Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Britse Dixons Carphone meldt lek van 5,9 miljoen creditcardgegevens

De Britse multinational Dixons Carphone heeft bekendgemaakt dat er onbevoegde toegang is geweest tot gegevens van 5,9 miljoen creditcards. Ook zijn andere gegevens buitgemaakt, zoals namen en adressen.

In een verklaring schrijft het bedrijf dat het er op basis van een onderzoek van zijn 'systemen en data' is achtergekomen dat er onbevoegde toegang tot bepaalde gegevens is geweest. Daaronder zijn gegevens van 5,9 miljoen creditcards via een van de processing systems van winkels Currys PC World en Dixons Travel Stores. Het overgrote deel van de kaarten, 5,8 miljoen, zou voorzien zijn van beveiliging met een chip en een pincode. Onder de gegevens die toegankelijk waren, zaten geen pincodes, cvc-codes of informatie over de eigenaren van de kaarten. Er was ook toegang tot 105.000 onbeveiligde kaarten van buiten de EU.

In aanvulling op deze gegevens is er toegang geweest tot data als namen, adressen en e-mailadressen van 1,2 miljoen personen. Er zou geen bewijs zijn dat de gegevens 'de systemen hebben verlaten'. Getroffen personen zijn op de hoogte gesteld. De Britse privacytoezichthouder, ICO, heeft te kennen gegeven van de situatie op de hoogte te zijn en bezig te zijn met het vaststellen van de gevolgen voor getroffenen. Het is niet de eerste keer dat de Briste onderneming te maken krijgt met een datalek. In 2015 wisten aanvallers eveneens creditcardgegevens van 2,4 miljoen klanten buit te maken. Dixons Carphone ontstond door de fusie van Dixons en Carphone Warehouse in 2014, en verkoopt elektronica.

Door

Nieuwsredacteur

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Joh, zolang overal de mentaliteit ik heb niks te verbergen heerst, zal er geen verbetering komen. Mensen halen hun schouders op en gaan weer door. Dit triggert niet om zorgvuldiger om te gaan met de gegevens. Bovendien staat security niet bovenaan de prio lijst van een bedrijf.
Het aantal fysieke inbraken fluctueert met de tijd. Dus het aantal hacks ook.
Had het artikel nog een keer (vluchtig weliswaar) extra doorgelezen maar zag toen (nog) geen vermelding staan, zodoende.
Als iemand de gegevens kan inzien middels een hack of zo, dan hebben die gegevens automatisch het systeem 'verlaten'. De data is dan al gedownload en dat is terug te vinden in logfiles. Alleen als de data fysiek op het eigen interne systeem bekeken is, dan kan dat in principe zonder bewijs achter te laten, maar dan moet iemand al ongemerkt over iemand zijn schouder meekijken. Anders zijn er altijd inlog gegevens er vanuit gaan dat login-informatie wordt gelogd.
Ik vraag het me sowieso af of je een database dump gaat terugvinden zomaar even.
Het bewijs voor zo'n hack wordt redelijk simpel verkregen door de creditcard maatschappijen. Die hebben hele afdelingen die niets anders doen dan afwijkend gedrag rond credit cards bijhouden. Als er opeens veel misbruik is van credit cards die ooit gebruikt zijn bij Dixons Carphone weten zij het als eerste.

Uiteraard kan het alsnog zijn dat de creditcard maatschappijen aan de bel trokken omdat ze misbruik zagen wat naar Dixons Carphone te herleiden was, en dat Dixons Carphone er gewoon over liegt. Zou ook de eerste keer niet zijn. Maar dat neemt niet weg dat het bewijs van misbruik makkelijk te leveren is.

Ter verdediging van Dixons Carphone: er zijn echt erg veel datalekken waarbij de aanvaller geen idee heeft dat hij de hoofdprijs al in handen heeft! Ik heb een keer een spam onderzocht vanuit een website van een financiŽle instelling. Bleek een gat in de site te zitten waar je echt alles door had kunnen doen, maar in het log was te zien dat de attack code slecht geschreven was en dat alleen de spam functionaliteit echt werkte. Een diff tussen de backup voor de inbraak en de situatie op de live server liet zien dat er geen andere wijzigingen gemaakt waren. Ik heb de bewuste instelling toen dit advies gegeven, met een DVD met forensics er bij:
  • Laat je website fixen
  • Meld dat de data integriteit in het geding is geweest
  • Meld dat er geen bewijs is van het lekken van data
  • Meld dat er geen bewijs is van ongeautoriseerde modificaties
Is die analyse waterdicht? Zeker niet. Maar Occam's razor zegt dat het een stuk waarschijnlijker is dat er echt niets gebeurd is behalve het verzenden dan spam, dan dat een aanvaller zo gewiekst is dat hij valse log entries plaatst en daarna zo dom is de aandacht op de server te vestigen door er vanaf te gaan spammen.
hebben ze geen degelijk bewaartermijn?
Ik de UK moet je als bedrijf tot wel 15 jaar na dato dit soort dingen nog aan de belastingdienst kunnen tonen. Het is grappig dat in een aantal EU landen de nieuwe privacy bewaartermijnen het niet mogelijk maakt om aan belastingregels te voldoen.

En het is een behoorlijk grote firma overigens.
Het is grappig dat in een aantal EU landen de nieuwe privacy bewaartermijnen het niet mogelijk maakt om aan belastingregels te voldoen.
Dat is fout. In de gdpr staat dat data mag bijgehouden worden als dat wettelijk moet. Ik betwijfel overigens of een kredietkaart nummer hieronder valt
Toen Sony PlayStation netwerk gehackt werd, ging het om 70 miljoen accounts met credit cards. In het VK en de VS wordt een credit card ook vaak gebruikt in plaats van direct debit. Dus zo raar is het niet.
toch wel vreemd ik zie voor een winkel totaal geen enkele reden creditcardgegevens op te slaan! en das wel 1 vd eisen van de GDPR..je moet een geldige reden hebben om de gegevens op te slaan!


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*