Reisdata en e-mailadressen van negen miljoen EasyJet-klanten uitgelekt bij hack

Luchtvaartmaatschappij EasyJet zegt dat de data van zo'n negen miljoen klanten is gestolen. Het bedrijf meldt dat het is gehackt en dat daardoor e-mailadressen en reisgegevens zijn buitgemaakt. In tweeduizend gevallen zijn er ook creditcardgegevens gestolen.

EasyJet meldt in een e-mail aan klanten dat alle slachtoffers worden ingelicht. "Als je geen bericht krijgt, zijn je gegevens niet gestolen", staat in het bericht. EasyJet waarschuwt klanten dat ze meer risico lopen op phishingaanvallen. "Zeker gedurende de covid-19-crisis is er een grotere kans dat data wordt misbruikt voor online oplichting."

Het is niet precies duidelijk wat er gebeurd is. EasyJet zelf spreekt over 'een aanval van een zeer geavanceerde bron', maar geeft geen details over die aanval. Ook is niet duidelijk wanneer die plaatsvond, en hoe lang deze duurde. Wel is op Twitter te zien hoe de klantenservice begin april klanten al te woord staat die op dat moment vragen hebben over een mail die ze kregen in verband met een datalek. Inmiddels zouden de inbrekers geen toegang meer hebben tot de data.

EasyJet zegt dat er bij het datalek 'ongeveer negen miljoen klanten' zijn getroffen. Van hen zijn e-mailadressen en hun reisgegevens buitgemaakt. Het is niet bekend hoe ver terug de gegevens gaan. Van 2208 klanten zijn ook creditcardgegevens gestolen. Volgens EasyJet zijn er geen paspoortgegevens buitgemaakt.

Klanten worden tot 26 mei ingelicht over het datalek. Daarnaast heeft de luchtvaartmaatschappij aangifte gedaan bij de politie, en de Britse privacytoezichthouder.

Reacties (71)

arjankoole 19 mei 2020 15:16

Nou zit ik al een tijdje niet meer bij een development partij, maar ik meen me toch te herinneren dat het absoluut niet toegestaan is volledige CC nummers op te slaan.

Dat deden wij ook niet in de website van een vliegmaatschappij waar we toen voor werkten. (Niet deze).

Verwijderd @arjankoole • 19 mei 2020 15:55

Volgens mij is het wel toegestaan maar is het eerder een security / privacy by design regel.
Waarom zou je namelijk creditcard willen opslaan? Het is handig voor je klanten als ze veel bestellen (zoals amazon of bol.com) maar je loopt er een enorm risico door. Voor een vakantie boek site is het natuurlijk volledig overbodig. Daar kom je maximaal 2x per jaar.

Ik hoop dan ook dat dit ze een enorme boete oplevert.

Verwijderd @Verwijderd • 19 mei 2020 16:51

Ik hoop dan ook dat dit ze een enorme boete oplevert.

En welke wetsovertreding hebben ze dan gedaan? Weet jij er meer van dan wat tweakers bericht?

Verwijderd @Verwijderd • 19 mei 2020 19:57

Het is een datalek en het is duidelijk dat ze hun beveiliging niet op orde hadden.

Wat is een datalek?
We spreken van een datalek of privacylek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

De Autoriteit Persoonsgegevens moet natuurlijk valideren in hoeverre men hier nalatig is geweest.

multikoe @Verwijderd • 19 mei 2020 22:08

Het is een datalek en het is duidelijk dat ze hun beveiliging niet op orde hadden.

Het is duidelijk *omdat* er gegevens in verkeerde handen zijn gevallen? Is dat niet wat simpel geredeneerd? Als je auto gestolen wordt, had je hem duidelijk niet op slot gezet. Als je dochter verkracht wordt, dan had ze echt wel de verkeerde kleren aan. De wereld is zo ongelooflijk simpel.....

Verwijderd @multikoe • 19 mei 2020 23:42

Je maakt er een mooi verhaal van maar zo zeg ik het niet. Als je auto gestolen wordt dan heb je de beveiliging niet op orde gehad. Als dit een waardevol bezit is dan zorg je dat deze veilig staat en alle waardevolle spullen eruit zijn gehaald. Hier zijn de waardevolle spullen (creditcard gegevens) er niet uitgehaald en gezien er ook reisgegevens gestolen zijn kun je wel zeggen dat ze een dure auto in Slotervaart (internet) hebben geparkeerd. De dieven weten met deze gegevens waarschijnlijk ook wanneer je niet thuis bent.

Ze hadden met deze gevoelige informatie veel beter moeten beveiligen.

multikoe @Verwijderd • 20 mei 2020 07:26

"Zo zeg ik het niet?"

het is duidelijk dat ze hun beveiliging niet op orde hadden

Dat is toch wel heel erg duidelijk.

Ik sta nog steeds volledig achter wat ik zei. We weten nog helemaal niets over de manier waarop deze gegevens zijn gestolen en we kunnen dus helemaal niets zeggen over de beveiliging ervan. Ik neem aan dat je in de IT werkzaam bent en op z'n minst enige kennis hebt van beveiliging en hoe je dat organiseert om zo'n oordeel te kunnen geven en jij zou dan ook moeten weten dat beveiliging van gegevens *altijd* achter de feiten aanloopt en op de meest onverwachte manieren op de proef wordt gesteld. Zeker in een organisatie met honderden medewerkers, tientallen applicaties.

Om jouw analogie even te gebruiken: er is een dure auto gestolen met een laptop erin. Maar we weten niet waar deze auto stond, of hij op slot stond. Misschien stond hij in een afgesloten garage, beveiligd met een alarm en een dikke Rotweiler. We weten het niet.

sygys @Verwijderd • 19 mei 2020 16:09

Ik snap sowieso niet waarom er nooit geen vervanger is gekomen voor de CC zoals deze er nu is. Wat is er mis met op zijn minst nog inloggen op een account als je je CC wil gebruiken. Zoiets als bijvoorbeeld Ideal. Dit kan uiteraard ook misbruikt worden maar een stuk veiliger dan een alleen een CC nummer en een CVC nummer invoeren.

Ik heb nooit gesnapt waarom zoiets onveiligs op zon grote schaal wereldwijd gebruikt wordt om mee te betalen.

frietsje @sygys • 19 mei 2020 16:14

Bij MasterCard moet ik in 9 van de 10 gevallen extra inloggen op de MasterCard omgeving om te bevestigen.

flappie88 @frietsje • 19 mei 2020 17:22

Dat is bij Visa net zo, of je kunt via de app transacties autoriseren. Al heb je de hele creditcard in handen, daar kun je dan niks mee.

DiscoNootje @flappie88 • 19 mei 2020 18:06

De modus operandi van de echte profs draait er juist om dat ze al toegang hebben tot je 2FA telefoon/web account d.m.v. malware en/of social engineering, en dus alsnog binnen komen. Of ze laten je inloggen op een phising pagina. Door het lekken van dit soort databasen kunnen kwaadwilligen dus gerichte malware campagnes draaien. Banken lopen door zit soort gelekte lijsten flinke schade op, dat loopt echt in de miljoenen ieder jaar.

[Reactie gewijzigd door DiscoNootje op 24 juli 2024 16:46]

flappie88 @DiscoNootje • 19 mei 2020 20:06

Ja, daar waar een (foute) wil is, is altijd een weg. Daarom altijd goed nadenken voordat je op een niet te weigeren “aanbieding” klikt, of op je erfenis uit Verweggistan!

sumpie @sygys • 20 mei 2020 07:30

Paypal is een "alternatief" hoewel je daarmee alleen online betalingen kunt doen en niet offline. Althans niet in Nederland

Gomez12 @Verwijderd • 19 mei 2020 17:45

Voor een vakantie boek site is het natuurlijk volledig overbodig. Daar kom je maximaal 2x per jaar.

Ik hoop dan ook dat dit ze een enorme boete oplevert.

Ehm, ze hebben ook een hele grote groep zakelijke klanten die bij 2x per week Amsterdam-Londen en retour doen.

En als je op 9 miljoen klanten 2208 cc-addressen kwijtraakt, dan sla je het niet standaard bij elke klant op. Dan is het een speciaal groepje...

arjankoole @Verwijderd • 20 mei 2020 11:43

Volgens mij is het wel toegestaan maar is het eerder een security / privacy by design regel.

Het is echt wel een aantal jaar geleden, dus het kan zijn dat het inmiddels veranderd is, maar het werd ons expliciet verboden door de creditcard maatschappijen. Ik weet niet zeker of we er op geaudit werden (zou me weinig verbazen). In de database stond iig nooit het volledig nummer. (laatste 4 cijfers, dacht ik)

cracking cloud @arjankoole • 19 mei 2020 16:01

Uitgaande van PCI-DSS, “If you don’t need it, don’t store it.” (https://www.globalpayment...ard-numbers-in-a-database)

Rannasha 19 mei 2020 14:40

EasyJet meldt in een e-mail aan klanten dat alle slachtoffers zijn ingelicht. "Als je geen bericht hebt gehad, zijn je gegevens niet gestolen", staat in het bericht.

In het bericht staat dat alle getroffen klanten de komende dagen worden ingelicht:

These affected customers will be contacted in the next few days.

Alleen met de ~2000 klanten waarvan creditcard gegevens zijn buitgemaakt, is reeds contact gemaakt:

Our forensic investigation found that, for a very small subset of customers (2,208), credit card details were accessed. Action has already been taken to contact all of these customers and they have been offered support.

Als je als Easyjet klant op dit moment nog niets gehoord hebt, dan weet je enkel dat je creditcard gegevens niet zijn uitgelekt. Het is alsnog mogelijk dat je bij de grotere dataset van gestolen gegevens zit.

Auteur

TijsZonderH Nieuwscoördinator @Rannasha • 19 mei 2020 14:50

Ja inderdaad, heb ik net aangepast!

netfast @Rannasha • 19 mei 2020 15:29

Nou, reken er maar op dat er de komende tijd een hoop fishing mails verzonden gaan worden namens easyjet. De kreet, als je geen email hebt gehad van ons, zijn je gegevens niet gestolen... is natuurlijk een uitnodiging om via een omweg alsnog aan jouw gegevens te komen dmv een fishing campagne...

Niet al te snugger helaas...

t link @Rannasha • 19 mei 2020 20:11

Mag dat uberhaupt wel dat je mensen die getroffen zijn niet inlicht?

mschol @t link • 19 mei 2020 21:12

Mag dat uberhaupt wel dat je mensen die getroffen zijn niet inlicht?

discussie op werk overgehad:

overheid mag (zou mogen) gewoon opleggen (als je het dus bij hen meldt, en dat doen ze wel ivm hoge boetes) dat je het niet openbaar maakt tot bv een forensisch onderzoek is afgerond.

mjtdevries @t link • 20 mei 2020 09:41

Mag dat uberhaupt wel dat je mensen die getroffen zijn niet inlicht?

Dat ligt er aan of het aannemelijk is dat die mensen er schade van ondervinden.

Verwijderd 19 mei 2020 14:50

Jammer dat dingen zoals e-mail nog steeds niet doormiddel van een 2auth scherm van de mailprovider kunnen, waarbij de vragende partij enkel een scrambled-mailadres ontvangt. Dus als ik bij easyjet een account aanmaak, het e-mail-inputveld automatisch een login-scherm opent voor outlook, en outlook vervolgens een scrambled mail aan easyjet geeft. Zodat niet pietje12@outlook.com uitlekt maar een gfg34dfgdgdg@outlook.com.

cracking cloud @Verwijderd • 19 mei 2020 16:02

Sowieso kan je bij Outlook (en Gmail) zelf extensies toevoegen met +.

Dus bv pietjepuk+easyjet@outlook.com

Als je dan mail krijgt op dat emailadres en het is niet van Easyjet weet je in ieder geval dat je emailadres op 1 of andere manier uit de Easyjet database is gelekt/doorverkocht.

Rannasha @cracking cloud • 19 mei 2020 16:14

De truc met het plusteken is inmiddels vrij algemeen bekend. Als ik een spammer was zou ik in een email-database die ik binnenrkijg eerst alles tussen + en @ verwijderen om zo het originele emailadres te verkrijgen.

GekkePrutser @Rannasha • 19 mei 2020 16:29

Gewoon een catch-all gebruiken op een subdomain.

easyjet@pietjepuk.prutsmail.com

Dat is niet automatisch te verwijderen. Als je de enige gebruiker bent op je eigen domein dan is het subdomein niet eens nodig.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 16:46]

t link @GekkePrutser • 19 mei 2020 20:14

als het niet automatisch te verwijderen is wat heb je er dan aan? dan hebben ze alsnog dat het tot individu te herleiden is en een adress waar ze spam naar kunnen sturen.

GekkePrutser @t link • 19 mei 2020 21:28

Ik bedoel: Ze kunnen niet automatisch het identificeerbare stuk verwijderen (voor de "+").

En je kan natuurlijk wel het account blokkeren als er gespamd wordt. Zelfs bij een catch-all kunnen de meeste mailservers dat wel en anders kan je een rule maken in je client. Bovendien weet je dan wie er bezig geweest is met lekken.

Laguna @GekkePrutser • 19 mei 2020 22:34

Behalve bij Gmail daar kan je daar niks mee.

Christoxz @cracking cloud • 19 mei 2020 16:11

Maar die plus is er toch makkelijk uittefilteren?

Verwijder + tot @ en je weet niet meer waar die vandaan komt

GekkePrutser @Verwijderd • 19 mei 2020 15:13

Het probleem met dat soort dingen is dat je mailprovider ook gelijk een compleet inzicht heeft in wat je allemaal uitvoert op andere sites.. En de privacy bescherming is al zo flinterdun tegenwoordig. Daarom willen Facebook en Google ook zo graag dat je "login with Gmail / Facebook" gebruikt. De third party site weet minder over je maar FB/Google des te meer!

Ik zou het inderdaad ook met een eigen domein doen zoals @supersnathan94 zegt.

supersnathan94

Privacy
Datalek

@GekkePrutser • 19 mei 2020 15:14

In principe weet die mail provider dat natuurlijk ook wel, want die krijgt het welkomstmailtje toch binnen

Dus dan kun je beter helemaal niet die externe partij gebruiken, maar gewoon zelf Mailserver draaien.

GekkePrutser @supersnathan94 • 19 mei 2020 16:25

Ja maar het aantal interacties is veel groter als je ze ook als authenticatie provider gebruikt. De metadata is veel groter, elke interactie wordt meegenomen.

supersnathan94

Privacy
Datalek

@GekkePrutser • 19 mei 2020 16:26

Nou als het goed is, is het alleen eenmalig per sessie een token. Neemt niet weg dat ze dus weten op exact welk moment je naar een bepaalde site toegaat, maar dat weten ze vaak uberhaupt wel door tracking pixels en weet ik niet wat nog meer.

supersnathan94

Privacy
Datalek

@Verwijderd • 19 mei 2020 14:56

kun je zelf doen op je eigen domein met Wildcard mail forwarding. Dan komt het uiteindelijk wel in 1 inbox terecht, maar kun je specifieke mailadressen gebruiken per service.

Annihlator @supersnathan94 • 19 mei 2020 16:36

Dat vereist echter wel een eigen domein én mailserver. Iets wat vanaf genoeg consumentenverbindingen (bijv ziggo) eerder een onmogelijkheid is (niet toegestaan smtp te hosten) of een onevenredig aantal meerkosten met zich meebrengt. Dat is m.i. eerder de verantwoording van degene die zo graag zo veel adressen op een plek opslaat dan degene die telkens door andere partijen om een (liefst niet unieke, want marketinggeneuzel) mailadres word gevraagt.

Zegmaar; als je er om vraagt mag je minstens je best doen die gegevens afdoende te beschermen, nímmer andersom. Het logischere antwoord in omgekeerde context is namelijk om het afstaan van dat gegeven botweg te weigeren.

Pulp @Annihlator • 19 mei 2020 17:19

Die eigen mailserver is niet nodig hoor. Bij mij krijgt ook ieder bedrijf waar ik een email adres nodig heb z'n eigen adres. Meer dan een eigen domein naam en je email-instellingen op catch all zetten is niet nodig. Via het instelen van rules kun je dan individuele adressen blokkeren als dat later nodig blijkt te zijn.

t link @Verwijderd • 19 mei 2020 20:15

daar zijn zat services voor. zo gebruik ik zelf blur van abine, via de browser extentie. scrambled emails die doorgestuurd worden naar mijn echte mail, en te blokkeren zijn. Daarnaast zit dr ook meteen een password manager en generator in. de GUI is echt bagger maar de functionaliteit is nergens zo alomvattend.

[Reactie gewijzigd door t link op 24 juli 2024 16:46]

shredder 19 mei 2020 15:03

Uit voorzorg toch maar even mijn eigen wachtwoord bij EasyJet vervangen en in mijn wachtwoord manager gezocht of het wachtwoord vaker gebruikt was. Ik raad iedereen aan hetzelfde te doen en niet op de e-mail te wachten.

dristie @shredder • 19 mei 2020 16:26

Of gewoon opzeggen als je het niet meer gebruikt
https://www.easyjet.com/e...promise/request-data-form

FvdM @dristie • 19 mei 2020 17:42

Dat is voor heel veel dingen een goede gewoonte, vooral bij webshops. Met een password manager kan je sorteren op laatst gebruikte datum. Alle accounts die je meer dan (bijvoorbeeld) een jaar niet hebt aangeraakt zeg je gewoon op. Een datalek voorkom je er niet mee, maar je maakt de kans wel aanzienlijk kleiner.

t link @FvdM • 19 mei 2020 20:18

Als het goed is voorkomt dat ook gewoon een datalek. volgens GDPR moeten ze het verwijderen op verzoek. Dat is ook het hele idee erachter.

[Reactie gewijzigd door t link op 24 juli 2024 16:46]

FvdM @t link • 19 mei 2020 21:42

Ook oude data zoals een backup van jaren geleden kan op straat terecht komen.

t link @FvdM • 19 mei 2020 22:50

Ik vraag me af of dat wel mag onder GDPR. het is niet expliciet gemeld dat het niet uit backups verwijderd hoeft te worden als je vraagt om verwijdering.

Maurits van Baerle 19 mei 2020 14:44

Ik ben zelf een redelijke frequent flyer bij EasyJet maar heb niets van ze gehoord. Ik heb wel mijn Advanced Passenger Information in mijn EasyJet profiel opgeslagen omdat ik vaak het Schengen gebied in vlieg maar nooit mijn credit card gegevens.

Aangezien het om ‘maar’ 9 miljoen klanten gaat en ik niets heb gehoord zou het kunnen dat het alleen mensen betreft die er voor hebben gekozen hun cc gegevens te bewaren.

supersnathan94

Privacy
Datalek

@Maurits van Baerle • 19 mei 2020 14:49

Klanten worden tot 26 mei ingelicht over het datalek.

Kan dus dat ze eerste de CC subset inlichten en daarna de rest.

Auteur

TijsZonderH Nieuwscoördinator @supersnathan94 • 19 mei 2020 14:53

De klantenservice kreeg op Twitter inderdaad begin april al vragen over een mail waarin EasyJet waarschuwde voor een lek. Lijkt erop dat dat inderdaad de 2208 creditcardslachtoffers zijn en dat die begin april zijn ingelicht - maar niet 100% zeker.

supersnathan94

Privacy
Datalek

@TijsZonderH • 19 mei 2020 14:55

Begin april al? Man dat is al een tijd geleden. Kijk dat je nu een week uittrekt om 9 miljoen klanten in te lichten kan ik me voorstellen, maar dit speelt dus al een maand? Je zou toch verwachten dat frequent flyers als @Maurits van Baerle als 1 van de eersten ingelicht zouden worden.

Maurits van Baerle @supersnathan94 • 19 mei 2020 15:05

Ik verwacht dat ze meerdere databases hebben, onder andere om de schade bij een inbraak te beperken. Het is dus prima mogelijk dat Easyjet accountholders in een andere database staan dan mensen die ooit een vlucht hebben geboekt zonder een account aan te maken. API gegevens staan weer in een andere database en eventuele CC gegevens ook weer in een andere.

Als je dan weet dat de CC database is gehackt maar niet de accountholders database (zodat de hackers misschien wel CC nummer en CVC code hebben maar bijvoorbeeld geen namen) dan is het logisch dat ze eerst de mensen die in de CC database stonden hebben ingelicht.

Alleen vind ik een paar duizend mensen wel wat weinig. Ik vraag me af of het geheel ook nog eens geografisch is verdeeld. EasyJet is eigenlijk drie bedrijven. Het oorspronkelijke bedrijf, gevestigd in het Verenigd Koninkrijk. Een apart bedrijf voor Zwitserland omdat die niet in de EU zitten. En wegens Brexit hebben ze een apart bedrijf voor voor de EU opgericht, gevestigd in Wenen, waar ze de halve vloot naar toe hebben verhuisd omdat ze anders hun landingsrechten in vrijwel heel Europa kwijt zouden raken. Misschien is (gelet op het kleine aantal) alleen EasyJet Zwitserland gehackt?

supersnathan94

Privacy
Datalek

@Maurits van Baerle • 19 mei 2020 15:08

Dat zou kunnen allemaal, het is sws gissen hoe hun stack in elkaar steekt. Maar het is dan nog raar dat het zolang zou moeten duren voordat ze jou daarover een mailtje sturen. Jij hebt neem ik aan wel een account (is als frequent flyer wel handig mett eventueel voordelen) neem ik aan. Dus dikke kans dat jouw data er ook bij zit.

kiddingguy 19 mei 2020 14:47

En daar gaan we weer.... 'een aanval van een zeer geavanceerde bron', tsja, "O maar dan is het 'gerechtvaardigd' om een hack te hebben"

Het zijn gegevens die je klanten met alle zorg en vertrouwen bij je hebben onderbracht, lieve Easyjet.
Beetje secuurder hiermee omgaan graag.

Hoe kan het toch steeds weer zo zijn dat dit soort (mega)lekken voorkomen? Kwestie van beveiliging en security niet in orde? Kritische patch niet op tijd geinstalleerd? ICT-er ontslagen? Of ergens een servertje met 'admin / admin' hebben staan?

thomaskoel @kiddingguy • 19 mei 2020 14:50

Kwestie van beveiliging en security niet in orde? Kritische patch niet op tijd geinstalleerd? ICT-er ontslagen? Of ergens een servertje met 'admin / admin' hebben staan?

Klinkt als mijn home server

[Reactie gewijzigd door thomaskoel op 24 juli 2024 16:46]

m0ridin @kiddingguy • 19 mei 2020 14:54

Een kritische patch komt pas als er iets kritisch gefixed moet worden, oftewel de zwakte is er al en kan al misbruikt worden voor je deze uberhaupt kan fixen.

Verder kan je je systemen prima op orde zijn, als een medewerker het verzaakt wordt het alsnog lastig. Waarbij veiligheid belangrijk is, maar werkbaarheid ook... het gaat vaak om een balans.

En uiteindelijk vecht je natuurlijk wel tegen een aardige overmacht als security, er zijn weet ik het hoeveel personen die continu je systemen aanvallen. Je bent niet altijd slimmer, sneller en beter dan iedereen.

Allemaal niet als excuus, wel als relativering.

ETH0.1 @m0ridin • 19 mei 2020 15:11

Klinkt alsof kiddingguy te vaak naar de 'Hack the gibson' scene uit Hackers heeft gekeken.

Nee ff serieus, zijn post zit zo vol met aannames gebaseerd op helemaal niets, er zijn zo veel meer manieren te bedenken waarop deze gegevens gelekt kunnen zijn buiten de obvious ones die in zijn post staan. Was de wereld maar zo simpel dat het patchen van je systemen en het veranderen van de admin wachtwoorden de oplossing is voor alle beveiligingslekken.

Je hebt gelijk: De harde realiteit is dat je een miljoen miljard tegen je beveiliging kan aan gooien, white hats kan inhuren, penetration tests en continue actieve monitoring op al je processen etc etc. De kans dat je ze buiten boord houd is daar mee groot maar het is simpel weg niet altijd te voorkomen. Wat niet betekend dat je het niet moet proberen.

m0ridin @ETH0.1 • 19 mei 2020 15:40

Hackers! That brings back memories... heerlijke soundtrack.

Maar idd... en dan ben ik de grootste zwakte, namelijk de mensen/personeel, nog vergeten te noemen

Hoe dan ook, alsnog kan het natuurlijk complete nalatigheid zijn maar daar kunnen we nu nog niks over zeggen.

Daoka @m0ridin • 19 mei 2020 16:03

Ik ben het zeker met je eens dat je nooit 100% veilig kan zijn. Maar 'een aanval van een zeer geavanceerde bron' dat vind ik wel erg vaag klinken. Als je dat weet dan kan je er ook meer over zeggen waardoor het wel geloofwaardiger wordt. Nu klinkt het alsof het een simpele hack was wat ze proberen te verbergen. Al snap ik op zich ook wel als het echt een simpele hack was dat dit natuurlijk ook niet goed voor de reputatie is.

Verwijderd @kiddingguy • 19 mei 2020 15:50

Maar staat er iets over rechtvaardiging? Het is toch beter om toelichting te geven dan te zeggen 'Iemand deed dit, wil je weten wie? Zeggen we niet'

En hoe het kan dat het voorkomt, omdat mensen geen computers zijn en fouten kunnen maken. Daar moet nog steeds op gereageerd worden en dat moet geen reden zijn, maar een wereld met 0 hacks is een leuke utopie en misschien goed voor een TV serie, maar dat gaat de wereld nooit worden.

Daarmee doe je natuurlijk ook wel meteen af alsof de enige manier om gehackt te worden is admin/admin als gegevens te hebben, iets waarmee je security experts afdoet als een soort van achterlijke mensen die wat instellingen controleren, daar zit natuurlijk wel meer achter.

kiddingguy @Verwijderd • 19 mei 2020 16:55

admin/admin was meer een gimmick vanuit mijn kant

Natuurlijk begrijp ik dat er security wise veel specialisten zijn waarbij de kennis van één waarschijnlijk nog niets eens kan tippen aan alle kennis hier (in ieder geval die van mij, maar dat is ook niet zo moeilijk aangezien ik niet in de security biz werk) En... nu niet allemaal hier in de hoogste bomen klimmen en gaan roepen: dat is niet zo

Wat mij opvalt - of het wordt nu steeds vaker/eerder naar buiten gebracht, ook vanwege wetgeving en grove boetes bij verzuim [which is good] - dat grote organisaties wel vaker gehacked worden dan voorheen.
En dan rijst bij mij de vraag: hoe kan dit? wat is de oorzaak? zijn het wat script kiddies die bezig zijn, of echte professionele hackers/organisaties die hier achter zitten?

Platpoot @kiddingguy • 19 mei 2020 15:55

Sommige partijen hebben echt de boel niet op orde, maar een geavanceerde targeted attack hou je echt niet makkelijk tegen. Je noemt nu mooie zaken als patches en andere zaken die je als it'er voor kan zijn. Maar de gebruikers zijn toch telkens het zwakke punt. Die mensen klikken overal op, ongelofelijk maar helaas waar. Ook dat probeer je uiteraard dicht te timmeren, maar de duivelsdriehoek geld, veiligheid en overlast eindgebruiker is altijd iets waarmee je moet schipperen.

lighting_ 19 mei 2020 14:48

De credit kaar maatschappijen zullen ook wel ingelicht zijn.
Aangezien je voor dit soort situaties altijd beschermd bent door de CC zal het wel goed komen.

Verwijderd 19 mei 2020 15:30

Geen mailtje ontvangen, gelukkig geen reused password. Jammer dat je niet eenvoudig je account daar kan verwijderen.

JJ Le Funk 19 mei 2020 15:50

toevallig had ik een paar weken terug mijn CC al laten blokkeren vanwege gebruik op een bedenkelijke site voor game keys. ik laat het nog even zo en moet gaan heroverwegen of ik nog wel een CC wil. het blijft een zwak systeem.

TommyboyNL @JJ Le Funk • 19 mei 2020 16:43

Er zijn lapmiddelen; de MasterCard van Bunq heeft bijvoorbeeld een dynamische CVC. Uiteraard is dit maar een 3-cijferige code, en heeft een crimineel nog steeds een kans van 1/1000 dat hij goed gokt, maar dat is al 1000 keer beter dan een statische CVC zoals alle klassieke banken.

daanoosters 19 mei 2020 16:21

Ik lees bij een aantal nieuwsmedia dat easyJet slachtoffer is van dataroof. Beetje tendentieuze term, volgens mij is het gewoon een datalek, maar willen ze graag doen voorkomen alsof zíj het slachtoffer zijn en afleiden van het feit dat hun klanten het nakijken hebben...

multikoe @daanoosters • 19 mei 2020 18:06

Dus als je auto gestolen wordt is het een voertuig-lek? En als er ingebroken wordt in je huis en je tv is weg, dan is het een media-lek? Ben je nu zelf ook niet heel erg bezig om de zaak te framen?
Als ik alle emotie er even uit laat dan is een dataroof hier gewoon de juiste term hier. Een datalek is een verloren USB stick. Of een pak adresgegevens dat per ongeluk bij het oud papier belandt. Een dataroof is als je een gebouw binnen gaat, de beveiliging omzeilt en spullen meeneemt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (71)

Sorteer op:

Weergave: