Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Britse Dixons Carphone meldt lek van 5,9 miljoen creditcardgegevens

De Britse multinational Dixons Carphone heeft bekendgemaakt dat er onbevoegde toegang is geweest tot gegevens van 5,9 miljoen creditcards. Ook zijn andere gegevens buitgemaakt, zoals namen en adressen.

In een verklaring schrijft het bedrijf dat het er op basis van een onderzoek van zijn 'systemen en data' is achtergekomen dat er onbevoegde toegang tot bepaalde gegevens is geweest. Daaronder zijn gegevens van 5,9 miljoen creditcards via een van de processing systems van winkels Currys PC World en Dixons Travel Stores. Het overgrote deel van de kaarten, 5,8 miljoen, zou voorzien zijn van beveiliging met een chip en een pincode. Onder de gegevens die toegankelijk waren, zaten geen pincodes, cvc-codes of informatie over de eigenaren van de kaarten. Er was ook toegang tot 105.000 onbeveiligde kaarten van buiten de EU.

In aanvulling op deze gegevens is er toegang geweest tot data als namen, adressen en e-mailadressen van 1,2 miljoen personen. Er zou geen bewijs zijn dat de gegevens 'de systemen hebben verlaten'. Getroffen personen zijn op de hoogte gesteld. De Britse privacytoezichthouder, ICO, heeft te kennen gegeven van de situatie op de hoogte te zijn en bezig te zijn met het vaststellen van de gevolgen voor getroffenen. Het is niet de eerste keer dat de Briste onderneming te maken krijgt met een datalek. In 2015 wisten aanvallers eveneens creditcardgegevens van 2,4 miljoen klanten buit te maken. Dixons Carphone ontstond door de fusie van Dixons en Carphone Warehouse in 2014, en verkoopt elektronica.

Door Sander van Voorst

Nieuwsredacteur

13-06-2018 • 12:55

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Volgens verschillende Britse media zou het lek al in july 2017 hebben plaatsgevonden.

Opvallend is dat het persbericht van Dixons Carphone ook niet aangeeft wanneer ze het lek ontdekt hebben. Dat maakt het ook onduidelijk wat ze bedoelen met promptly launched an investigation.

En zoals gewoonlijk is een statement als We have no evidence to date of any fraudulent use of the data behoorlijk misleidend omdat het valt te betwijfelen of ze wel genoeg bewijs kunnen hebben of krijgen om fraude uit te sluiten. Als ze al zo goed zijn in het beveiligen van gegevens, hoe goed zouden ze dan zijn in het verkrijgen van bewijs van fraude?

[Reactie gewijzigd door kodak op 13 juni 2018 13:37]

Voor degene die het niet weten, Dixons Carphone is de moederorganisatie van Carphone Warehouse, welke op haar beurt tot 2017 de moederorganisatie was van het in o.a. in Nederland gevestigde Phone House.

Edit: Vraag mij af wat hier offtopic aan is. Dixons Warehouse en Carphone Warehouse zeggen veel mensen weinig, Phone House kent iedereen wel. Wellicht heeft iemand op Tweakers wel eens iets met creditcard gekocht bij de Phone House en dan zal er met dit artikel niet snel een belletje gaan rinkelen.

edit: Ander verwoording

[Reactie gewijzigd door Joever op 14 juni 2018 08:29]

Het toenemende aantal meldingen van datalekken is vooral bewijs dat strengere wetgeving op het melden van datalekken werkt.
Hoe weet je dat, je weet immers niet wat er niet gemeld wordt. En het aantal meldingen neemt toe maar misschien ook het aantal lekken dus dat zegt nog niks.
Ik weet het niet, maar het is wel toepassen van Ockam's scheermes. (Kort door de bocht: de theorie met de minst vergaande aannames hou je aan)

Ik zie geen enkele aanwijzing waarom systemen de laatste tijd meer/minder hackbaar zouden zijn geworden. Er zijn wel wat bijzondere kwetsbaarheden (Spectre e.d.), maar op zich is er altijd wel wat.

Er is wel steeds meer aandacht voor datalekken, o.a. de GDPR/AVG-wetgeving.

Als het aantal hacks gelijk blijft, wat een zeer redelijke aanname is, dan is de meest voor-de-hand liggende verwachting dat bedrijven zich aan de wet houden.

