Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties

Monster.com, de grootste jobsite ter wereld, is door hackers aangevallen. Er zouden gegevens van honderdduizenden leden zijn ontvreemd, die misbruikt zouden zijn voor witwasdoeleinden en ransomwareaanvallen.

Door middel van een trojan die een zwakke plek in het werkgeversgedeelte van Monster.com uitbuitte, konden de hackers accountinformatie en privacygevoelige gegevens van honderdduizenden leden achterhalen. Met de zo verkregen data konden de criminelen de slachtoffers chanteren en hun witwaspraktijken mogelijk maken.

Malware Volgens Symantec, dat de hack ontdekte, zijn de gegevens in ieder geval voor twee doelen gebruikt. Zo hebben de hackers de ontvreemde gegevens misbruikt om mailtjes over nepbanen naar werkzoekenden te sturen, waarin die bijvoorbeeld werden uitgenodigd om een functie als Transfer Manager te vervullen. Die 'baan' houdt in dat er transacties moeten worden gefaciliteerd, en daartoe moet een Western Union-rekening worden geopend.

De criminelen verzochten hun slachtoffers in de e-mails vriendelijk om het zogeheten Money Control Transfer Number van het account op te sturen, waarmee ze vanaf ieder Western Union-kantoor ter wereld anoniem bij de rekening zouden kunnen. Er kan dan in principe geld van de slachtoffers - ook bekend als 'money mules' - gestolen worden, maar vermoedelijk is de constructie voornamelijk bedoeld om geld wit te wassen.

cybercriminaliteit, cybercrime, hacker De gegevens zijn ook gebruikt voor afpersing. De slachtoffers werden met een zogenaamd van Monster afkomstige e-mail, waarin hun persoonlijke gegevens waren verwerkt, uitgenodigd om een zogenaamde 'Monster Job Seeker' te installeren, maar in werkelijkheid betrof dat een trojan die bestanden op de computer van de werkzoekenden versleutelde. Door het betalen van losgeld konden de files weer leesbaar worden gemaakt. Het is niet duidelijk bij hoeveel klanten dit ook daadwerkelijk is gebeurd; Symantec en Monster wilden hierover geen mededelingen doen.

Monster zegt de zaak nog in onderzoek te hebben, en verzekert alle mogelijke stappen te ondernemen om de schade te beperken. Naast de gegevens van de - voornamelijk Amerikaanse - leden, kunnen er nog meer gegevens zijn ontvreemd: het bedrijf weet nog niet precies welke van zijn servers aan de criminelen ten prooi zijn gevallen. Symantec raadt gebruikers in ieder geval aan om altijd op hun hoede te zijn voor gegevensdiefstal en nooit meer informatie af te staan dan strikt noodzakelijk.

InfoStealer.Monstres
Monster-pop-up die door InfoStealer.Monstres automatisch wordt benaderd en geparset om gegevens te stelen
Moderatie-faq Wijzig weergave

Reacties (25)

Dit soort dingen zijn nodig om mensen wakker te schudden over privacy en security op internet. Uit zichzelf geven mensen er vrij weinig om, totdat het kalf verdronken is. Daarna wordt er nagedacht over en meer geld uitgetrokken voor en meer aandacht besteed aan die onderwerpen. Mensen moeten maar snappen dat in principe elke kluis te kraken is, en dus ook elke website, en dat het gevaarlijker wordt voor je eigen privacy en welbevinden wanneer je gegevens in een grote databank staan.
Daarom is de basisgedachte achter veel fusies van data fout dat het efficienter zou zijn dan anders. Het is misschien efficienter, totdat er iets fout gaat wat slechts een kwestie is van tijd. De ogenschijnlijke inefficientie van kleinschaligheid is juist de kracht er van.
Maar vooral is de diefstal een schoolvoorbeeld voor het antwoord op: 'ik heb niets te verbergen, ze mogen alles van me weten'.

[Reactie gewijzigd door FMalcon op 22 augustus 2007 13:55]

Dit is werkelijk slecht nieuws dat zoveel privacy zaken vrijkomen. Daarbij zal Monster hier en daar wel een vervolging krijgen voor dit voorval. Lijkt me ook meer dan normaal dat ze een zware fout zijn ondergaan kwestie dat ze volgens de wet van de privacy er moeten op toezien dat de mensen hun gegevens veilig en juist behandeld worden.
de wet van de privacy ziet er alleen op toe dat bedrijven geen misbruik maken van de gegevens die ze verzamelen over hun klanten, en hoe die worden opgeslagen. De wet behandelt volgens mij niet, dat mocht er sprake zijn van computer inbraak, hoe het bedrijf in kwestie bestraft dient te worden.

Niet om het goed te praten, maar in duizenden regels code kan altijd nog een foutje geslopen zijn. Zo'n site wordt nog altijd door mensen gemaakt, en mensen maken fouten. Het lijkt me een beetje stompzinnig om een bedrijf strafrechtelijk te vervolgen wegens een menselijke fout.
Het lijkt me een beetje stompzinnig om een bedrijf strafrechtelijk te vervolgen wegens een menselijke fout.
Huh? Dan zou je dus nooit een bedrijf strafrechtelijk vervolgen voor fouten? Er kan altijd een fout gemaakt worden ja, en in principe ligt er altijd een menselijke fout aan ten grondslag. Het gaat erom dat je als bedrijf verantwoordelijk bent en al het mogelijke doet om (uitbuiting van) fouten te voorkomen.
Huh? Dan zou je dus nooit een bedrijf strafrechtelijk vervolgen voor fouten?
Dat zeg ik niet. Maar een foutje maken (per ongeluk) in de code is geen strafbaar feit.
Het gaat erom dat je als bedrijf verantwoordelijk bent en al het mogelijke doet om (uitbuiting van) fouten te voorkomen.
Ik denk dat er geen bedrijf is die dat niet doet. Of probeert te doen. Ik ken geen ontwikkelaar die bewust bugs laat zitten die door kwaadwillenden misbruikt zou worden. Iemand die dat wel zou doen is denk ik aan het einde van z'n carriere beland.

Ik denk niet dat je hier ook maar 1 moment hard zou kunnen maken dat er opzet in het spel is geweest. En dat maakt de hele discussie over bestraffen overbodig vind ik.
als er op je administratie dienst ingebroken wordt of iemand misbruikt maakt van zijn positie ben je al bedrijf verantwoordelijk ???

de hackers zijn de enige die met de vinger gewezen moeten worden! zonder hen geen verhaal!
ja het bedrijf is altijd verantwoordelijk.
het gaat er om of het bedrijf voldoende heeft gedaan om dit te voorkomen.

als jij je raam open laatstaan van de kantoor en de dossier kasten en server ruimtes zijn niet afgesloten en de dossiers liggen op en op het bureau is dat verwijtbaar aan het adres van de eigenaar die deze vertrouwlijke informatie in bezig heeft. hij dient zorgvuldig met deze informatie om te gaan. hier zijn zelfs wetten voor.

een inbreker de schuld geven is schuld afschuiven en te makkelijk.
deur op slot, boel opruimen, allarm op de deur etc etc en als het dan nog gebeurt tja dan heb je best gedaan.
Da's net zoiets als dat het je eigen schuld is dat je fiets gejat is als je deze niet op slot hebt gezet.
Dit is natuurlijk omgekeerde wereld. Het is en blijft de schuld van de hackers.

Natuurlijk heeft monster ook niet super gehandelt, maar dit verandert niets aan de verantwoordelijkheid.

Monster heeft daar in tegen wel een verantwoordelijkheid de gegevens van hun leden te beschermen voor derden.

En iets zegt me dat Monster toch wel hun best gedaan heeft de deur op slot te doen...
Maar wat als jij iemands fiets leent, hem niet op slot zet en deze fiets gejat wordt. Is het dan niet redelijk dat je degene van wie je de fiets hebt geleend schadeloos stelt? Jouw vergelijking gaat enkel op als degene die schade lijdt en degene die de fiets niet op slot heeft gezet ťťn en dezelfde persoon is.
Ja idd. Er is namelijk een wezenlijk verschil tussen risico-aansprakelijkheid en schuld. Als het bedrijf voldoende maatregelen heeft genomen om de kans op diefstal (hackers in dit geval) te beperken, dan heeft ze geen schuld. Ze blijft echter in beginsel wel aansprakelijk ten opzichte van kaar klanten,.
Probleem is niet welke webserver ze gebruikten, maar hoe deze geconfigureerd is. Een kleine configuratiefout is snel gebeurd. Apache is even gevaarlijk als de server admin niet zeker weet wat hij aan het doen is. Je hebt geen enkel idee hoe de site is opgebouwd en wat voor settings de webserver en database erachter hebben, toch steek je meteen de schuld op Microsoft? Kortzichtig hoor.
De server is hier helemaal geen factor. De trojan logde gewoonweg in op het 'recruiter' gedeelte van Monster.com. Op deze pagina hebben bedrijven die werknemers zoeken toegang tot de 'gehackte' gegevens. Er kunnen geen lijsten met gegevens opgevraagd worden, maar er kan wel op gevonden namen geklikt worden van een zoekactie. Hierbij komt er een popup die persoonsgegevens van de potentiele werknemer laat zien.

Er is dus totaal geen exploit gebruikt om de gegevens van Monster.com te halen. De trojan automatiseerde alleen het handmatige process van gegevens opzoeken.

De enige fout die, waarschijnlijk, niet aan Monster.com is toe te kennen, is dat de trojan gestolen login gegevens gebruikte voor de recruiter site.

Voor meer leeswerk over hoe de trojan werkt, zie:
http://www.symantec.com/e.../08/a_monster_trojan.html
Ik zou dit dan ook geen trojan noemen maar een bot.
Een trojan is een programma dat zich op de computer installeert en gegevens doorstuurt of overnemen van de computer mogelijk maakt. Niet een bot die automatisch inlogt op een site en alle gegevens eraf haalt.
Beetje kort door de bocht om meteen de schuld op het gebruikte OS te schuiven vind je niet? Als je brakke php/ asp (mono) code gebruikt dan kan een Linux / Apache2 server even makkelijk gehackt worden als een Win2003 / IIS server.

edit:
@ Belial : beetje flauw om dan je post te editen naar "hadden de webserver maar beter moeten updaten" in plaats van "hadden ze maar een betere webserver moeten nemen" wat er eerst stond

[Reactie gewijzigd door lammert op 22 augustus 2007 13:23]

ik betwijfel dat het aan de webserver ligt, eerder aan de code die ze zelf hebben geschreven. (er staat per slot van: een zwakke plek in het werkgevers gedeelte)
als je een baan op jobserve zoekt staat er altijd bij dat je NOOIT een financiele transactie moet doen, en dat het puur om job-searches gaat.

Je bent een rund als je zonder een getekend en legaal contract dit soort activiteiten ontplooit.
Ja maar wat doe je als die gegevens je ontvreemd worden?
Erg jammer dat er zoveel gegevens gestolen zijn.

[Reactie gewijzigd door David19x op 22 augustus 2007 13:00]

De criminelen verzoeken hun slachtoffers in de emails vriendelijk om het zogeheten Money Control Transfer Number van het account op te sturen, waarmee ze vanaf ieder Western Union-kantoor ter wereld anoniem bij de rekening zouden kunnen. Er kan dan in principe geld van de slachtoffers - ook bekend als Money Mules - gestolen worden, maar vermoedelijk is de constructie voornamelijk bedoeld om geld wit te wassen.
Als je als slachtoffer (en dus rekeninghouder van dat Western Union-account) geen eigen geld stort kun je toch niets kwijtraken?
Nee, maar je helpt wel mee met het witwassen van geld. En zover ik weet is dat nog steeds een criminele activiteit waarvoor je de cel in kan gaan.
Slecht dit, eigenlijk zouden sites die zoveel van je willen weten aan een bepaalde standaard moeten voldoen. Je verwacht van een uitzendbureau ook dat ze zorgvuldig met je gegevens omgaan.
Het zou strafbaar moeten zijn om zoveel gegevens te lekken, criminelen kunnen met deze gegevens veel schade aanrichten. Monster zou dat moeten betalen..
Strafbaar is het niet wanneer het onopzettelijk is gedaan, maar in civiele rechtzaken zou dit nog wel eens tot forse claims van gedupeerden kunnen leiden, waar Monsterboard als verantwoordelijke zal moeten verschijnen.
En waarom nemen we dan niet al die bedrijven mee die hun Monsterboard accounts hebben laten stelen? Naar mijn weten is de Monsterboard site niet echt gehackt, maar is er gebruik gemaakt van gestolen accounts.

Nu kunnen mensen dus ook zien tot hoeveel informatie de werkgevers toegang hebben bij Monsterboard.

Maar het blijft vreemd dat bedrijven het toestaan dat die (even overdrijven) "huppelkutjes" bij HRM zelf software kunnen installeren. Als er een categorie is die nog ter goeder trouw alles leest en die leuke "screensaver" of whatever installeert...
Offtopic:

Je kunt zoveel beveiligen als je wilt, maar als men binnen wilt geraken zal men binnen geraken. Als iemand de deur laat open staan wilt dat dan zeggen ja ik mag alles nemen? Het begint gewoon allemaal met ge zult niet stelen.

Ten tweede, de mensen die zich daar hele dagen mee bezig houden, zijn in mijn ogen absoluut niet creatief of intelligent. Ik vind ze zielig, associaal, kruipen bang naar buiten als het echt nodig is en verkrampen helemaal als een wildvreemde persoon gewoon iets vraagt.

Maar dat is mijn mening:)
Waarom zien mensen niet in dat als criminelen ergens binnen willen komen ze er tog wel in komen..
Hoe groot en sterk en duur je beveiliging ook is geweest..

Je zou dit ook als een soort waarschuwing kunnen zien, dat je gewoon niet zoveel persoonlijke en crimineel gevoelige gegevens op een website moet zetten.
Dus inplaats van dat je bezig gaat met nieuwe beveiligignen schrijven zou ik bezig gaan met een nieuwe aanpak.. een nieuw plan zodat je niet al die gegevens op internet hoeft te zetten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True