Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Maker van Fanatec-racestuurtjes waarschuwt dat klantdata gestolen is

Endor, het Duitse bedrijf achter de Fanatec-controllers voor racesims, waarschuwt klanten dat criminelen zijn systemen wisten binnen te dringen en accountdata in handen kregen. Het lijkt erop dat ook creditcardgegevens zijn buitgemaakt.

Endor heeft de mail gestuurd naar klanten die een geregistreerd account voor de Fanatec-winkel hadden. Meerdere Tweakers-gebruikers ontvingen de e-mail. De systemen voor de Fanatec-winkel zijn op 16 augustus getroffen door een inbraak waarbij de aanvallers toegang kregen tot de klantendatabase.

Het bedrijf meldt niet welke gegevens daarbij zijn weggesluisd en hoeveel klanten zijn getroffen. Wel heeft het bedrijf wachtwoorden uit voorzorg een reset gegeven en is er het advies deze ook bij andere diensten te resetten, als gebruikers daar hetzelfde wachtwoord gebruiken.

Het lijkt erop dat ook creditcardgegevens ontvreemd zijn. Het bedrijf vraagt ontvangers de inhoud van de e-mail geheim te houden: "Dit vermindert de mogelijkheden voor de hacker om bewust te zijn van onze officiële communicatie en geeft getroffen klanten een betere mogelijkheid om de nodige stappen te nemen om hun creditcardaanbieders te informeren".

Het bedrijf achter Fanatec meldt verder het datalek gemeld te hebben bij de betreffende instanties en een it-bedrijf in de arm genomen te hebben die helpt bij het verdere onderzoek en het beveiligen van de systemen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

22-08-2019 • 19:39

71 Linkedin

Reacties (71)

Wijzig sortering
18 maart dit jaar was het ook al raak. Toen heb ik een mail ontvangen dat er een lek in hun systeem zat en je werd geadviseerd om je wachtwoord te wijzigen.

Bij een wachtwoord reset krijg je een nieuw wachtwoord toegestuurd in plain/text met daarbij de instructies dat je het wachtwoord kunt wijzigen via de profiel pagina. 8)7

Ze hebben daar duidelijk de veiligheid van het systeem niet in orde :|

Overigens, waar is het op gebaseerd dat creditcard gegevens gestolen zijn? En welke actie moet ik daartoe nemen?
Er staat in de mail:
IMPORTANT: Please keep the information contained in this email confidential. This reduces the potential for the hacker to be aware of our official communication, and gives affected customers a better opportunity to can take the necessary steps to inform their credit card providers.
Ik heb dezelfde mail ontvangen en heb ze al gevraagd of dit betekend dat de CC gegevens buit zijn gemaakt (want dit impliceren ze wel..).
Security by obscurity. Ze hebben echt niks begrepen van IT beveiliging
Lijkt eerder een wanhopige poging van damage control.
Plain text? En die verwerken credit card gegevens? Dan ben je toch niet pci compliant?
Toch vreemd dat ze die creditcard gegevens opslaan in de database.
Ook heel benieuwd naar de versleuteling van email en wachtwoorden enzo.
Dat is niet heel vreemd hoor, zeker tot een jaar of vijf geleden was dat heel gebruikelijk creditcards zelf op te slaan en niet iedereen heeft al haar systemen herschreven in die tijd. Versleuteling van email heeft nauwelijks zin want je moet het op het zelfde systeem als dat waarschijnlijk gekraakt is toch weer ontsleutelen. Denk aan een HTTPS verbinding, die is wel versleuteld, maar de hacker doet zijn aanvallen ook gewoon over de HTTPS verbinding - HTTPS is wel nuttig, maar niet alles oplossend. Als jij gewoon goede random generated wachtwoorden kiest die uniek zijn voor elke site dan hoef je je ook niet zo veel zorgen te maken over versleuteling daarvan. Als de site gekraakt is moet je er vanuit gaan dat ze ook ingevoerde wachtwoorden van inloggende gebruikers e.d. kunnen onderscheppen.

[Reactie gewijzigd door kftnl op 23 augustus 2019 09:00]

Versleuteling van email adressen is eigenlijk best goed te doen hoor. Zorgt er ook voor dat aanvallers een extra toegang nodig hebben, mogelijk zelfs 2, voordat ze de data kunnen ontsleutelen.

Zo zou je namelijk in de code een key/hash hebben die wordt toegevoegd. Wel dmv code zou je een tweede (helft?) van een key/hash kunnen plukken van de file system en die ook toevoegen aan whatever encrypted zou moeten kunnen zijn.

