Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cryptocurrency-handelaar LiteBit meldt nieuwe inbraak op server

Door , 123 reacties, submitter: ChristianBurger

De in Nederland gevestigde cryptocurrency-exchange LiteBit meldt dat onbevoegden toegang hebben gehad tot e-mailadressen, gehashte wachtwoorden, ibans, telefoonnummers en portfoliogegevens van klanten. Vorige maand gebeurde dat ook al.

In een e-mail aan gebruikers schrijft LiteBit dat er een aanval heeft plaatsgevonden op een 'toeleverancier' en daarbij is een server van de exchange betrokken geweest. Het bedrijf zegt de aanval te onderzoeken, maar nu al te kunnen concluderen dat een onbevoegd persoon toegang heeft gehad tot persoonsgegevens.

LiteBit benadrukt dat de aanval geen invloed heeft op tegoeden van de gebruikers. Ook zouden er geen verificatiedocumenten zijn betrokken bij het incident. Het bedrijf merkt op dat het van groot belang is dat klanten tweetrapsauthenticatie opnieuw instellen.

Het bedrijf uit Zoetermeer heeft melding gedaan van het lek bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Het is de tweede keer in korte tijd dat LiteBit melding maakt van een datalek. Vorige maand waarschuwde het bedrijf ook al zijn klanten; ook toen hadden onbevoegden toegang tot vergelijkbare persoonsgegevens.

Door Julian Huijbregts

Nieuwsredacteur

13-09-2017 • 16:41

123 Linkedin Google+

Submitter: ChristianBurger

Reacties (123)

Wijzig sortering
Daarom ga ik eerst informatie inwinnen bij mijn rechtsbijstand.
Ik vind het van de zotte, dat al mijn gegevens zo op straat worden gegooid.
Stuur mij even een DM als je er een zinnig antwoord op ontvangt.
Ik heb dan ook interesse om Litebit te laten betalen voor hun fout.

[Reactie gewijzigd door jimbo123 op 14 september 2017 11:16]

Ik wil het ook graag weten, vind het namelijk zelf ook echt niet kunnen dat er gegevens van mij zijn gelekt.
Wil je mij ook op de hoogte houden?
Kan ik ook bij in het rijtje?
Als je meer weet, graag laten weten :)
Sorry maar de gegevens zijn *gestolen*. Dat is natuurlijk heel wat anders dan delen met anderen.

Ik ben de eerste om bedrijven die laks om gaan met persoonsgegevens te veroordelen maar er bestaat natuurlijk ook zoiets als overmacht. Of de servers onvoldoende beveiligd waren weet je natuurlijk niet. Dat iets beveiligd is wil niet zeggen dat het onmogelijk is om er bij te kunnen. Verder geeft LiteBit aan dat een toeleverancier (hosting partij?) gericht is aangevallen. Vreemd overigens dat ze die niet gewoon bij naam noemen. Dat zou ik wel doen als ik LiteBit was.

Voor de rest lijkt het er op dat LiteBit geheel correct ermee om gaat: Aangifte doen, melden bij AP, klanten informeren. Er zijn heel wat bedrijven geweest die dat heel anders hebben gedaan. Zoals Yahoo van wie 1 miljard (!!) accounts werden gestolen en die dat 3 jaar (!!) verzweeg voordat het eindelijk aan het licht kwam.

Bovendien maken de aanvallers vrijwel altijd gebruik van een lek in de software. Hoe zit het met de aansprakelijkheid van de leverancier van die software?

Wat rechtsbijstand betreft... good luck with that.
Ik heb zojuist contact met ze gehad. Ze geven aan dat hun hosting provider is gehackt en dat ze zelf al juridische stappen aan het voorbereiden zijn. Op mijn vraag of in ieder geval mijn verificatiedocumenten verwijderd kunnen worden; dat kan alleen tezamen met je hele account. Dit vind ik wel belangrijk, want als ze al mijn gegevens hebben, en daar komt mijn BSN bij, dan ben ik zeker de lul. Het is dus niet zo, eenmaal geverifieerd, altijd geverifieerd. Ik zeg mijn account in ieder geval op!
Ook al is hun provider gehacked, wil dat nog niet zeggen dat hun eigen beveiliging afdoende was. Ik bedoel, ze beheren zelf de servers die gehost worden.
Je zou zeggen dat een ezel in het algemeen zich nooit 2x stoot aan dezelfde steen.
Ik heb ze in eerste instantie gevraagd wat de autoriteit persoonsgegevens in dit verhaal kan doen. Een volgende stap zou zoiets kunnen zijn.
Vreemde opmerking. Zeg je zoiets ook tegen mensen van wie twee keer iets gestolen wordt?

Die ezel stoot zich door zijn eigen domme schuld. Het lijkt er op dat LiteBit weinig te verwijten valt in dit geval, behalve wellicht het gebruiken van de verkeerde leverancier.
Vind het toch niet ok dat de IBAN ongecrypt erin staat. Die heb je alleen nodig bij geldtransacties en niet bij normaal gebruik van de account. Dat hoort dus in een apart systeem te draaien (net zoals bij credit cards gebeurt). Juist met de NAW + IBAN kan een kwaadwillende een stuk meer dan met losse gegevens.

Ik vind de conclusie dat LB 'weinig' te verwijten valt ook te voorbarig. Juist nu om de haverklap sites gehackt worden moet je als moderne geldexchange toch 2x nadenken wat je gegevensbeveiliging betreft, ze zijn geen webwinkel in visspullen of iets dergelijks.
Er valt hen nalatigheid te verwijten. Als je slot bij de eerste keer gesloopt is, dan vervang je het door een betere. Ik hoop dat dit in jouw logica past.
Bedenk wel dat als het inderdaad in beide gevallen via een/de leverancier ging dat het lastig is om binnen een maand je hele dienst over te zetten naar een andere leverancier.

Net als dat ze in jouw auto inbreken jij ook niet meteen je hele auto zult vervangen neem ik aan.
In dit geval gaat het over een lease, nietwaar?
Precies dat, gewoon lokaal beheren. Niks op exchanges...
Moet wel minstens nog een maand wachten voor ze versturen, enige alternatieven die momenteel wel beschikbaar zijn (en ook veilig natuurlijk)
lijkt me niet dat ze die data via USB sticks gaan overzetten.
Ja, wel dus. Bij zogenaamde cold storage is dat precies wat ze doen. De data bewaren op een plek die niet via een netwerk te benaderen is. Dit kan natuurlijk nooit met alle coins want dat zou onwerkbaar zijn, maar vergelijk het met een bank die ¤10.000 in kas heeft liggen, maar onder in een kluis nog eens een ton achter de hand heeft, mocht dit net een dag zijn dat heel veel mensen geld op komen nemen.
Ik zou in ieder geval je wallets verplaatsen naar een veiligere locatie.
Op dit moment waren die min of meer veilig.. maar ik zou als eerste mijn coins weghalen daar.
ik heb er gelukkig geen coins staan / nooit via hun gekocht...maar m'ng gegevens liggen daar wel en nu blijkbaar al 2 x gehackt, dat is gewoon klote
Dear Boy,

We are sorry to hear you want to leave LiteBit but we do understand your decision. Your LiteBit account and all details have been removed at this moment. We wish you the best in the future.

We apologize for the inconvenience this event has caused and I completely understand and respect your decision to leave LiteBit.
Ter hun verdediging, er is best een logische reden om accounts niet zomaar via de web interface te laten verwijderen. Want als daar dan eens een fout in zit en mensen kunnen de accounts van anderen verwijderen dan zijn de rapen natuurlijk pas écht gaar.
Zelfs bij Google kan het, dus verdediging niet aanvaard.
Zelfs bij Google? Je hebt het over het meest rijke, meest technisch onderlegde IT bedrijf ter wereld. Ik zou het omdraaien: Google lukt het, maar dat is dan ook Google.

Kun je hier bij Tweakers je account verwijderen? En wordt alle data dan ook echt weggegooid? Nooit geprobeerd eerlijk gezegd.
Gewoon een bevesting auth. sturen naar jou mobiel. Zo simpel kan het. Als je kan auth. via een mobiel dan kan dat ook andersom.
Tuurlijk. Maar ik snap echt wel waarom bedrijven niet veel geld investeren in het laten verwijderen van accounts via de web interface. Het is zeg maar een feature die minder prioriteit heeft dan andere features en dat is begrijpelijk denk ik. Want het is gewoon een riskante feature als je het niet helemaal goed doordacht doet en let's face it mensen die hun account willen verwijderen zijn nou niet echt de doelgroep waarmee een bedrijf zijn geld gaat verdienen.
En terecht, de info die ze verzamelen van een toeleverancier is zeker veel te veel. En ik twijfel of het uberhaubt echt nodig is.
Met een bankrekening nummer kunnen ze meer dan je denkt.

Namelijk, een bult diensten afsluiten en je een boel gezeik op de nek halen. Bedrijven kijken namelijk al jaren niet meer naar "Naam + rekening nummer" om te zien of dit wel klopt, want deze aanvraag kost geld en is niet verplicht.

Mijn bankrekening nummer is voor mij bijna net zo gevoelig als mijn BSN nummer. 1 van de 2 is voldoende om mij in mijn leven dwars te zitten. Als ik een nieuw BSN nummer moet krijgen, zal me aan me reet roesten. Een nieuw rekening nummer, liever niet. Nog een lekker kort 9 cijferig nummer uit het vorige millenium.
Ach, bij internet overeenkomsten moet er altijd een proef betaling met iDeal plaatsvinden vanaf het bankrekening nummer wat wordt gebruikt voor het abo. Bij telefonisch moet er een gesproken opgenomen goedkeuring plaatsvinden (welke eenvoudig te ontkrachten is, dat ben jij niet). En bij schriftelijk moet er een handtekening geplaatst worden.

In alle gevallen is "bewijs maar" eenvoudig te bekrachtigen.

Natuurlijk, het kost je tijd om het op te lossen, dat is vervelend, dat snap ik, maar het is geen permanente schade.
Als je hosting provider bij jou data kan, doe je het verkeerd. Helemaal dit soort gevoelige persoonsgegevens... Daar moet je zelfs met fysieke toegang niet bij moeten kunnen komen.
Je kan de harddisk encrypten. Maakt het onderhoud knap lastig door te vereisen dat je iedere reboot de encryptie key in moet voeren (en ook dat is natuurlijk af te luisteren als het een VPS betreft, de provider zou iedere keystroke kunnen loggen), maar het kan wel.
Dramatisch...

Ik baalde er al van dat ik mijn account niet had opgezegd na de eerste keer..

[Reactie gewijzigd door Crasheeee op 14 september 2017 08:18]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*