Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Britse Dixons Carphone meldt lek van 5,9 miljoen creditcardgegevens

De Britse multinational Dixons Carphone heeft bekendgemaakt dat er onbevoegde toegang is geweest tot gegevens van 5,9 miljoen creditcards. Ook zijn andere gegevens buitgemaakt, zoals namen en adressen.

In een verklaring schrijft het bedrijf dat het er op basis van een onderzoek van zijn 'systemen en data' is achtergekomen dat er onbevoegde toegang tot bepaalde gegevens is geweest. Daaronder zijn gegevens van 5,9 miljoen creditcards via een van de processing systems van winkels Currys PC World en Dixons Travel Stores. Het overgrote deel van de kaarten, 5,8 miljoen, zou voorzien zijn van beveiliging met een chip en een pincode. Onder de gegevens die toegankelijk waren, zaten geen pincodes, cvc-codes of informatie over de eigenaren van de kaarten. Er was ook toegang tot 105.000 onbeveiligde kaarten van buiten de EU.

In aanvulling op deze gegevens is er toegang geweest tot data als namen, adressen en e-mailadressen van 1,2 miljoen personen. Er zou geen bewijs zijn dat de gegevens 'de systemen hebben verlaten'. Getroffen personen zijn op de hoogte gesteld. De Britse privacytoezichthouder, ICO, heeft te kennen gegeven van de situatie op de hoogte te zijn en bezig te zijn met het vaststellen van de gevolgen voor getroffenen. Het is niet de eerste keer dat de Briste onderneming te maken krijgt met een datalek. In 2015 wisten aanvallers eveneens creditcardgegevens van 2,4 miljoen klanten buit te maken. Dixons Carphone ontstond door de fusie van Dixons en Carphone Warehouse in 2014, en verkoopt elektronica.

Door Sander van Voorst

Nieuwsredacteur

13-06-2018 • 12:55

34 Linkedin Google+

Reacties (34)

Wijzig sortering
Volgens verschillende Britse media zou het lek al in july 2017 hebben plaatsgevonden.

Opvallend is dat het persbericht van Dixons Carphone ook niet aangeeft wanneer ze het lek ontdekt hebben. Dat maakt het ook onduidelijk wat ze bedoelen met promptly launched an investigation.

En zoals gewoonlijk is een statement als We have no evidence to date of any fraudulent use of the data behoorlijk misleidend omdat het valt te betwijfelen of ze wel genoeg bewijs kunnen hebben of krijgen om fraude uit te sluiten. Als ze al zo goed zijn in het beveiligen van gegevens, hoe goed zouden ze dan zijn in het verkrijgen van bewijs van fraude?

[Reactie gewijzigd door kodak op 13 juni 2018 13:37]

Voor degene die het niet weten, Dixons Carphone is de moederorganisatie van Carphone Warehouse, welke op haar beurt tot 2017 de moederorganisatie was van het in o.a. in Nederland gevestigde Phone House.

Edit: Vraag mij af wat hier offtopic aan is. Dixons Warehouse en Carphone Warehouse zeggen veel mensen weinig, Phone House kent iedereen wel. Wellicht heeft iemand op Tweakers wel eens iets met creditcard gekocht bij de Phone House en dan zal er met dit artikel niet snel een belletje gaan rinkelen.

edit: Ander verwoording

[Reactie gewijzigd door Joever op 14 juni 2018 08:29]

Het toenemende aantal meldingen van datalekken is vooral bewijs dat strengere wetgeving op het melden van datalekken werkt.
Hoe weet je dat, je weet immers niet wat er niet gemeld wordt. En het aantal meldingen neemt toe maar misschien ook het aantal lekken dus dat zegt nog niks.
Ik weet het niet, maar het is wel toepassen van Ockam's scheermes. (Kort door de bocht: de theorie met de minst vergaande aannames hou je aan)

Ik zie geen enkele aanwijzing waarom systemen de laatste tijd meer/minder hackbaar zouden zijn geworden. Er zijn wel wat bijzondere kwetsbaarheden (Spectre e.d.), maar op zich is er altijd wel wat.

Er is wel steeds meer aandacht voor datalekken, o.a. de GDPR/AVG-wetgeving.

Als het aantal hacks gelijk blijft, wat een zeer redelijke aanname is, dan is de meest voor-de-hand liggende verwachting dat bedrijven zich aan de wet houden.

Wat dat voor de toekomst betekent? Met het ingaan van de GDPR en gerelateerde wetgeving kunnen we nu een behoorlijke hausse aan datalekken verwachten. Wel is dan de hoop dat wat @kozue zegt in werking gaat treden: de verplichte bewustwording creeert hopelijk ook een cultuurverandering.

De vraag is alleen op welke tijdlijn dat zal gaan.
Ik zou willen dat het aantal lekken vermindert. Niet per se dat het aantal meldingen toeneemt.
Melden is een formaliteit. Lekken zijn kwalijk, of je ze nou meldt of niet.
Het aantal lekken gaat alleen verminderen als degenen die verantwoordelijk zijn over de data zich bewust zijn van de risico's van slechte beveiliging. En daar is een verhoogd aantal meldingen wel een middel in, want het constant horen over de fouten van anderen creŽert bewustwording. Misschien dat door dit bericht er weer een paar programmeurs, dba's of managers wakker worden geschud om eens naar hun eigen systemen te kijken.
Joh, zolang overal de mentaliteit ik heb niks te verbergen heerst, zal er geen verbetering komen. Mensen halen hun schouders op en gaan weer door. Dit triggert niet om zorgvuldiger om te gaan met de gegevens. Bovendien staat security niet bovenaan de prio lijst van een bedrijf.
Het aantal fysieke inbraken fluctueert met de tijd. Dus het aantal hacks ook.
Nu wordt het interessant om te kijken of er vervolgstappen worden genomen.


We zijn hier in Nederland niet zo bekend met het genomen CC maar het wordt wereldwijd vaak gebruikt,
dixons zou kunnen worden aangesproken tgv diefstal door deze diefstal.

Een (proef)proces zou wel eens interessant kunnen zijn, ze hebben de gegevens niet alleen op een manier opgeslagen dat het leesbaar is,
het is ook de tweede keer waardoor je je kunt afvragen of ze daarmee niet laakbaar hebben gehandeld.
Ik neem aan dat je Dixons Carphone bedoeld? De Nederlandse Dixons (Relevant Holdings) staat namelijk los van Dixons Carphone.

Je zult waarschijnlijk Dixons Carphone bedoelen maar als ik Dixons lees denk ik eerst aan de NL versie. Kan verwarrend zijn.
Ico geeft hier absoluut geen misselijke boetes voor...
Maar de ICO is weinig meer dan 3 man in Manchester, een mijn collega kent er 2 van.

Voor het geval als Nederlanders denken dat de autoriteit persoonsgegevens te weinig personeel heeft...
In 2015 wisten aanvallers eveneens creditcardgegevens van 2,4 miljoen klanten buit te maken.

Dezelfde link staat ook gewoon in de tekst, dus het nog een keer linken is een beetje overbodig.
Had het artikel nog een keer (vluchtig weliswaar) extra doorgelezen maar zag toen (nog) geen vermelding staan, zodoende.
Er zou geen bewijs zijn dat de gegevens 'de systemen hebben verlaten'.
Dat er geen bewijs is wil natuurlijk ook niet zeggen dat het niet gebeurd is:
CTRL+A, CTRL+C en CTRL+V of een PrintScreen is lastig te detecteren op de pc van de indringer me dunkt ;)
Als iemand de gegevens kan inzien middels een hack of zo, dan hebben die gegevens automatisch het systeem 'verlaten'. De data is dan al gedownload en dat is terug te vinden in logfiles. Alleen als de data fysiek op het eigen interne systeem bekeken is, dan kan dat in principe zonder bewijs achter te laten, maar dan moet iemand al ongemerkt over iemand zijn schouder meekijken. Anders zijn er altijd inlog gegevens er vanuit gaan dat login-informatie wordt gelogd.
Simpele select statements kom je meestal niet in logs tegen hoor. Bij grote databases zou de grootte van de logfiles dan uit de hand gaan lopen. Vanaf een lekke website met sql injectie mogelijkheden kom je al een heel eind. Data stelen is niet zo lastig als er niet goed naar beveiliging is gekeken, en aangezien dit bij hun al de 2de keer is in 3 jaar zullen ze daar wel niemand hebben die daar ooit naar kijkt. Ook inloggegevens heb je vaak niets aan, want dan moet je eerst het tijdstip weten wanneer de data gestolen is. Vooral wanneer er 1 centraal account is die door meerdere personen wordt gebruikt. Met alleen een tijdstip en IP van een login weet je nog niet wat er op een systeem is uitgevoerd (shell history is makkelijk te wissen).
Ik vraag het me sowieso af of je een database dump gaat terugvinden zomaar even.
Het bewijs voor zo'n hack wordt redelijk simpel verkregen door de creditcard maatschappijen. Die hebben hele afdelingen die niets anders doen dan afwijkend gedrag rond credit cards bijhouden. Als er opeens veel misbruik is van credit cards die ooit gebruikt zijn bij Dixons Carphone weten zij het als eerste.

Uiteraard kan het alsnog zijn dat de creditcard maatschappijen aan de bel trokken omdat ze misbruik zagen wat naar Dixons Carphone te herleiden was, en dat Dixons Carphone er gewoon over liegt. Zou ook de eerste keer niet zijn. Maar dat neemt niet weg dat het bewijs van misbruik makkelijk te leveren is.

Ter verdediging van Dixons Carphone: er zijn echt erg veel datalekken waarbij de aanvaller geen idee heeft dat hij de hoofdprijs al in handen heeft! Ik heb een keer een spam onderzocht vanuit een website van een financiŽle instelling. Bleek een gat in de site te zitten waar je echt alles door had kunnen doen, maar in het log was te zien dat de attack code slecht geschreven was en dat alleen de spam functionaliteit echt werkte. Een diff tussen de backup voor de inbraak en de situatie op de live server liet zien dat er geen andere wijzigingen gemaakt waren. Ik heb de bewuste instelling toen dit advies gegeven, met een DVD met forensics er bij:
  • Laat je website fixen
  • Meld dat de data integriteit in het geding is geweest
  • Meld dat er geen bewijs is van het lekken van data
  • Meld dat er geen bewijs is van ongeautoriseerde modificaties
Is die analyse waterdicht? Zeker niet. Maar Occam's razor zegt dat het een stuk waarschijnlijker is dat er echt niets gebeurd is behalve het verzenden dan spam, dan dat een aanvaller zo gewiekst is dat hij valse log entries plaatst en daarna zo dom is de aandacht op de server te vestigen door er vanaf te gaan spammen.
Er zou geen bewijs zijn dat de gegevens 'de systemen hebben verlaten'.
Hoe wil je daar bewijs voor hebben? Als ik ctrl-A ctrl-C doet (even simpel genoemen) op deze pagina, of gewoon een print-screen, heb ik alle data op deze pagina, maar T.net zal niets zien dat de data 'hun' systeem heeft verlaten.

Maar 5.9miljoen creditcards, zijn die gasten of zo ziekelijk groot of hebben ze geen degelijk bewaartermijn? Neem aan dat lang niet iedereen z'n creditcard gebruikt, laat staan daar op te slaan (basisregel 1.1), dan moet je wel een ziekelijk groot klantenbestand hebben om zulke cijfers te halen.
Een politieke regel om de eventuele gevolgen wat in te perken. Nu klinkt het alsof de data enkel in te zien was maar er verder niets mee is gedaan, terwijl dat niet vast te stellen is.
Op die manier is er inderdaad geen bewijs.
Geen bewijs staat alleen niet garant dat het ook niet heeft plaatsgevonden.
Jawel, want die data is immers al vanuit de server naar je browser verstuurd.

Wanneer iemand bijvoorbeeld toegang heeft via SSH of tot een database, dan kijk je mee op het systeem en dan zijn de gegevens niet per definitie opgeslagen op je computer.
hebben ze geen degelijk bewaartermijn?
Ik de UK moet je als bedrijf tot wel 15 jaar na dato dit soort dingen nog aan de belastingdienst kunnen tonen. Het is grappig dat in een aantal EU landen de nieuwe privacy bewaartermijnen het niet mogelijk maakt om aan belastingregels te voldoen.

En het is een behoorlijk grote firma overigens.
Het is grappig dat in een aantal EU landen de nieuwe privacy bewaartermijnen het niet mogelijk maakt om aan belastingregels te voldoen.
Dat is fout. In de gdpr staat dat data mag bijgehouden worden als dat wettelijk moet. Ik betwijfel overigens of een kredietkaart nummer hieronder valt
Toen Sony PlayStation netwerk gehackt werd, ging het om 70 miljoen accounts met credit cards. In het VK en de VS wordt een credit card ook vaak gebruikt in plaats van direct debit. Dus zo raar is het niet.
zouden ze in GB eigenlijk de AVG ingevoerd hebben?

ps. mensen die me een score 0 geven...dit is juist ontopic! maarja het scoresysteem werkt al een tijdje niet meer goed hier!

[Reactie gewijzigd door bArAbAtsbB op 13 juni 2018 13:37]

toch wel vreemd ik zie voor een winkel totaal geen enkele reden creditcardgegevens op te slaan! en das wel 1 vd eisen van de GDPR..je moet een geldige reden hebben om de gegevens op te slaan!
"Wil je dat we de creditcardgegevens bewaren in jouw account zodat je een volgende keer sneller en eenvoudiger kan afrekenen?"
tja das gewoon dom als mensen dat doen!
Klopt is ook wel een beetje raar, want normaal (heb zelf ook een webshop) werk je met een 3e partij die de betalingen verwerkt, en die slaat wel de gegevens op.

Dus als er een lek is bij de webshop zelf, zouden er geen gegevens bekend moeten zijn, is het bij de betalingsverwerker is dat een ander verhaal, maar dan ligt het aan de verwerker.
Altijd weer die hack, tja het was, is toch wachten op dit soort zaken, omdat de boel onbevoegde toegang had tot bepaalde gegevens.
En Tja Er was ook toegang tot 105.000 onbeveiligde kaarten van buiten de EU.
We weten inmiddels allemaal dat data als namen, adressen en e-mailadressen geld opbrengt,
en/of je bankrekening geplunderd wordt
we leven inmiddels in anno (boevenbende)

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True