Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminele hackers persen Duits it-bedrijf af dat voor Oracle en Airbus werkt

Criminelen hebben ingebroken bij de it-infrastructuur van Citycomp en gevoelige data van klanten vrijgegeven nadat het bedrijf niet inging op eisen voor losgeld. Citycomp heeft onder andere Oracle, Volkswagen en Airbus als klant.

De aanvallers hebben een website opgezet voor het vrijgeven van de gegevens van Citycomp-klanten, schrijft Motherboard. Deutor Cyber Security Solutions, een beveiligingsbedrijf dat door Citycomp in de arm genomen is, bevestigt tegenover Motherboard dat de digitale inbraak heeft plaatsgevonden: "Citycomp is gehackt en afgeperst en de aanval duurt nog voort. We moeten voorzichtig zijn aangezien de politie de zaak onderzoekt en de aanvallers alle trucs uitproberen."

De criminelen claimen 312.570 bestanden in 51.025 mappen in handen te hebben. In totaal zou het om 516GB aan gevoelige gegevens gaan, waaronder financiële data. Ze dreigden de data op 31 april vrij te geven, hoewel april maar 30 dagen heeft. Inmiddels zijn de bestanden publiekelijk te downloaden.

De aanvallers claimen dat het om bestanden van Volkswagen, Airbus, Oracle, Ericsson, Leica, Toshiba, UniCredit, British Telecom, Hugo Boss, NH Hotel Group, en Porsche gaat. Waarschijnlijk betreft het daarbij de Duitse vestigingen aangezien de Duitse rechtsvorm GmbH bij de bedrijfsnamen staat. Van sommige bedrijven zijn enkele bestanden geopenbaard, van andere honderden. Volgens Motherboard is het e-mailadres dat op de site van de afpersers staat vaker gebruikt bij afpersingen.

Door Olaf van Miltenburg

Nieuwscoördinator

30-04-2019 • 18:18

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Ik vraag me zomaar af.. het bankrekeningnummer dat wordt opgegeven door de kidnappers, daar moet toch iets mee gedaan kunnen worden? Ik bedoel, al is het meerdere malen doorgelust naar andere rekeningen en zijn de rekeningen ooit geopend door “anonieme” idioten, dan nog kan dat allemaal als bank zijnde getraceerd worden. Wellicht kan je zo iig bij de idioten terecht komen die de rekeningen hebben geopend?
Ik vermoed dat ze cryptovaluta zoals bitcoins eisten. Is toch een stuk lastiger te traceren.
Nee, cryptovaluta zijn juist makkelijker te traceren aangezien alle transacties openbaar zijn. Zeker bij grote geldstromen omdat die niet onopgemerkt in een grote stapel kunnen verschuilen.

Uiteindelijk moet een crimineel natuurlijk wel de crypto omzetten in echt geld en dat is het moeilijke gedeelte.
Euh, compleet verkeerd.

Automatisch opsplitsen in verschillende bedragen en geen connectie tussen "ruilrekeningen". Hiervoor bestaan er zelfs enkele online tools. Kan nu niet meer op de naam komen wel.
Coinjoin bijvoorbeeld. :) Met coinjoin weet je misschien niet welke munt precies naar wie gestuurd is, maar je weet wel welke munten allemaal betrokken (of zelfs medeplichtig?) waren. Zodra wetgevers exchanges verbieden die betrokken munten te accepteren is het snel afgelopen met de coinjoins van nu. Alleen een gek zal dan nog om legitieme redenen gebruik maken van zo’n dienst.
En ook dan blijft het kinderspel om te verduisteren, want na een aantal schakels kan zo'n exchange echt niet achterhalen waar de bitcoins van afkomstig zijn.
Cryptovaluta zijn helemaal niet te traceren verder dan de transactie van A naar B.

Als ik 10 bitcoins overmaak van mijn wallet A naar zijn wallet B, en wallet B heeft een reserve van 100 bitcoins en maakt 5 over naar wallet C, 5 naar wallet D, 10 naar wallet E en houdt de rest - hoe weet jij dan waar de bitcoins afkomstig van wallet A zijn? Net als met contant geld kan je dat niet weten.

Met een dergelijke truck op grotere schaal (dus met vele schakels) is het kinderspel om bitcoins te verduisteren.
Als in dit voorbeeld wallet A van Citycomp is en wallet B van de afpersers, gaat het er dus om om te achterhalen wie er toegang hebben tot wallet B. Degene die daar een sleutel voor heeft is op zijn minst betrokken bij dit misdrijf. Of de bitcoins er nog in zitten of niet is in dit geval niet van belang (behalve als je je geld terug wilt... :) ). En als je dan ook nog kan aantonen dat de eigenaren van wallet C, D en E ook betrokken zijn (of misschien zelfs van dezelfde eigenaar) dan is dat mooi meegenomen en kan je de hele bende oprollen. In de praktijk is het (in dit geval helaas) erg moeilijk om de eigenaar van een wallet te achterhalen.
Maar wallet B is niet van de afpersers. Wallet G is dat. Of wallet Z. Of.... nouja, eigenlijk weten we het niet. Wallets B tm F worden bijvoorbeeld gebruikt voor de verduistering. Enkel en alleen als wallet B van de afperser is heb je misschien een kleine kans hem te pakken, maar dat zou wel erg dom zijn van iemand die slim genoeg is om te weten hoe je iemand moet afpersen en hierbij gebruik maakt van bitcoins.
Er zijn genoeg coins die niet zomaar te traceren zijn, zoals Monero.
Interessant, ik wist niet dat monero geen public ledger heeft.
Ze hebben wel een public ledger, alleen daar kan je niet echt bruikbare informatie uithalen. Alle informatie wordt met encryptie onbruikbaar gemaakt.
het bankrekeningnummer dat wordt opgegeven door de kidnappers,
Te weinig films gekeken? ;)
Weet ik niet maar ik kan me bv een zaak herinneren (kleinere schaal) waarin er 400 autoverzekeringen op de naam van een dakloos persoon waren gezet die hier een centje voor kreeg. Uiteindelijk zijn ze bij die dakloze persoon uitgekomen die uiteindelijk toch genoeg info verschafte om meerdere “verzekerden” te lokaliseren.
Waarom zou Oracle haar gegevens bij een ander onder brengen? Iemand een idee?
Dit kan van alles zijn, een klein project, een groot project, een project van een afdeling (in Duitsland). Kan me niet voorstellen dat ze de hele it infrastructure daar bij een IT bedrijf van 50 man hebben.
Vanuit welke bron haal de je de 50 man? Op hun website staat nochtans 170 man in Duitsland en 200 partners wereldwijd.

Veel grote bedrijven hebben niet hun volledige infrastructuur wereldwijd in eigen handen.
Hoe ik het begrijp is dit een club die onderhoud doet op werkplekken en in datacenters voor andere partijen.
Voorbeeldje: er gaat een disk kapot in Frankfurt terwijl Oracle engineers in Berlijn zitten. Dan kan zo'n bedrijf ingeschakeld om even een disk te wisselen - dat is goedkoper dan een engineer vanuit Berlijn naar Frankfurt te sturen.

Echt veel informatie heeft zo'n bedrijf doorgaans niet - en al helemaal geen 'gevoelige financiële gegevens'.
Dit is natuurlijk speculeren totdat we de documenten hebben gezien.
Ik kan me toch indenken dat onderhoud voor werkplekken en datacenters administrative wachtwoorden vereisen.
Klopt op zich, maar die heb je pas nodig op het moment dat je daadwerkelijk moet inloggen en dat is in veel gevallen niet nodig. Sterker nog: in veel gevallen zal het niet de bedoeling zijn dat Citycomp ergens op inlogt. In veel gevallen zal zo'n bedrijf ingeschakeld worden om hardware on-site te vervangen, niet om software-oplossingen te beheren.

