Data van honderd miljoen Amerikanen gestolen via datalek bij Capital One-bank

Via een datalek bij de Amerikaanse bank Capital One zijn gegevens van meer dan honderd miljoen Amerikanen buitgemaakt. Het gaat grotendeels om naw- en inkomensgegevens, maar in sommige gevallen ook om financiële data en burgerservicenummers.

Volgens Capital One zijn er geen creditcardgegevens of gebruikersnamen en wachtwoorden gestolen tijdens de inbraak. De bank zegt dat het voornamelijk gaat om 'namen, adressen, telefoonnummers, e-mailadressen, geboortedatums en zelf opgegeven inkomens' van klanten die tussen 2005 en 2019 een creditcard aanvroegen bij de bank. Daarnaast zijn er 'fragmenten van transactiegegevens' verkregen van een periode van 23 dagen in 2016, 2017 en 2018, en zijn 140.000 social security numbers buitgemaakt, het Amerikaanse equivalent van het bsn. Van 80.000 klanten zijn de rekeningnummers die bij hun creditcard horen, bekend geworden.

Naast de honderd miljoen getroffen Amerikanen zijn ook zes miljoen Canadezen slachtoffer geworden. Van één miljoen daarvan zijn de social insurance numbers buitgemaakt. Volgens Capital One is het 'onwaarschijnlijk' dat de informatie voor fraude is gebruikt.

Capital One geeft niet veel details prijs over de precieze aard van het datalek, maar zegt wel dat het gaat om 'een individu' dat een kwetsbaarheid in de serverconfiguratie van de bank wist uit te buiten om zo de data te bemachtigen en te ontsleutelen. De FBI heeft inmiddels een verdachte opgepakt. De 33-jarige vrouw uit Seattle zou in 2015 en 2016 hebben gewerkt bij een niet nader genoemde cloudserviceprovider. Ze wist op 22 en 23 maart van dit jaar in de systemen van Capital One te komen. De verdachte postte over de kwetsbaarheid op GitHub. De FBI wist die posts te linken aan Slack-berichten en persoonlijke berichten op Twitter. Ook zou zij toegang tot de slecht beveiligde server hebben gehad via dezelfde vpn-provider als waarmee zij die berichten postte. Op de inbraak staat maximaal vijf jaar celstraf en een boete van 250.000 dollar.

Het lek komt naar buiten in de week dat een andere Amerikaanse financiële instelling in het nieuws is. Kredietbeoordelaar Equifax is deze week begonnen met het uitbetalen van schikkingsbedragen van in totaal 700 miljoen dollar. Dat doet het bedrijf nadat het vorig jaar te maken had met een datalek waarbij de financiële gegevens van 143 miljoen Amerikanen op straat waren komen te liggen.

Reacties (69)

SonicFC 30 juli 2019 10:08

Volgens de NOS is AWS de betreffende cloud hosting partij. Erg pijnlijk dat de hacker een oud-medewerker van deze dienst is. Volgens het statement van Capitol one zat het issue in de configuratie van een webserver en hebben ze het issue zelf opgelost. Geen technische blaam voor AWS dus, maar desalniettemin pijnlijk.

Auteur

TijsZonderH Nieuwscoördinator @SonicFC • 30 juli 2019 10:55

Dat staat volgens mij niet letterlijk in het arrestatiebevel, maar wel dat het om 'een grote cloudprovider uit Seattle' gaat. Dus ja, daar mag je zelf een conclusie uit trekken.

Sandor_Clegane @TijsZonderH • 30 juli 2019 10:59

Kan Azure ook zijn, MS is ook Seattle. Ars Technica zegt AWS iig.

[Reactie gewijzigd door Sandor_Clegane op 23 juli 2024 08:46]

JPtjeeNL @Sandor_Clegane • 1 augustus 2019 07:57

Microsoft's HQ ligt in Redmond, Amazon HQ is in Seattle.

Microsoft Headquarters: One Microsoft Way, Redmond, WA 98052, USA
Amazon Headquarters: 2111 7th Avenue; Seattle, Washington, USA

Sandor_Clegane @JPtjeeNL • 1 augustus 2019 08:11

A suburb of Seattle.

djwice

@TijsZonderH • 30 juli 2019 22:46

Opvallend dat de ontwikkeling van hun HttpTrafficRecorder op hun GitHub op 27 juli 2019 is gestopt: https://github.com/capitalone/SWHttpTrafficRecorder

Ik zie dat https://github.com/SanthiSridharan dat recent gedaan heeft met:
27 juli

9 juli

Wellicht zijn ze gerelateerd aan het datalek. Opvallend is dat ze verder niet heel actief was de laatste maanden en voorheen ook bij de ontwikkeling van cloudcustodian betrokken was. LinkedIn https://www.linkedin.com/in/santhi-sridharan-bb299715/

[Reactie gewijzigd door djwice op 23 juli 2024 08:46]

DeX-nl 30 juli 2019 10:48

Ik vind het altijd zo jammer dat in de media de beschuldigende vinger naar de dader gaat terwijl deze zeer grote bank de deuren wagenwijd heeft open gezet voor mogelijke hackers. Als een server of webapplicatie slecht beveiligd is, tja, dan is het natuurlijk wel logisch dat er op een gegeven moment iemand hier misbruik van gaat maken. Je kunt het simpelweg niet maken tegenover je klanten om in deze tijd de boel slecht te beveiligen. Ook dat moet net zo hard, of mogelijk nog harder, bestraft worden.

Ik wil overigens niet zeggen dat deze hacker vrijuit moet gaan. Maar, als je bijvoorbeeld een peperdure fiets midden op het centraal station neerzet zonder slot, dan is het wachten dat iemand er op weg fietst.

Meauses @DeX-nl • 30 juli 2019 12:44

CapitalOne is juist een financiele instelling die zijn security op cloud vlak zeer goed op orde heeft. Ze hebben zelfs een open-source tool beschikbaar gesteld om de compliance van je AWS omgeving te controleren maar vooral ook maatregelen te 'enforcen'.
Zij hosten voornamelijk bij AWS en de persoon in kwestie werktte hier dus ook. Betekent dus dat zij toegang heeft kunnen krijgen op een andere manier dan je zou verwachten.

koelpasta @Meauses • 30 juli 2019 14:44

Ja, en waarom anticipeerde de bank dan niet op die 'andere' manier van toegang?
Het grote probleem is mijns inziens nog steeds dat die bank de gegevens uit handen gaf en er vervolgens niet meer zelf controle over heeft gehouden.
Je kunt namelijk best een systeem maken waarbij de 'cloud' niks kan met die gegevens. Dat heeft deze bank dus bewust of onbewust (ik gok bewust) achterwege gelaten.

Dit is een groot probleem aan het worden. Grote bedrijven die risico's nemen met onze gegevens zodat ze bakken met geld kunnen verdienen aan de producten die ze ermee bouwen en dan huilie-huilie doen als daar negatieve effecten van komen. En in het geval van bedrijven als facebook kun je niet eens meer spreken van een risico. Die doen actief aan de verkoop van gegevens en zijn dus eigenlijk wat je noemt 'bad actors'. Die doen het dus bewust slechte dingen om er beter van te worden.
Ik zeg, volledig de schuld leggen bij de partij die dat soort diensten ontwikkelt. In dit geval dus deze bank.

Meauses @koelpasta • 30 juli 2019 16:25

Kan mij niet voorstellen dat ze hier niet op hebben geanticipeerd, maar je kan niet alles voorkomen. Dat is een stuk vertrouwen dat je bij je cloud provider legt. Dat is inderdaad het risico van de cloud.
Maar ook je eigen datacenter is niet 100% waterdicht, want als je je servers ergens anders host, wie zegt dan dat de fysieke toegang waterdicht is? En wie zegt dan dat de medewerker die een nieuwe server plaatst daar geen gekkigheid mee uithaalt?

Ze hebben geen huilie huilie gedaan want ze zijn zelf naar buiten gekomen met dit nieuws en hebben hun excuses reeds aangeboden. Het probleem en de verantwoordelijkheid ligt ook volledig bij CapitalOne.

koelpasta @Meauses • 30 juli 2019 19:12

Kan mij niet voorstellen dat ze hier niet op hebben geanticipeerd, maar je kan niet alles voorkomen.

Je kan een hoop voorkomen hoor. Maar er moet winst worden gemaakt. Dat bedrijf heeft een beursnotering en dan worden de belangen van de beleggers over het algemeen groter dan de klanten.

Maar ook je eigen datacenter is niet 100% waterdicht, want als je je servers ergens anders host, wie zegt dan dat de fysieke toegang waterdicht is?

Je kunt in dat geval eigen policies voor fysieke toegang regelen. Je maakt dan in ieder geval kans het goed te doen. Het zou denk ik risicoverlagend werken.
Ik vind niet dat je de 'nooit 100% waterdicht' kaart zo makkelijk mag trekken. WQe hebben het hier over de gegevens van zo'n 1/3 van de totale bevolking van de VS.
Je kunt het denk ik redelijk waterdicht maken alleen kost dat veel geld en energie. Dus komt het aan op risicoanalyse en het blijkt dus dat die risico's verkeerd ingeschat zijn en als een medewerker van het hostingbedrijf bij de data kan dat er toch echt wat steken zijn laten vallen in het informatie systeem als geheel.
Ik zie ook niet hoe bijvoorbeeld een boete of een schikking het probleem voor de gebruikers gaat oplossen als niet ook een technisch betere oplossing wordt gezocht. Alleen betwijfel ik of dit voorval echt iets gaat veranderen aan hoe deze bank in de toekomst gaat opereren.
Maar ja, als je blijft roepen dat het toch niet '100% veilig' kan worden gemaakt dan zal zo'n onderneming al gauw denken 'waarom zou ik er dan in investeren?' en blijf je dit soort zooi houden.
Ik weet niet of je de laatste tijd hebt opgelet, maar grote datalekken zijn dagelijkse kost. Er MOET iets veranderen maar odertussen blijft iedereen op de losgeslagen tein zitten en trekt niemand aan de noodrem. Sterker nog, mensen halen steeds vaker hun schouders op en roepen dat het toch niet 100% kan worden beveiligd.

Met andere woorden, we mogen (in zn algemeenheid) best wel strenger zijn op bedrijven die we met onze gegevens toevertrouwen. Nu is het nog steeds een soort wilde westen situatie en er worden dagelijks kalfles verdronken zoder dat dat iets aan de situatie wordt gedaan.

Ze hebben geen huilie huilie gedaan want ze zijn zelf naar buiten gekomen met dit nieuws en hebben hun excuses reeds aangeboden. Het probleem en de verantwoordelijkheid ligt ook volledig bij CapitalOne.

Ja, ok, heb inderdaad een beetje overdreven met mn huilie-huilie.

Wat ik er mee wou zeggen is dat ze nu op blaren zitten. Sowiso is het onmogelijk om alle gevolgen van dit soort lekken terug te draaien en vandaar dat het eigenlijk nooit voor moet komen.

Meauses @koelpasta • 31 juli 2019 06:32

[...]

Je kan een hoop voorkomen hoor. Maar er moet winst worden gemaakt. Dat bedrijf heeft een beursnotering en dan worden de belangen van de beleggers over het algemeen groter dan de klanten.

Ja je kan ook gewoon geen zaken doen met klanten, maar hoe ga je dan een bedrijf runnen?

De enige risico's die je niet hebt zijn degene die je niet neemt. Daarmee bedoel ik dat als je geen IT hebt of gebruikt je die risico's ook niet hebt. Maar dan is digitale dienstverlening erg lastig. En ja, uiteindelijk is geld verdienen het belangrijkst. Waar moeten anders de salarissen van betaald worden?

Je kunt in dat geval eigen policies voor fysieke toegang regelen. Je maakt dan in ieder geval kans het goed te doen. Het zou denk ik risicoverlagend werken.

Ook policies voor fysieke toegang zijn niet waterdicht, je bent altijd afhankelijk van processen van derden en mensen. Ik kan je vertellen op basis van ervaring dat er altijd wel een zwakte is.
Denk vooral niet dat financiele instellingen niet dit soort maatregelen hebben geimplementeerd.
Maar als je naast de datalekken trend die je noemt ook de incident response trend zou hebben meegenomen in je verhaal, dan zegt de infosec community al jaren dat preventie alleen niet meer voldoet, het gaat vooral om detectie en response.

Ik vind niet dat je de 'nooit 100% waterdicht' kaart zo makkelijk mag trekken. WQe hebben het hier over de gegevens van zo'n 1/3 van de totale bevolking van de VS.

Het gaat niet om de kaart trekken als zijnde excuus, het gaat om de realisatie dat je er bewust van moet zijn welke risico's het gebruik maken van digitale diensten met zich meebrengen.
Wil je die risico's niet lopen? Dan moet je ze niet gebruiken. Is dat onhandig en oncomfortabel? Dat denk ik wel ja,

Je kunt het denk ik redelijk waterdicht maken alleen kost dat veel geld en energie. Dus komt het aan op risicoanalyse en het blijkt dus dat die risico's verkeerd ingeschat zijn en als een medewerker van het hostingbedrijf bij de data kan dat er toch echt wat steken zijn laten vallen in het informatie systeem als geheel.
Ik zie ook niet hoe bijvoorbeeld een boete of een schikking het probleem voor de gebruikers gaat oplossen als niet ook een technisch betere oplossing wordt gezocht. Alleen betwijfel ik of dit voorval echt iets gaat veranderen aan hoe deze bank in de toekomst gaat opereren.

Redelijk waterdicht is dus niet 100% waterdicht...
Het gaat om de afweging wat de impact en kans is van een risico. Als die kleiner is dan de kosten die je moet maken om het te mitigeren of naderhand op te lossen, dan kan ervoor gekozen worden om er niks aan te doen. Dat is gewoon een simpele kosten/baten afweging.
En IT risico's zijn lastig dan wel niet te kwantificeren, en zijn een subjectieve inschatting. Dat betekent automatisch dat ook dat niet 100% garantie is.
Als jij de weg oversteekt maak je toch ook een risico inschatting of er verkeer aan komt of niet? Als iemand dan opeens de hoek om komt zeilen met hoge snelheid die je niet aan hebt kunnen zien komen, heb je dan het risico verkeerd ingeschat of juist goed omdat je uitging van de situatie die er op dat specifieke moment was?

