Recordaantal creditcardnummers achterovergedrukt

De Amerikaanse retailer T.J. Maxx mag zich houder van een dubieus record noemen: met de diefstal van de gegevens van ruim 45 miljoen creditcards, is het bedrijf het record van CardSystems uit 2005 voorbijgestreefd.

De retailer maakte afgelopen week bekend dat de gegevens van ten minste 45,7 miljoen kaarthouders aan hackers ten prooi zijn gevallen. De buit bij CardSystems bedroeg destijds gegevens van 40 miljoen klanten. De servers van T.J. Maxx werden tussen mei vorig jaar en januari van dit jaar verblijd met bezoekjes van de hackers, die er transactiegegevens van aankopen gedaan tussen eind 2003 en medio 2004, alsmede tussen mei en eind vorig jaar, uit wisten te vissen. Van de laatste periode kan het bedrijf niet zeggen van hoeveel kaarthouders de gegevens werden ontfutseld omdat de betreffende consumentengegevens reeds zijn gewist. Om die reden is het aantal ontvreemde kaartgegevens mogelijk nog hoger dan 45,7 miljoen. Ten tijde van de diefstal waren volgens T.J. Maxx driekwart van de kaartnummers verlopen, of waren de bijbehorende pin-gegevens niet in het systeem ogeslagen. Van bijna een half miljoen andere klanten is daarnaast andersoortige informatie ontvreemd, zoals sofi-nummers en rijbewijsgegevens.

Het mag geen verrassing heten dat de diefstal mogelijk werd gemaakt door een gebrekkige beveiliging van de betalingssystemen. Volgens T.J. Maxx hebben de hackers bij de kraak toegang verkregen tot decryptietools die winkelsystemen gebruiken om voor controledoeleinden creditcardgegevens te benaderen. Over de precieze aard van de beveiligingslekken zijn geen mededelingen gedaan. Klanten zijn opgeroepen hun afschriften te controleren op ongeautoriseerde transacties. Over financiële schade die kaarthouders hebben geleden is niets bekendgemaakt. Op de hackers wordt nog gejaagd.

Door Mick de Neeve

Feedback • 01-04-2007 17:56 28

01-04-2007 • 17:56

28

Bron: Ars Technica

Lees meer

Onderzoekers: beveiliging pincodes van bankpassen is lek
Onderzoekers: beveiliging pincodes van bankpassen is lek Nieuws van 15 april 2009
VS klaagt elf mensen aan in creditcardfraudezaak
VS klaagt elf mensen aan in creditcardfraudezaak Nieuws van 6 augustus 2008
Honderden servers doelwit bij creditcard-diefstal supermarkt
Honderden servers doelwit bij creditcard-diefstal supermarkt Nieuws van 30 maart 2008
Tel Sell verzweeg roof creditcardnummers
Tel Sell verzweeg roof creditcardnummers Nieuws van 27 november 2007
Amerikaanse bende identiteitsdieven opgerold
Amerikaanse bende identiteitsdieven opgerold Nieuws van 9 november 2007
'Creditcard-dieven schenken bewust geld aan goede doelen'
'Creditcard-dieven schenken bewust geld aan goede doelen' Nieuws van 6 juli 2007
ABN Amro verhoogt beveiliging online bankieren
ABN Amro verhoogt beveiliging online bankieren Nieuws van 31 maart 2007
'Tien procent internetters slachtoffer van online-fraude'
'Tien procent internetters slachtoffer van online-fraude' Nieuws van 20 november 2006
Hackers stelen gegevens 19.000 AT&T-klanten
Hackers stelen gegevens 19.000 AT&T-klanten Nieuws van 30 augustus 2006
Consumenten betalen nog nauwelijks met iDeal
Consumenten betalen nog nauwelijks met iDeal Nieuws van 16 juli 2006
Hacker krijgt negen jaar cel
Hacker krijgt negen jaar cel Nieuws van 12 juli 2006
Overheidslaptops in VS moeten data versleutelen
Overheidslaptops in VS moeten data versleutelen Nieuws van 8 juli 2006
Pinpassen gaan over op EMV-chipstandaard
Pinpassen gaan over op EMV-chipstandaard Nieuws van 24 mei 2006
Gegevens 14.000 Pentagon-medewerkers op straat
Gegevens 14.000 Pentagon-medewerkers op straat Nieuws van 4 mei 2006
Steeds meer betalingen met iDEAL
Steeds meer betalingen met iDEAL Nieuws van 7 april 2006
Veertig miljoen creditcardnummers gestolen
Veertig miljoen creditcardnummers gestolen Nieuws van 18 juni 2005
Internetbedrijven zwijgen over creditcardfraude
Internetbedrijven zwijgen over creditcardfraude Nieuws van 22 augustus 2000
25.000 creditcard gegevens gehacked
25.000 creditcard gegevens gehacked Nieuws van 10 januari 2000
Meer producten en artikelen
Economie en maatschappij

Reacties (28)

-Moderatie-faq
28
27
11
1
0
10
Wijzig sortering
nhbergboer 1 april 2007 18:09
Dit is een goede reden om een proxy*) te gebruiken voor Internetbetalingen, zoals PayPal. Het aantal websites waar je daarmee je directe kaartgegevens bij achterlaat is aanmerkelijk kleiner.

Of de grotere competentie van jongens als PayPal (in termen van programmeervaardigheid en veiligheidsinzicht) in vergelijking met kleine websites opweegt tegen het feit dat PayPal een aantrekkelijker target voor hackers is, is een open vraag.

*) proxy in zijn originele betekenis, niet in zijn betekenis als "web-proxy".
Boudewijn @nhbergboer1 april 2007 18:20
inderdaad.

mijns inziens is paypal zeker niet perfect (ook regelmatig problemen mee, met de eis een cc te hebben), maar in ieder geval stukken beter dan direct met je CC werken.

Groot voordeel is het feit dat je als eindklant geen last hebt van de manier waarop het bedrijf zijn geld verdient (het 'achterhouden' van geld waar ze rente op trekken+1E bij minder 1E overschrijven naar je eigen rekening).

Maar goed, dat is vrij offtopic.

Opzich is het schadelijk dat een dergelijke hoeveelheid informatie bekend is geworden, maar wat ik wel in mijn achterhoofd houd is het feit dat niet duidelijk is hoeveel informatie bekend is geworden. Dat weet dus niemand, hetgeen vrij logisch is. Daarom neem ik dit soort berichten altijd met een zekere marge (positief, danwel negatief) in me op.
Cybergamer @Boudewijn1 april 2007 23:00
mijns inziens is paypal zeker niet perfect (ook regelmatig problemen mee, met de eis een cc te hebben), maar in ieder geval stukken beter dan direct met je CC werken.
Ik heb paypal en gebruik geen CC, dus ik weet niet waar jij dat gelezen hebt dat je een CC nodig hebt voor Paypal?

als ik iets koop met paypal stort ik gewoon het bedrag wat nodig is op mijn Paypal account en een dag later staat het er op om overgeschreven te worden.

Veiliger kan volgens mij niet!
Anoniem: 6977 @Cybergamer2 april 2007 10:47
Heb ook een Paypal account (zonder card) waarop een positief saldo staat gevuld door een bankoverschrijving.
Toch wordt ooit bij betalingen middels de Paypal knop van webwinkels door Paypal gevraagd om een credit card aan mijn account toe te voegen voordat ik verder mag met betalen. Voeg ik geen card toe kan ik niet verder met de betaling.
Het rare is dat me soms niets wordt gevraagd over een card toevoegen en de betaling wel gewoon afgewerkt wordt door Paypal.

Weet iemand hoe dat kan, dus de ene keer zonder en de andere keer met die 'voeg card toe' vraag?
precious1 @Cybergamer2 april 2007 00:11
langzamer ook niet
Leroy @Cybergamer2 april 2007 16:36
Volgens mij kunnen verkopers aangeven dat ze uitsluitend creditcardbetalingen willen accepteren.
feuniks @nhbergboer1 april 2007 18:46
Dit is een goede reden om een proxy*) te gebruiken voor Internetbetalingen, zoals PayPal. Het aantal websites waar je daarmee je directe kaartgegevens bij achterlaat is aanmerkelijk kleiner.
Maar goed. Hoe meer mensen een Paypal account gebruiken des te meer hackers gaan proberen om hier in te komen. En aangezien niets onfeilbaar is en overal wel een lek te vinden is als je maar goed en lang genoeg zoekt, zal het ook wel eens gebeuren dat Paypal onderuit gaat en de klantgegevens op straat komen te liggen.

Om je te beschermen tegen hackers is het dus een schijnveiligheid.

Paylpal-achtige bedrijven helpen je alleen tegen kwaadwillende ondernemers zelf. Immers geef je alleen aan Paypal je gegevens. Het geeft dus wat meer vertrouwen op het net. Het advies is in het stukje al gegeven: opletten wat er afgeschreven is. Dat geldt altijd.
Anoniem: 133254 @feuniks2 april 2007 13:13
Qua schijnveiligheid: het is eerder een minimax strategie --- de kans op stelen is ongeveer even groot (niet waar, is minder) maar de maximale schade is kleiner.

Als je Paypal gekraakt wordt, geraak je je positieve saldo kwijt (at worst). Als je cc eraan gaat, kan je negatief gaan (maar je hoopt dat de bank je gelooft dat het niet jouw schuld is).

Ik denk dat de veilige strategie deze is: zet niets op je paypal tenzij wat je echt nodig hebt, dan ben je enkel kwetsbaar de uren tussen het opzetten en afhalen EN je merkt het onmiddellijk. Bij cc diefstal kan je onmiddellijk groot bedrag kwijt zijn, of je kan al maanden kleine bedragen hebben die verdwijnen voordat je het doorhebt (niet als je in je zetel thuis zit, wel als je paar maand van huis bent in handvol landen).
Anoniem: 208745 @nhbergboer1 april 2007 18:10
Geloof mij, geen 1 april. Mijn Amerikaanse card is ongeldig gemaakt, nadat ik iets had betaald bij de TJ Maxx. Dit heeft erg veel mensen heel erg veel ongemak opgeleverd, en het zou me niet verbazen als de keten het niet overleeft.
Anoniem: 13443 @nhbergboer2 april 2007 13:53
je vergeet er alleen wel bij te vermelden dat paypal betalingen altijd zo'n 3% duurder zijn. Als je voor een paar honderd euro besteld begint dat toch aardig aan te tikken.
TD-er 1 april 2007 19:28
Hmm ruim 40 miljoen cc-nummers, checksum-codes en bijbehorende namen een verval-periodes.
Lijkt me wel dat je dan genoeg informatie hebt om enige regelmaat erin te ontdekken en dus ook de checksum-codes te kunnen berekenen van de reeds verlopen (en dus vernieuwde) cc's.

Mijn creditcard nummer is namelijk ook al jaren hetzelfde, alleen is 'ie na zo'n 24 maand verlopen en krijg ik dus een nieuwe.
Het enige wat dan anders is geworden is die 3-cijferige checksum achterop en de vervaldatum. Die laatste is redelijk makkelijk te raden lijkt mij :)
d-snp @TD-er1 april 2007 19:44
Ik neem aan dat die checksum codes achterop een echt random seed hebben (dwz een random generator die de seed ergens uit aardstraling haalt ofzo) en het dus onmogelijk is om aan de hand van 40 miljoen codes voorspellingen te doen.

Ze moeten de vervaldatums ook random maken :+
Anoniem: 133254 @d-snp2 april 2007 13:15
Ik zou maar aannemen van niet.
Ik denk dat niet veel banken een `Chief Earthray Measurer' in dienst hebben.
Atomsk @TD-er1 april 2007 21:11
Creditcard number generators bestaan al zolang. Het is dan ook helemaal niet moeilijk om een "geldig" CCnr te maken, net zoals je makkellijk een geldig bankrekeningnr kunt maken. Google er maar even op en je vindt zo aardig wat sites.

Met alleen een geldig nummer ben je er echter niet. Het nummer moet ten eerste echt bestaan, je moet de kaartnaam, vervaldatum en adresgegevens van de eigenaar hebben en tenslotte wordt er meestal om een CVV nummer gevraagd. Dit laatste nummer is niet te berekenen tenzij je de keys v/d bank in kwestie weet. Kortom: volledige creditcardgegevens zijn niet te berekenen, die moet je op andere wijze achterhalen. Bijvoorbeeld door een webshop te hacken.
Kurgan 1 april 2007 18:11
Auwie! Zal mij benieuwen hoeveel rechtzaken dit nu weer tot gevolg heeft. Het is natuurlijk nogal knullig ook om dit soort gegevens niet alleen slecht te beveiligen maar ook nog eens bij elkaar te bewaren. Een gestolen credit card nummer is al erg genoeg, maar als je hele digitale identiteit in een keer gekaapt wordt is de ellende niet te overzien...
HKS-Skyline 1 april 2007 18:40
stel je krijgt 40 milioen creditcard gegevens in handen, je schrijft van allemaal 1 euro af, niemand merkt het of boeit het en je bent stinkend rijk (8>
Anoniem: 145259 @HKS-Skyline1 april 2007 18:45
en dan stel degene die de info verloor zich burgerlijke partij en ben je nog - terecht- de peer
Anoniem: 133254 @HKS-Skyline2 april 2007 13:20
Tussen die 40miljoen zitten er gegarandeerd een paar krenten tussen die dat narekenen.
Verder houden banken patronen van betalingen bij [dat is de manier waarop `suspicious transactions' geflagd worden], en 40.000.000x1 valt op als uniek patroon.

Ik denk dat het slimmer is om uittreksels te bekijken, en dan jouw strategie toe te passen op die kaarten waar veel kleine bedragen van afgaan --- dat zijn mensen op reis voor hun werk, die hier een Starbucks en daar een krant (en hun hotel en taxi en opera en andere tickets) ermee betalen.
Dan hoef je maar iets cryptisch te bedenken, en bij het lezen van `3.57$ -- MrngGlry Est.' denkt ie wel "ah ja, m'n prOn mag" of "die croissant+smoothie" ofzo.
Lightmanone1984 1 april 2007 20:10
Goh, je mag toch wel aannemen bij een bedrijf met een vette dikke contactgegevens-boek, dat ie zijn beveiling in plaats heeft... Dit is eigenlijk niet meer normaal..

Grootvader tegen kleinzoon: Privacy? ja, dat was een woord van vroeger.. Toen wist nog niet iedereen alles van elkaar.. Dat heb ik al in meer dan 20 jaar niet meer gehoord..
Kleinzoon: Echt waar, opa?!
Anoniem: 203675 1 april 2007 18:40
Dat is niet leuk... daar zitten de creditcard gegevens van mijn ouders tussen :(
Anoniem: 6882 2 april 2007 08:46
Ik snap het niet heh, wordt het niet eens tijd dat retailers CC gegevens niet meer bewaren, zijn al een aantal bedrijfen die dat niet meer doen.
Ze zouden eigenlijk wel een CC-Save label mogen uitbrengen, zodat je van te voren weet of ze je gegevens bewaren of niet.
Anoniem: 213204 2 april 2007 10:08
Even een opmerking over het artikel zelf.

Men spreekt in het artikel constant over hackers.
Hackers zijn mensen die systemen onderzoeken op fouten om deze te verbeteren. Hackers creëren programma's, hackers bouwen nuttige instrumenten, ze zijn geïnteresseerd in het hele computersysteem, de functionaliteit, hoe de dingen ineenzitten, en een echte hacker is m.a.w. een specialist.
Wil je een hacker vinden? Contacteer er een op sourceforge.net, freshmeat, slashdot en andere ...

Mensen die kwaadwillig gegevens stelen, virussen ontwikkelen en verspreiden, spambots opzetten, bot army's controleren, keygen's maken, ... zijn CRACKERS.
Crackers vind je niet. Je kunt eventueel de gevangenis proberen.

Als leerkracht informatica druk ik bij mijn leerlingen steeds op dit verschil. Het woord hacker krijgt in het dagelijks taalgebruik en vooral onder de druk van de media een pejoratieve klank, terwijl dit nu net "the good guys" zijn. Dat een forum met zoveel technisch vernuft als tweakers zich hier nu ook aan zondigt, is voor mij het bewijs dat de media veel machtiger zijn dan we in eerste instantie zouden denken.

Bronnen:
http://catb.org/~esr/faqs/hacker-howto.html
http://nl.wikipedia.org/wiki/Cracker
http://nl.wikipedia.org/wiki/Hacker
http://en.wikipedia.org/wiki/Cracker_%28computing%29
http://en.wikipedia.org/wiki/Hacker
SED @Anoniem: 2132042 april 2007 10:56
kennelijk de discussie tussen black hat and white hat gemist in je opleiding tot informaticadocent ;)


Los daarvan is het een beetje een non-discussie. Hacking is een poging in te breken in een systeem. Vervolgens is er vanuit de scene allerlei variatie aan toegedicht die het "beroep" van hacker nog wat glorie moet geven.
Ik hanteer maar een definitie en die is het toegang krijgen tot een systeem zonder daartoe gerechtigd te zijn. Hoe je dat doet, als script kiddie, cracker, hacker, slacker, stakker of wat dan ook is niet echt interessant.

Als je motief werkelijk is om systemen beter te maken dan mag je een witte hoed kopen ;)

edit: om trouwens het breken van programmacode ook op deze hoop te gooien zoals jij doet lijkt me helemaal discutabel. daar zit je met een crack en degene die het maakt is dan de cracker neem ik aan. Heeft weinig van doen met systemen hacken lijkt me in de originele betekenis. Iets anders is het als je daarbij gebruik maakt van trojans oid of gaten in een OS. Dat is echter weer iets anders dan programmas kraken.
Anoniem: 213204 @Anoniem: 2132042 april 2007 12:37
Volgens InformationWeek heeft TJ Maxx mogelijk de veiligheidsregels van Visa overtreden door gegevens van kredietkaartgebruikers op te slaan.
Visa verbiedt het de banken om krediet- en debietinformatie op te slaan. Deze regels passen binnen de Payment Card Industry Data Security Standard en dienen nu net om te voorkomen dat crackers vitale informatie kunnen stelen.

"Het grote gevaar bij het stelen van zo'n grote hoeveelheid vitale informatie is dat de criminelen nu de samengeraapte gegevens zullen gebruiken in geavanceerde phishing-technieken. Bij succes kunnen ze uw identiteit misbruiken om bvb. een nieuwe account te openen, geld af te halen en dergelijke.", aldus Daniel J. Forte, voorzitter van de Massachusetts Bankers Association in scmagazine.
Bronnen:
http://www.informationwee...jhtml?articleID=197003041
http://scmagazine.com/us/news/article/628312/
Anoniem: 187781 @Anoniem: 2132042 april 2007 14:02
En iedereen die commentaar heeft op WGA en DRM heeft dat ook werkelijk alleen omdat die nu zijn legaal gekochte cd'tje niet meer overal kan afspelen... Sure... |:(
Anoniem: 213204 2 april 2007 11:43
Eerst en vooral, het artikel noch mijn post heeft ook maar iets te maken met de discussie tussen white hat en black hat. Het zogenaamde 'ethische hacken' is een discussie apart.

"Hacking is een poging in te breken in een systeem."
Hier doe je nu net wat maar al te vaak gebeurt, namelijk hacker verengen tot inbreker.

De term Cracker is trouwens uitgevonden door een echte hacker, Stallman, om nu net het verschil aan te duiden tussen deze twee groepen. De begrippen White Hat en Black hat zijn trouwens om dezelfde reden ontstaan.
-----
Hier een kleine poging om deze post on-topic te maken.
Wie misbruikte de lekken in het veiligheidssysteem voor persoonlijke winst? Crackers

Wie zal nu de gaten dichten bij T.J. Maxx om verder onheil te voorkomen? Wie maakt de software die het mogelijk maakt deze fouten te detecteren? Wie biedt/schrijft mogelijke oplossingen? Het antwoord op minstens één van deze vragen zal 'hacker' zijn.
Bronnen:
http://searchsecurity.tec...,,sid14_gci211852,00.html
zie ook vorige post
Anoniem: 204528 @wvdburgt1 april 2007 18:10
Als je even naar de bron gaat:

TJX consumer data theft largest in history

By Jacqui Cheng | Published: March 30, 2007 - 11:40AM CT

Het nieuws is 2 dagen oud, dus geen 1 april grap... Eerst even onderzoek doen voortaan? :Z

ps. orgineel? http://www.tjx.com/tjx_message.html


Vooral de FAQ is interessant (http://www.tjx.com/tjx_faq.html)
When and how did you discover the intrusion? What was your immediate response?

On December 18, 2006, we learned of suspicious software on our computer systems. We began an investigation, and computer security and incident response experts General Dynamics Corporation and International Business Machines Corporation (IBM) were engaged to assist. On December 21, they determined that there was strong reason to believe that we had suffered an intrusion. On December 22, we notified law enforcement authorities, and they asked us to maintain confidentiality of the intrusion.
Tja, neem vooral je tijd en geef de hackers nog meer tijd...
Why didn't you publicly announce the intrusion as soon as you discovered it?

Because there was an active intrusion on our computer systems, we were concerned that there would be an expansion of the intrusion.
*kuch* reputatie *kuch*
What personal information do you believe was stolen?

We believe that drivers' license, military and state identification numbers, together with related names and addresses, provided for some returns of merchandise without receipts at our U.S. (except Bob's Stores), Puerto Rican and Canadian chains may have been stolen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq