Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tel Sell verzweeg roof creditcardnummers

Dit voorjaar werden 31.000 creditcardnummers uit het computersysteem van Tel Sell gestolen. De tv-winkelier heeft de roof niet aan de betrokken klanten gemeld: volgens het bedrijf is dit niet zijn verantwoordelijkheid.

Tel Sell logoHet Nederlandse Tel Sell is al een half jaar op de hoogte van de diefstal van vijftienduizend Visa Card- en zestienduizend MasterCard-nummers, zo meldt de Telegraaf. Een onbekende hacker zou in mei 2007 het computersysteem van het thuiswinkelbedrijf zijn binnengedrongen, om daar de creditcardnummers te kopiŽren.

Kaarteigenaren kunnen weliswaar de geleden schade op de creditcardorganisaties verhalen, maar omdat Tel Sell verzuimd heeft zijn klanten te waarschuwen, kunnen zij te laat zijn met het nakijken van afschriften en het indienen van een verzoek tot schadeloosstelling. Het nieuws is nu toch naar buiten gekomen omdat het thuiswinkelbedrijf een rechtszaak is begonnen tegen een creditcardorganisatie die de schade van de diefstal op Tel Sell probeert te verhalen. De advocaat van Tel Sell liet weten dat het niet de verantwoording van het bedrijf is om zijn klanten op de hoogte te brengen van de diefstal. Tel Sell weigert verder elk commentaar op de zaak. Onduidelijk is nog of het teleshopbedrijf zijn systemen inmiddels beter heeft beveiligd. Opmerkelijk is ook dat het bedrijf een MasterCard onder eigen naam uitbrengt.

Door

Redacteur

73 Linkedin Google+

Reacties (73)

Wijzig sortering
Laat ik nou in een project zitten waar ik de hele dag met de Wet Bescherming Persoonsgegevens bezig ben :Y)

Zoals met alles in deze wet kun je steeds elke kant op. Kan iemand mij misschien informeren waarom ze deze creditcard nummers en namen bewaren? Is het een klantenbestand? Is het geld wat nog geclaimed moet worden?

Als het een klantenbestand is, dan is het een onevenredige opslag van persoonsgegevens. Een klantenbestand heeft vrijstelling van registratie, als in dat ze het gewoon mogen doen. Op het moment dat je dit onevenredig doet dan ga je de fout in. Als je als bedrijf CC nummers bewaard zonder een duidelijk doel, alleen voor een klantenbestand zijn ze zoiezo fout bezig, omdat dit onevenredig is in relatie tot een klantenbestand. Stel dat al die bewaarde CC nummers en namen voor een debiteurenbestand gebruikt worden zou het mogen.

Wat mij leidt naar het volgende punt ...

WBP art. 13 verteld ons dat het bedrijf passende technische en organisatorische maatregelen moet toepassen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten, een passend beveiligingsniveau gelet op de risico's van de aard van de gegevens.

Dit is ongeveer de wettekst (iets meer gespecificeerd op dit topic). Een goede digitale beveiliging is echt wel te regelen. Zeker aangezien CC gegevens behoorlijk hoog op de ranglijst staan kwa risico. |:(

ps. ik snap dat die wettekst eigenlijk heel vaag is, dat klopt dat is deze ook. Er is geen norm ingesteld, maar om de lgoische redenen zijn CC gegevens heel erg gevoelig en risicovol.
Kan aan mij liggen, maar met alleen het creditcard mummer + naam heb je toch niks? Als het goed is is ook het controle-nummer (die drie cijfers achterop de kaart) nodig om er iets mee te kunnen. En die MAG gewoon niet opgeslagen worden.
Als TellSell dat wel gedaan heeft, zijn ze sowieso schuldig.
De advocaat van TelSell liet weten dat het niet de verantwoording van het bedrijf is om zijn klanten op de hoogte te brengen van de diefstal.
Dus Tell-Sell heeft een beveiligingslek gehad, creditcardgegevens zijn gestolen uit hun slecht beveiligde database, en nu zeggen ze dat het niet hun schuld is. Van wie dan wel? :S
...omdat TelSell verzuimd heeft zijn klanten te waarschuwen, kunnen zij te laat zijn met het nakijken van afschriften en het indienen van een verzoek tot schadeloosstelling.
En niemand laat dat erbij zitten. Er zal door de gedupeerden heel wat geld in rechtszaken worden gestoken, ook naar aanleiding van mijn vorige quote.

Tell-Sell heeft geen schijn van kans.
Toch verschilt dit enorm met bijvoorbeeld de wetten in California (die nu gelukkig door meerdere staten wordt overgenomen), waarbij een bedrijf verplicht is elke vorm van inbraak meteen aan alle klanten te melden, zodat deze maatregelen kunnen treffen.

De stipulatie is dan wel dat het om financiŽle of gerelateerde gegevens gaat (sofie nummer/etc) en een bedrijf kan vrijstelling krijgen als die gegevens eenzijdig versleuteld waren (md5 hashes, enzo).

Dit is handig, omdat de FDIC vaak de onderverzekeraar is en deze als regel heeft dat de klant voor 100% niet aansprakelijk is als deze dat binnen 24 uur meld. VISA en Mastercard zelf hebben daarom ook soortgelijke termijnen in hun eigen voorwaarden.

Individuen via het FDIC plan zijn vaak tot maximaal $50 aansprakelijk, maar dit is meer bij de banken zelf, en VISA en Mastercard hebben vaak andere richtlijnen daarvoor, zeker als de termijn waarin beklaagd wordt erg lang is.
Het is zeer zeker de plicht van TellSell om die diefstal te melden aan de betreffende klanten. Het gaat hier namelijk om persoonsgegevens die TellSell zeer zorgvuldig hoort te beheren en verwerken voor de klanten. TellSell heeft echter verzuimd dit te doen en daarmee de wet geschonden deze verplichting na te komen. Daarbij staan ze dus ook toe dat klanten de dupe worden van hun nalatigheid zonder dat die klanten dat zelf weten. Dubbel fout dus.
Creditcardmaatschappijen zouden daar richtlijnen voor moeten hebben en die aan acceptanten moeten opleggen. Vraag is: zijn die (strenge) regels er, en worden ze toegepast? Als je dit leest niet.
Die hebben ze wel degelijk. Meer info:

MasterCard: http://www.mastercard.com/us/sdp/index.html
Visa: http://usa.visa.com/merchants/risk_management/cisp.html


Het moet ook eens gezegd worden dat Visa en MasterCard geen kredietverstrekkers zijn, noch kaarten uitgeven. Dit wordt gedaan door de banken (die een franchise/licensie) nemen bij MC en Visa.

Opmerkingen hierboven zoals Zowel VISA als Mastercard hebben miljarden over om fraude in de doofpot te stoppen, omdat ze vele miljarden meer verdienen door het gemakkelijke gebruik. gaan dus niet op. Die fraude komt bij de banken terecht die ze tussen elkaar proberen te verhalen.

Wat MC en Visa doen is een wereldwijd netwerk uitbaten waarover transacties tussen de banken van de kaarthouders en de banken van de handelaren worden geswitcht.
dit is meestal voor als de creditcard maatschappij achteraf afkomt van: er is een transactie betaald met een gestolen kaart: wie was dat:
dan weet dat bedrijf wie da nummer heeft ingegeven en naar 't materiaal gestuurd is, en daar weten ze hem meestal wel te vinden. (alsook adhv het ip-adres en tijdstip van ingave op de website)

edit adhv hieronder:
hieronder klopt natuurlijk, maar je moet ergens als bedrijf een logging hebben welke klant welke CC-transactie heeft gedaan.
gemakzuchtig doen de meeste dat dan met het cc-nummer, terwijl het inderdaad met sessie's enzo wrs ook net zo goed kan. (datum, ip-adres, link waarnaar ie naar betaling is gestuurd en met welke ie terug komt bv.) maar om dan alles op te zoeken ishet een pak lastiger ook - omdat je dan de logs van alle servers moet gaan nakijken en/of alle database's - want mastercard ziet enkel 'via die betalingspartner zoveel met die cc met die vermelding of voor die derde partij' -> met het cc-nummer kunnen ze zo naar die 3de partij gaan en zeggen: zie heeft hier de betaling mee uitgevoerd op die datum en dat tijdstip...
Noem het gevaarlijke gemakzucht.
(beste is de gegevens zodra een betaling binnen is in enkele richting naar een backup-database te schrijven waarop geen select kan gedaan worden door de eerste database-server - goed beveiligde stored procedure's of triggers bv)
dat laatste is hoe ik het zou doen, als ik dat zou _moeten_ opslaan: tijdelijk in goede server, permanent op best beveiligste plaats. (maar de andere manieren eerst uitproberen)

[Reactie gewijzigd door soulrider op 27 november 2007 23:16]

Het eerste wat je hoort te leren qua security, als je een beetje serverbeheerder bent is dat dat juist het grootste potentiele veiligheidslek is wat er bestaat. Het is compleet onnodig om die gegevens te bewaren, het gaat er alleen maar om dat persoon X die een bestelling heeft gedaan een bevestiging krijgt dat de bestelling is gedaan en dat er euries van die persoon's rekening worden afgehaald.
sessie wordt opgezet naar de webserver, klant wil afrekenen, sessie wordt afgebroken, transactie via SSL naar de betaal maatschappij wordt opgezet, er wordt betaald. Er wordt een bedrag van de creditcard rekening afgeschreven. er wordt door de betaal maatschappij een nieuwe sessie opgezet naar het bedrijf waarbij de transactie wordt bevestigd, er is betaald en er moet van de voorraad worden afgeschreven. En dan pas geeft het bedrijf een bevestiging af dat de transactie is voltooid. (2 bevestigingen in je mail, 1 van de partij waar je daadwerkelijk betaalt en 1 van de partij waar je je spullen hebt besteld)

In het verleden is dit al eens bij een bedrijf in de VS gebeurd. Toen werd er om de 30 secondes een creditcard nummer met code verstuurd naar een host die die gegevens opsloeg (host van de fraudeur) het heeft een maand geduurd voordat men er achter is gekomen; dat zijn heel wat nummertjes.

[Reactie gewijzigd door Kabouterplop01 op 27 november 2007 20:00]

Quote van die pagina:
"De woordvoerder zegt dat er geen meldingen zijn binnengekomen van mensen die zijn opgelicht."

Lijkt me logisch. Als er ineens foute afschriften op je CC overzicht staan, hoe moet jij dan weten waar die vandaan komen? Volgens mij staat er niet op het afschrift:
1000 EUR zooi uit azie - besteld met gegevens gestolen van TelSell
Telsell start de rechtzaak tegen een creditcardmaatschappij die de schade _op hen_ probeert te verhalen.

Er is dus inderdaad blijkbaar wel schade geleden.
Niemand van de niet geÔnformeerde mensen heeft TelSell gebeld om te melden dat hun gestolen gegevens waren gebruikt.

Dan is er natuurlijk niks aan de hand.
log-files van transactie's op die database ? ongewone drukte op die systemen?
firewall die iets meldt en waar men te laat op reageert, tot men gaat controleren wat het is dat er gebeurt of gebeurd is.

net zoals bij gewone inbraken is een goede pas achteraf te betrappen doordat ie een fout heeft gedaan

jouw actie's zouden al een log-entry moeten achterlaten bij database, firewall van het bedrijf (ftp/irc-toegang) en in de beste gevallen ook tegenmoeten gehouden worden, vooral die ftp en die irc ;) (en bij goed beveildigde bedrijven zijn er tripwire en ids'en...)

't lijkt makkelijk maar dat is het niet hoor.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*