Maar ja, als je blijft roepen dat het toch niet '100% veilig' kan worden gemaakt dan zal zo'n onderneming al gauw denken 'waarom zou ik er dan in investeren?' en blijf je dit soort zooi houden.
Ik weet niet of je de laatste tijd hebt opgelet, maar grote datalekken zijn dagelijkse kost. Er MOET iets veranderen maar odertussen blijft iedereen op de losgeslagen tein zitten en trekt niemand aan de noodrem. Sterker nog, mensen halen steeds vaker hun schouders op en roepen dat het toch niet 100% kan worden beveiligd.

De risico's die bedrijven niet kunnen mitigeren, omdat ze daar niet van 'in control' kunnen zijn, daar verzekeren ze zich tegen. Dat is het enige dat dan resteert, ja of niks doen, maar dan ben je al snel failliet.

Met andere woorden, we mogen (in zn algemeenheid) best wel strenger zijn op bedrijven die we met onze gegevens toevertrouwen. Nu is het nog steeds een soort wilde westen situatie en er worden dagelijks kalfles verdronken zoder dat dat iets aan de situatie wordt gedaan.

Dat ben ik zeker met je eens, er moet meer grip op komen, maar die verantwoordelijkheid ligt niet alleen bij bedrijven. Ook consumenten en overheden spelen hier een rol in.

Ja, ok, heb inderdaad een beetje overdreven met mn huilie-huilie. Wat ik er mee wou zeggen is dat ze nu op blaren zitten. Sowiso is het onmogelijk om alle gevolgen van dit soort lekken terug te draaien en vandaar dat het eigenlijk nooit voor moet komen.

[Reactie gewijzigd door Meauses op 23 juli 2024 08:46]

koelpasta @Meauses • 31 juli 2019 15:13

[q]Waar moeten anders de salarissen van betaald worden?[q]
Hahaha, salarissen? Winst voor de aandeelhouders bedoel je?
Een bank heeft bizar lage loonkosten vergeleken met hun omzet. Dus dat kan de pret neit drukken.
En die gasten verdienen, zeker in de top, bedragen waar een gemiddeld mens misselijk van wordt. Dus al zouden ze moeten inleveren dan nog houden ze bakken over.
Het probleem is dus dat ze hun winst en hun rendement maximaliseren en dat gaat ten koste van goede beveiliging.

Het gaat om de afweging wat de impact en kans is van een risico.

Ja, dat snap ik, alleen wordt dat risico vooral op basis van financiele baten en lasten gemaakt. Er wordt eigenlijk alleen naar de impact van het bedrijf en de aandeelhouders gekeken. Dat hierdoor persoonsgegevens van 1/3 van de bevolking op straat komen te liggen en dus misbruikt kunnen worden en de levens van mensen kunnen verwoesten boeit ze minder. Als ze het maar financieel denken te kunnen dekken met een schikking ofzo dan is het wel ok.

Dat ben ik zeker met je eens, er moet meer grip op komen, maar die verantwoordelijkheid ligt niet alleen bij bedrijven. Ook consumenten en overheden spelen hier een rol in.

Ik weet niet of ik het hier helemaal mee eens ben.
Overheden, ja, die zouden dit soort dingen eerder in moeten zien. Maar overheden zijn traag en omdat ze worden betaald met belasting zullen ze eerder wachten op de kalveren die onherroepelijk gaan verdrinken. Overheden zijn zelden pro-actief. Kijk nou naar die GDPR die eigenlijk zo'n 20 jaar te laat is.

Consumenten. Meh. Die hebben gemiddeld genomen niet de kennis en resources om hier diep op in te gaan. Die kunnen dit soort risico's helemaal niet inschatten en worden verleid met mooie beloftes.

Bedrijven, ja, die hebben grote verantwoordelijkheid aangezien zij een product verkopen waarvan ze het risico niet delen met de klanten. Ik heb nog nooi een instelling gehoord over hoeveel risico ik als klant loop dat mijn gegevens op straat belanden. En dat allemaal ten behoeve van het geld verdienen voor zo'n instelling en ondanks dat die instellingen best wel meer geld hadden kunnen steken in veiligere systemen.

Als jij de weg oversteekt maak je toch ook een risico inschatting of er verkeer aan komt of niet? Als iemand dan opeens de hoek om komt zeilen met hoge snelheid die je niet aan hebt kunnen zien komen, heb je dan het risico verkeerd ingeschat of juist goed omdat je uitging van de situatie die er op dat specifieke moment was?

Ja, maar hier is toch een prima oplossing voor (100%): Bruggen/tunnels en het verkeer scheiden. Dan kan er nooit een suto met een voetganger in kontakt komen en bestaat de hele problematiek rondom oversteken niet meer.
Alleen kost dat geld en is het mischien niet zo gebruiksvriendelijk. Maar het is wel 100% veilig.
Het probleem is dat persoonsgegevensverwerkende instellingen over het algemeen eigenlijk alleen maar roepen dat het gewoon veilig is om over te steken en vervolgens niets doen om de situatie veiliger te maken.

mashell @Meauses • 30 juli 2019 15:04

Zij hosten voornamelijk bij AWS en de persoon in kwestie werktte hier dus ook. Betekent dus dat zij toegang heeft kunnen krijgen op een andere manier dan je zou verwachten.

CapitalOne is juist een financiele instelling die zijn security op cloud vlak zeer goed op orde heeft.

Samengevat kom je tot de conclusie: je kunt de cloud niet vertrouwen. Je geeft data waar jij verantwoordelijk voor bent aan een derde. Als het veilig moet zijn dan mag het eigenlijk gewoon niet in de cloud.

Meauses @mashell • 30 juli 2019 16:26

De cloud biedt andere risico's dan je "eigen" datacenter. Vertrouwen is iets dat je zelf moet bepalen in hoeverre wel/niet. Sommige zaken zijn in de cloud wellicht veiliger dan op je eigen kantoor of datacenter.. Ligt er maar net aan hoe de context is

djwice

@Meauses • 30 juli 2019 22:37

Je bedoelt deze tool https://github.com/cloud-custodian/cloud-custodian

Meauses @djwice • 31 juli 2019 06:50

Inderdaad

mjtdevries @DeX-nl • 30 juli 2019 11:11

terwijl deze zeer grote bank de deuren wagenwijd heeft open gezet voor mogelijke hackers

Op basis van welke feiten concludeer jij dat ze de deuren wagenwijd open hebben gezet?
Het kan ook een kleine kier zijn geweest of een dichte deur die niet goed op slot zat.
Zo jammer dat de beschuldigende vinger meteen naar het slachtoffer gaat zonder onderbouwde reden.

Maar, als je bijvoorbeeld een peperdure fiets midden op het centraal station neerzet zonder slot

En wat als je een normale fiets met een ringslot op slot zet, ipv twee hele dikke kettingsloten?
In mijn studenten tijd werd het als normaal gezien dat je kettingsloten duurder waren dan je fiets.

FlowChef @mjtdevries • 30 juli 2019 12:38

Dat is natuurlijk dikke onzin. Tenzij je van de zwerver een fiets had. Fietsen haal je vanaf 50 euro. Ga mij niet vertellen dat je hier een 50+ slot aan hangt.

Verwijderd @FlowChef • 30 juli 2019 13:03

Ligt eraan. Als fietsen je een wandeling van 60 minuten bespaard, dan zou een goed slot zeer waardevol kan zijn. Dan hoef je niet midden in de nacht naar huis te wandelen of de spreekwoordelijke zwerver op te zoeken voor een nieuwe fiets

.

Waarde van de fiets is niet de enige driver t.a.v. het toepassen van een slot. Het is ook de beschikking hebben over de fiets.

Amasik @FlowChef • 30 juli 2019 13:04

Mijn ketting was ruim 100 euro, misschien overdreven maar mijn fiets is in al mijn jaren uitgaan nooit gejat.

Verwijderd @DeX-nl • 30 juli 2019 12:41

Die beschuldigende vinger naar black hat information brokers is ongezien terecht. Slachtoffers zijn namelijk altijd in de eerste instantie de mensen wiens data gejat wordt en er niets aan kunnen doen en in tweede instantie de organisatie waarvan de data gejat wordt die misschien wel beter had moeten/kunnen weten, maar totdat daar opzet blijkt lijkt me ook daar gewoon een slachtofferrol toepasbaar.

Waaruit blijkt overigens dat de beveiliging hier echt zo rampzalig was? Had iemand een SSH server aan het internet geknoop met root/welkom123 ofzo? Zoiets lijkt je fietsanalogie wel te impliceren.
Of is hier toch iets meer aan de hand?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:46]

Verwijderd @DeX-nl • 30 juli 2019 11:12

In dit geval zet de bank jouw peperdure fiets midden op het centraal station. En dit zonder jouw toestemming.

M.a.w. is de bank effectief medeplichtig. Ze hebben de diefstal nl. gefaciliteerd door hun onbekwaamheid. Terwijl het de wet is dat je met die gegevens niet onbekwaam mag omspringen.

Bensimpel @Verwijderd • 30 juli 2019 13:22

Wij weten op dit moment niet hoe de bank de gegevens had beveiligd. Dit moet eerst onderzoek uitwijzen. Mocht de bank wel schuldig zijn, of deels dan weet ik wel zeker dat ze een gigantische class action lawsuit aan de broek krijgen.

Op dit moment is het nog te vroeg om te oordelen.

koelpasta @Verwijderd • 30 juli 2019 14:45

In dit geval zet de bank jouw peperdure fiets midden op het centraal station. En dit zonder jouw toestemming.

Zie het meer als een slecht bewaakte massa fietsenstalling. En met jouw toestemming, als zullen de meeste klanten zich hier niet bewust van zijn (kleine lettertjes).

lars_jj @DeX-nl • 30 juli 2019 12:50

Ik vind een eerlijker vergelijk dat ik jouw fiets leen, die bij mij in de gang zet en deze wordt gestolen wordt omdat er ingebroken is. Je kunt dan zeggen dat ik een beter slot had moeten kopen voor de voordeur en zeggen dat ik dus verantwoordelijk ben voor de diefstal. Maar heel reeel is dat natuurlijk niet, zeker niet als je niet weet hoe goed of slecht mijn slot is.

Ik zeg niet de je per se ongelijk hebt ofzo, ik weet natuurlijk niet of het om een heftig lek gaat of een goede hacker, maar het is natuurlijk makkelijk om direct de vinger naar de bank te wijzen terwijl de hacker het misdrijf heeft begaan.

[Reactie gewijzigd door lars_jj op 23 juli 2024 08:46]

SuperDre @DeX-nl • 30 juli 2019 14:33

Uhh, op andere newssites wordt er vermeldt dat ze dit alleen kon doen omdat ze vanuit haar baan toegang had tot deze data, dus alles open en bloot toegankelijk weet ik niet waar dat werkelijk vandaan komt.

OxWax 30 juli 2019 09:45

Vind het merkwaardig als men in zulke gevallen over diefstal spreekt : je neemt toch niets weg?
Onrechtmatige toegang, ja ...

[Reactie gewijzigd door OxWax op 23 juli 2024 08:46]

mjtdevries @OxWax • 30 juli 2019 11:03

Ik vind het merkwaardig dat jij alleen over de strict juridische term diefstal spreekt, terwijl het in de volksmond veel breder gebruikt wordt.

Verwijderd @mjtdevries • 30 juli 2019 13:09

In aanvulling, filosofisch gezien is alles wat je een ander ontneemt, zij het digitaal of fysiek, een vorm van diefstal.

- moord: je berooft (diefstal) iemand van het leven, je ontneemt iemand zijn vader/moeder/broer/zus/enz
- ongeautoriseerd toegang tot data: je ontneemt iemand het recht op zijn/haar privacy
- ongeautoriseerd kopiëren media: je ontneemt iemand het beschikkingsrecht over dat waar zij rechten over hebben

En er zijn vast vormen van 'diefstal' die juridisch gezien prima mogen, maar wat moreel best verwerpelijk zou kunnen zijn.

OxWax @mjtdevries • 30 juli 2019 11:10

Voor de wet tellen inderdaad alleen strikt juridische termen. 'De volksmond' is wel vaker verkeerd.
Bij food technology heet dat de perceptie.

mjtdevries @OxWax • 30 juli 2019 11:12

Kijk eens om je heen: Zitten we hier in een rechtbank of een publiek forum?

Proxx @mjtdevries • 30 juli 2019 12:34

help.. ik post dit vanuit de rechtbank op dit publiek forum.. hoe gaan we dit oplossen, ik ben helemaal in de war

Olympus user @OxWax • 30 juli 2019 10:12

Het kopiëren van content / ideën / bedrijfsgegevens en daar geld mee verdienen wordt ook gezien als diefstal.

Verwijderd @Olympus user • 30 juli 2019 11:07

Zelfs zonder daar geld mee te verdienen. Want voor je het weet denkt er een of ander marketingjongske nu: oh! Oh! Ik kan dat 'gebruiken' zolang ik er maar geen geld mee verdien?!

Neen.

Diefstal is diefstal. Ongeacht wat je er achteraf mee doet. Diefstal en daarna verkopen is roof plus heling.

Ik heb namelijk al enkelen verontwaardigd zien doen nadat ze gezegd werden dat het misbruiken van privacy-data zonder toestemming geen diefstal is, want ze verdienen er toch niets mee: onzin. Dat is wel diefstal. Dat is wel strafbaar. En dat hoort net zo strafbaar te zijn, ook. Die verontwaardigde marketingjochies moeten maar eens de relevante wetten leren lezen. En anders wegblijven van de markt.

Olympus user @Verwijderd • 30 juli 2019 11:24

Mee eens.

ironx @OxWax • 30 juli 2019 15:39

Onrechtmatig jezelf iets toe-eigenen. Of het nu tastbaar (bijv. een TV) of niet tastbaar (data) is, en of je er geld mee verdiend of niet, maakt niet uit.

Parrotmaster 30 juli 2019 09:41

Volgens Capital One is het 'onwaarschijnlijk' dat de informatie voor fraude is gebruikt.

De bank zegt dat het voornamelijk gaat om 'namen, adressen, telefoonnummers, e-mailadressen, geboortedatums en zelf opgegeven inkomens' van klanten

Er zullen vast manieren zijn om hier fraude mee te plegen. Al vraag je aan de hand van het emailadres of telefoonummer om geld, als je een groot genoeg net gooit vang je wel wat.

3raser @Parrotmaster • 30 juli 2019 10:57

Of je koppelt de gegevens aan andere hacks waarbij bijvoorbeeld gebruikersnamen en wachtwoorden bekend zijn. Die informatie gezamenlijk met informatie over het inkomen van een persoon zijn best een goede combinatie voor afpersing zoals je tegenwoordig vaak ziet. Ja ik weet dat de meeste mensen daar niet in trappen. Maar als slechts 0,01% van die 100 miljoen dat wel doen dan heb je nog steeds duizenden slachtoffers.

Parrotmaster @3raser • 30 juli 2019 11:19

Of je koppelt de gegevens aan andere hacks waarbij bijvoorbeeld gebruikersnamen en wachtwoorden bekend zijn.

Ik geneer me dat ik hier niet zelf op gekomen ben. Jammer dat ze dan zeggen dat de data niet voor fraude kan worden gebruikt.

Armin @3raser • 30 juli 2019 19:26

Die informatie gezamenlijk met informatie over het inkomen van een persoon zijn best een goede combinatie voor afpersing zoals je tegenwoordig vaak ziet

Enkel het "self reported" inkomen en de credit-historie van doorgaans enkele jaren geleden ...
Het helpt je hoogstens een doelgroep te zoeken, om fraude op te richten, verder niet zoveel.

Ik zou tenminste niet weten hoe men mij kan "afpersen" met informatie over mijn inkomen van 10+ jaar geleden.

mjtdevries @Parrotmaster • 30 juli 2019 11:05

Hoeveel sites zijn er wel niet waar je je vergeten password kunt resetten als je die gegevens hebt?

Armin @mjtdevries • 30 juli 2019 19:31

Veel relevanter is hoe CapitalOne werkt. CapitalOne heeft multi-factor autorisatie, en ook voor mensen die enkel een wachtwoord gebruiken is er een verplichting bij bepaalde vreemde transacties of logins om verificatie te doen. Ook hebben ze een goed systeem van detectie van patronen. Ik ben zelf namelijk klant, en men herkent vrijwel feiloos wanneer ik op een andere machine inlog en wanneer ik non-typische transacties doe.

Dus zelf als men uit een andere hack een wachtwoord/gebruikersnaam kan koppelen en de gebruiker zo dom was dat ook bij CapitalOne te gebruiken, en geen 2FA aan te hebben staan, dan nog denk ik dat het lastig wordt om fraude te plegen. Zeker omdat in je account-beheer van CapitalOne zelf ook nog eens niet zoveel kan.

Veel erger is als je SSN gestolen blijkt te zijn. Dat zijn er 'maar' 140.000. En dat is helaas geen bijzonder getal in Amerika.

Cynosure @Parrotmaster • 30 juli 2019 13:49

"onwaarschijnlijk" om een bank-run te voorkomen.

fastbikkel 30 juli 2019 10:00

Wat een drama weer luitjes.
Ik weet niet hoe je dit soort dingen nog beter kunt aanpakken.
Hiermee bedoel ik dus niet alleen de gevolgen, maar ook hoe je de daders beter kunt pakken en hoe kun je mensen afschrikken om dit te "flikken".

De mensheid is nog verre van beschaafd, in zn algemeenheid. Dat zien we hier weer.

Iblies @fastbikkel • 30 juli 2019 10:22

Niet opslaan.

Eindeloos koppelen van gegevens leid op een gegeven moment tot een impasse. Dan heb je maar een zwakte nodig om alles te verliezen.

Het is een probleem waar heel veel organisaties tegenaan kijken.
nieuws: Israëlische databeheerder had datalek dat onbekend aantal grote bedri...

De back-ups van de e-mail maar ook de overige bestanden bevatten her en der gebruikersnamen en wachtwoorden van administratie-accounts, maar ook facturen, OneDrive-back-ups, specificaties van klantsystemen en persoonsgegevens van medewerkers, inclusief die van Attunity zelf. Waarschijnlijk waren bij die laatste de medewerkersnummers gewoon kopieën van hun social security numbers. Tot slot waren ook klantgegevens en gegevens van bedrijven die handelen met de betrokken bedrijven inbegrepen.

Waarom moet zoveel data op die servers staan? Deel kan ouderwets op papier in de kast. Als het een keer in brand vliegt is er sprake van overmacht en sprokkel je het weer bij elkaar.

In Nederland zijn overheden ook allerlei gegevens aan elkaar te koppelen onder het motto van fraude-bestrijding/terrorisme/etc.

Verwijderd @Iblies • 30 juli 2019 10:38

Dit is één van de zaken die de GDPR/AVG in de EU/NL regelt: alleen die data verwerken die je blijvend nodig hebt.

In dit geval zijn NAW gegevens op zich logisch, maar waarom zou je iemands inkomensstatus opslaan? Je hebt het eenmalig nodig om een kredietwaardigheid te toetsen, daarna kan het weg. Voor fraudebestrijding kan je eventueel een hash opslaan van iemands inkomensstatus.

Vaak worden dergelijke gegevens toch bewaard uit “gemak” voor bank en klant, met als risico dataverlies.

KeesAlderlieste @fastbikkel • 30 juli 2019 10:38

De mensheid is nog verre van beschaafd, in zn algemeenheid. Dat zien we hier weer.

En gaat nooit beter worden ooit

fastbikkel @KeesAlderlieste • 30 juli 2019 12:04

Niet voordat we uitsterven. ;-)

Of het ook anders wordt, ik weet het ook niet.
Wel is het zo dat men steeds vredelievender wordt, ook al lijkt dat in de media anders.
Maar 100% beter? Dat denk ik ook niet.

Hestronic BV 30 juli 2019 09:40

"De FBI wist die posts te linken aan Slack-berichten en persoonlijke berichten op Twitter. Ook zou zij toegang tot de slecht beveiligde server hebben gehad via dezelfde vpn-provider als waarmee zij die berichten postte."

Ook niet echt een helder licht dan

3raser @Hestronic BV • 30 juli 2019 10:54

Als die VPN-provider duizenden klanten heeft, hoe kun je dan beweren dat het om dezelfde persoon gaat? Of was dat soms geen anonieme VPN-provider met zero logs?

sylvester79 @3raser • 30 juli 2019 11:45

Anonieme providers bestaan niet.

SuperDre @3raser • 30 juli 2019 14:31

Ze was zo dom om een link te hebben naar haar eigen linked-in pagina.......

gielie 30 juli 2019 09:37

"Volgens Capital One is het 'onwaarschijnlijk' dat de informatie voor fraude is gebruikt."

Oh gelukkig, was even bang dat er misbruik van gemaakt zou worden. Kunnen we weer rustig verder met ons werk.

Armin @gielie • 30 juli 2019 19:20

Oh gelukkig, was even bang dat er misbruik van gemaakt zou worden. Kunnen we weer rustig verder met ons werk.

Als iemand die daadwerkelijk klant bij de bank is, is het inderdaad gelukkig

Het lijkt erop dat de persoon die de hack uitgevoerd inderdaad (nog?) geen misbruik gemaakt heeft en de data ook niet overgedragen.

Maar de vraag is wel, als één persoon iets kan, kunnen anderen dat niet ook?

Verder is CapitalOne een bedrijf dat normaal haar security op orde had. Zo blijkt data voor het merendeel wel beschermt via een tokenized enryptie/hash process, hetgeen een goede standaard praktijk is in dit soort bedrijfstakken. Het bewijst het belang van lagen van security.

Als men inderdaad mijn krediet historie etc te pakken heeft is dat vervelend, maar niet iets waar men echt iets mee kan. Zeker omdat het gegevens van enkele jaren geleden is, want van het moment dat ik mij aanmelde. Zolang ik maar niet bij die 140.000 zit waar de SSN van gestolen is, valt de schade dus reuze mee. Vooralsnog heb ik nog geen bericht gekregen van hen dat ik daarbij zit, dus duimen maar ...

droner 30 juli 2019 10:05

Alle informatie die je ooit aan een bedrijf of instelling doorgeeft, zal uiteindelijk belanden in de handen van degene die er de meeste schade mee kan aanrichten.

Zo is het en niet anders. Noem het maar de persoonsinformatie Wet van Murphy.

TweakTwitch @droner • 30 juli 2019 11:16

Die mening deel ik ook grotendeels. Er komt een moment dat alles uitgelekt is. en er niks meer tegen te doen is.
En dat kan zeker misbruikt worden. En zal ook gebeuren.

Opblaaskrokodil

30 juli 2019 10:21

De hack bij Equifax ligt idd nog vers in het geheugen, en nu alweer een hack in de financiële sector. Om het qua aantallen in perspectief te plaatsen: in 2017 werden ±60% van alle Amerikanen getroffen en nu gaat het om nog eens ±40% van alle Amerikanen. Toen en nu proberen de getroffen instellingen de hacks te downplayen, maar voor de klanten wiens gegevens (NAWT, bankgegevens, sofinummers) op straat zijn komen te liggen, is het helemaal niet onschuldig. In deze video geeft John Oliver (Last Week Tonight) een duidelijke uitleg over de gevolgen.

Sandor_Clegane 30 juli 2019 10:50

De cloudprovider is Amazon. Zie Ars Technica.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (69)

Sorteer op:

Weergave: