Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Justitie in de Verenigde Staten heeft drie hackers aangeklaagd vanwege de diefstal van gegevens van meer dan 130 miljoen credit- en debitcards. Volgens de aanklagers werden niet eerder op deze schaal persoonsgegevens gestolen.

CreditcardDe 28-jarige Albert Gonzalez werd maandag, samen met twee niet bij naam genoemde Russische medeplichtigen, aangeklaagd wegens samenzwering tot computerinbraak en datadiefstal. Volgens justitie gebruikten de drie sql-injectie om toegang te krijgen tot de netwerken van onder andere Heartland Payment Systems, een bedrijf dat betalingen verwerkt, 7-Eleven, een nationale winkelketen, en Hannaford Brothers, een supermarktketen in de staat Maine.

Volgens de aanklacht begonnen de hackers in oktober 2006 met een onderzoek naar de netwerken van hun slachtoffers. Ze gebruikten computers in de VS, Letland, Nederland en de Oekraïne om aanvallen te lanceren en de gestolen kaartnummers te ontvangen. In augustus 2007 brak het drietal in op het netwerk van 7-Eleven, in november op dat van Hannaford Brothers en in december bij Heartland. Ook de netwerken van enkele niet bij naam genoemde bedrijven werden gekraakt. In totaal maakten ze de gegevens van meer dan 130 miljoen credit- en debitcards buit.

Gonzalez zit momenteel al in de gevangenis. Volgens The Miami Herald ontliep hij in 2003 een veroordeling wegens computercriminaliteit door als informant voor de U.S. Secret Service te gaan werken. In 2007 ontdekte de FBI echter dat hij in de tussentijd de gegevens van ruim 40 miljoen creditcards had weten te bemachtigen, wat de grootste creditcarddiefstal tot dan toe zou zijn. Op grond daarvan werd hij gearresteerd; die zaak komt in september van dit jaar voor de rechter.

De nieuwe aanklacht wordt in 2010 behandeld. Als Gonzalez wordt veroordeeld, kan hij twintig jaar gevangenisstraf krijgen voor telecommunicatiefraude en nog eens vijf jaar voor de samenzwering. Bovendien kan hij voor elk van beide delicten 250.000 dollar boete krijgen, zo meldt het Amerikaanse ministerie van Justitie. De beide Russen zijn nog voortvluchtig.

Moderatie-faq Wijzig weergave

Reacties (56)

Volgens justitie gebruikten de drie sql-injectie om toegang te krijgen tot de netwerken
En wanneer gaan ze de verantwoordelijke programmeurs/leveranciers hiervoor aansprakelijk stellen? SQL-injection is toch niets wat pas in 2006 is uitgevonden, dat was ook toen al een zeer bekende truc om applicaties te hacken om in achterliggende databases de data op te vragen . Prutswerk van de bouwers, de hackers hebben hier dankbaar misbruik van gemaakt.

Is het gebruik van prepared statements of het veilig escapen van data nu écht zo moeilijk? En het toekennen van de juiste rechten aan de verschillende databaserollen, is dat nu echt teveel gevraagd? Bedrijven die zo slordig omgaan met data, die verdienen het gewoon om te worden gehackt. Alleen jammer dat de consument hier het slachtoffer van wordt, deze bedrijven verdienen het om slachtoffer te worden. Ze vragen er tenslotte zelf om.

|:(
Ik denk dat je hierbij een beetje te kort door de bocht gaat. Natuurlijk is het onhandig of zelfs onprofessioneel dat er zulke lekker zijn, maar niemand heeft de hackers gevraagd om er misbruik van te maken. Ze hadden het ook gewoon even kunnen melden en er verder niks mee doen.

Daarbij, lees het boek "Release It!" van Nygard eens, dan zul je zien dat zelfs de grootste, duurste en best ontwikkelde enterprise-systemen per definitie bugs bevatten.
Sorry, maar het bevatten van bugs en zoiets simpels als SQL injection, dat zijn toch wel twee verschillende dingen. Van een auto mag je ook verwachten dat het stuur vastzit, of kom jij met enige regelmaat auto's tegen waarvan zomaar het stuur loslaat?

SQL injection is eenvoudig te voorkomen door een vaste structuur te gebruiken voor de interactie met de database, net zoals dat de autofabrikanten hebben uitgevonden hoe je op een veilige manier de stuurkolom moet monteren.

Dit is gewoon de overtreffende trap van "dom", dat mag je echt niet afdoen met de dooddoener dat iedere applicatie bugs bevat. Auto's zijn ook niet zonder gebreken, maar stuurkolommen die zomaar loslaten, dat komt gelukkig niet voor. Zeker niet met de regelmaat zoals SQL-injection plaatsvindt! Dit zegt iets over de ontwikkelaars (en hun werkgevers!) en het totaal gebrek aan structuur en kwaliteit. En het is zó simpel te voorkomen... Maar ja, men wil het gewoon niet voorkomen. Dan ook niet achteraf gaan janken dat iemand er misbruik van heeft gemaakt, dat had je vooraf kunnen bedenken.

En nee, ik wil het niet goedpraten, maar dit is toch wel een gevalletje eigen schuld dikke bult. Met als grootste probleem dat de consumenten slachtoffer zijn geworden en niet diegene die het probleem heeft veroorzaakt.

SQL injection is een keuze.
Okay, ik ben het wel met je eens. Maar het blijft wel zo dat niemand die hackers heeft gedwongen om daadwerkelijk misbruik te maken van het lek.
Klopt helemaal, niemand heeft ze gedwongen. Maar er is ook niemand die anderen dwingt om fietsen te stelen. Toch gebeurt dat dagelijks en zet iedereen zijn fiets op slot om diefstal lastiger te maken.

Je weet dat er cybercriminaliteit is, dus neem maatregelen om diefstal van gegevens tegen te gaan. Gelukkig is dat niet zo moeilijk, databases en programmeertalen zijn hierop voorbereid, alleen jammer dat men dit willens en wetens negeert.

Bedrijven vinden dat security geen belangrijk issue is en kennen hier onvoldoende budget aan toe (bv. voor testen, auditten, opleidingen), programmeurs die de deuren openzetten voor SQL injection en DBA's die applicaties (of eigenlijk: databaserollen) met teveel rechten laten werken waardoor er toegang is tot de (gevoelige) data. Wanneer je hier vanaf het begin rekening mee houdt, krijg je een eenvoudiger en vooral veiliger systeem. Waarschijnlijk is het zelfs goedkoper (beheer, onderhoud, risico's), zeker wanneer je vanaf het begin rekening houdt met beveiliging.
Dat is ook zo ja. Het is niet voor niets dat deze XKCD-prent (http://xkcd.com/327/) hier op m'n werk uitgeprint hangt ;-).
Toch vind ik dat Cariolive hier wel een goed punt heeft. Pas als de beheerders van de gegevens (of dat nu creditcards of medische gegevens zijn) (hoofdelijk) aansprakelijk kunnen worden gesteld voor het verlies van gegevens zal de beveiliging veel beter worden. Tot die tijd blijft dit gebeuren.
Wat kan je met creditcardgegevens doen? Als je op je afrekening een betaling ziet die jij niet hebt goedgekeurd kan je die toch blokkeren? Of rekenen ze erop dat mensen het niet zien/de moeite niet nemen?
Als je 130 miljoen creditcard gegevens hebt. Dan kan je daar flink wat schade mee aanrichten. Tegen de tijd dat iemand erachter komt is de limiet al gehaald en heb je de creditcard gegevens van die persoon niet meer nodig. X 130 miljoen....... reken uit je winst
Dat soort dingen wordt meestal gebruikt om dingen van te kopen. Want als je het doorsluist naar een andere rekening is het natuurlijk makkelijk te achterhalen en terug te halen
Niet als je het doorsluist naar een bankrekening in een land waar ze daadwerkelijk nog het bank geheim hebben. Om naar een bankrekening en dan direct het geld eraf halen in contanten. Er zijn natuurlijk ook tientallen witwas scenarios te bedenken
Eerst nog een paar keer overmaken, en dan door katvangers laten opsturen met Western Union. Die katvangers worden dan vaak weer geworven met spamberichten waarin ze je een "baan" beloven als financieel medewerker: je mag 5 tot 10% houden, en de rest doorsturen.
Dat laatste inderdaad. Als je gewoon kleine bedragen afschrijft zal het niet veel mensen opvallen. Ook is het lastig terug te zoeken voor de FBI / Credit card bedrijven.
Ja, klein bedrag is al genoeg.
Als hij van elke kaart 1 dollar laat afschrijven naar een of andere vage bankrekening op een vaag eiland, heeft hij al 130 miljoen dollar binnen.
ja, maar de crimineel heeft dan wel het product ontvangen of dienst geleverd gekregen. Het is dus een financiele strop voor de credicardmaatschappij.
Niet iedere creditcard maatschappij vergoed de schade en de creditcard maatschappij zelf draait voor de schade op.
Als Pietje een TV koopt op jou kaart, dan kun je de betaling wel blokkeren, maar de aangeschafte goederen vliegen niet vanzelf terug de winkel in. Die zijn nog steeds "eigendom" van Pietje.
Iemands gedrag traceren bijvoorbeeld.
Als je op je afrekening een betaling ziet die jij niet hebt goedgekeurd kan je die toch blokkeren?
Klopt, creditcard maatschappijen zijn daar vrij soepel mee.

Maar dan heeft degene die die gegevens misbruikt heeft het item al wel in huis natuurlijk. Dan ben jij, als legitieme eigenaar van die card, weliswaar schadeloos gesteld, maar de winkel/creditcard-maatschappij zijn er wel de dupe van.

En ook al krijg je de schade vergoed, je hebt er wel weer een heel goed mee, want je moet weer van alles regelen (aangifte doen, telefoontjes plegen naar winkel/creditcard-maatschappij etc).
Dat is hem juist. De betaling is al gemaakt dus de dieven hebben hun geld / spullen al. In de meeste gevallen krijg je gewoon je geld terug en er zijn natuurlijk ook mensen die zoveel krediet hebben en betalingen maken op hun CC dat ze het soms niet zou merken. Maar de CC maatschapijen liggen ook niet te slapen hoor. Mijn zus werkte voor CapitalOne in Engeland en wat zei had verteld was dat er een hele afdeling voor was om dit soort zaken op te sporen.

Bepaalde betalingen springen eruit omdat het buiten de normale uitgaaf patroon van die persoon is enzovoort. Dan nemen ze aktie, of ze de klant gaan bellen of ze de kaart gaan tijdelijk blokkeren voor verdere onderzoek.
De gestolen gegevens worden gebruikt op een manier waarop de kaarthouder geen direct nadeel heeft. De transacties zelf worden weliswaar teruggedraaid maar de winkeliers en creditkaart maatschappijen draaien op voor de kosten. Indirect worden deze kosten door de kaarthouders en andere consumenten betaald in de vorm van hogere prijzen en kaartkosten dan wel rentes. Andere indirecte kosten betreffen het vervangen van de kaart en het doen van een aangifte van een gestolen kaart. Een kaarthouder is al snel twee weken kwijt voordat er een nieuwe kaart gebruikt kan worden.
Als je op je afrekening een betaling ziet die jij niet hebt goedgekeurd kan je die toch blokkeren?
Ja, dat kan je laten storneren / blokkeren. Maar de CC maatschappij draagt dan het verlies. Dit verlies wordt natuurlijk wel doorberekend naar de klant. Onder andere d.m.v. vrij hoge rentes die op het krediet worden berekend (15-20% is heel normaal).

Uiteindelijk betaal je er zelf voor de fraude die gepleegd wordt.
Was het CVC-nummer (op de achterkant van de credit card) niet de oplossing voor dit soort problemen? Dat controlenummer wordt júist gebruikt om te controleren of degene die de betaling/opdracht uitvoert de kaart ook in z'n handen heeft.

Ik neem ook aan dat deze CVC-nummers niet bekend zijn bij toko's als 7-Eleven e.d., aangezien het uit den boze is (of zou moeten zijn) om CVC-nummers op te slaan.

Ergo, het zou onmogelijk moeten zijn om producten aan te schaffen met de gestolen gegevens, of zie ik iets over het hoofd?
Was het CVC-nummer (op de achterkant van de credit card) niet de oplossing voor dit soort problemen? Dat controlenummer wordt júist gebruikt om te controleren of degene die de betaling/opdracht uitvoert de kaart ook in z'n handen heeft.
Dat klopt, maar je weet dan als winkel nog niet of degenen die die kaart in handen heeft ook daadwerkelijk de legitieme eigenaar is, op wiens naam die card staat. Een dief die de fysieke kaart heeft, heeft immers de CVC-code ook.

Daarnaast heeft toch nog niet elke card zo'n code, vooral de oudere cards? Afaik is het ook pas sinds 2001 verplicht om deze code bij een transactie te controleren?
Het punt is juist dat ze geen fysieke kaarten gestolen hebben, maar alleen gegevens. Hierbij zouden de CVC-nummers dus moeten ontbreken.

Het zou kunnen dat het een te nieuwe ontwikkeling is om in dit geval alle getroffenen te beschermen en daarbij zou je inderdaad wel gewoon transacties kunnen doen op plaatsen waar het CVC-nummer niet wordt gecontroleerd. Als die websites/winkels nu nog bestaan dan lijkt het me trouwens wel zaak dat daar *pronto* iets met CVC-nummers gedaan gaat worden.
Zo'n code bestaat ook maar uit 3 cijfers, ofwel 1000 mogelijkheden. Op 130 miljoen kaarten moet je er dan toch minsten 130 duizend in 1 keer goed kunnen hebben.
Probleem is alleen dat veel payment providers deze code ook gewoon opslaan. Immers de payment provider moet het cc-nummer + de CVC code controleren bij de creditcard maatschappij. De CVC code maakt het alleen iets moeilijker om (bestaande) creditcard nummers te genereren..

Echter websites en/o payment providers slaan de combinatie inclusief NAW gegevens op in hun database. Je moet voor de grap trouwens eens kijken in een beter restaurant hoeveel klanten hun creditcard gewoon aan de ober meegeven en zelfs de pincode vertellen..
2 x 250.000 dollar boete? Je kunt dus beter 130 miljoen credit card gegevens jatten dan 24 mp3tjes delen op internet. Dat kost je 1.92 miljoen dollar. Alhoewel je dan weer niet de gevangenis in hoeft.
Een boete is wat anders dan een schadevergoeding. Als de man schuldig blijkt kunnen de creditcardmaatschappijen hun schade ook op hem proberen te verhalen. Het vervangen van 130 miljoen creditcards zal aardig in de papieren lopen... Maar goed, net als in het geval van die Jamie Thomas-zaak maakt het niet zoveel uit. De kans dat het ooit betaald wordt is nihil.
DAT hangt er dan weer van af wat hij met gegevens van 130 miljoen credit/debet cards heeft gedaan... 1 cent per kaart en hij heeft na de boete alsnog 8 ton winst...
belachelijk niet waar zoals het gaat vandaag de dag.

Bij justitie moet grondig een reorganisatie plaatsvinden.
Misdaad loont helaas nog steeds.
Vergeet niet dat de CC maatschappijen een percentage inhouden op de betaling naar de winkel of bedrijf. 3 tot 5%. De winkeliers en bedrijven zien je dan liever betalen met cash of pin omdat dit relatief goedkoper is. Het is meer een service van de winkel om betaling via CC mogelijk te maken. Ze zien het liever gaan dan bestaan.

Oh en als een CC transactie vals is trekt de CC maatschappij het geld weer terug van de winkel/bedrij en hebben daarom relatief weinig last van fraude. Het personeel wat nodig is om al deze administratieve handelingen uit te voeren is al duurder dan de fraude zelf.

De gedupeerde is altijd het bedrijf/winkel die de dienst/goederen geleverd heeft. Daarom wordt vooral winkelpersoneel gedrillt om handtekeningen te controleren c.q. te vragen. CC's met pinfunctie en pincodes zijn weer veiliger.
Het is meer een service van de winkel om betaling via CC mogelijk te maken. Ze zien het liever gaan dan bestaan.
Is dat zo? In grote delen van de wereld betaalt men vrijwel alles, met een credit card. Je kunt zelfs in maandelijkse termijnen betalen, de winkels brengen dan bv. in 6 termijnen de betaling in rekening. Vervolgens kun jij dan weer bij de CC-maatschappij in termijnen betalen, net wat je leuk vindt.

De prijzen zijn uiteraard hierop aangepast, men staat bijna raar te kijken wanneer je contant betaalt. En mocht je contant betalen, dan kun je vaak wel een kleine korting krijgen. Maar ook niet altijd, niet alle bedrijven willen contant geld in huis hebben. Dat levert ineens weer hele andere risico's op, risico's die het verschil tussen leven en dood kunnen maken.

Zonder credit cards zou een groot deel van deze winkels kunnen sluiten, de consumenten hebben dan gewoon geen geld meer te besteden. Vele duizenden shopping malls kunnen de deuren dan eveneens sluiten en de werkloosheid neemt schrikbarend toe.
Ze zien het liever gaan dan bestaan.
Denk je nu werkelijk dat er miljoenen werknemers zijn die liever werkloos zijn? En tienduizenden ondernemers zonder inkomsten? Geloof je nu echt dat men dat liever heeft?

In NL (en Europa?) is de CC niet populair maar dat zegt niets over de rest van de wereld.
Dat is waar. Mijn stelling is gebaseerd op mijn persoonlijke werkervaring bij een Nederlandse retailer.

In de VS is het schering en inslag om een CC te betalen en is het dan ook weer gebruikelijk om wekelijks je salaris te krijgen. Maar goed dat weet iedereen.

In ieder geval ben ik ervan overtuigd dat de CC maatschappijen weinig te klagen mogen hebben.
Ben ik alleen benieuwd, waar die gegevens nu zijn. Zijn de gegevens veilig gesteld of zwerven ze inmiddels rond op het internet?
Men kan nooit garanderen dat alles veiliggesteld is, wie weet is (een deel van) de zaak wel doorverkocht.

Ik neem aan dat de betreffende creditcard gewoon geblokkeerd zijn om verder is misbruik te voorkomen, daarmee is dat probleem dus ook opgelost.
OP het moment dat jij die betaling ziet en actie onderneemt, dan is het toch al te laat. Als klant wordt je goed beschermd door de creditcardmaatschappijen, maar zij zijn de klos.
ja gevaar zit m in kleine bedragen .
40 miljoen kaarhouders .
als je van elke kaarthoude 1 euro binnen krijgt is dat toch 40 miljoen ..
Het was vanochtend op de radio al, daar hadden ze het over 230 miljoen CC gegevens.

2e bron : http://www.security.nl/ar...en_creditcardnummers.html

Onlangs op canvas een reportage gezien over russische hackers. Die hadden daar een bedrijf, net zoals je hier een winkel zou hebben, waar mensen kunnen komen om hun ding te doen.

Een heel frappant voorbeeld om te zien hoe Rusland werkt op dat vlak :

Typ in Google in : virus - dan krijg je een lijst met anti-virussen, anti-spam, ...
Typ in Google in het Russisch : virus - dan krijg je een lijst met gegevens waar je virussen kan kopen of laten maken

2 maand geleden een seminarie van Messagelabs meegedaan en hierin kwam dit voorbeeld ook in terug. Zelf zijn we verdeler van Messagelabs diensten.

EDIT : deze zaken zullen in de toekomst enkel maar toenemen, landen met een lage ontwikkelingsgraad die door de informatisering in contact komen met internet en dergelijke, zullen sneller geneigd zijn om hun kennis hierin bij te schaven en zo illegale praktijken op te zetten.

It's the tip of the iceberg..

[Reactie gewijzigd door fredn op 18 augustus 2009 12:31]

sql-injectie :(
Ze zouden de bedrijven die die slechte sites gemaakt hebben moeten aanklagen. :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True