Hacker komt één van de grootste databases binnen

Bij The Charlotte Observer is te lezen dat een hacker zichzelf toegang heeft verschaft tot een aantal databases van het bedrijf Acxiom. Dit bedrijf is één van de grootste spelers op de markt voor klantdatabases. De hacker heeft toegang gehad tot de databases van ongeveer tien procent van de klanten van het bedrijf. Onder de klanten van Acxiom zijn onder andere Microsoft, IBM, en AT&T. Daarnaast zijn veertien van de vijftien grote creditcard-maatschappijen klant bij het bedrijf, evenals zeven van de tien grootste autobedrijven. De hacker en de gestolen informatie zijn inmiddels bij de politie in bewaring gesteld. Volgens Jennifer Barrett, privacy-manager van het bedrijf, is de hack uitgevoerd door een ex-medewerker van het bedrijf. Deze medewerker heeft via het netwerk de logingegevens van de klanten afgeluisterd. Dit was mogelijk omdat de server, die hij afluisterde, niet in de firewall van het bedrijf was opgenomen. De hack zal zeer waarschijnlijk geen grote gevolgen hebben:

Barrett said much of the information taken from the server was encrypted and that the risk of identity theft is slim.

"We view the risk of it at this point as very low," she said. "We also were notified that data ... hasn't been accessed by any other parties or used for any other fraudulent purposes. I can say this about the data, much of it was nonsensitive information."

IT-banen

Reacties (56)

Fairy 11 augustus 2003 17:33

Daarom moet je dus altijd de logingegevens van Ex medewerkers meteen verwijderen.

Als bijvoorbeeld een van je systeembeheerders ontslagen wordt moet je dus alle admin passwords veranderen.

Veel bedrijven nemen hier de moeite niet voor en steken voor het gemak de kop in het zand en hebben als argument dat ze die persoon wel vertrouwen e.d.

Als ik ontslagen wordt kan ik alles doen wat ik wil bij het bedrijf. Lijkt me niet echt gezond.

crazyx @Fairy • 11 augustus 2003 18:18

Ik ben ook systeembeheerder, maar ik ken ALLE wachtwoorden die er bij ons in het bedrijf rondgaan (wat trouwens geen klein bedrijf is). Ook van klanten etc, en als ik ooit ontslagen zou worden, geloof ik nooit dat ze ALLE wachtwoorden zouden veranderen. Mensen zijn er gewoon te lui voor.

beerten @crazyx • 11 augustus 2003 19:09

Met alle respect: of je hebt een autistische neiging tot het onthouden van cijfer/letter combinaties? Of het zijn wel heel slecht gekozen passwords. Vast geen cijfer/letter met hoofd- en kleine tekens en andere vreemde tekens.

Of zit ik helemaal mis?

eamelink @beerten • 11 augustus 2003 19:55

Zal wel de eerste optie zijn

Ik heb vaak dingen echt über beveiligd, zodat helemaal níemand het password weet. Ik gebruik vaak random passwords van 10 tekens, maar om de een of andere reden zijn mijn hersenen daar niet geschikt voor ofzo

Anyways, dan weet niemand het password, geeft wel een veilig gevoel

Pietervs

Bedrijfsnieuws

@Fairy • 11 augustus 2003 17:45

Daarom moet je dus altijd de logingegevens van Ex medewerkers meteen verwijderen.
Hoewel je gelijk hebt, zou dat in dit geval weinig uit hebben gemaakt:
Deze medewerker heeft via het netwerk de logingegevens van de klanten afgeluisterd. Daarmee had hij zijn eigen account dus niet meer nodig: hij logde gewoon in met de gegevens van z'n collega's / klanten...

TimMer 11 augustus 2003 17:28

Uitermate slechte beveiliging voor zo'n groot bedrijf. Je houdt je netwerkstructuur toch in de gaten als systeembeheerder(s) zijnde lijkt mij? Dan zie je ook gelijk wat er wel en niet onder de firewall valt.

