Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties
Bron: Ars Technica

De Amerikaanse retailer T.J. Maxx mag zich houder van een dubieus record noemen: met de diefstal van de gegevens van ruim 45 miljoen creditcards, is het bedrijf het record van CardSystems uit 2005 voorbijgestreefd.

De retailer maakte afgelopen week bekend dat de gegevens van ten minste 45,7 miljoen kaarthouders aan hackers ten prooi zijn gevallen. De buit bij CardSystems bedroeg destijds gegevens van 40 miljoen klanten. De servers van T.J. Maxx werden tussen mei vorig jaar en januari van dit jaar verblijd met bezoekjes van de hackers, die er transactiegegevens van aankopen gedaan tussen eind 2003 en medio 2004, alsmede tussen mei en eind vorig jaar, uit wisten te vissen. Van de laatste periode kan het bedrijf niet zeggen van hoeveel kaarthouders de gegevens werden ontfutseld omdat de betreffende consumentengegevens reeds zijn gewist. Om die reden is het aantal ontvreemde kaartgegevens mogelijk nog hoger dan 45,7 miljoen. Ten tijde van de diefstal waren volgens T.J. Maxx driekwart van de kaartnummers verlopen, of waren de bijbehorende pin-gegevens niet in het systeem ogeslagen. Van bijna een half miljoen andere klanten is daarnaast andersoortige informatie ontvreemd, zoals sofi-nummers en rijbewijsgegevens.

Het mag geen verrassing heten dat de diefstal mogelijk werd gemaakt door een gebrekkige beveiliging van de betalingssystemen. Volgens T.J. Maxx hebben de hackers bij de kraak toegang verkregen tot decryptietools die winkelsystemen gebruiken om voor controledoeleinden creditcardgegevens te benaderen. Over de precieze aard van de beveiligingslekken zijn geen mededelingen gedaan. Klanten zijn opgeroepen hun afschriften te controleren op ongeautoriseerde transacties. Over financiële schade die kaarthouders hebben geleden is niets bekendgemaakt. Op de hackers wordt nog gejaagd.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (28)

Dit is een goede reden om een proxy*) te gebruiken voor Internetbetalingen, zoals PayPal. Het aantal websites waar je daarmee je directe kaartgegevens bij achterlaat is aanmerkelijk kleiner.

Of de grotere competentie van jongens als PayPal (in termen van programmeervaardigheid en veiligheidsinzicht) in vergelijking met kleine websites opweegt tegen het feit dat PayPal een aantrekkelijker target voor hackers is, is een open vraag.

*) proxy in zijn originele betekenis, niet in zijn betekenis als "web-proxy".
inderdaad.

mijns inziens is paypal zeker niet perfect (ook regelmatig problemen mee, met de eis een cc te hebben), maar in ieder geval stukken beter dan direct met je CC werken.

Groot voordeel is het feit dat je als eindklant geen last hebt van de manier waarop het bedrijf zijn geld verdient (het 'achterhouden' van geld waar ze rente op trekken+1E bij minder 1E overschrijven naar je eigen rekening).

Maar goed, dat is vrij offtopic.

Opzich is het schadelijk dat een dergelijke hoeveelheid informatie bekend is geworden, maar wat ik wel in mijn achterhoofd houd is het feit dat niet duidelijk is hoeveel informatie bekend is geworden. Dat weet dus niemand, hetgeen vrij logisch is. Daarom neem ik dit soort berichten altijd met een zekere marge (positief, danwel negatief) in me op.
mijns inziens is paypal zeker niet perfect (ook regelmatig problemen mee, met de eis een cc te hebben), maar in ieder geval stukken beter dan direct met je CC werken.
Ik heb paypal en gebruik geen CC, dus ik weet niet waar jij dat gelezen hebt dat je een CC nodig hebt voor Paypal?

als ik iets koop met paypal stort ik gewoon het bedrag wat nodig is op mijn Paypal account en een dag later staat het er op om overgeschreven te worden.

Veiliger kan volgens mij niet!
Heb ook een Paypal account (zonder card) waarop een positief saldo staat gevuld door een bankoverschrijving.
Toch wordt ooit bij betalingen middels de Paypal knop van webwinkels door Paypal gevraagd om een credit card aan mijn account toe te voegen voordat ik verder mag met betalen. Voeg ik geen card toe kan ik niet verder met de betaling.
Het rare is dat me soms niets wordt gevraagd over een card toevoegen en de betaling wel gewoon afgewerkt wordt door Paypal.

Weet iemand hoe dat kan, dus de ene keer zonder en de andere keer met die 'voeg card toe' vraag?
Volgens mij kunnen verkopers aangeven dat ze uitsluitend creditcardbetalingen willen accepteren.
langzamer ook niet
Dit is een goede reden om een proxy*) te gebruiken voor Internetbetalingen, zoals PayPal. Het aantal websites waar je daarmee je directe kaartgegevens bij achterlaat is aanmerkelijk kleiner.
Maar goed. Hoe meer mensen een Paypal account gebruiken des te meer hackers gaan proberen om hier in te komen. En aangezien niets onfeilbaar is en overal wel een lek te vinden is als je maar goed en lang genoeg zoekt, zal het ook wel eens gebeuren dat Paypal onderuit gaat en de klantgegevens op straat komen te liggen.

Om je te beschermen tegen hackers is het dus een schijnveiligheid.

Paylpal-achtige bedrijven helpen je alleen tegen kwaadwillende ondernemers zelf. Immers geef je alleen aan Paypal je gegevens. Het geeft dus wat meer vertrouwen op het net. Het advies is in het stukje al gegeven: opletten wat er afgeschreven is. Dat geldt altijd.
Qua schijnveiligheid: het is eerder een minimax strategie --- de kans op stelen is ongeveer even groot (niet waar, is minder) maar de maximale schade is kleiner.

Als je Paypal gekraakt wordt, geraak je je positieve saldo kwijt (at worst). Als je cc eraan gaat, kan je negatief gaan (maar je hoopt dat de bank je gelooft dat het niet jouw schuld is).

Ik denk dat de veilige strategie deze is: zet niets op je paypal tenzij wat je echt nodig hebt, dan ben je enkel kwetsbaar de uren tussen het opzetten en afhalen EN je merkt het onmiddellijk. Bij cc diefstal kan je onmiddellijk groot bedrag kwijt zijn, of je kan al maanden kleine bedragen hebben die verdwijnen voordat je het doorhebt (niet als je in je zetel thuis zit, wel als je paar maand van huis bent in handvol landen).
je vergeet er alleen wel bij te vermelden dat paypal betalingen altijd zo'n 3% duurder zijn. Als je voor een paar honderd euro besteld begint dat toch aardig aan te tikken.
Geloof mij, geen 1 april. Mijn Amerikaanse card is ongeldig gemaakt, nadat ik iets had betaald bij de TJ Maxx. Dit heeft erg veel mensen heel erg veel ongemak opgeleverd, en het zou me niet verbazen als de keten het niet overleeft.
Hmm ruim 40 miljoen cc-nummers, checksum-codes en bijbehorende namen een verval-periodes.
Lijkt me wel dat je dan genoeg informatie hebt om enige regelmaat erin te ontdekken en dus ook de checksum-codes te kunnen berekenen van de reeds verlopen (en dus vernieuwde) cc's.

Mijn creditcard nummer is namelijk ook al jaren hetzelfde, alleen is 'ie na zo'n 24 maand verlopen en krijg ik dus een nieuwe.
Het enige wat dan anders is geworden is die 3-cijferige checksum achterop en de vervaldatum. Die laatste is redelijk makkelijk te raden lijkt mij :)
Ik neem aan dat die checksum codes achterop een echt random seed hebben (dwz een random generator die de seed ergens uit aardstraling haalt ofzo) en het dus onmogelijk is om aan de hand van 40 miljoen codes voorspellingen te doen.

Ze moeten de vervaldatums ook random maken :+
Ik zou maar aannemen van niet.
Ik denk dat niet veel banken een `Chief Earthray Measurer' in dienst hebben.
Creditcard number generators bestaan al zolang. Het is dan ook helemaal niet moeilijk om een "geldig" CCnr te maken, net zoals je makkellijk een geldig bankrekeningnr kunt maken. Google er maar even op en je vindt zo aardig wat sites.

Met alleen een geldig nummer ben je er echter niet. Het nummer moet ten eerste echt bestaan, je moet de kaartnaam, vervaldatum en adresgegevens van de eigenaar hebben en tenslotte wordt er meestal om een CVV nummer gevraagd. Dit laatste nummer is niet te berekenen tenzij je de keys v/d bank in kwestie weet. Kortom: volledige creditcardgegevens zijn niet te berekenen, die moet je op andere wijze achterhalen. Bijvoorbeeld door een webshop te hacken.
Even een opmerking over het artikel zelf.

Men spreekt in het artikel constant over hackers.
Hackers zijn mensen die systemen onderzoeken op fouten om deze te verbeteren. Hackers creëren programma's, hackers bouwen nuttige instrumenten, ze zijn geïnteresseerd in het hele computersysteem, de functionaliteit, hoe de dingen ineenzitten, en een echte hacker is m.a.w. een specialist.
Wil je een hacker vinden? Contacteer er een op sourceforge.net, freshmeat, slashdot en andere ...

Mensen die kwaadwillig gegevens stelen, virussen ontwikkelen en verspreiden, spambots opzetten, bot army's controleren, keygen's maken, ... zijn CRACKERS.
Crackers vind je niet. Je kunt eventueel de gevangenis proberen.

Als leerkracht informatica druk ik bij mijn leerlingen steeds op dit verschil. Het woord hacker krijgt in het dagelijks taalgebruik en vooral onder de druk van de media een pejoratieve klank, terwijl dit nu net "the good guys" zijn. Dat een forum met zoveel technisch vernuft als tweakers zich hier nu ook aan zondigt, is voor mij het bewijs dat de media veel machtiger zijn dan we in eerste instantie zouden denken.

Bronnen:
http://catb.org/~esr/faqs/hacker-howto.html
http://nl.wikipedia.org/wiki/Cracker
http://nl.wikipedia.org/wiki/Hacker
http://en.wikipedia.org/wiki/Cracker_%28computing%29
http://en.wikipedia.org/wiki/Hacker
kennelijk de discussie tussen black hat and white hat gemist in je opleiding tot informaticadocent ;)


Los daarvan is het een beetje een non-discussie. Hacking is een poging in te breken in een systeem. Vervolgens is er vanuit de scene allerlei variatie aan toegedicht die het "beroep" van hacker nog wat glorie moet geven.
Ik hanteer maar een definitie en die is het toegang krijgen tot een systeem zonder daartoe gerechtigd te zijn. Hoe je dat doet, als script kiddie, cracker, hacker, slacker, stakker of wat dan ook is niet echt interessant.

Als je motief werkelijk is om systemen beter te maken dan mag je een witte hoed kopen ;)

edit: om trouwens het breken van programmacode ook op deze hoop te gooien zoals jij doet lijkt me helemaal discutabel. daar zit je met een crack en degene die het maakt is dan de cracker neem ik aan. Heeft weinig van doen met systemen hacken lijkt me in de originele betekenis. Iets anders is het als je daarbij gebruik maakt van trojans oid of gaten in een OS. Dat is echter weer iets anders dan programmas kraken.
Volgens InformationWeek heeft TJ Maxx mogelijk de veiligheidsregels van Visa overtreden door gegevens van kredietkaartgebruikers op te slaan.
Visa verbiedt het de banken om krediet- en debietinformatie op te slaan. Deze regels passen binnen de Payment Card Industry Data Security Standard en dienen nu net om te voorkomen dat crackers vitale informatie kunnen stelen.

"Het grote gevaar bij het stelen van zo'n grote hoeveelheid vitale informatie is dat de criminelen nu de samengeraapte gegevens zullen gebruiken in geavanceerde phishing-technieken. Bij succes kunnen ze uw identiteit misbruiken om bvb. een nieuwe account te openen, geld af te halen en dergelijke.", aldus Daniel J. Forte, voorzitter van de Massachusetts Bankers Association in scmagazine.
Bronnen:
http://www.informationwee...jhtml?articleID=197003041
http://scmagazine.com/us/news/article/628312/
En iedereen die commentaar heeft op WGA en DRM heeft dat ook werkelijk alleen omdat die nu zijn legaal gekochte cd'tje niet meer overal kan afspelen... Sure... |:(
stel je krijgt 40 milioen creditcard gegevens in handen, je schrijft van allemaal 1 euro af, niemand merkt het of boeit het en je bent stinkend rijk (8>
Tussen die 40miljoen zitten er gegarandeerd een paar krenten tussen die dat narekenen.
Verder houden banken patronen van betalingen bij [dat is de manier waarop `suspicious transactions' geflagd worden], en 40.000.000x1 valt op als uniek patroon.

Ik denk dat het slimmer is om uittreksels te bekijken, en dan jouw strategie toe te passen op die kaarten waar veel kleine bedragen van afgaan --- dat zijn mensen op reis voor hun werk, die hier een Starbucks en daar een krant (en hun hotel en taxi en opera en andere tickets) ermee betalen.
Dan hoef je maar iets cryptisch te bedenken, en bij het lezen van `3.57$ -- MrngGlry Est.' denkt ie wel "ah ja, m'n prOn mag" of "die croissant+smoothie" ofzo.
en dan stel degene die de info verloor zich burgerlijke partij en ben je nog - terecht- de peer
Auwie! Zal mij benieuwen hoeveel rechtzaken dit nu weer tot gevolg heeft. Het is natuurlijk nogal knullig ook om dit soort gegevens niet alleen slecht te beveiligen maar ook nog eens bij elkaar te bewaren. Een gestolen credit card nummer is al erg genoeg, maar als je hele digitale identiteit in een keer gekaapt wordt is de ellende niet te overzien...
Goh, je mag toch wel aannemen bij een bedrijf met een vette dikke contactgegevens-boek, dat ie zijn beveiling in plaats heeft... Dit is eigenlijk niet meer normaal..

Grootvader tegen kleinzoon: Privacy? ja, dat was een woord van vroeger.. Toen wist nog niet iedereen alles van elkaar.. Dat heb ik al in meer dan 20 jaar niet meer gehoord..
Kleinzoon: Echt waar, opa?!
Ik snap het niet heh, wordt het niet eens tijd dat retailers CC gegevens niet meer bewaren, zijn al een aantal bedrijfen die dat niet meer doen.
Ze zouden eigenlijk wel een CC-Save label mogen uitbrengen, zodat je van te voren weet of ze je gegevens bewaren of niet.
Dat is niet leuk... daar zitten de creditcard gegevens van mijn ouders tussen :(
Eerst en vooral, het artikel noch mijn post heeft ook maar iets te maken met de discussie tussen white hat en black hat. Het zogenaamde 'ethische hacken' is een discussie apart.

"Hacking is een poging in te breken in een systeem."
Hier doe je nu net wat maar al te vaak gebeurt, namelijk hacker verengen tot inbreker.

De term Cracker is trouwens uitgevonden door een echte hacker, Stallman, om nu net het verschil aan te duiden tussen deze twee groepen. De begrippen White Hat en Black hat zijn trouwens om dezelfde reden ontstaan.
-----
Hier een kleine poging om deze post on-topic te maken.
Wie misbruikte de lekken in het veiligheidssysteem voor persoonlijke winst? Crackers

Wie zal nu de gaten dichten bij T.J. Maxx om verder onheil te voorkomen? Wie maakt de software die het mogelijk maakt deze fouten te detecteren? Wie biedt/schrijft mogelijke oplossingen? Het antwoord op minstens één van deze vragen zal 'hacker' zijn.
Bronnen:
http://searchsecurity.tec...,,sid14_gci211852,00.html
zie ook vorige post
Als je even naar de bron gaat:

TJX consumer data theft largest in history

By Jacqui Cheng | Published: March 30, 2007 - 11:40AM CT

Het nieuws is 2 dagen oud, dus geen 1 april grap... Eerst even onderzoek doen voortaan? :Z

ps. orgineel? http://www.tjx.com/tjx_message.html


Vooral de FAQ is interessant (http://www.tjx.com/tjx_faq.html)
When and how did you discover the intrusion? What was your immediate response?

On December 18, 2006, we learned of suspicious software on our computer systems. We began an investigation, and computer security and incident response experts General Dynamics Corporation and International Business Machines Corporation (IBM) were engaged to assist. On December 21, they determined that there was strong reason to believe that we had suffered an intrusion. On December 22, we notified law enforcement authorities, and they asked us to maintain confidentiality of the intrusion.
Tja, neem vooral je tijd en geef de hackers nog meer tijd...
Why didn't you publicly announce the intrusion as soon as you discovered it?

Because there was an active intrusion on our computer systems, we were concerned that there would be an expansion of the intrusion.
*kuch* reputatie *kuch*
What personal information do you believe was stolen?

We believe that drivers' license, military and state identification numbers, together with related names and addresses, provided for some returns of merchandise without receipts at our U.S. (except Bob's Stores), Puerto Rican and Canadian chains may have been stolen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True