×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Equifax-hackers hebben ook gegevens bemachtigd van 15,2 miljoen Britten

Door , 31 reacties

De Amerikaanse kredietbeoordelaar Equifax heeft bekendgemaakt dat er bij de grote hack die een maand geleden aan het licht kwam, niet alleen data van ongeveer 146 miljoen Amerikanen is buitgemaakt. Er blijken nu ook gegevens te zijn bemachtigd van 15,2 miljoen Britse klanten.

Die grote hack die in mei 2017 plaatsvond, leek in eerste instantie voornamelijk om Amerikaanse persoonsgegevens te gaan, maar de kredietbeoordelaar heeft bekendgemaakt dat ook een bestand met gegevens van in totaal 15,2 miljoen Britse klanten onderdeel was van de hack. Equifax zegt dat het bij 14,5 miljoen Britse klanten gaat om een mogelijk lek waarbij alleen de naam en de geboortedatum zijn buitgemaakt.

Bij de overgebleven 700.000 klanten, die Equifax per post op de hoogte gaat stellen van de gestolen gegevens, gaat het vooral om buitgemaakte telefoonnummers: in totaal 637.000. Daarnaast zijn er 29.000 Britse rijbewijsnummers en 12.000 e-mailadressen gestolen, en zijn er 15.000 gevallen waarbij er lidmaatschapsgegevens van Equifax zijn gestolen, zoals gebruikersnamen en wachtwoorden. Eerder had Equifax nog gezegd dat er bij de hack gegevens van minder dan 400.000 Britten waren gestolen.

Bij de hack kregen onbevoegden toegang tot de gegevens van voornamelijk 146 miljoen Amerikanen. Van enkele honderdduizenden konden de creditcardgegevens ingezien worden. De criminelen kwamen binnen via een al maanden bekend lek in Apache Struts. Als gevolg van de hack besloot de directeur eind september zijn functie neer te leggen. Eerder vertrokken de chief security officer en de chief information officer al.

Door Joris Jansen

Nieuwsredacteur

11-10-2017 • 07:46

31 Linkedin Google+

Reacties (31)

Wijzig sortering
Equifax heeft het grondig verprutst en zal niet blij zijn met dit nieuws. Hun stock share is met meer dan 25% gekelderd. Nu is de stock weer aan het klimmen maar het zou mij niet verbazen als de VS en het VK nog niet klaar zijn met dit bedrijf.
Totaal niet, de class actions zijn al goed op gang aan het komen. Ik hoop dat de CEO en anderen zwaar gestraft worden, evenals die persoon als manager met een music degree... Om nog maar te zwijgen van de verkoop van hun aandelen.
En vergeet de hackers zelf ook niet he. Die mogen van mij ook vele jaren de cel in.
Grappig om te zien ja dat men hier toch liever een van de slachtoffers ziet boeten dan de criminelen. Er heerst nog steeds zo'n gevoel dat dit soort hackers de good guys zijn. Nobele vigilantes die je hele huisraad mee nemen, waarop jij dan het verwijt krijgt dat je ook niet de nieuwste sloten had, foei :)
In het geval van Equifax heb ik er wel wat moeite mee om hen als slachtoffer aan te wijzen. Equifax was op zijn minst nalatig; ernstige signalen dat de beveiliging niet op orde was zijn door het management genegeerd. Natuurlijk zijn de hackers ook criminelen die moeten boeten, maar: succes met het vinden.
In het geval van Equifax heb ik er wel wat moeite mee om hen als slachtoffer aan te wijzen.
Hoezo? Ze zijn toch slachtoffer van een hack? Het was niet zo dat de deur open stond, het slot bleek alleen kwetsbaar te zijn.
Equifax was op zijn minst nalatig; ernstige signalen dat de beveiliging niet op orde was zijn door het management genegeerd.
Zeker nalatig, ze wisten dat ze kwetsbaar waren, helemaal mee eens. Maar als dat de reden is om iemand niet meer als slachtoffer te zien, dan zijn er nauwelijks meer slachtoffers van criminaliteit: Fiets gestolen? Je weet dat dit gebeurt en als je niet het aller aller beste slot hebt, moet je niet zeuren. Portemonnee gerold? Had je maar niet naar die winkelstraat/supermarkt/etc. moeten gaan, je weet dat dit er bij hoort. Geweld in het uitgaansleven? Eigen schuld, niks nieuws onder de zon, heb je zelf voor gekozen.

Zo lust ik er nog wel een paar.
Natuurlijk zijn de hackers ook criminelen die moeten boeten, maar: succes met het vinden
Vinden is één ding, arresteren (en uitgeleverd krijgen) is weer een ander ding. En dan moet je nog voldoende bewijs hebben om ze kunnen veroordelen. Dat gaat dus nog wel even duren. Gelukkig gaat het hier om een groot Amerikaans bedrijf en met grote impact op de maatschappij, daar wil de FBI zich nog wel eens serieus in vastbijten.
Ik ben het met je eens dat Equifax hoe dan ook slachtoffer blijft, dat is een kwestie van woordenboekdefinities.

Het verschil is dat Equifax heeft geprofiteerd van hun lakse beveiliging terwijl de lasten nu bij de burgers terecht komen, die meestal buiten hun wil en kennis om in het systeem van Equifax staan.

In de voorbeelden die je noemt (zoals een gestolen fiets) komen de lasten vooral neer bij de partij die nalatig is geweest, zoals de eigenaar van de fiets. Die heeft verkeerd gegokt en draagt nu de lasten. Daar kunnen mensen sympathie voor hebben, iedereen heeft wel eens zo iets gedaan. Als anderen er voor moeten opdraaien verdwijnt de sympathie.

Verzwarende omstandigheid is dat het beheren van gevoelige data tot de de kernactiviteiten van de bedrijf hoort. Net zoals we strenger zijn tegen een buschauffeur met een borrel op; veilig rijden is zijn beroep.
Precies: wanneer je dingen voor anderen beheert en nalatig bent in de beveiliging daarvan, is dat laakbaar.
De slachtoffers hier zijn de mensen wiens gegevens buitgemaakt zijn, niet de prutsers die zo'n slecht en nalatig werk geleverd hebben dat die hackers de gegevens konden bemachtigen. De hackers zijn de grootste criminelen ja, ook zonder slot moet je met je poten van andermans spullen afblijven, maar Equifaxis hier gewoon deels medeplichtig. Als jij iemand inhuurt om naast jouw onafgesloten fiets te blijven staan en te zorgendat hij niet gestolen wordt ga je die persoon ook niet als slachtoffer neerzetten wanneer die fiets gestolen wordt als hij heeft zitten slapen tijdens het werk.
De slachtoffers hier zijn de mensen wiens gegevens buitgemaakt zijn, niet de prutsers die zo'n slecht en nalatig werk geleverd hebben dat die hackers de gegevens konden bemachtigen. De hackers zijn de grootste criminelen ja, ook zonder slot moet je met je poten van andermans spullen afblijven, maar Equifaxis hier gewoon deels medeplichtig. Als jij iemand inhuurt om naast jouw onafgesloten fiets te blijven staan en te zorgendat hij niet gestolen wordt ga je die persoon ook niet als slachtoffer neerzetten wanneer die fiets gestolen wordt als hij heeft zitten slapen tijdens het werk.
Ik ken nog wel een paar overheidsinstellingen en banken (mijn klanten, oa in Nederland) waar dit toch wel de situatie is: Al zitten ze niet te slapen, ze zitten te vergaderen. Hetzelfde effect, de criminelen kunnen ongestoord en tot in lengte van dagen hun gang gaan.

Ik ben eigenlijk wel blij met de hack bij Equifax, men ziet nu in dat werk (uitrollen van patches) niet vanzelf gebeurt.

Dat de CEO, CIO en CISO van Equifax het veld hebben moeten ruimen is lullig, maar zij hebben een organisatie geleid waarin niks doen de standaard is/was. Dat een CIO niet weet of patch X voor pakket Y al is uitgerold, dat doet er niet toe, dat is niet zijn taak. Het is wel zijn taak om patchbeleid op te stellen en af te dwingen. Maar ik ken ook voldoende voorbeelden uit de praktijk dat er wordt gezegd dat men helemaal up-to-date is, maar dat er in werkelijkheid een enorme achterstand is. Dan mag je als CIO hopen dat er klokkenluiders in de organisatie zijn die dit alsnog bij jou melden. Ook al is dat voor de carrière van de klokkenluider vaak niet goed...
Waarom zou het niet goed zijn voor je carriere? Mijn voorganger vond patchen en updaten maar een dure, ingewikkelde en kostbare zaak. Toen ik het beheer kreeg en zag dat dat idd zijn policy was, was hij snel iets anders gaan doen (niet bij mijn werkgever).

Hij vond het ook makkelijk om een rdp sessie open te zetten richting internet, want dan had hij geen vpn nodig. :+
De CIO moet dus wel degelijk controleren of het beleid, dat hij/zij (mede) opgesteld heeft, ook daadwerkelijk uitgevoerd wordt. Dat is namelijk de verantwoording van deze taak.
Hoezo? Ze zijn toch slachtoffer van een hack?
Oke, niet _alleen_ slachtoffer.
Het was niet zo dat de deur open stond, het slot bleek alleen kwetsbaar te zijn.
En dat had iemand al maanden van tevoren verteld en vervolgens heeft niemand het slot gerepareerd.
Misschien wat meer in de zaak verdiepen.
De deur stond bij hun nog net niet open.
En de leiding van het bedrijf moet echt aangepakt worden.
Ik zou dit eerder vergelijken met dat je gemeente alle deuren naar alle gegevens van haar inwoners zonder sloten open heeft staan, zonder enig toezicht. Dan zou ook de gemeente problemen krijgen...

en de criminelen natuurlijk ook..

edit: Maar als zo iets zou gebeuren, zou natuurlijk de gemeente "slechter" in het nieuws komen dan de criminelen.

[Reactie gewijzigd door siebrenkraak op 11 oktober 2017 08:52]

Volgens mij zul je een aantal dingen moeten scheiden .... Slachtoffers zijn de mensen van wie de gegevens ten prooi zijn gevallen en mogelijk misbruikt gaan worden. De verantwoordelijke is de top van Equixfax en de dader zijn de hackers.

De slachtoffers moeten niet gestraft maar gecompenseerd worden.
De verantwoordelijken mogen in dit geval zwaar gestraft worden voor groffe nalatigheid en die de hackers dienen ook gestraft te worden voor hun acties.

Overigens gaat de vergelijking met de sloten niet helemaal op, immers zat er helemaal geen slot meer op deur en heeft men verzuimt hier wat aan te doen, ondanks dat men hierop geattendeerd is.
Leuk dat het woord "hacken" weer overal voor gebruikt wordt tewijl het hier gewoon over computercriminaliteit gaat.
Het gaat vrijwel altijd over computer criminaliteit, cheating of cracking als men hacken aanhaalt.

"Today, mainstream usage of "hacker" mostly refers to computer criminals, due to the mass media usage of the word since the 1980s. This includes what hacker slang calls "script kiddies," people breaking into computers using programs written by others, with very little knowledge about the way they work. This usage has become so predominant that the general public is largely unaware that different meanings exist."

"However, network news use of the term consistently pertained primarily to the criminal activities, despite the attempt by the technical community to preserve and distinguish the original meaning, so today the mainstream media and general public continue to describe computer criminals, with all levels of technical sophistication, as "hackers" and do not generally make use of the word in any of its non-criminal connotations. Members of the media sometimes seem unaware of the distinction, grouping legitimate "hackers" such as Linus Torvalds and Steve Wozniak along with criminal "crackers"."

"The lexicographer Jesse Sheidlower, the president of the American Dialect Society, who has been tracking the recent iterations of “hack” and “hacker” for years, told me that the earliest examples share a relatively benign sense of “working on” a tech problem in a different, presumably more creative way than what’s outlined in an instruction manual."
In mijn ogen moeten de straffen voor hacken gewoon veel hoger worden. Anders gezegd gelijkstellen aan gewapende overval. Dit vanwege de grote impact op de samenleving, de angst en gevoel van privacy schending die het veroorzaakt. Los nog van de enorme economische schade en kosten die ze veroorzaken.
Aan de andere kant is het wel een geweldige manier van bewustmaking. Ja, het liefst heb ik alleen whitehats, maar dit is wel de wake-up call die white hat hacking totaal niet biedt :P
Is als je oma overvallen wordt het ook een wakeup call? Ik denk dat zolang we in deze spiraal leven waarbij hacken lijkt te mogen, dat het fout blijft gaan. Zou je er blij van worden dat er iemand in je kamer staat met de mededeling dat hij zo het slot open kreeg en dat je een beter slot moet plaatsen. Nee je hebt gewoon uit andermans huis te blijven, en zo ook uit andermans computer.
Naast dat mijn oma's beiden dood zijn en dat dus lastig is, vind ik het toch een wat scheve vergelijking. Bij mijn oma gaat het om een persoon en hier gaat het om gegevens van personen. Toch een compleet ander principe.

Daarnaast lijk je mijn woorden compleet fout te interpreteren: ik heb nooit gezegd dat mensen dit zomaar mogen doen, dat het legaal mag zijn, en dat je niet uit andermans huis/pc hoeft te blijven. Ik ben het wat dat betreft compleet met je eens.

Ik heb het over de niet-perfecte wereld waarin we leven en jij reageert daarop door te praten over hoe die wereld er wel uit hoort te zien. Ik zeg nooit dat ik dat niet ook vind, ik zeg alleen dat binnen de context van hoe de wereld nu in elkaar steekt, het best een goed afschrikmiddel kan zijn dat een stel hackers je systeem binnentreedt. Dat daarom persoonsgegevens worden gelekt is natuurlijk wel heel jammer en vandaar ook mijn eerdere opmerking dat ik liever white hat hackers heb. Die worden echter wel eens genegeerd. Dus, in de context van de huidige wereld is een gebeurtenis als dit Equifax-lek, zonder te kijken naar hoe het de mensen waarvan de data lekt beïnvloed, wellicht af en toe een beetje nodig om te demonstreren waarom privacy en versleuteling juist wel belangrijk zijn. Daarnaast ook om ervoor te zorgen dat andere bedrijven het serieuzer nemen.

Ik heb het trouwens ook nooit gehad over wat ik vind dat wel en niet mag qua binnendringen, ik zei alleen dat het een goede bewustmaker is. Ik zie dus het nut van je reactie niet helemaal :)

Moet wel zeggen dat ik de vergelijking tussen dit soort hacking en gewapende overvallen niet helemaal kan vinden, maar dat is weer een heel andere discussie :P
In mijn ogen moeten de straffen voor hacken gewoon veel hoger worden.
Heb jij even geluk dat dit een Amerikaans bedrijf betreft! De straffen in de VS zijn vele malen zwaarder dan dat uurtje schoffelen in Nederland. Hier kunnen ze zo 20 tot 30 jaar voor krijgen, zie Albert Gonzalez en Vladimir Drinkman
Equifax, the gift that keeps on giving.
Ondanks de breach hebben ze wel weer mooi een overheidscontract te pakken.

https://www.theverge.com/...d-detection-hack-identity
Niet alleen Amerikanen en Britten. Ook Canadeze klanten zijn slachtoffer geworden:

https://phys.org/news/2017-09-equifax-canadians-hacked.html
Heeft Equifax überhaupt een concurrent om daarvan de diensten te gebruiken ipv die van Equifax? Blijkbaar heeft het weinig goede service noch beleid nodig om te blijven bestaan...

[Reactie gewijzigd door RoestVrijStaal op 11 oktober 2017 11:11]

Yep, oa Experian en TransUnion.
Als men spreekt over hackers die database gegevens stelen dan spreekt men meestal over gewoon de data die gekopieerd wordt en niet over het fysiek stelen van harde schijven of server racks...
Dat is feitelijk onjuist, bij diefstal neem je een object weg dat daarna niet meer beschikbaar is. Het object is "gestolen". Ongeacht wie dat doet, in dit geval geeft hackers de karakteristiek van de personen aan. Feitelijke staat in de titel dat de gegevens van 15,2 miljoen zijn gestolen en niet meer beschikbaar zijn voor gebruik. Het feit dat die door bakkers, slager, of hackers is gebeurd maakt niet uit. Het is gewoon onjuist.

Dit titel had moeten zijn; Hackers zijn door hack op Equifax in het bezit gekomen van de gegevens van 15,2 miljoen Britten.

http://www.iusmentis.com/...iteit/computervredebreuk/

[Reactie gewijzigd door herbalx op 11 oktober 2017 09:03]

Joh, laat hem ff, Sheldon hier wil even pronken dat hij alles super letterlijk neemt en niet weet dat we in de Nederlandse taal gebruik maken van niet letterlijk taalgebruik ook wel een idioom. 8)7

[Reactie gewijzigd door dakka op 11 oktober 2017 09:17]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*