Robthebest @TimMer • 11 augustus 2003 17:30

Het heeft weinig meer met de beveiliging te maken denk ik, als ex medewerker weet je altijd gevoelige informatie op te vangen, wellicht was hij een ex-systeem beheerder?

Verwijderd @Robthebest • 11 augustus 2003 17:36

En dat is dus waarom je passwords regelmatig veranderd.

Verwijderd @Verwijderd • 11 augustus 2003 17:45

Ben ik mee eens, maar je weet wel waar de wachtwoorden te vinden zijn en dat je een redelijk goed overzicht hebt waar je zijn moet en wat je aan beveiliging, c.q. monitoring kunt verwachten.

Even een reactie terug op Wolvie:
Als jij in een support functie en/of development functie zit, dan is het de bedoeling om zo effektief mogelijk te opereren binnen je organisatie om klanten tevreden te stellen. In die hoedanigheid is het niet aan de orde om wachtwoorden in een kluis te bewaren, wel op een afgeschermde lokatie/bestand waar de betrokkenen bij kunnen.
Als je het over een uitontwikkelt systeem hebt waar niets gebeurd, is er geen vuiltje aan de lucht en kun je degegevens veilig opbergen. Echter, als er ooit is een keer wat gebeurd en niemand weet waar ook al weer wachtwoorden waren..... dan heb je een echt probleem!!!

Verwijderd @Verwijderd • 11 augustus 2003 18:26

HEEEEEEEEEL veel bedrijven hebben hun beveiliging slecht geregeld... En Security Policies bestaan vaak niet eens.

Trust me I know, ik word verhuurd aan bedrijven en kan dus altijd veel zien. De simpelste hack die je kunt doen is gewoon de helpdesk van een bedrijf bellen... wedden dat ze het password resetten van je naam genoot ?

En passworden resetten van admin accounts is simpel, maar van klanten is het vaak al moeilijker, omdat er meerdere mensen zijn die daar vaak op hetzelfde account inloggen.

Reactie op Atlantis:
Passworden (admin en service accounts) horen in een kluis, dus physiek achter slot en grendel... de beheerder die dat in een document op een server bewaart, verdient het om gehackt te worden... Sterker nog, eruit trappen die gek... amateuren moeten lekker thuis gaan spelen.... Zo iemand kent duidelijk zijn verantwoordelijkheid niet...

rootlinux @Verwijderd • 11 augustus 2003 20:42

Dit is dus de rede waarom je Administrator passwords niet gebruikt maar in de kluis legt. een password als x1%1g3&4sf onthoud je niet zomaar.

Verder geef je al je administrators een adm account waarmee ze alle administratie werk mee doen en een gewoon account om mail te lezen en documentatie te schrijven. Zodra iemand weg gaat zet je onmiddelijk het account dicht en reset je de admin accounts just to be safe en eventueele service accounts die de persoon mocht hebben.

Dan komt je security enigzins in de buurt van veilig.

Wat deze toko heeft gedaan kan voor het werk wat ze doen niet door de beugel en kan ze klanten kosten doordat de security zo lek als een mandje lijkt.

_Thanatos_ @Verwijderd • 11 augustus 2003 18:55

Passworden (admin en service accounts) horen in een kluis, dus physiek achter slot en grendel... de beheerder die dat in een document op een server bewaart, verdient het om gehackt te worden... Sterker nog, eruit trappen die gek... amateuren moeten lekker thuis gaan spelen.... Zo iemand kent duidelijk zijn verantwoordelijkheid niet...

zou ik ook doen... jij bent blijkbaar gewoon niet op de hoogte van de beveiliging die op een enkel bestand in te stellen valt. ownership nemen, alle andere gebruikers behalve jezelf uitsluiten, en het ding encrypten. Geloof me, niemand behalve jijzelf kan er dan nog bij.

pietje63 @Verwijderd • 11 augustus 2003 20:34

Tja, dat lijkt op zich een goede beveiliging, maar waarom dat extra risico nemen...

Zo heb ik bijvoorbeeld wel eens gemerkt dat een directory van windows2000 die ik met andere windows2000 niet kon benaderen door de security policy wel kon benaderen via linux. Ok, Windows staat ook niet bekend om de beveiliging, maar toch....

Verwijderd @Verwijderd • 12 augustus 2003 08:16

Reactie op Atlantis95:

"Als jij in een support functie en/of development functie zit, dan is het de bedoeling om zo effektief mogelijk te opereren binnen je organisatie om klanten tevreden te stellen. In die hoedanigheid is het niet aan de orde om wachtwoorden in een kluis te bewaren, wel op een afgeschermde lokatie/bestand waar de betrokkenen bij kunnen."

De klant tevreden houden is de taak van mijn manager, ik ben techneut, ik reageer alleen op vragen die mij gesteld worden van mijn manager. Ik kan reageren op technische vragen en heb inzicht over wat wel en niet kan en of het structureel en/of veilig genoeg... is dit niet het geval, dan zal ik alternatieven moeten bieden. Een klant vraag functionaliteit en als hij dat niet doet, dan moet je zorgen dat hij dat doet.

Als support of development heb jij over het algemeen geen admin rechten en als dat wel zo is, dan zijn de echte admins fout. Beheer is verantwoordelijkheid, alle smoesjes en excuses die je aanvoert betekenen hooguit dat je het niet snapt of de kennis ontbeert... Maargoed, das PRECIES waarom ik zoveel werk he

Over

DavidAxe @Verwijderd • 12 augustus 2003 09:53

En zodra iemand onder jouw account weet in te loggen heeft ie de beschikking over alle wachtwoorden. Het is zoieso niet zo slim om wachtwoorden op te slaan. Dat hoor je natuurlijk 1-way encrypted te doen, is iemand z'n wachtwoord kwijt dan krijgt ie een nieuwe (want het oorspronkelijke wachtwoord is niet meer te achterhalen).

kodak

Bedrijfsnieuws

@Robthebest • 11 augustus 2003 21:43

Heeft wel degelijk met beveiliging te maken. Hoewel het jatwerk plaatsgevonden blijkt te hebben toen de persoon nog in dienst was blijkt hij het wel mee naar buiten de organisatie genomen te hebben. Dat had op zijn minst beveiligd moeten worden.
Zelfs als het hier een systeembeheerder betreft gaat, zeker bij dit soort grote bedrijven en gevoelige informatie, op dat je nooit jezelf als laatste mag controleren. Er is dus altijd een ander die in de gaten houdt wat jij uitspookt. Dat deze persoon dus met gemak gegevens van de klanten kon 'meeluisteren' had dus ook gecontroleerd moeten worden door een ander.
Als ex-medewerker behoor je daarbij natuurlijk geen gevoelige informatie te kunnen opvangen, zeker niet via het systeem. Een organisatie die dat wel natuurlijk vind heeft een verkeerd beveiligings beleid.

Verwijderd @Robthebest • 12 augustus 2003 09:04

Lezen is ook een kunst.

is de hack uitgevoerd door een ex-medewerker van het bedrijf.

Desalnietemin zie je bij heel veel bedrijven dat het veranderen van wachtwoorden niet echt hoog wordt opgevoerd als het om veiligheid aankomt. Ga zelf maar eens na hoe vaak je je eigen wachtwoord veranderd? Binnen een bedrijfsnetwerk kunnen policies er nog wel eens voor zorgen dat je eens in de 3 weken je wachtwoord moet veranderen maar thuis.... (om maar even een voorbeeld te noemen). En uhm... Het zijn tenslotte de zelfde DB boeren die bij zo'n bedrijf werken als bij bv Interpay.

Verwijderd @TimMer • 12 augustus 2003 20:13

In het algemeen een reactie op het 'slechte beheerders' verhaal. Er wordt altijd heel makkelijk afgegeven op de beheerders, echter er wordt vaak overheen gekeken dat beheerders doen wat managers opdragen, althans bij bedrijven van deze grootte wel.

Het kan best dat deze beheerder een prutser is, dat sluit ik niet uit. Echter, het scenario waarin een beheerder zegt 'security moet zo-en-zo, en kost zoveel tijd (=geld)' en dat de manager zegt 'dan doen we alleen dat-en-dat aspect, en laten dat liggen' komt heel veel voor.

maw. in heel veel gevallen is het een kwestie van het management die er niet de tijd en het geld voor vrijmaakt zodat de beheerder de security op orde kan houden.

Als laatste: een bedrijf hoort z'n gegevens ook te beschermen tegen werknemers. Dat is een van de eerste dingen die men bij een redelijke security-audit gaat bekijken....

Verwijderd 11 augustus 2003 17:30

Deze medewerker heeft via het netwerk de logingegevens van de klanten afgeluisterd. Dit was mogelijk omdat de server, die hij afluisterde, niet in de firewall van het bedrijf was opgenomen.

Je zou toch mogen verwachten dat deze data ondanks dat het over een bedrijfsnetwerk gaat, versleuteld zal zijn..

Verwijderd @Verwijderd • 11 augustus 2003 17:34

Misschien heeft de werknemer de sleutel?

Scharnout @Verwijderd • 11 augustus 2003 17:46

Dan moet je de sleutel veranderen als de werknemer weggaat. Toevallig boek van Mittnick gelezen. Ex-werknemers zijn gewoon een risico ... en zeker als hij de sleutel nog heeft

Verwijderd @Scharnout • 11 augustus 2003 18:29

Er zijn bijna geen bedrijven die hun data encryted over hun eigen netwerk sturen. Als iedereen een werknemer vertrekt die toegang had tot bepaalde data, dan MOET je alles wijzigen waar hij toegang toe had... maar veel bedrijven (lees beheerders) zijn daar te lui voor..

Blijkbaar mensen die "secure IT" handleidingen nooit gelezen hebben, of denken dat ze beter zijn dan een ander

Verwijderd @Scharnout • 12 augustus 2003 08:21

Je hoeft de wachtwoorden van klanten ook niet te veranderen, daar schrijf je gewoon een policie voor.
De klanten zijn verantwoordelijk over hun eigen accounts, het bedrijf faciliteit een veilige omgeving.

Waar het in dit specifieke geval over gaat is een medewerker die toegang had tot gevoelige info. Dat hij het wachtwoord van een klant wist is een detail, dat hij uberhaubt toegang tot het netwerk kreeg is volgens mij een issue dat je de beheerders zeer kwalijk mag nemen... een accountje disablen is niet zo moeilijk

Murtceps @Scharnout • 11 augustus 2003 21:54

Ik neem aan dat er een gigantisch aantal systeembeheerders werkt bij dat bedrijf als je zoveel grote klanten hebt en als er dan eentje vertrekt dat dan niet gelijk weer alles wordt veranderd. (wat wel zou moeten natuurlijk)
Maar ik vermoed dat dit helaas veel vaker voorkomt bij bedrijven... :\

Verwijderd @Scharnout • 12 augustus 2003 08:50

Het valt mij op dat veel mensen redeneren uit de gedachte dat iedreen op kantoor zit.
Bij het bedrijf waar ik werk hebben we te maken met een gemiddelde hoge leeftijd van medewerkers in de produktie (deze mensen zijn goed opgeleid destijds ivm het produkt dat we maken) en waar de mensen de computer als een onding blijven zien.
Als deze mensen bijvoorbeeld elke 90 dagen een ander password moeten nemen, de huideige onthouden ze al amper, dan krijg je dus situaties, dat men per afdeling een wachtwoord verzint en dit op de pc plakt.
Dat is een situatie die niet gewenst is.
De situatie die we nu al jaren hebben en in dit geval goed werkt, druist tegen alle IT-theorie in, namelijk wachtwoord niet laten verlopen.
Het blijkt dus dat men dan geen papiertjes gaat ophangen, maar erg zorgvuldig met het wachtwoord omgaat en deze zelfs niet aan directe collega's geeft.
(een administrator is wel gehouden aan de regel om regelmatig het wachtwoord te veranderen).
Nu kun je mischien wel zeggen een gebruiker is zelf verantwoordelijk e.d. maar vakmensen eruit gooien omdat ze op IT gebied iets verkeerd doen, terwijl dat maar een hulpmiddel/gereedschap is om de produktie beter te laten verlopen, dat lijkt me erg ver gaan.

Volgens sommigen neem je dan erg veel risico, volgens mij niet, want een beveiliging staat en valt met het draagvlak onder medewerkers.

Verwijderd @Scharnout • 12 augustus 2003 19:06

Reactie op Hoztmaster

Het valt mij op dat veel mensen redeneren uit de gedachte dat iedreen op kantoor zit.
Bij het bedrijf waar ik werk hebben we te maken met een gemiddelde hoge leeftijd van medewerkers in de produktie (deze mensen zijn goed opgeleid destijds ivm het produkt dat we maken) en waar de mensen de computer als een onding blijven zien.
Als deze mensen bijvoorbeeld elke 90 dagen een ander password moeten nemen, de huideige onthouden ze al amper, dan krijg je dus situaties, dat men per afdeling een wachtwoord verzint en dit op de pc plakt.

(Let wel, ik val Hoztmaster niet aan, ik reageer op zijn uitspraak)

Euhm... gebrek aan kennis of niveau van de gebruikers mag nooit een excuus zijn voor de beheerder. Veel te veel systeembeheerders vinden het veel te leuk om te klooien met allerlei dingen. Een beheerder wordt betaald om met creatieve en structurele oplossingen te komen. Als die input er niet is, dan spreek je van "pappen en nathouden" van de huidige systemen en dan is het niveau meestal niet zo hoog.

Ik wil in zoverre met je meegaan, dat niet elk bedrijf security nodig heeft (afhankelijk van de branche, data e.d.). Maar als deze mensen verbindingen met de buitenwereld hebben, dan zijn dat behoorlijke risico's. Overigens kan je er altijd voor kiezen een bepaald netwerk sigment NIET aan de life omgeving met externe toegangen te koppelen.
Als jou bedrijf er bewust voor kiest om deze security NIET toe te passen, dan valt jou niets te verwijten, mocht er iets misgaan. Mits, let wel, MITS jij ze duidelijk op papier op de hoogte hebt gesteld van de risico's. Roepen is iets anders als zeggen, vandaar dat ik zeg op papier.

Verwijderd 11 augustus 2003 20:14

Ik heb de laatste tien jaar voor zo`n 6 new-media bedrijven gewerkt, en ja die honderden passwords en ftp-gegevens, er zullen er vast nog een aantal wel hetzelfde zijn gebleven. Ik lig er niet wakker van. Laat staan dat ik ze ga onthouden/voor mijzelf ga opschrijven. Als je bij een bedrijf werkt, heb je zoiets als bedrijfsgeheim, als je hier achteraf mee gaat rotzooien, ben je kortom vroeg of laat zelf het haasje, en je reputatie is levenslang naar de klote.
Of het nu om un/pw gaat of vertrouwelijke gegevens.

Maar ik zweer je dat mensen in een organisaties eenmaal een password gekozen/gekregen hebben van hun provider, deze jaren hetzelfde houden, en niet veranderen.

Mischien dat een huidige systeem beheerder zoiets heeft van, laten we nu eens om het half jaar de passwords eens veranderen. Om maar eens mee te beginnen.

edit:

over het white/black hat gedoe; Zo rond 2000, gaf een 'white'-hacker aan, bij het bedrijf waar ik toen voor werkte, van u heeft nog een poort daar openstaan, dat kan gevaarlijk zijn, mischien kunt u mij hier voor belonen. $$.. Wij zoiets van aardig; wil hij een appeltaart ofzo?

Verwijderd @Verwijderd • 11 augustus 2003 21:49

Voor het zelfde 'geld' -> appeltaart dus, had 2 weke later een andere (niet zo vriendelijke) hacker diezelfde achterdeur opgemerkt en ging hij met de (misschien iets grotere) appeltaart lopen...

Verwijderd 11 augustus 2003 17:56

IMHO niet zo'n schokkend nieuws. Als een hacker een ex-medewerker blijkt te zijn van het bedrijf, dan is het een veel kleinere kunst om te hacken dan wanneer je geen connecties hebt met het bedrijf. Toen ik de kop las dacht ik gelijk 'Zozo knap gedaan' (ook al is het niet fair, het is wel knap), maar toen las ik dus dat hij een ex-medewerker was en waarschijnlijk heeft lopen packet-sniffen. Qua security misschien slordig, maar nogmaals, niet zo schokkend

Verwijderd 11 augustus 2003 18:30

http://slashdot.org/articles/03/08/10/2157230.shtml?tid=99

ut hele verhaal...

Yzord 11 augustus 2003 17:37

Zolang er systeembeheerders zijn die zelf ook van een hack/crack houden, zul je dit soort dingen altijd blijven houden. Daar kan geen firewall tegenop.

Wel zou er meer gescreened moeten worden wat systeem/netwerkbeheerders zoal doen.

Verwijderd @Yzord • 12 augustus 2003 07:43

Wel zou er meer gescreened moeten worden wat systeem/netwerkbeheerders zoal doen.

Haha grapjas

. Dat zou betekenen dat er iemand boven de admins moet staan, met evenveel of meer kennis dan de admins, die de admins in de gaten houdt. Wie houdt die persoon dan in de gaten?
Interne beveiligingsrisico's worden nu eenmaal enorm onderschat. Hoe vaak security-experts ook roepen dat het grootste gevaar voor een bedrijf een boze ex-werknemer is, managers blijven nachtmerries hebben van pukkelige pubers in kelders met Lara Croft aan de muur...

Willen bedrijven dit oplossen, dan zullen we de username/wachtwoorden de deur uit moeten gooien en moeten gaan werken met smartcards, unieke ID's van processoren, federated security, biometrie en andere zaken die mensen niet hoeven te onthouden en moeilijk te imiteren zijn...

Verwijderd @Yzord • 11 augustus 2003 17:42

hacken is goed mits je het met de juiste motivatie doet,, een white hat hacker als systeembeheerder lijkt mij wel wat hoor

Verwijderd 11 augustus 2003 17:45

ligt het nou aan mij maar komt dit nieuws nou alleen naar voren omdat de dader gepakt is ??
ik ben eigenlijk wel benieuw hoevaak er succesvol gehackt wordt
maarja dat zullen we wel nooit te horen krijgen

Verwijderd @Verwijderd • 11 augustus 2003 17:48

hacken word onterecht als synonym gebruikt voor vele vervelende dingetjes, dus dat licht geheel aan wat je bedoelt. Maar ik denk dat het antwoord "meer als men denkt" is

Verwijderd 11 augustus 2003 18:01

Bij zo'n groot bedrijf met zoveel betrouwbare informatie mag je toch op z'n minst wel een beetje beveiliging verwachten?

Dit was mogelijk omdat de server, die hij afluisterde, niet in de firewall van het bedrijf was opgenomen.

Waarom was deze server dan niet opgenomen in de firewall? Ik vind dit een echt slechte zaak hoor... Ze moeten gewoon bij het ontslaan van een werknemer zorgen dat hij geen kans meer heeft aan de gegevens te komen... Zou wel weer te veel werk zijn...

Daarom: bij zo'n bedrijf met zulke vertrouwelijke informatie moeten ze ten eerste werknemers niet aan informatie kunnen laten komen die ze niet nodig hebben: Dus alles goed beveiligen, ook intern. Ten tweede moet de ontslagen werknemer na z'n ontslag ook geen toegang meer kunnen krijgen met z'n eigen inloggegevens. Ik denk dat als je deze twee punten aanhoudt, dat de kans op deze soort hacks minimaal is...

source 11 augustus 2003 19:20

The suspect was not a former employee of Acxiom as previously reported, but an employee of data mining company."

quote getrokken van slashdot... dit veranderd het verhaal wel een beetje, deze gast kon er sinds december 2002 al bij... beetje jammer dat het zo lang duurt voordat de 'hack' ontdekt werdt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (56)

Sorteer op:

Weergave: