Tel Sell verzweeg roof creditcardnummers

Dit voorjaar werden 31.000 creditcardnummers uit het computersysteem van Tel Sell gestolen. De tv-winkelier heeft de roof niet aan de betrokken klanten gemeld: volgens het bedrijf is dit niet zijn verantwoordelijkheid.

Tel Sell logo Het Nederlandse Tel Sell is al een half jaar op de hoogte van de diefstal van vijftienduizend Visa Card- en zestienduizend MasterCard-nummers, zo meldt de Telegraaf. Een onbekende hacker zou in mei 2007 het computersysteem van het thuiswinkelbedrijf zijn binnengedrongen, om daar de creditcardnummers te kopiëren.

Kaarteigenaren kunnen weliswaar de geleden schade op de creditcardorganisaties verhalen, maar omdat Tel Sell verzuimd heeft zijn klanten te waarschuwen, kunnen zij te laat zijn met het nakijken van afschriften en het indienen van een verzoek tot schadeloosstelling. Het nieuws is nu toch naar buiten gekomen omdat het thuiswinkelbedrijf een rechtszaak is begonnen tegen een creditcardorganisatie die de schade van de diefstal op Tel Sell probeert te verhalen. De advocaat van Tel Sell liet weten dat het niet de verantwoording van het bedrijf is om zijn klanten op de hoogte te brengen van de diefstal. Tel Sell weigert verder elk commentaar op de zaak. Onduidelijk is nog of het teleshopbedrijf zijn systemen inmiddels beter heeft beveiligd. Opmerkelijk is ook dat het bedrijf een MasterCard onder eigen naam uitbrengt.

IT-banen

Reacties (73)

Verwijderd 27 november 2007 14:36

Laat ik nou in een project zitten waar ik de hele dag met de Wet Bescherming Persoonsgegevens bezig ben

Zoals met alles in deze wet kun je steeds elke kant op. Kan iemand mij misschien informeren waarom ze deze creditcard nummers en namen bewaren? Is het een klantenbestand? Is het geld wat nog geclaimed moet worden?

Als het een klantenbestand is, dan is het een onevenredige opslag van persoonsgegevens. Een klantenbestand heeft vrijstelling van registratie, als in dat ze het gewoon mogen doen. Op het moment dat je dit onevenredig doet dan ga je de fout in. Als je als bedrijf CC nummers bewaard zonder een duidelijk doel, alleen voor een klantenbestand zijn ze zoiezo fout bezig, omdat dit onevenredig is in relatie tot een klantenbestand. Stel dat al die bewaarde CC nummers en namen voor een debiteurenbestand gebruikt worden zou het mogen.

Wat mij leidt naar het volgende punt ...

WBP art. 13 verteld ons dat het bedrijf passende technische en organisatorische maatregelen moet toepassen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten, een passend beveiligingsniveau gelet op de risico's van de aard van de gegevens.

Dit is ongeveer de wettekst (iets meer gespecificeerd op dit topic). Een goede digitale beveiliging is echt wel te regelen. Zeker aangezien CC gegevens behoorlijk hoog op de ranglijst staan kwa risico.

ps. ik snap dat die wettekst eigenlijk heel vaag is, dat klopt dat is deze ook. Er is geen norm ingesteld, maar om de lgoische redenen zijn CC gegevens heel erg gevoelig en risicovol.

Arthas @Verwijderd • 27 november 2007 17:46

Ik weet niet of de algemene voorwaarden c.q. privacy-beleid van een bedrijf ook bindend zijn in een rechtzaak, maar uit het privacy-beleid van Tel Sell:

Uw persoonsgegevens worden opgenomen in het Tel Sell klantenbestand. Met uw persoonsgegevens worden bedoeld alle persoonlijke informatie, zoals bijvoorbeeld naam, adres, woonplaats, postcode, telefoongegevens, financiële gegevens, e-mail adres, gebruikersnaam, wachtwoord en dergelijke, zoals door u aan Tel Sell verstrekt. De verantwoordelijken hiervoor zijn Tel Sell B.V. en Top Shop B.V.

Zij nemen dus als ik het goed begrijp zelf de verantwoordelijkheid voor hun klantenbestand. En in deze nemen ze die verantwoordelijkheid dus juist niet IMHO

chrisboers 27 november 2007 13:56

Kan aan mij liggen, maar met alleen het creditcard mummer + naam heb je toch niks? Als het goed is is ook het controle-nummer (die drie cijfers achterop de kaart) nodig om er iets mee te kunnen. En die MAG gewoon niet opgeslagen worden.
Als TellSell dat wel gedaan heeft, zijn ze sowieso schuldig.

Verwijderd @chrisboers • 27 november 2007 14:22

Het vragen van het CVV2 nummer (dat is de technische benaming voor die 3 cijfers), en ook vaak het telefoon nummer van het bedrijf die de kaart uitgeeft (staat ook op de achterkant bij Amerikaanse kaarten in ieder geval), is een extra controle voor de webwinkel.

Die is er namelijk bij gebaat om zoveel mogelijk te controleren of jij de juiste eigenaar bent van de kredietkaart die de bestelling plaatst, voordat hun een duur apperaat opsturen en dan achteraf een zogenaamde chargeback krijgen.

VISA en Mastercard geven er echter weinig om, en accepteren doodleuk betaal opdrachten zonder al die extra code. Er worden nog steeds enorm veel betalingen gedaan via verouderde apperatuur, en het duurt erg lang voordat mensen gewend raken aan extra beveiligingen. De CVV2 beveiliging is zeer nieuw als je het relatief bekijkt, en momenteel zijn ze aan het experimenteren met extra codes die je dan op de VISA/Mastercard website moet intypen om akoord te gaan met een aankoop.

Echter hoe meer beveilings lagen er worden toegepast, des te hoger de drempel voor aankopen wordt. Zowel VISA als Mastercard hebben miljarden over om fraude in de doofpot te stoppen, omdat ze vele miljarden meer verdienen door het gemakkelijke gebruik.

Jaco69 @chrisboers • 27 november 2007 14:14

CC nummer en naam zijn vaak al voldoende.

Destralak 27 november 2007 13:46

De advocaat van TelSell liet weten dat het niet de verantwoording van het bedrijf is om zijn klanten op de hoogte te brengen van de diefstal.

Dus Tell-Sell heeft een beveiligingslek gehad, creditcardgegevens zijn gestolen uit hun slecht beveiligde database, en nu zeggen ze dat het niet hun schuld is. Van wie dan wel?

...omdat TelSell verzuimd heeft zijn klanten te waarschuwen, kunnen zij te laat zijn met het nakijken van afschriften en het indienen van een verzoek tot schadeloosstelling.

En niemand laat dat erbij zitten. Er zal door de gedupeerden heel wat geld in rechtszaken worden gestoken, ook naar aanleiding van mijn vorige quote.

Tell-Sell heeft geen schijn van kans.

Olaf van der Spek @Destralak • 27 november 2007 14:18

Van wie dan wel?

De creditcardmaatschappijen, voor het gebruiken van zo'n slecht systeem (creditcards zonder PIN).

Janoz Moderator PRG/SEA @Olaf van der Spek • 28 november 2007 08:16

Ten eerste hebben bijna alle CC's tegenwoordig wel een pin. Verder vind ik het systeem helemaal niet slecht. Goed, alle gegevens zijn gestolen, maar hoeveel klanten zijn de dupe geworden?

0

Dat was met de praxis pinpas skimmers wel anders (Een prachtig systeem met pin

)

arjankoole

Beveiliging
Criminaliteit

@Olaf van der Spek • 27 november 2007 21:38

hoe wil je, als je online gaat kopen, je pin invullen voor verificatie?

tweaktubbie @arjankoole • 28 november 2007 08:57

Online de Mastercard Secure Code gebruiken naast je CVC? Of die van Visa.
Da's toch een soort van (pin)code die niet naar de verkopende partij gaat.

Ge Someone @tweaktubbie • 28 november 2007 10:54

Hoe weet dat als je het in moet geven op de site van de webshop? Ze hebben dat nr. toch nodig om de kaart te kunnen valideren?

intGod @arjankoole • 27 november 2007 22:18

Met het toetsenbord?

Net zoals je je CC nummer intypt, en dat rare nummer op de achterkant van je kaart wat zogenaamd veilig zou moeten zijn ...

humbug @intGod • 28 november 2007 06:01

En hoe veilig is dat?

Het is niet voor niets dan je van je bank zo'n raar apparaat krijgt om een one time key te genereren. Kunnen creditcard maatschappijen ook doen natuurlijk, maar ik ben benieuwd hoe dat in de rimboe in Afrika gaat werken

aikebah @Verwijderd • 28 november 2007 21:46

niet waar, je pin staat juist niet op je pas, maar kan worden gecontroleerd door een black-box systeem van je bank op basis van gegevens die wel op je pas staan

Verwijderd 27 november 2007 13:57

Toch verschilt dit enorm met bijvoorbeeld de wetten in California (die nu gelukkig door meerdere staten wordt overgenomen), waarbij een bedrijf verplicht is elke vorm van inbraak meteen aan alle klanten te melden, zodat deze maatregelen kunnen treffen.

De stipulatie is dan wel dat het om financiële of gerelateerde gegevens gaat (sofie nummer/etc) en een bedrijf kan vrijstelling krijgen als die gegevens eenzijdig versleuteld waren (md5 hashes, enzo).

Dit is handig, omdat de FDIC vaak de onderverzekeraar is en deze als regel heeft dat de klant voor 100% niet aansprakelijk is als deze dat binnen 24 uur meld. VISA en Mastercard zelf hebben daarom ook soortgelijke termijnen in hun eigen voorwaarden.

Individuen via het FDIC plan zijn vaak tot maximaal $50 aansprakelijk, maar dit is meer bij de banken zelf, en VISA en Mastercard hebben vaak andere richtlijnen daarvoor, zeker als de termijn waarin beklaagd wordt erg lang is.

kodak

Criminaliteit

27 november 2007 14:02

Het is zeer zeker de plicht van TellSell om die diefstal te melden aan de betreffende klanten. Het gaat hier namelijk om persoonsgegevens die TellSell zeer zorgvuldig hoort te beheren en verwerken voor de klanten. TellSell heeft echter verzuimd dit te doen en daarmee de wet geschonden deze verplichting na te komen. Daarbij staan ze dus ook toe dat klanten de dupe worden van hun nalatigheid zonder dat die klanten dat zelf weten. Dubbel fout dus.

bebu 28 november 2007 10:25

Creditcardmaatschappijen zouden daar richtlijnen voor moeten hebben en die aan acceptanten moeten opleggen. Vraag is: zijn die (strenge) regels er, en worden ze toegepast? Als je dit leest niet.

Die hebben ze wel degelijk. Meer info:

MasterCard: http://www.mastercard.com/us/sdp/index.html
Visa: http://usa.visa.com/merchants/risk_management/cisp.html

Het moet ook eens gezegd worden dat Visa en MasterCard geen kredietverstrekkers zijn, noch kaarten uitgeven. Dit wordt gedaan door de banken (die een franchise/licensie) nemen bij MC en Visa.

Opmerkingen hierboven zoals Zowel VISA als Mastercard hebben miljarden over om fraude in de doofpot te stoppen, omdat ze vele miljarden meer verdienen door het gemakkelijke gebruik. gaan dus niet op. Die fraude komt bij de banken terecht die ze tussen elkaar proberen te verhalen.

Wat MC en Visa doen is een wereldwijd netwerk uitbaten waarover transacties tussen de banken van de kaarthouders en de banken van de handelaren worden geswitcht.

Kabouterplop01 27 november 2007 17:08

Welk idioot bedrijf kopieeert/ houdt creditcard gegevens vast; dit is nergens voor nodig, deze zijn tenslotte al bekend bij de creditcard maatschappij zelf. Dat is vragen om moeiljikheden!

soulrider @Kabouterplop01 • 27 november 2007 17:35

dit is meestal voor als de creditcard maatschappij achteraf afkomt van: er is een transactie betaald met een gestolen kaart: wie was dat:
dan weet dat bedrijf wie da nummer heeft ingegeven en naar 't materiaal gestuurd is, en daar weten ze hem meestal wel te vinden. (alsook adhv het ip-adres en tijdstip van ingave op de website)

edit adhv hieronder:
hieronder klopt natuurlijk, maar je moet ergens als bedrijf een logging hebben welke klant welke CC-transactie heeft gedaan.
gemakzuchtig doen de meeste dat dan met het cc-nummer, terwijl het inderdaad met sessie's enzo wrs ook net zo goed kan. (datum, ip-adres, link waarnaar ie naar betaling is gestuurd en met welke ie terug komt bv.) maar om dan alles op te zoeken ishet een pak lastiger ook - omdat je dan de logs van alle servers moet gaan nakijken en/of alle database's - want mastercard ziet enkel 'via die betalingspartner zoveel met die cc met die vermelding of voor die derde partij' -> met het cc-nummer kunnen ze zo naar die 3de partij gaan en zeggen: zie heeft hier de betaling mee uitgevoerd op die datum en dat tijdstip...
Noem het gevaarlijke gemakzucht.
(beste is de gegevens zodra een betaling binnen is in enkele richting naar een backup-database te schrijven waarop geen select kan gedaan worden door de eerste database-server - goed beveiligde stored procedure's of triggers bv)
dat laatste is hoe ik het zou doen, als ik dat zou _moeten_ opslaan: tijdelijk in goede server, permanent op best beveiligste plaats. (maar de andere manieren eerst uitproberen)

[Reactie gewijzigd door soulrider op 22 juli 2024 21:40]

Kabouterplop01 @soulrider • 27 november 2007 19:28

Het eerste wat je hoort te leren qua security, als je een beetje serverbeheerder bent is dat dat juist het grootste potentiele veiligheidslek is wat er bestaat. Het is compleet onnodig om die gegevens te bewaren, het gaat er alleen maar om dat persoon X die een bestelling heeft gedaan een bevestiging krijgt dat de bestelling is gedaan en dat er euries van die persoon's rekening worden afgehaald.
sessie wordt opgezet naar de webserver, klant wil afrekenen, sessie wordt afgebroken, transactie via SSL naar de betaal maatschappij wordt opgezet, er wordt betaald. Er wordt een bedrag van de creditcard rekening afgeschreven. er wordt door de betaal maatschappij een nieuwe sessie opgezet naar het bedrijf waarbij de transactie wordt bevestigd, er is betaald en er moet van de voorraad worden afgeschreven. En dan pas geeft het bedrijf een bevestiging af dat de transactie is voltooid. (2 bevestigingen in je mail, 1 van de partij waar je daadwerkelijk betaalt en 1 van de partij waar je je spullen hebt besteld)

In het verleden is dit al eens bij een bedrijf in de VS gebeurd. Toen werd er om de 30 secondes een creditcard nummer met code verstuurd naar een host die die gegevens opsloeg (host van de fraudeur) het heeft een maand geduurd voordat men er achter is gekomen; dat zijn heel wat nummertjes.

[Reactie gewijzigd door Kabouterplop01 op 22 juli 2024 21:40]

418O2 27 november 2007 13:44

http://www.nieuwnieuws.nl...efstal_opgeblazen_in.html

schijnt dus niemand bij benadeeld te zijn en er is adequaat ingegrepen.

ShadowLord

@418O2 • 27 november 2007 14:04

Quote van die pagina:
"De woordvoerder zegt dat er geen meldingen zijn binnengekomen van mensen die zijn opgelicht."

Lijkt me logisch. Als er ineens foute afschriften op je CC overzicht staan, hoe moet jij dan weten waar die vandaan komen? Volgens mij staat er niet op het afschrift:
1000 EUR zooi uit azie - besteld met gegevens gestolen van TelSell

arjankoole

Beveiliging
Criminaliteit

@ShadowLord • 27 november 2007 21:37

Lijkt me logisch. Als er ineens foute afschriften op je CC overzicht staan, hoe moet jij dan weten waar die vandaan komen? Volgens mij staat er niet op het afschrift:
1000 EUR zooi uit azie - besteld met gegevens gestolen van TelSell

Ik heb het een keer meegemaakt met m'n visa. dat was nog in de tijd dat ik niet online kocht, maar waarschijnlijk had iemand uit een hotel in Amerika m'n gegevens 'geleend'.

Er stonden in ieder geval aankopen op die ik niet has gedaan. Een fax later was het geld alweer onderweg terug naar m'n bankrekening. Nooit meer iets van gehoord. (Behalve dan dat m'n kaart geblokkeerd was en een nieuwe 2 dagen later in de bus lag)

Janoz Moderator PRG/SEA @mschol • 28 november 2007 08:13

Ietsje beter lezen. De gegevens zijn door persoon X bij Tel Sell gestolen. Hoe kun jij aan je afschrijving zien dat persoon X met de gegevens van Tel Sell bij bedrijf Y een aankoop gedaan heeft? Er staat alleen maar 'Y' op je afschrift.

cariolive23 @418O2 • 27 november 2007 13:46

omdat het thuiswinkelbedrijf een rechtszaak is begonnen tegen een creditcardorganisatie die de schade van de diefstal op TelSell probeert te verhalen.

Ok, er is niemand benadeeld maar er wordt toch een creditcardorganisatie aangeklaagd om schade te verhalen? Hier klopt dus iets niet.

Bosmonster @cariolive23 • 27 november 2007 16:01

Telsell start de rechtzaak tegen een creditcardmaatschappij die de schade _op hen_ probeert te verhalen.

Er is dus inderdaad blijkbaar wel schade geleden.

Rex @418O2 • 27 november 2007 13:45

Blijkbaar is er wel schade geleden, anders zou de rechtzaak niet zijn begonnen.

Ron!n @Rex • 27 november 2007 18:07

waarschijnlijk gaat dit om de kosten voor het opnieuw uitbrengen van creditcards en het blokkeren van de gestolen exemplaren.

ronny @Ron!n • 28 november 2007 09:57

Maar als niemand op de hoogte was dat de nummers waren gestolen en er is geen misbruik van gemaakt, wie heeft dat de kaarten geblokeerd

Ik mag toch hopen dat niet Telsel of de creditkaart maatschapij dit doet zonder de klant in te lichten!

Donderwolk @418O2 • 27 november 2007 14:03

Is dat niet gewoon 'damage control' die ze hier proberen toe te passen?
Ik zie iig rook en vuur.

Floort

27 november 2007 13:48

Een woordvoerder van TelSel zegt dat er niks aan de hand is. Niet een erg onafhankelijke bron van informatie.

Jaco69 @Floort • 27 november 2007 14:13

Niemand van de niet geïnformeerde mensen heeft TelSell gebeld om te melden dat hun gestolen gegevens waren gebruikt.

Dan is er natuurlijk niks aan de hand.

Verwijderd 27 november 2007 16:14

Ik vind het wel gek dat telsell weet dat er ingebroken is.

Als ik hacker zou zijn en ik zou aan een db raken met credit-card gegevens dan zou ik een select * from credit_card_data. of iets dergelijks dit in een bestandje opslaan. En naar een veilige locatie transporteren (mail/ftp/irc).

en ik zou zo weinig mogelijk sporen nalaten (de database niet taggen of de website taggen)

Ik vind het persoonlijk straf dat bedrijven kunnen zien dat ze bestolen zijn maar zich niet kunnen verdedigen. Ik zou het logischer vinden dat ze niet weten dat ze bestolen zijn.

maja

soulrider @Verwijderd • 27 november 2007 17:34

log-files van transactie's op die database ? ongewone drukte op die systemen?
firewall die iets meldt en waar men te laat op reageert, tot men gaat controleren wat het is dat er gebeurt of gebeurd is.

net zoals bij gewone inbraken is een goede pas achteraf te betrappen doordat ie een fout heeft gedaan

jouw actie's zouden al een log-entry moeten achterlaten bij database, firewall van het bedrijf (ftp/irc-toegang) en in de beste gevallen ook tegenmoeten gehouden worden, vooral die ftp en die irc

(en bij goed beveildigde bedrijven zijn er tripwire en ids'en...)

't lijkt makkelijk maar dat is het niet hoor.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (73)

Sorteer op:

Weergave: