Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Datalek bij hotelketen MGM trof 142 miljoen mensen in plaats van 10 miljoen

Bij de hack op de hotelketen MGM vorig jaar zijn 142,5 miljoen personen getroffen. Dat is veel meer dan de 10,6 miljoen waarover de hotelketen het eerder zelf had. Er zijn namen, adressen, telefoonnummers en geboortedatums gestolen bij de hack.

Bij het datalek zijn de gegevens van 142.479.937 personen gestolen. Dat gebeurde in de zomer van 2019, toen hackers inbraken op de een server van een van de hotels in de keten. MGM is eigenaar van een reeks hotels in onder andere Las Vegas. MGM benaderde toen al een deel van de slachtoffers.

Aanvankelijk werd gedacht dat er 10,6 miljoen klanten slachtoffer waren, waaronder zo'n 10.000 Nederlanders. Nu blijkt dat het om veel meer slachtoffers gaat. ZDNet ontdekte op een hackersforum dat er gegevens van 142 miljoen klanten werd aangeboden. De database is daar te koop voor 2900 dollar, omgerekend zo'n 2500 euro.

In de database staan namen, adressen, telefoonnummers en geboortedatums van klanten. Volgens MGM is er geen rekeninginformatie buitgemaakt. Ook creditcardgegevens en wachtwoorden zijn volgens de hotelketen niet in handen van de hackers.

De hackers zeggen op het forum dat de data afkomstig is van Data Viper, een dienst die datalekken indexeert. Die dienst werd vorige week zelf gehackt, maar een woordvoerder van Data Viper zegt dat het bedrijf niets met het MGM-lek te maken heeft. Data Viper zou geen database van MGM in handen hebben. Het is onbekend hoe de hacker dan aan de informatie zou zijn gekomen.

Afbeelding: ZDNet

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

14-07-2020 • 17:12

43 Linkedin

Reacties (43)

Wijzig sortering
10 of 142 miljoen, joh dat is maar een marginaal verschilletje... Kortom nog een dikke boete naar MGM voor het bedonderen van de boel.
Die boete kun je pas geven als je de data koopt, controleert op echtheid en of ze idd van mgm komt. Als dat zo is kan er idd een boete gegeven worden.
Bedonderen wil zeggen dat iemand aan het bedriegen is. Je kan dat niet zomaar beweren omdat een ander achteraf meer gegevens online weet te vinden. Dat zegt namelijk niet dat het bedrijf wist dat er meer gegevens gestolen waren en bijvoorbeeld om te bedriegen een lager aantal noemde. Dus wat is dan je bewijs voor het bedonderen?
Ik vind het altijd zo stom dat bedrijven zoveel data houden, tot jaren na gebruik. Zelfs in mijn kleine bedrijfje flikker ik alles na het verlopen van wettelijke termijnen weg. Ik wil het niet, ik kan er niks mee, ik ga het ook niet herlezen voor napret ofzo, en als het uitlekt is het alleen maar meer gezeur.
Maar hoe relevant is dat in dit geval? MGM is geen klein bedrijf met een paar hotels. Ze hebben over de hele wereld hotels, resorts, entertainment voorzieningen en casino's. Die 13 miljard dollar in 2019 aan omzet komt waarschijnlijk niet om dat er weinig gasten zijn. Daarnaast doen dit soort Amerikaanse bedrijven vaak ook aan loyalty programma's waarin ze klanten voor vele jaren aan zich proberen te binden die wat langer duren dan bijvoorbeeld een wettelijke verplichting om bepaalde gegevens te bewaren.
Wat héél goed de bron kan zijn inderdaad, en meteen verklaart waarom er geen creditcard gegevens bij zouden zitten.
Het is in de horeca branche altijd goed om te weten wat de voorkeuren van je gasten zijn.

Dat ene stelletje dat 25 jaar geleden voor hun trouwdag een bepaalde wijn gedronken heeft en nu 25 jaar later terug komt diezelfde wijn aanbieden is natuurlijk gewoon een leuke gestie om maar een voorbeeld te noemen.
Tja, is natuurlijk niets van te zeggen als je niet weet waarvoor ze de data gebruiken. Zelf ben ik juist ook meer van, waarom weggooien als het me toch geen ruimte kost en al te vaak gehad dat ik toch verder moest kijken dan het wettelijke termijn, wat overigens puur voor de financiele administratie geldt.
Dat JIJ het dus niet nodigt acht voor JOUW bedrijfsvoering, wil nog niet zeggen dat dat voor anderen ook geldt.
In de database staan namen, adressen, telefoonnummers en geboortedatums van klanten. Volgens MGM is er geen rekeninginformatie buitgemaakt. Ook creditcardgegevens en wachtwoorden zijn volgens de hotelketen niet in handen van de hackers
Creditcard kan je redelijk snel actie tegen ondernemen, plus deels gedekt, maar telefoonnummers en emailadressen kan je natuurlijk 10x meer mee, phising op gigantische schaal (social via WA), zelfs als er maar 0.01% bijt, heb je goeie 14.000 alsnog te pakken, doe dat voor zeg 100 euro de man, even 1,5 miljoen binnenharken met slechts 2500 investering.. aardig rendement :P
zelfs als er maar 0.01% bijt, heb je goeie 14.000 alsnog te pakken
Behalve dat je dan eerst 142 miljoen mensen hebt moeten benaderen... Daar gaat veel tijd in zitten. Los van:
- dubbele data
- data die niet meer klopt
- data afkomstig uit verschillende landen, dus je zult je scams mogelijk anders op moeten zetten
Etc
Valt zoiets gewoon onder heling als je zoiets koopt? Of zit dat anders?
Nope,in principe valt het daar gewoon onder. Er is ook niets legaal aan deze verkoop.
2900 dollar voor zoveel data. Bizar.
1 en/of 2 is waar.

1) Men zal het waarschijnlijk meerdere keren hopen te verkopen.
2) Het verzamelen was niet veel werk. Als het een uurtje kost dan is 2.500 euro een mooi tarief.
Beide zijn waar. Maar als je kijkt wat je kunt verdienen met zo'n dataset is het vreemd. Denk aan bijvoorbeeld phishing via SMS. Daar trappen zoveel mensen in...en met zo'n dataset lopen de miljoentjes wel binnen :). Goede investering...maar zwaar crimineel :-).
Niet per se. Het geeft aan dat er verschillende specialismen zijn met verschillende vormen van risico. Als je wil gaan lopen phishen en via die weg de data wil omzetten in keiharde knaken, moet je ook werken met katvangers of constructies via Western Union. In potentie speel je jezelf dan veel meer in de kijker en het vereist andere expertise en natuurlijk investering in tijd en geld.

Het onrechtmatig verkrijgen van een dataset is gemakkelijker vanuit de schaduwen te doen. Als je die set dan (eventueel meermaals) kunt doorverkopen om je vervolgens op de volgende dataset te gaan richten, dan is dat best een interessant businessmodel.

Wat dat betreft houdt men zich redelijk aan de reguliere bedrijfseconomische regels.
Zelfs voor targeted marketing is zo'n dataset miljoenen waard. Hoeft niet eens crimineel te zijn.
Stuur de hele set een aanbieding en je weet zeker dat er een miljoen mensen happen.
En als je een unsubscripe onderaan de mail zet ben je best OK bezig

(overigens kun je als crimineel die opt-out ook weer mooi gebruiken ter verificatie van de data. En ik gok er even op dat er ook emailadressen in stonden.. kan bijna niet anders)

[Reactie gewijzigd door SunnieNL op 14 juli 2020 18:10]

Upload ook nog eens naar Facebook en Google voor extra $ met wat retargeting.
De aanname die je doet dat Tweakers iets plaatst zonder de feiten te checken, is dat geverifieerd? Of plaats je een mening die dus geen ander doel kent dan onrust stoken? ;)
Het staat je vrij zelf de lijst te kopen en zelf de verificatie te doen, als je er zo mee zit? Daar zul je dan uiteindelijk (op Tweakers.net althans) ook goede moderaties voor krijgen en de waardering van vele Tweakers. ;)

[Reactie gewijzigd door CH4OS op 15 juli 2020 09:49]

Zou het bijna zelf willen kopen ;)
2500€ het is bijna om mee te lachen, hoeveel schade zou die hack gekost hebben voor mgm?
Zeg maar: iedereen die ooit eens op The Strip is geweest in de afgelopen 10 jaar, waaronder yours truly. Lekker dan...
Mijn huisarts draaide bijna mijn arm op mijn rug om me te bewegen 'nu eindelijk' toestemming te geven mijn medische data digitaal te laten uitwisselen door de zorgverleners, want ik had al drie keer het bij de apotheek uitgedeelde briefje niet ondertekend teruggestuurd. Nee, hij wist zeker dat de data absoluut veilig waren, daar hoefde ik me echt geen zorgen over te maken. _/-\o_
Nou lekker in 2018 bij New York hotel op de strip geweest, die is ook van MGM. Dit jaar zaten we in de Wynn maar ging heel Vegas dicht door Corona bij Dag 1 bij aankomst, niet veel geluk dus in Vegas :+
Ze bieden het aan als 142 entries, wil nog niet zeggen dus dat het ook 142 miljoen unieke personen zijn.
Naast dus als je de tekst in de image leest gaat het ook over MGM Grand Hotels wat dus weer iets anders is dan MGM Resorts. Vraag natuurlijk is wel, is het ook legit, kan goed zijn dat die gewoon een dummy bestand heeft en zo extra hoopt te incasseren..
Het is een valide punt om in vraag te stellen of het aantal wel klopt. Dat zou ook in het artikel mogen staan. Ik vermoed dat het daadwerkelijk kopen van de data een te grijze zone is en wellicht ook niet binnen het budget past.

Het is dan wel jammer dat je volgende zin het over riooljournalistiek heeft. Daarmee doe je naar mijn mening afbraak aan het nuttige deel van je reactie.
Zo te zien woon je in Amerika, dus het is je vergeven dat je niet weet wat riooljournalistiek betekent of dat je het niet op de juiste manier gebruikt.

Matige of slechte journalistiek zou een accuratere bewoording geweest zijn, denk ik.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True