Wat dat voor de toekomst betekent? Met het ingaan van de GDPR en gerelateerde wetgeving kunnen we nu een behoorlijke hausse aan datalekken verwachten. Wel is dan de hoop dat wat @kozue zegt in werking gaat treden: de verplichte bewustwording creeert hopelijk ook een cultuurverandering.

De vraag is alleen op welke tijdlijn dat zal gaan.
Ik zou willen dat het aantal lekken vermindert. Niet per se dat het aantal meldingen toeneemt.
Melden is een formaliteit. Lekken zijn kwalijk, of je ze nou meldt of niet.
Het aantal lekken gaat alleen verminderen als degenen die verantwoordelijk zijn over de data zich bewust zijn van de risico's van slechte beveiliging. En daar is een verhoogd aantal meldingen wel een middel in, want het constant horen over de fouten van anderen creŽert bewustwording. Misschien dat door dit bericht er weer een paar programmeurs, dba's of managers wakker worden geschud om eens naar hun eigen systemen te kijken.
Nu wordt het interessant om te kijken of er vervolgstappen worden genomen.


We zijn hier in Nederland niet zo bekend met het genomen CC maar het wordt wereldwijd vaak gebruikt,
dixons zou kunnen worden aangesproken tgv diefstal door deze diefstal.

Een (proef)proces zou wel eens interessant kunnen zijn, ze hebben de gegevens niet alleen op een manier opgeslagen dat het leesbaar is,
het is ook de tweede keer waardoor je je kunt afvragen of ze daarmee niet laakbaar hebben gehandeld.
Ik neem aan dat je Dixons Carphone bedoeld? De Nederlandse Dixons (Relevant Holdings) staat namelijk los van Dixons Carphone.

Je zult waarschijnlijk Dixons Carphone bedoelen maar als ik Dixons lees denk ik eerst aan de NL versie. Kan verwarrend zijn.
In 2015 wisten aanvallers eveneens creditcardgegevens van 2,4 miljoen klanten buit te maken.

Dezelfde link staat ook gewoon in de tekst, dus het nog een keer linken is een beetje overbodig.
Er zou geen bewijs zijn dat de gegevens 'de systemen hebben verlaten'.
Dat er geen bewijs is wil natuurlijk ook niet zeggen dat het niet gebeurd is:
CTRL+A, CTRL+C en CTRL+V of een PrintScreen is lastig te detecteren op de pc van de indringer me dunkt ;)
Simpele select statements kom je meestal niet in logs tegen hoor. Bij grote databases zou de grootte van de logfiles dan uit de hand gaan lopen. Vanaf een lekke website met sql injectie mogelijkheden kom je al een heel eind. Data stelen is niet zo lastig als er niet goed naar beveiliging is gekeken, en aangezien dit bij hun al de 2de keer is in 3 jaar zullen ze daar wel niemand hebben die daar ooit naar kijkt. Ook inloggegevens heb je vaak niets aan, want dan moet je eerst het tijdstip weten wanneer de data gestolen is. Vooral wanneer er 1 centraal account is die door meerdere personen wordt gebruikt. Met alleen een tijdstip en IP van een login weet je nog niet wat er op een systeem is uitgevoerd (shell history is makkelijk te wissen).
Een politieke regel om de eventuele gevolgen wat in te perken. Nu klinkt het alsof de data enkel in te zien was maar er verder niets mee is gedaan, terwijl dat niet vast te stellen is.
Op die manier is er inderdaad geen bewijs.
Geen bewijs staat alleen niet garant dat het ook niet heeft plaatsgevonden.
Jawel, want die data is immers al vanuit de server naar je browser verstuurd.

Wanneer iemand bijvoorbeeld toegang heeft via SSH of tot een database, dan kijk je mee op het systeem en dan zijn de gegevens niet per definitie opgeslagen op je computer.
"Wil je dat we de creditcardgegevens bewaren in jouw account zodat je een volgende keer sneller en eenvoudiger kan afrekenen?"
Klopt is ook wel een beetje raar, want normaal (heb zelf ook een webshop) werk je met een 3e partij die de betalingen verwerkt, en die slaat wel de gegevens op.

Dus als er een lek is bij de webshop zelf, zouden er geen gegevens bekend moeten zijn, is het bij de betalingsverwerker is dat een ander verhaal, maar dan ligt het aan de verwerker.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True