Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 12 reacties

Hackers hebben de gegevens van 360.000 klanten van de Amerikaanse Citibank buitgemaakt. Vorige week zei de bank nog dat 200.000 klanten waren getroffen. De hackers konden echter geen creditcardgegevens van de getroffen klanten inzien.

Desondanks hebben 217.000 mensen een nieuwe creditcard gekregen, meldt de bank. De consumentenbank van de Citigroup geeft geen gegevens vrij over hoe de hack heeft kunnen plaatsvinden. Dat zou de veiligheid in het geding brengen, zo redeneert de bank.

De New York Times suggereerde eerder dat de hack plaatsvond door een cijferreeks in de url te veranderen: na het inloggen op de site voor creditcardhouders stond er een identificatienummer in de url. Door die te wijzigen was het mogelijk de site te laten denken dat je als iemand anders was ingelogd. Met een geautomatiseerd script konden daardoor de gegevens worden ontvreemd. Het veranderen van de url om in te loggen als iemand anders wijst op een beginnersfout bij de beveiliging van de site.

De hackers konden gegevens als naam, adres en rekeningnummer inzien. Andere gegevens, zoals veiligheidscodes van creditcards, waren niet in te zien voor de hackers. Het vervangen van de creditcards is een preventieve maatregel. De aanval werd begin mei uitgevoerd. De bank bracht het nieuws van de hack pas vorige week naar buiten.

Update 10:50: Er is informatie over de mogelijke manier waarop de hack is uitgevoerd toegevoegd aan het artikel, met dank aan Mr. P.

Moderatie-faq Wijzig weergave

Reacties (12)

De consumentenbank van de Citigroup geeft geen gegevens vrij over hoe de hack heeft kunnen plaatsvinden. Dat zou de veiligheid in het geding brengen, zo redeneert de bank.

in dit artikel staat beschreven wat de methode zou zijn geweest:
How Hackers Stole 200,000+ Citi Accounts Just By Changing Numbers In The URL

[Reactie gewijzigd door Mr. P op 16 juni 2011 10:33]

Als dit waar is dan mag de bank zich toch diep gaan schamen !
Het begint de laatste tijd de spuigaten uit te lopen met al die datastealing hacks maar het is toch te belachelijk dat men met gewoon ID changes een andere user zijn data kan zien.
SQL injection en LFI exploiting , hoe ver moet het nog komen voor men de website beheerders is gaat leren dat er functies bestaan om dit allemaal te voorkomen , of hun php goed in leren stellen.

Bah wat een schande voor de mensen in de IT sector
Als de veiligheid in het geding zou brengen, betekent dit dus dat ze de problemen nog niet opgelost hebben?

Dit vind ik wel een kwalijke zaak om eerlijk te zijn, als bank zijnde ben ik van mening om dit te delen met de rest van de wereld zodat andere instanties ook kunnen controleren of zij ook niet mogelijk gehackt kunnen worden.
Als de veiligheid in het geding zou brengen, betekent dit dus dat ze de problemen nog niet opgelost hebben?
Nee, maar bekend maken hoe de hack gedaan is, is een uitnodiging voor criminelen om dezelfde hack op andere banken met wellicht dezelfde systemen uit te proberen.
Ja. Dat betekent dus dat de gebruikte manier nog steeds gebruikt kan worden en dus is de bug/exploit/kwetsbaarheid nog steeds niet verwijderd.
En waarom zou een bedrijf zich druk maken over een andere bank? Banken zijn ook gewoon bedrijven die met elkaar concureren.
inderdaad dat is bijna eeen uitnodiging voor de originele hackers met de opgedane ervaringen het gewoon nog een keer te proberen aangezien het in elk geval nog deels open is...

hopen dat dit geen staartje krijgt.
Hmm op zich netjes toch eerst alles regelen en dan pas naar buiten brengen voordat de mensen weer wanhopig in paniek raken ;)
Jemig, die methode werkte 10 jaar geleden ofzo nog op websites als ClanBase.. Maar op een website van één van de grootste banken op de wereld? Ongelooflijk..
Dit zul je eerder bij een US bank zien dan bij een EU bank. De banksystemen in de grootste economie ter wereld zijn, in vergelijking met wat wij gewend zijn (IB, Ideal, IBAN, SEPA, incasso's etc) sowieso 'ouderwets', en het zou mij niets verbazen als de IT achter hun oude systemen (online cheque processing, money transfers, credit card accounts, pre paid cards) ook nog van voor 1995 stamt.
Een creditcard "preventief" vervangen nadat ze pas gehackt zijn waarbij geen creditcardgegevens buit zijn gemaakt klinkt nogal verdacht. Het straalt niet echt vertrouwen uit naar mijn mening
maar het kan ook een middel zijn om je klanten gerust te stellen. hun hebben ook zo iets van mijn creditcard. dus door ze te vervangen geven ze hun klanten een veiliger gevoel.
Inderdaad, als ze echt niet bij die gegevens zijn gekomen hoef je geen nieuwe cards uit te delen. En wanneer de bank je verzekerd dat je geen nieuwe card nodig hebt is dat wel een geruststelling denk ik. Hoewel sommige mensen uiteraard pas gerustgesteld zijn wanneer ze een nieuwe card hebben ;)

Er zullen daar een aantal mensen bij die bank goed hebben zitten zweten iig :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True