Privégegevens Citigroup-klanten mogelijk buitgemaakt

Er is ingebroken op de servers van Citigroup, een grote Amerikaanse bank. Hackers zouden mogelijk privégevens van 200.000 klanten hebben kunnen bekijken. Het is onduidelijk of creditcardnummers konden worden ontvreemd.

Bij de aanval zouden mogelijk gegevens van klanten zijn buitgemaakt, waarbij het onder andere ging om informatie als e-mailadressen, accountnummers en namen. Gevoeligere informatie zoals sofinummers, verloopdata van kaarten en veiligheidscodes zijn niet ontvreemd, meldt de Financial Times. Het is onduidelijk of de hackers wel creditcardnummers konden inzien. De bank heeft in totaal 21 miljoen klanten.

Volgens Reuters hebben de hackers daadwerkelijk toegang gehad tot de gegevens, en ging het om 200.000 getroffen klanten. De aanval zou al begin mei zijn uitgevoerd, maar Citigroup begint nu pas met het op de hoogte stellen van getroffen klanten. Het is onbekend of er misbruik is gepleegd met de gegevens.

Volgens Citi gaat het enkel om de gegevens van creditcard-klanten die zouden zijn buitgemaakt, maar volgens de Financial Times zijn waarschijnlijk ook houders van betaalkaarten getroffen. Meerdere klanten van de bank zouden hun pinpas niet meer kunnen gebruiken. Dat zou aangeven dat er fraude is gedetecteerd en de passen zijn geblokkeerd.

IT-banen

Reacties (17)

Thermometer 9 juni 2011 14:02

Ik vraag me echt af wat nou het doel van de hackers inhoudt. De laatste tijd zie je steeds meer grote bedrijven die gehackt worden, waarbij er gegevens gestolen worden.

Doen de hackers dit puur om het hacken? Of willen ze een statement maken dat bedrijven meer geld in beveiliging van hun data moeten steken? Het feit dat ze het daadwerkelijk stelen lijkt me niet zomaar een bericht aan de bedrijven dat ze een gat gevonden hebben.

[Reactie gewijzigd door Thermometer op 22 juli 2024 23:33]

Verwijderd @Thermometer • 9 juni 2011 14:10

Er word enorm veel gehandeld in dit soort data, spammers maken dankbaar gebruik van mailadressen, criminele bendes maken gebruik van de rekening gegevens.

Een bank aanvallen is meer dan een statement, 99 van de 100 gevallen gaat het puur om criminaliteit.

gepebril @Thermometer • 9 juni 2011 16:01

Vroeger was het 'not done' om dit soort zaken aan de grote klok te hangen. En kon men doordat Internet nog niet zo groot was dergelijke fenomenen in de doofpot stoppen. Sinds zelfs grote bedrijven als Sony het niet meer kunnen ontkennen volgen meer bekentenissen.

Baserk @gepebril • 9 juni 2011 17:29

In de V.S. bestaat een wettelijke verplichting omtrent 'data breach disclosure'.
Bedrijven zijn verplicht om klanten op de hoogte te brengen indien data van hen op een of andere manier onterecht buiten het bedrijf beschikbaar is gekomen.
Bedrijven zijn dus wettelijk verplicht om gevallen, zoals bijv. recent Sony en nu Citigroup, te melden aan hun klanten.
Daarnaast stellen die wetten ook nog verschillende zorgvuldigheids-eisen aan de melding richting de klant. Daar verwijst bijv. Sony's VP Kaz Hirai naar in zijn interview met de Guardian (link) (als verklaring voor het niet onmiddelijk bekend maken van de LulzSec hack).

De Amerikaanse wetgeving omtrent 'data breach disclosure'; de verplichting om klanten te informeren en de boetes die opgelegd worden aan bedrijven (in geval van een hack of bijv. een personeelslid die een USB stick verliest) is zelfs zo streng dat er nu al wordt getwijfeld of klanten nog wel voldoende waarde hechten aan die meldingen (indien ze die frequent ontvangen) (link).
De boetes voor bedrijven in de VS (ook die hun zaakjes redelijk op order hebben) kunnen zodanig zijn dat die organisaties wellicht ertoe gaan neigen om (kleine) incidenten helemaal niet meer te gaan melden. link

(Beide laatste links zijn van CSO-Online.com, daar wordt natuurlijk een beetje voor eigen parochie gepreekt).

[Reactie gewijzigd door Baserk op 22 juli 2024 23:33]

rootpowered 9 juni 2011 13:58

lekker is dat als bank zijnde zo laat te informeren.

Caelorum @rootpowered • 9 juni 2011 14:53

Het zal ongetwijfels op last van de FBI oid zijn gebeurt.
Het is wel behoorlijk pijnlijk dit.

Louw Post

@rootpowered • 9 juni 2011 13:59

Vooral als dan plotseling je pin geblokkeerd is.

2Dutch @Louw Post • 9 juni 2011 14:35

Dit geintje gaat die bank een boel klanten kosten! Dat je gehackt wordt is 1 ding, dat je je klanten niet direct informeert: doodsteek.

Verwijderd 9 juni 2011 14:05

Ik ben dan persoonlijk weer geïnteresseerd in twee zaken. Hoe deden ze dit en waarom was dit mogelijk (kans is aanwezig dat antwoord op vraag twee beantwoord door het antwoord op vraag een)?

durian @Verwijderd • 9 juni 2011 14:22

Ik ben dan persoonlijk weer geïnteresseerd in twee zaken. Hoe deden ze dit en waarom was dit mogelijk (kans is aanwezig dat antwoord op vraag twee beantwoord door het antwoord op vraag een)?

Mogelijk omdat goede veiligheid moeilijk is, en geld kost. Banken worden gestuurd door korte termijn denken/korte termijn winsten, en als een bestuurder z'n bonus kan halen door een deel van de IT afdeling te ontslaan zal hij (zij) dat doen. Het beloningssysteem is er niet op gericht om grotere investeringen te doen die op de lange termijn een "onzichtbaar" resultaat geven. Ook worden klanten redelijk makkelijk gecompenseerd (goedkoper op de korte termijn) en die zullen ook niet echt een veiliger systeem eisen (en die kosten zullen toch weer op de klant afgewenteld worden).

cyuen 9 juni 2011 13:59

Hmm.. vraag me af of de Amerikaanse overheid/consument op dezelfde gaan reageren als op Sony PSN... omdat er ook al een paar weken over heen zijn gegaan..

De grootste verschil is dat het heel duidelijk was dat Sony was gehackt omdat Sony zelf de hele systeem offline hebben gezet