Mogelijk doet Citycomp ook totaalbeheer (geen idee) en dan zullen ze meer informatie in hun systeem hebben, maar hoe ik het zie doen ze voornamelijk 'remote hands'. De wachtwoorden zitten dus bij de opdrachtgever in dit geval.
Ik heb geen idee wat dit bedrijf precies doet en aangezien hun beveiliging niet in orde was wil ik het verder ook niet weten.
Voor hetzelfde geld gewoon de plannen voor het uitje van de personeelsvereniging.
dat moet dan toch serieus uit de hand gelopen zijn :+
Goed bezig. Zolang criminelen het geld niet krijgen en bedrijven nee blijven zeggen zien er dalijk geen geld meer in. :)
Als ze het geld niet krijgen van het bedrijf, kunnen ze het doorverkopen aan een concurrent of andere belangstellenden en kunnen ze nog steeds cashen.
En wat let ze om dat überhaupt al niet te doen? Dubbel cash!
Je zegt nu precies waarom je *altijd* nee moet zeggen. Criminele hackers nooit vertrouwen.
Exact. Enige dat kan helpen is het niet lucratief maken.
Nu dus niet meer, want het ligt al op straat ;)
Heel vervelend voor het bedrijf en de klanten, maar idd het beste wat ze kunnen doen. (naast een review op security, klanten informeren, een schade profiel opstellen/inventariseren, en een hele grondige scan of die bastards er niet nog steeds inzitten)
Tja als alle Informatie opeens op straat ligt?

Daarnaast kopen Chinese het graag over. Wil je dat. Leuk hoor ..

[Reactie gewijzigd door theduke1989 op 30 april 2019 18:36]

Hmmm, nu ben ik benieuwd of de AVG hier ook van toepassing is en de bedrijven daar op aangepakt kunnen worden.
Als er ergens ingebroken word en de beheerders redelijke beveiliging gebruikt hebben is er geen reden om een bedrijf aan te pakken. Tweakers roepen altijd maar om straffen terwijl er soms inbraken zijn waar je vrijwel niets aan kan doen.

Als jij alle netwerk hardware van je webshop van merk X hebt en er een probleem mee is kan je slechts de updates die beschikbaar zijn toepassen. Je hoeft je shop niet meteen offline te halen (als dat wel zou zijn zou er weinig verkocht worden op het net....)

Wist je dat de mensen die de AVG handhaven heel veel advies geven? Het gaat ze niet om geld te innen via boetes maar om jouw data veilig te houden.

[Reactie gewijzigd door falconhunter op 30 april 2019 18:48]

als ze dit hebben ontdekt en niet op tijd hebben gemeldt aan de overheid zijn ze wel degelijk in overtreding met de GDPR en zal er een sanctie volgen
“We have informed and warned all concerned clients,” Bartsch said.

“There was full transparency about the attack and theft as well as public release of the data with our clients from the very beginning. The support is unanimous,” he added.
communicatie naar de klanten is maar 1 van de 3 acties.
interne registratie zullen ze ook wel gedaan hebben, maar notificatie van de autoriteiten binnen de 72 uur is in dit geval ook verplicht.

Er zijn genoeg bedrijven die proberen inbreuken onder de mat te vegen uit angst voor audits, boetes en negatieve publiciteit. In een 'when the shit hits the fan' situatie zoals hier geraak je daar natuurlijk niet mee weg, maar dan nog moet je het melden en niet via een PR-persbericht, maar bij de nationale autoriteit.
Dat is bekend en in dit geval ook beslsist gedaan. je gaat niet de zaak open gooien voor de klanten en slaat dan de melding over lijkt me.
Ik vind overigens de melding aan de klanten belangrijker dan de melding aan de autoriteit. De klant staat voorop dan volgt de wetgever.
vind dat tweakers wel echt gelijk heeft met het roepen van boetes.
https://nos.nl/artikel/20...gegevens-gaan-melden.html
zelfs als er een USb stick met bedrijf gegevens verloren gaat moet je hiervoor binnen aanzienlijke tijd hiervan aangifte doen.
doe je dat niet dan neem je als bedrijf een risico, wat als er nou net een factuur en bedrijfs- gegevens opstaan.(wat eigenlijk niet meer mag zonder, dat je laptop geyncrypt is met bitlocker bijvoorbeeld)
Die kunnen worden misbruikt door derden. zonder aangifte kan het gedupeerde bedrijf nooit aantonen dat ze niet schuldig zijn.
En er zijn wel degelijk goed beveiligde bedrijven die boetes hebben gehad.
het ligt niet alleen aan de beveiliging maar ook de handhaving hiervan.
als je goede beveiliging hebt maar je laat losse media zoals USb sticks of wachtwoord rondslingeren dan ben je als beheerder niet goed bezig.
En ja er zal altijd wel een kans zijn dat er een inbraak niet te voorkomen is.
maar meeren deels heb je dat zelf in handen.
en als ze niet binnen aangewezen tijd de inbraak melden dan ben je ook in overtreding.
het heeft ook geen zin om een inbraak te gaan achterhouden voor het brede publiek.
helemaal als het bv inlog gegevens betreft.
Een 'IT-bedrijf' dat zijn beveiliging niet op orde heeft?
Inside job of iemand usb-stick gevonden op de parking?
https://www.youtube.com/watch?v=XJCQBqTmGUU

[Reactie gewijzigd door OxWax op 30 april 2019 19:03]

Het woord criminele in de kop is een beetje overbodig lijkt me.
Want alle hackers zijn crimineel? :?
Alle afpersers zijn crimineel :)
Hoe zou je hacker positief uit kunnen leggen?

Doorgaans is het verkrijgen van data/toegang tot iets waar je geen recht op hebt strafbaar = Crimineel.

Edit: post omgegooid, haalde mijn eigen stelling onderuit -_-

[Reactie gewijzigd door Tgask op 1 mei 2019 03:22]

Linux installeren op een kapotte iPod om het beschadigde deel van de harde schijf af te schermen is een voorbeeld van een hacker die als positief wordt uitgelegd.
Is dat niet gewoon cracken (of rootkitten/jailbreaken)?
Hacken is toch eigenlijk weggelegd voor het (potentieel geautomatiseerd) typen van commando's, wachtwoorden en hardwarematige stunts uithalen?

Of is het in het businesskader gewoon hetzelfde?

Ik denk overigens dat het woord "criminele" er wel in past als nuancering, juist omdat er zoveel nieuws *is* over het hacken, wat vaak niet als crimineel werd bestempeld. Maar ja, het afpersen staat er ook al in dus misschien was het ook wel weg te laten.
Neen.

Hacking is het ontdekken van beveiligings-, software-, hardware-, design- en installatiefouten. Om hier zelf (nieuwsgierigheid), en anderen, van te laten leren en te adviseren. Je kan dit vergelijken met de agent die bij je thuis advies geeft over inbraakbeveiliging. (Hij rammelt even aan de deur, kijkt naar het soort sloten enz.)

Cracking is hetzelfde maar dan met het oogmerk hier d.m.v. afpersing of misbruik van gegevens aan te verdienen. Dat is te vergelijken met de bekende inbreker. Ook hij rammelt aan je deur maar dan met het oogmerk om ongeoorloofd naar binnen te gaan en je televisie mee te nemen.

Een rootkit is een (verzameling van) programma('s) om authorisatie te verkrijgen om bijv. software (met name mal-ware) te installeren. Vergelijk het met het plakbandje over het slot zodat de deur niet in het slot valt maar gewoon open te duwen is.

Jailbreaken is het omzeilen van beperkingen van een (mobiel) os door de eigenaar van het toestel. Het beroemde kattenluikje in je voordeur installeren.

Aangezien de media (en het grote publiek) min of meer weigert om het onderscheid tussen hacking en cracking aan te geven, heeft men het over resp. hackers en illegale hackers.
Zolang het woord hacker ook in positieve zin wordt gebruikt door media is dat wel nodig is mijn mening.

Er word ook wel is iets door media geplaatst over een 'ethisch hacker' bijvoorbeeld. Een hacker die enkel een bedrijf wilt helpen om juist bovenstaande te voorkomen.

[Reactie gewijzigd door Emiel1984 op 30 april 2019 19:20]

Ik denk dat het over het afpersen ging waar crimineel dubbelop is.
Maar als die white hat besluit tot afpersen...
Welke deel van afpersing beschouw jij als niet crimineel?
Of denk je dat het white hackers zijn die hun onkosten vergoed willen hebben?
Ik maak uit het artikel op dat er eerst gedreigt is een daarna pas ingebroken.

Als je zo'n dreiging krijgt waarom gooi je dan niet tijdelijk je internetverbinding eruit om alles vervolgens zo goed mogelijk dicht te gooien?

De download van zo veel bestanden had dan voorkomen kunnen worden.

----

Nvm ik denk dat ik het niet goed las..

[Reactie gewijzigd door jordynegen11 op 30 april 2019 19:40]


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Economie en maatschappij

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True