Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Een beveiligingslek in een database van de firma Epsilon, waarin e-mailadressen van miljoenen Amerikanen staan opgeslagen, blijkt nog groter dan gedacht. Een onbekende hacker zou de mailadressen hebben buitgemaakt.

Afgelopen vrijdag werd bekend dat de maildatabase van de Amerikaanse marketingfirma Epsilon was gekraakt. In deze database staan e-mailadressen en namen van miljoenen Amerikanen opgeslagen. Aanvankelijk leken alleen de mailadressen van de supermarktketen Kroger door de hackers bemachtigd te zijn.

In het weekeinde is echter duidelijk geworden dat de aanvallers mailadressen van nog veel meer Amerikaanse bedrijven die gebruikmaken van de diensten van Epsilon zijn buitgemaakt. Onder hen zijn de gegevens van klanten van Best Buy, TiVo, JPMorgan Chase & Co, Citigroup en Home Shopping Network. Naast e-mailadressen zouden in enkele gevallen ook andere klantgegevens zijn buitgemaakt.

Epsilon, een firma die jaarlijks 40 miljard e-mails verstuurt en meer dan 2500 bedrijven als klant heeft, stelt dat het een onderzoek heeft ingesteld naar het lekken van klantgegevens uit zijn database. Er zouden geen creditcardgegevens of inloggegevens zijn bemachtigd. Beveiligingsonderzoekers vrezen echter dat door het lekken van miljoenen e-mailadressen en namen kan leiden tot een vloedgolf aan spam en phishing-aanvallen.

Epsilon heeft zijn klanten zelf op de hoogte gesteld van het lek, zo blijkt uit een verklaring van Best Buy. Ook TiVo is door het mailbedrijf gewaarschuwd. Epsilon stelt dat er geen creditcardgegevens zijn buitgemaakt en dat de schade beperkt is gebleven tot mailadressen en voornamen.

Moderatie-faq Wijzig weergave

Reacties (31)

Voor de mensen die denken dat het geen kwaad kan...

nieuws: RSA-hackers verkregen toegang via phishing-mails

niet direct gerelateerd maar dit kunnen wel de gevolgen zijn.
Het zelfde geld trouwens voor dat beveiligingsbedrijf dat door anonymous werd gehackt..
Totaal niet gerelateerd. Die aanval was gericht en ze hebben dus de gegevens opgezocht, vermoedelijk door gewoon facebook te openen of linkedin.
Ben benieuwd om wat voor soort lek dit gaat. Ik snap dat je je systeem open wilt zetten voor je klanten zodat zij de email adressen uit hun klantenbestand kunnen syncen met jouw database maar dit zou je toegang leveren tot de adressen van 1 klant. Ten minste, ik neem aan dat ze toch wel goed nagedacht hebben over de scheiding van data van de diverse klanten. Dan zou het dus zo moeten zijn dat er misbruik is gemaakt van externe toegang/services voor beheer.
Waarschijnlijk zijn de gegevens voor de individuele klant (dus de bedrijven die mailings laten uitsturen) wel per klant afgeschermd, maar zijn ze intern gewoon in één database opgeslagen. Want anders kunnen ze natuurlijk geen customer profiling doen, iets wat ze als "strategic service" aanbieden.

Een beetje wat Google doet, maar dan niet vanuit een zoekmachine, maar vanuit mailings en de respons daarop. En ze leren natuurlijk het meest door gegevens te combineren uit mailing-acties van meerdere klanten. Het lijkt me dus heel waarschijnlijk dat al die e-mail adressen in één database zitten.

En als ik dan nog even verder visualiseer (mooi woord voor fantaseren), dan kan het zomaar zijn dat daar een heel nest "analisten" zit die druk bezig zijn allerlei slimme data mining dingen te doen met die data. En daarbij moeten dingen als beveiliging en compartimentalisatie van klantgegevens natuurlijk niet teveel in de weg zitten, da's alleen maar lastig...

Dus ze roepen wel dat de database "gekraakt" is, maar het is veel waarschijnlijker dat er gewoon slecht beveiligd is. Misbruik, zoals je al zegt.
Waarschijnlijk weer een sql-injectie
Brookstone is ook een van de slachtoffers, daar ooit wel eens wat besteld, en kreeg deze mail van ze:
Dear Valued Brookstone Customer,

On March 31, we were informed by our e-mail service provider that your e-mail address may have been exposed by unauthorized entry into their system. Our e-mail service provider deploys e-mails on our behalf to customers in our e-mail database.

We want to assure you that the only information that may have been obtained was your first name and e-mail address. Your account and any other personally identifiable information are not stored in this system and were not at risk.

Please note, it is possible you may receive spam e-mail messages as a result. We want to urge you to be cautious when opening links or attachments from unknown third parties.

In keeping with best industry security practices, Brookstone will never ask you to provide or confirm any information, including credit card numbers, unless you are on our secure e-commerce site, Brookstone.com.

Our service provider has reported this incident to the appropriate authorities.

We regret this has taken place and for any inconvenience this may have caused you. We take your privacy very seriously, and we will continue to work diligently to protect your personal information.

Sincerely,

Brookstone Customer Care
Er gaat op dit moment ook al iets mis met hun SSL certificaat.. sec_error_unknown_issuer.
Dit lijkt misschien niet ernstig, maar als ze de combinatie hebben van de mailadressen, en het bedrijf waar men klant is, word phishing wel erg gemakkelijk. Zeker omdat er banken bij zijn is dit ernstig. Ja ik weet het, de gemiddelde tweaker is misschien niet gemakkelijk om de tuin te leiden, maar de gemiddelde internetter trapt er wel in.
Grote blaam voor dat bedrijf, poen pakken ja hoor, maar de klant gegevens veilig houden, ho maar.
Ik vind het eigenlijk nog wel wat mee vallen, wat er dan gelekt is aan data. Het bedrijf heeft wel verschil gemaakt in wat er in de verschillende databases is opgeslagen. Zo is er als word gezegd, er alleen voornamen en email adressen gelekt.

Door een scheiding van gegevens is er hier dus voorkomen dat er creditcard gegevens zijn uitgelekt of misschien wel meer belangerijke info
Denk dat dat bedrijf wel failliet zal gaan, alleen de imagoschade is al enorm.
Denk het helemaal niet, niemand die epsilon werkelijk kent, het zijn alleen maar wat emailadressen/voornamen die gestolen zijn..
Uhm, dat de gewone consument ze niet kent maar natuurlijk helemaal niks uit. Het gaat om hun doelgroep, de zakelijke klant. En die kent dat bedrijf natuurlijk wel. Imageschade is dus wel degelijk erg groot, maar dat hoeft helemaal niet te betekenen dat een bedrijf meteen failliet verklaard zal worden.
denk je ik weet het bijna al zeker ;)
Zal wel meevallen. Hun klanten hebben hier toch niet direct last van?
Ze hebben hun klanten via de mail op de hoogte gesteld... [/domme opmerking]

Het hangt er natuurlijk vanaf welke DB er gebruikt wordt. Oracle staat er bekend om dat het extreem moeilijk is om patches ff snel te implementeren. De meeste DBA's die met Oracle werken lopen een 'paar' patches achter. Hoe groter en gecompliceerder de DB is hoe langer het duurt voordat de patches zijn geïmplementeerd...
Nou ja, je naam en je e-mailadres. Hoe belangrijk kan het zijn? Die van mij staan gewoon op m'n website.
Je kunt vaak toch net wat meer te weten komen dan alleen naam en emailadres. Met profiling kun je uit gerelateerde gegevens nog meer vissen. Als bijvoorbeeld iemand met die naam en dat emailadres op een bepaalde maillijst staat weet je al dat hij / zij interesse heeft in een bepaald soort bedrijf / product. Ook het simpele feit of iemand man of vrouw is / lijkt te zijn kan voor een adverteerder (of spammer) al waardevol zijn.
Stiekem is er veel meer informatie over iemand te halen dan je zou verwachten.

[Reactie gewijzigd door Sn0zz op 4 april 2011 12:47]

Nou ik denk heel belangrijk.. omdat je niet blij zal zijn met 10s 100s spam mails per dag
Goed lezen Wouter, het gaat niet om wachtwoorden. Epsilon beheerd geen mailadressen, maar heeft een lijst van mailadressen voor marketingdoeleinden.

Eigenlijk is een legaal opererende spamboer gehackt zodat een illegaal opererende spamboer zijn gang kan gaan. Ik denk inderdaad dat dit een enorme tik zal zijn voor dit bedrijf. De corebusiness is in feite gejat.

@Mazza, je hebt +2 gekregen voor informatief. Gefeliciteerd.
Spamboeren versturen ook niets via outlook en zijn gespecialiseerd in het versturen van mail naar grote adresbestanden. Speciaal daarvoor gemaakte applicatie klinkt heel stoer, maar het gaat hier gewoon om mailservers die elke ICT'er kan inrichten.
Ik denk dat Epsilon deze relatief eenvoudige techniek gewoon goed heeft kunnen verkopen, maar dat ze op technisch vlak niet veel meer zijn dan wat spamboeren ook doen en dat is veel mails versturen. Alleen Epsilon doet het legaal en in opdracht van.

[Reactie gewijzigd door Kaw op 4 april 2011 09:59]

Spamboer? Bijna goed. Het gaat hier gewoon om een legitiem bedrijf dat is gespecialiseerd in het versturen van mailings naar grote adresbestanden. En dat klinkt heel eng voor een leek, maar denk eens aan een bedrijf als Heineken dat wereldwijd miljoenen klanten heeft die zich inschrijven voor hun nieuwsbrief. Daar stuur je geen mailtje naartoe vanuit Outlook maar vanaf een speciaal daarvoor gemaakte applicatie die ook nog eens statistiek bijhoudt en unsubscribers, bounces etc.

Die faciliteit biedt Epsilon onder andere. De maillijsten (de subscribers van die nieuwsbrieven) die staan in dat systeem en het gaat dus om diezelfde lijsten die nu op straat zijn komen te liggen.
spamboer, dus :) :9

[Reactie gewijzigd door Gamebuster op 4 april 2011 14:06]

Dat noemt men een wachtwoord. Bovendien gaat het hier helemaal niet over de wachtwoorden, alleen over naam en e-mailadres.
Er wordt enkel iets gemeld over e-mailadressen, niets over wachtwoorden. Ik denk niet dat ze mails kunnen lezen, maar enkel voor spamdoeleinden gebruikt zullen worden.
ik weet niet of je het artikel hebt gelezen (en je eigen bericht) maar er zijn helemaal geen mails van gebruikers in het systeem:
een firma die jaarlijks 40 miljard e-mails verstuurt en meer dan 2500 bedrijven als klant heeft,
Ze verzorgen alleen mass mailing.
Ze hebben op dit moment alleen mail adressen bemachtigd, niet toegang tot mail adressen ;)

En wat Hotmail betreft;
Wanneer je zonder leestekens blijft schrijven zullen hackers de moeite niet nemen. ;)
En nu in normaal nederlands... maargoed jouw post geeft al aan dat je blijkbaar ook moeite hebt met begrijpend lezen..
Eens! 'k weet dat ik er eigenlijk niets over mag zeggen in een reactie, maar persoonlijk word ik best moe van die first posts. Zelden ontstijgen ze het niveau lik me vessie. Maarja, blijkbaar is voor sommigen die first post zo belangrijk, dat inhoud en vorm er niet toe doen.
Ff een klein tipje voor als je weer een "first-post" hebt; Een leesteken is een teken dat in tekst gebruikt wordt om de leesbaarheid te verbeteren.

(bron) http://nl.wikipedia.org/wiki/Leesteken

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True