Op die manier zouden ze dus meerdere locaties moeten hacken, en als 't goed is dus ook meerdere servers (scheiding van architectuur en zo). Ze zouden moeten bemachtigen:
  • database voor hashes / data
  • persistent storage voor hash/key daar opgeslagen (eigen login/auth uiteraard)
  • code voor hash/key (wederom eigen server)
Tegenwoordig is zo'n opzet realiseren, bijv dmv Docker, helemaal niet meer zo moeilijk. Zeker webbureau's hebben simpelweg geen excuus meer om dit niet te doen: je maakt namelijk 1 keer een "basis" config, dekkend voor 90% van je klanten. 1 x (per klant) een pipelines setup voor die repo's voor die klant om secrets te injecteren (server user/pass, project user/pass, db user/pass, locaties (dns names), etc.), deploy direct naar iets als DigitalOcean Droplet-based omgevingen of voor grotere applicaties met Kubernetes.
Als de site gekraakt is moet je er vanuit gaan dat ze ook ingevoerde wachtwoorden van inloggende gebruikers e.d. kunnen onderscheppen.
Eens met dat je hiervan moet uitgaan, maar dat hoeft dus niet het geval te zijn.
zeker tot een jaar of vijf geleden was dat heel gebruikelijk creditcards zelf op te slaan en niet iedereen heeft al haar systemen herschreven in die tijd
Het was gebruikelijk, mede omdat de wet dit ook toestond. Echter is GDPR inmiddels al enige tijd van kracht, na een aanloop periode van 2 jaar. Als je gevoelige gegevens, zoals persoonsgegevens en kredietkaartgegevens verwerkt en de basis stappen voor beveiliging nog steeds niet hebt genomen lijkt het mij niet onredelijk dat transactie processoren (Mollie / Buckaroo, welke dan ook) gesommeerd moeten worden niet meer transacties van die website aan te nemen, evenals dat de site offline gehaald wordt, door iets als 't AP, tot een nieuwe versie (na inspectie) voldoet aan de basis.

Drastisch? Ja. Nodig? Ja - blijkt helaas elke keer weer.
Versleuteling van email heeft nauwelijks zin want je moet het op het zelfde systeem als dat waarschijnlijk gekraakt is toch weer ontsleutelen.
Terugkomend hierop. Indien je dus een gesplitte setup hebt zoals hierboven beschreven kan dit wel degelijk zin hebben.

Vervolgens kun je iets toepassen, zoals Paragonie's Ciphersweet, voor doorzoekbare encrypted values. Toegeven dat 't niet een super one-size-fits-all oplossing is, maar het is beter dan niets.

Daarnaast is 't toepassen van basale encryptie tegenwoordig ook geen issue. Daar heb ik zelf ook al een keer een plugin voor geschreven. Mijne is dan voor Zend Framework 3 + Doctrine, maar er zijn er zat die het voor je regelen als je gebruik maakt van een basic CMS zoals WordPress, Typo3, Drupal, whatever.

---

Ok, hier houdt m'n rant even op. Maar ik wilde even aangeven dat telkens maar excuses blijven bedenken om die oude shit in de lucht te houden ('legacy system = ok vandaag') gewoon niet meer ok is.

---

Edit: oh, vergat nog even: als ze je waarschuwen dat je je wachtwoord moet resetten hebben ze ook daar gefaald. Geen excuus om encryptie te gebruiken voor wachtwoorden. Die hoor je te hashen. Encryptie heeft decryptie. Hashing niet.

Om wachtwoorden te valideren kun je een ingevoerd wachtwoord door eenzelfde hasher halen en de output laten valideren met een vergelijkings-formule / functie.

[Reactie gewijzigd door rkeet op 27 augustus 2019 12:41]

+2Anoniem: 310408
22 augustus 2019 20:17
Shops die in 2019 de credit card gegevens van klanten hebben snappen echt iets niet. Elke bank levert de service om het op hun servers te laten checken en dan krijg je gewoon een OK of niet OK terug en dan weet je het creditcardnummer niet.

Al mijn shops doen dat al 10 jaar.
Maar er zijn toch veel webshops die aanbieden dat je jouw creditcardgegevens opslaat om bij een volgende aankoop vlot te betalen? Geen idee hoe je dat zou doen zonder het ergens in een databank te stoppen.
Laten we eerlijk zijn, credit cards zijn per definitie onveilig juist omdat het maar gewoon een aantal cijfertjes zijn die iedereen arbitrair kan opslaan. Het blijft me eerlijk gezegd verbazen dat de internationale gemeenschap dit nog als de gouden standaard hanteert, dat terwijl we best een technologische oplossing zouden moeten kunnen bedenken zoals we hier in Nederland al langer gewend zijn met iDeal.
Creditcard gegevens versleuteld opslaan zou toch geen probleem moeten zijn? Verder; het is niet alleen een technisch verhaal. Creditcards geven bijvoorbeeld extra garanties die je bij iDeal niet hebt en het is, voor de gebruiker, makkelijker dan iedere keer die random reader voor de dag toveren.
Wat voor versleuteling heb je dan in gedachte? Het enige nut van het opslaan van de gegevens is gebruikersgemak. Dus als je de codes gecodeerd op slaat, moet je ze ook kunnen decoderen.
Dat is natuurlijk enkel een extra drempel voor een hacker, niet al te spannend om te achterhalen hoe het is versleuteld.
Er zijn allerlei technieken voor om dit te doen. Softwareontwikkelaars (zouden) hier van op de hoogte moeten zijn. Ik ga ze niet hier omschrijven want dat wordt een lang verhaal.
Volgens mij begrijp je het niet. Een credit kaart kan je niet versleuteld opslaan want waarom zou je het dan uberhaupt opslaan? Het hele idee van een credit card nummer opslaan is dat de gebruiker de volgende keer het niet meer hoeft in te typen. Als die versleuteld opgeslagen is zal dat dus niet gaan, tenzij er een decryptie aanwezig is maar dan is de hele versleuteling weer nuteloos.
Ik begrijp het prima, maar jij begrijpt blijkbaar niet hoe een website gebruikersgegevens versleuteld kan bewaren en toch in kan laten zetten bij de gebruiker later. Kijk hier anders voor een voorbeeld.
Dit document heeft er echt helemaal 0,0 mee te maken. Een wachtwoord opslaan is een 1 way versleuteling. Als ik een wachtwoord versleuteld opsla hoef ik alleen maar elke keer als jij hem opnieuw invoert weer te versleutelen en kijken of de hash matched met de hash die ik heb opgeslagen. Dat is heel wat anders dan data die je weer in plain text moet kunnen gebruiken. Die moet je of plain text opslaan of een decryptie methode voor hebben, welke als je aan dezelfde kant als de versleutelde data opslaat (wat als website zo goed als je enige optie is) de versleuteling nutteloos maakt.

1password slaat een decryptie sleutel op jouw lokale device op. De decryptie is dus 2 factor en daardoor veilig(er). Iets wat je als website niet zo even kan doen en als je dat al wil doen kost dat de gebruiker meer moeite dan gewoon even zijn credit card invoeren

Kort door de bocht als een website aanbied om mijn credit card op te slaan kies ik in ieder geval zeker voor Nee!

[Reactie gewijzigd door ro8in op 23 augustus 2019 11:21]

1Password geeft je een tekenreeks (wat ze een secret key noemen) welke samen met de ingloggegevens van een gebruiker gebruikt worden voor het te maken van de decryption key. Deze key wordt gemaakt door de browser extension welke lokaal in de browser draait. Er is ook een desktop client of phone app voor. Enkel de versleutelde gegevens worden opgeslagen bij 1Password. Ontsleuteling gebeurt in een geverifieerde browser extensie of door eerder genoemde applicaties lokaal op de machine.

Nu, met even wat verder denken zou dit ook voor CC gegevens toegepast kunnen worden. Stel dat ik de gebruiker om zijn inloggegevens vraag wanneer hij zijn credit card wil gebruiken. Ik stuur hem vanaf de server zijn versleutelde creditcard gegevens op. De browser maakt clientside een decryption key met zijn login gegevens en ontsleuteld zijn creditcard gegevens lokaal. Nu heb je een systeem wat ervoor zorgt dat de decrypted gegevens niet op de server terecht komen, maar de gebruiker toch de dienst verlenen om zijn wachtwoord te bewaren.

Is het 100% veilig? Nee niets is 100% veilig. Kan het veiliger? Ja als je een geverifieerde extension ervoor maakt en de gebruiker een secret key geeft. Maar het is wel een stuk veiliger dan de gegevens plain opslaan of iets dergelijks. De hacker moet nu toegang verkrijgen tot de server en de code van de website aanpassen. Daarna moet de hacker wachten tot mensen ingelogd zijn om de gegevens te kunnen verkrijgen. Dit kost allemaal extra tijd en moeite en is dus allicht een betere oplossing dan niets doen.

Als ik ongelijk heb, hoor ik graag waarom. Anders zou ik graag een excuus horen voor de eerste zin. Zeker voor iemand met jouw profiel.
Jij hebt niet ongelijk in de zin van dat het zo werkt, ik beaam in dit ook in mijn vorige reactie (dit kan alleen veilig met 2 factor). Echter hoe ga je dit als website eigenaar implementeren? Dan moet je mensen dus gaan vragen om een App of extensie te installeren en daarop in te loggen, wat al met al meer moeite is dan gewoon telkens je credit card intypen (tenzij je heel erg vaak besteld natuurlijk). In dit geval gaat de veiligheid boven het gebruikersgemak en kan je dan beter ervoor kiezen om het gewoon niet op te slaan.

Nogmaals natuurlijk zijn er manieren om het wel veilig te doen, maar in dit geval is het een functie die het gemak van de gebruiker moet dienen. Moet een gebruiker eerst Apps, Extensies etc. installeren, dan dient het het gemak niet meer en gaat de functie van de functie verloren.

[Reactie gewijzigd door ro8in op 23 augustus 2019 11:17]

Wisselende CVC bijvoorbeeld idd.
Als de creditcard is gekoppeld aan een gehackt account heeft geen enkele versleuteling nog zin. De gegevens van de creditcard worden spontaan getoond!
Het opslaan van de veilgheidscode op de achterkant zou verboden moeten zijn. Het opslaan van de CC gegevens is misschien handig voor de klanten, maar ook super onveilig. Dat blijkt nu, maar is al vele malen gebleken.
Creditcards geven bijvoorbeeld extra garanties die je bij iDeal niet hebt
Dat CCs samengaan met verzekeringen (tegen bijvoorbeeld fraude) staat compleet los van hoe de authenticatie werkt. Het is prima mogelijk om een betaalmiddel te introduceren met verzekeringen zoals CCs die hebben, en met een authenticatiemethode zoals bij iDEAL. De verzekeringen zijn een puur organisatorisch aspect, de authenticatie is puur technisch. Al kun je het andersom niet maken om met de inlogmethode van CC géén verzekering bij te voegen, want fraude is daarmee natuurlijk schering en inslag, vaak buiten de schuld van de klant om.

Er is gewoon geen enkel argument voor het gebruik van de authenticatie van CCs, anders dan gebruikersgemak. Ik vindt tan-codes via een zelfgekozen manier (random reader, app, papiertje...) nou trouwens ook weer niet zo heftig dat dat echt ongebruiksvriendelijk is, maar het is schijnbaar moeilijk om je klanten een simpel trucje aan te leren.

[Reactie gewijzigd door bwerg op 23 augustus 2019 09:00]

Misschien zou je eerst een serieuze poging kunnen wagen tot begrijpend lezen voor je reageert of kritiek levert.
En aangezien ik helemaal niet zeg dat je fout zit maar alleen aanvullende informatie geef, zou ik van jou hetzelfde kunnen zeggen.
De scheiding tussen de betaalmethode en de authenticatiemethode. Dat staat op zich weer los van de opslag van gegevens aan de kant van de winkel. Daar encryptie toepassen helpt op zich niet, zoals anderen al aangeven.
Eens, maar iDEAL biedt niets aan zekerheid voor de klant. Dus tenzij creditcard-maatschappijen overstappen op een vergelijkbaar systeem, schiet je er niets mee op.
IDEAL lijkt veilig maar is dat ook zo, volgens mij was het met wiskunde zo dat hoe meer vergelijkingen je hebt met de zelfde berekening hoe groter de kans is om deze op te lossen.
Als je zelf een tijdje codes gaat invoeren heb je een onbeperkt aantal vergelijkingen met een imput en een output om een computer aan het werk te zetten om de berekening te achterhalen. Waarschijnlijk word er ook nog gebruik gemaakt van een heel groot priemgetal etc...
Als dat niet werkt kan een hacker mischien ook nog de reader openen en de hardware uitlezen.
Het verbaast me dat een stel studenten dat nog niet geprobeerd heeft.

[Reactie gewijzigd door bamboe op 22 augustus 2019 23:09]

Als je zelf een tijdje codes gaat invoeren
Waar heb je het over? Bij iDEAL betaal je zoals je ook bij een reguliere bankoverschrijving betaalt. Daarbij moet je eerst inloggen en, als je de gebruikersnaam van je slachtoffer al weet, moet je eerst het wachtwoord gokken. Enkele verkeerde pogingen en het account is geblokkeerd.
Als dat niet werkt kan een hacker mischien ook nog de reader openen en de hardware uitlezen.
Het is simpeler om gewoon je doelwit neer te knuppelen en hem te dwingen om geld over te maken. Of gewoon geld uit zijn portemonnee jatten, als je schijnbaar toch fysieke toegang tot zijn spullen hebt. Of zijn creditcard jatten, want daarmee kun je toch veel betalingen zonder verdere authenticatie doen. Zo is letterlijk elke betaalmethode onveilig tenzij je er een leger tanks omheen zet.

Ja, iDEAL is zo veilig als je authenticatie voor internetbankieren en die is bij Nederlandse banken behoorlijk veilig. In tegenstelling tot creditcard-authenticatie, waarbij je gewoon je 'geheime' nummertjes plaintext aan tientallen webwinkels moet doorsturen.

[Reactie gewijzigd door bwerg op 23 augustus 2019 09:44]

Je snapt niet wat ik bedoel,

Het gaat hem om de reader van de bank, als een hacker de berekening die die cardreader die je thuis hebt gekraakt heeft, dan heb je aan een Iban nummer en pas nummer genoeg om iemands bank rekening leeg te halen.

Die reader doet een ingewikkelde berekenning voor je want je voert er een getal in en je krijgt een getal er uit.

Hoe meer vergelijkingen je hebt hoe gemakkelijker het theoretisch is om er achter te komen welke berekening er plaats vind in de reader. En daar zit de zwakte, Je kan een onbeperkt aantal berekeningen laten plaats vinden, je voert simpel weg een getal in en je krijgt een antwoord,
Dat kan je zo vaak blijven doen totdat de batterij van de reader op is.

Op geen gegeven moment zal de hacker genoeg informatie (vergelijkingen) verkregen hebben om dat te hacken ook al zal het erg moeilijk zijn.

Als dat een hacker gelukt is dan hoeft hij alleen nog maar de iban nr en pas nr te hebben van je nederlandsche rekening, en die vul je netjes in als je een ideal betaling doet en keyloggers kunnen al credit card nummers herkennen of je belt een paar bejaarde op en doet je voor van de bank om te controleren of het slachtoffer nog wel het juiste pasnummer op de kaart heeft staan, Sta jij er bij stil dat je niet je pasnummer aan iemand mag geven? hij staat ook gewoon op de voorkant,een foto of camera beeld er van is genoeg om hem leeg te halen, mits je de code in de cardreader gekraakt hebt.
Je snapt niet wat ik bedoel,
Ik snap heel goed wat je bedoelt. Om zo'n reader te kraken heb je fysieke toegang nodig, en als een malafide persoon fysieke toegang heeft tot je reader dan is hij gewoon binnen in je huis, en is die reader niet je grootste probleem. Dan ook nog de aanname van een keylogger op je pc... Joh, dan is het gat in de beveiliging echt niet meer aan internetbankieren te wijten, letterlijk elke vorm van digitale authenticatie is dan onveilig. Je zegt nu eigenlijk "wat nou als allebei de factoren in je 2-factor-authenticatie gecompromitteerd zijn?". Ja, dat is inderdaad hoe je 2-factor authenticatie kraakt. Dat is niet specifiek voor iDEAL.

Verder kan een reader gewoon geïmplementeerd worden met een challenge-response-mechanisme of hash chain, waarbij je hele verhaal over vergelijkingen niet opgaat.

[Reactie gewijzigd door bwerg op 23 augustus 2019 16:59]

Hoezo heeft hij fysieke toegang nodig om een reader te krijgen, Het enige wat je nodig hebt om een reader te krijgen is een bankrekening bij een van de banken, ik heb er 3 liggen thuis, dus daar kan een hacker zo aan komen die dingen zijn gewoon overal te vindenen je hoeft daar niet voor in te breken maar je krijgt hem gratis toe gestuurd van de bank of kan hem daar op halen, ik moest iets doen in een andere plaats, had geen reader bij me, ik ben de abnamro binnen gelopen en kreeg zonder problemen een nieuwe reader mee.

We hadden het over de veiligheid van ideal, en die reader is de veiligheid van ideal, als je met ideal betaald is er 1x een communicatie tussen de reader en de bank.

De keylogger op een pc is niet nodig het is een voorbeeld hoe iemand aan je iban-nummer en bankpas nummer kan komen, daar zijn ook andere methodes voor.
Het lijkt wel alsof je voor een bank werkt en hun veiligheid wil promoten.

Wat ik zeg is dat de reader de zwakke plek is, als die te hacken is en als ze achter de berekening komen dan is het simpel om er gigantisch misbruik van te maken.
Zolang die reader niet gekraakt word is het hele systeem veilig.
Je hebt tegenwoordig al creditcards waar de DCV code automatisch elke 5-10 minuten verandert alleen zijn ze voor banken stukken duurder om te leveren dan de simpele creditcard dus dan is het afweging tussen, schade vergoeden en kosten van deze kaarten.

https://gomedici.com/digi...it-cards-gaining-traction
https://www.ftsafe.com/article/599.html
ik heb een virtuele creditcard op mijn telefoon met wisselende CVC's, ik kan NFC in en uitschakelen dus ik kan hem ook physiek gebruiken als het mij uit komt. Ik heb dus ook geen apple/google pay nodig.
Cool! Bij welke bank heb je dat?
Trouwens: veel banken hebben al iDeal achtige beveiliging geïntroduceerd voor Creditcards. MasterCard SecureCode anyone? ;)
Bank buiten Nederland. Ik begin nu wel een beetje te begrijpen hoe apple/google pay werkt, ik ben erg in de war over het feit dat apple z'n eigen creditcard wil uitgeven. Maar dan zal dat wel een amex, visa or mastercard zijn (de eerste digit van elke visa is 4, elke mastercard is 5) en dan volgt de bank-id. apple/google pay maken dit soort wallets dus mogelijk

https://www.mastercard.us...gies/digital-wallets.html
Alsjeblieft niet zeg. Credit card werkt veel sneller, makkelijker en als consument heb je veel meer rechten. iDeal is vaak omslachtig (zeker bij banken met zo’n readertje) en als consument heb je niets meer te zeggen, terugdraaien indien nodig kan niet, verzekering is er niet.

Nee iDeal is vooral heel omslachtig. En zo onveilig zijn die credit cards nou ook weer niet... Nee iDeal is een voorbeeld van hoe het niet moet. Apple Pay bijvoorbeeld werkt dan wel weer fijner, sneller en veiliger dan beiden.
Maar er zijn toch veel webshops die aanbieden dat je jouw creditcardgegevens opslaat om bij een volgende aankoop vlot te betalen? Geen idee hoe je dat zou doen zonder het ergens in een databank te stoppen.
Ook daarvoor hoef je het als webshop niet zelf op te slaan. Hoe dat doorgaans werkt is dat als je bij elke volgende betaling het unieke klantnummer meestuurt die je ook bij de eerst betaling gebruikt hebt, de payment provider alles weer tevoorschijn tovert vanuit hún databank. Dat is met automatische periodieke afschrijvingen ook wel prettig werken, want de payment provider kan dat dan initiëren en jou als shop een notificatie sturen met het resultaat (zodat jij op basis daarvan iets kan verlengen of stopzetten, etc.).
Je bank aangeven dat je de kaartgegevens wilt opslaan, je krijgt een contractnummer terug, en dat gebruik je bij de volgende betaling. Die referentie is dan alleen bij jouw shop geldig als je ook de API-keys richting de bank hebt, dus dat limiteert de kansen dat je iets met die referenties kunt.
Zie hier de email: Fanatec shop hacked

Is tussen [mo]-tags gezet omdat ze verzochten het niet openbaar te maken, maar nu het toch als nieuwsartikel is gepost voegt dat ook niet zoveel meer toe :P

[Reactie gewijzigd door Knorretje- op 22 augustus 2019 20:20]

Kon rond de 16e ook niet op de website. Kaspersky blokkeerde de toegang. Er stond iets over een Trojan.

'Reason: the object is infected by HEUR:Trojan-PSW.Script.Generic'

[Reactie gewijzigd door Ivysaur op 22 augustus 2019 22:12]

Ik denk niet dat de email die verstuurd is klopt, gezien de verwijzing naar een niet fanatec website ;) Tevens is de mail via mailchimp verstuurd, wat een product is dat zij aan hun SPF records te zien niet gebruiken.. (?all anyone?) Wachtwoorden zijn inderdaad reset maar ik ben benieuwd wat zij daadwerkelijk hebben buit gemaakt, ik heb in ieder geval nog niets van Fanatec zelf vernomen.
Kan het een poging zijn om zo alsnog aan nieuwe ww te komen na een reset? Stel je hebt alle email adressen buitgemaakt en vraagt iedereen zijn/haar ww te resetten via een fake site..'toets je oude ww en nieuwe' en met een beetje geluk kun je 2 ww op je lijstje bijschrijven.. 8)7
Nee, want als ik naar de Fanatec-website ga en probeer in te loggen, is mijn wachtwoord al niet meer geldig, omdat zij hem hebben gereset. Je moet vervolgens een "lost password"-procedure volgen om een nieuw wachtwoord aan te maken.

Maar goed, ik heb geen CC-gegevens aan mijn Fanatec-account hangen :) En al was dat zo, mijn laatste aankoop is zolang geleden dat ik een nieuwe CC hebt ontvangen ondertussen.

[Reactie gewijzigd door Grrrrrene op 22 augustus 2019 21:11]

Ik heb er ook een ontvangen. Gelukkig heb ik inmiddels een ander CC nummer.

Het is ontzettend naief van ze om te vragen deze mail geheim te houden.
fysieke inbraak of gehackt?
'waarschuwt klanten dat criminelen zijn systemen wisten binnen te dringen en accountdata in handen kregen.'

Dat klinkt als een hack en niet als een fysieke inbraak
En anders hoef je ook geen it bedrijf in de arm te nemen om systemen te beveiligen.
'Fysieke' beveiliging(smaatregelen) kunnen toch ook gebruiken van IT. Bijvoorbeeld elektronische sloten, cctv, bewegingssensoren etc
Wat helpt het ook dit niet openbaar te doen? Heb je als dief CC gegevens probeer je zo rap mogelijk buit te maken of ze door te verkopen, ongeacht of dit bericht publiek is of niet. Bovendien publiek wordt zoiets vanzelf, er zijn nu al meerdere nieuwsartikelen verschenen, ook vooraleer dit bericht van Tweakers online kwam. En waarschijnlijk wil Fanatec vooral negatieve publicitieit en een amteuristische gegevensbehering stil houden...

En je kan gerust kritiek uiten maar een beetje respect mag je nog tonen...

[Reactie gewijzigd door Clemens123 op 22 augustus 2019 21:00]

? Geef eens één gegronde reden waarom dit nu slecht is dat hier een artikel over verschijnt?
En hoe helpt het de crimininelen nu ze weten dat het openbaar is? Juist helemaal niet ze wisten zelf al dat ze gegevens gestolen hadden en zullen ook wel een account bij Fanatec gehad hebben en een mail gekregen hebben...Als Fanatec dit voorlopig stil had willen houden hadden ze zelf geen mails moeten sturen
Dan alsnóg had je het gepubliceerd tégen de omschreven wens van de verstuurder in, waar je verder zo verwerpelijk over spreekt... Is dat niet een beetje hypocriet?

Vervolgens roep je op om respect te behouden richting een bedrijf dat lijkt nalatig te zijn geweest, niet alléén in het beveiligen van de opgeslagen gegevens (wachtwoorden blijken herleidbaar), maar vervolgens óók het adequaat melden van dat lek richting de getroffenen zodat zij daadwerkelijk noodzakelijke, danwel adequate, stappen kunnen ondernemen om zichzelf (opnieuw) te beveiligen...
Er is gewoon geen enkele constructieve reden om niet in de e-mail te benoemen of het inderdaad komt omdat wachtwoorden zelfs plaintext waren opgeslagen of enkel onvoldoende gesalt; het maakt het zelfs een gezonde aanname dat het Plaintext is omdat dat dé situatie zou zijn waar het bedrijf (m.i.) vooral gezichtsverlies kan leiden in contrast met enkel onveilige versleuteling (ook al is dat op zichzelf niet positief; dat zou getuige van enige interesse in de veiligheid van die gegevens).

Nee in plaats van eerlijk en duidelijk te zijn veroorzaken ze liever een situatie waar jan-en-alleman op de gok wachtwoorden moet gaan instellen; maar ik kan mij voorstellen dat zolang voor die gebruikers onduidelijk is hoe die beveiliging vooraf is geweest, er enige scepsis kan zijn met betrekking tot het vertrouwen van die partij met zo'n nieuw wachtwoord... want wat geeft de gebruiker zonder die informatie ook maar enige reëel vermoeden tot verbetering? Een gewaarschuwd persoon telt nou eenmaal voor twee; zeker als die merkbaar incomplete informatie krijgt, is enige achterdocht m.i. niet meer dan een logisch gevolg...

Besef dat dit niet (alleen) de gegevens van het bedrijf, maar (juist) de klanten zijn die gelekt zijn; die verdienen het respect dat er zowel zorgvuldig met hun gegevens omgesprongen wordt en bij fouten daarin dat gewoon in volledigheid gemeld wordt... Áls je dan toch het woord respect wilt noemen.
Psst, de shop vraagt niet om de e-mail geheim te houden voor de veiligheid van de klant, maar als poging de eigen reputatie te beschermen. Het heeft geen zin om die mail geheim te houden want de hackers hebben waarschijnlijk ook een account op die shop en hebben de mail dus ook gehad.

Even nadenken voordat je zo'n kutreactie plaatst.
En als ze het artikel NIET hadden gepubliceerd, hadden de dieven dan niets gedaan met de CC gegevens?

Get real....
Haha! Ja, want de mensen achter deze hack hebben waarschijnlijk geen account en hebben waarschijnlijk ook de mail niet gekregen. Oh man, de naïviteit...
Het is gewoon ontzettend naïef dat dit bedrijf denkt een datalek geheim te kunnen houden en dat dit geheimhouden ook echt nut heeft. Ik zou een dergelijk verzoek ook eerder beschouwen als een poging om te voorkomen dat de media erachter komen, dan dat ze hiermee de hackers geen voorrang willen geven. Straks doen alle bedrijven met een datalek dit en dan moeten nieuws websites dit braaf stil houden, zodat niemand die niet tot de getroffenen hoort zelf ook actie kan ondernemen? Tweakers hoort dit gewoon te publiceren. Als je er al iets vindt dan moet je Tweakers aanspreken of de Tweakers die de email hebben doorgestuurd aan de redactie, maar de auteur zo aanvallen vind ik echt onvolwassen.

Oh en de rekening leg je uiteraard bij de hackers of het bedrijf dat jouw gegevens niet goed heeft beveiligd, niet bij een nieuws website.

[Reactie gewijzigd door MennoE op 23 augustus 2019 07:36]

Jij noemt een compleet subforum een achterkamertje?

Maar geen zorgen hoor, dit is gewoon geen foutje. Als het bedrijf je vraagt om in de sloot te springen, doe je het dan ook (om maar even in je eigen bewoording te blijven)? Nee. Er is geen enkele zinnige reden waarom het stilhouden van een hack hier nog iets toevoegt, anders dan dat ze het je vragen. En ze vragen het omdat ze zelf voor lul staan.

De wachtwoorden zijn al gereset, dus een kwaadwillige die nu nog achter deze kwetsbaarheid komt heeft daar niets aan. Laten we wel wezen: een geplunderde database, alle klanten zijn al ingelicht, dus duizenden mensen weten hiervan (geen enkele reden om aan te nemen dat daar geen malafide klanten tussen kunnen zitten), en volgens een reactie hier is er een virus op de website zelf gezet. "Responsible disclosure" is hier dweilen met de kraan open.

[Reactie gewijzigd door bwerg op 23 augustus 2019 09:46]

Ik vind het anders een compleet terechte opmerking... Ook ik ben Fanatec klant en ben net zo min blij met dit artikel...
Ik heb ook een account bij Fanatec, jaren geleden een race stuur gekocht maar met paypal betaald dus dat maakt geen snars uit voor CC gegevens, echter heb ik GEEN email gehad van fanatec over de hack.
Dus dan vraag ik mij nu af of ze dit enkel naar mensen hebben verstuurd die een CC gekoppeld hadden?
Ik ben dus wel blij met dit artikel zodat ik er ook van weet.
Hier ook met PayPal betaald en geen mail. Dus lijkt erop dat ze alleen klanten die hun creditcard gegevens bij hun hebben opgeslagen belangrijk genoeg vinden om ze te informeren.
Of de data stond op een andere server/account.... Want anders vraag je de rest ook het password te wijzigen(of je dwingt af). Beide zijn niet het geval voor niet-CC users.
Dus je wilt dat eventuele nieuwe klanten ook in het netje vallen?
Ik had op zijn minst verwacht dat Tweakers in contact zouden treden met Endor, daar lees ik echter niks over. Ten eerste krijg je dan meer informatie. Wellicht was het de bedoeling er over een paar dagen alsnog een bericht uit te doen en is hun geadviseerd eerst te zorgen dat de dader zich veilig waant. Met die informatie hoef je niks te doen, dan kan je nog steeds publiceren.

Ten tweede zijn ze dan ten minste op de hoogte dat de inhoud van hun mail aan de grote klok wordt gehangen. Ik lees nergens dat er contact is geweest, dus ik neem voor het gemak aan dat ze het via internet hebben moeten vernemen.

Verder ben ik het met Logiforce eens dat zaken hier ook liefst buiten de frontpage opgelost moeten worden; Vooral niet in de openbaarheid... En dan wel dit zonder wederhoor publiceren...

[Reactie gewijzigd door MN-Power op 23 augustus 2019 10:02]

Niet echt netjes om zo te reageren, maar ik snap waar je vandaan komt.
Edit.

[Reactie gewijzigd door Henkje.doc op 23 augustus 2019 06:32]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True