zaak om een goede spam filter te installeren (of Gmail te gebruiken).

[Reactie gewijzigd door OverSoft op 13 september 2017 17:18]

Punt is nu wel dat deze hackers dus nu weten welke cryptos jij hebt gekocht en waar jij die naar toe hebt gestuurd. Vervolgens hebben zij ook jou email adres dus kunnen zij jou benaderen met mail en virussen erin. Ze kunnen jou email adres tegen eerder gehackte databases aan houden en kijken of het ww daar bekend is. Om die vervolgens te proberen bij litebit en exchanges. Zijn altijd mensen die dezelfde gegevens overal gebruiken. Via de mobiel kunnen zij mbv sms jou ergens naar toe sturen en je mobiel infecteren.. Met een beetje fantasie is er een hoop mogelijk. Maar ja ik ben ook behoorlijk paranoļa op internet..
Tsja, laat ik het zo zeggen. Ik ben al veel vaker bij haveibeenpwned langs gekomen in verschillende hacks en naast wat spam (die eenvoudig op te lossen is, ik gebruik aparte e-mail adressen per account, e-mail blokkeren na spam ontvangen) is er nog nooit verder iets van gekomen.

Als je gewoon een beetje nadenkt kan er weinig gebeuren. Als je daarentegen op iedere link klikt die je via SMS of e-mail binnen krijgt, tsja, dan maakt deze hack ook geen verschil.
Wat moet een toeleverancier met iban login hashed ww en portofolio gegevens ???
Een 3de partij......... wtf... litebit mag zich hier even nader verklaren.......

[Reactie gewijzigd door innerchild op 13 september 2017 17:20]

Zal wellicht een VPS provider zijn, technisch gezien hebben de server eigenaren dan alle data van de klanten.
Wel irritant dat je vrij makkelijk online een account kan aanmaken, maar er geen makkelijke manier is om je account te verwijderen. Bij iBood had ik daar ook al last van. Is er geen wetgeving die zegt dat je min of meer net zo makkelijk moet kunnen opzeggen als dat je je aanmeldt?
Ik ben het met je eens maar er zitten gevolgen aan het verwijderen van een account. Bij iets als Facebook mag het geen probleem zijn maar als er financiėle transacties zijn dan moeten die toch echt in een boekhouding terecht komen. In princiepe kan het account dan worden gewist maar de transactie niet. Bij de transactie wil je ook wat details zoals NAW gegevens. Dat maakt het wel enigszins complex.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*