Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

Criminele hackers hebben met de creditcardgegevens van circa 3400 Citigroup-klanten circa 2,7 miljoen dollar buitgemaakt. Het is de eerste keer dat Citigroup erkent dat de hack in zijn betaalsysteem financiŽle schade heeft opgeleverd.

De 3400 getroffen klanten zullen hun geld terugkrijgen van de bank, zo meldt Bloomberg. In totaal zijn er gegevens van meer dan 360.000 rekeninghouders bij Citigroup buitgemaakt bij de hack die in juni plaatsvond.

Aanvankelijk stelde Citigroup, de op twee na grootste bank in de Verenigde Staten, dat de creditcarddata en andere privégegevens van 'slechts' 200.000 klanten door hackers was buitgemaakt. Een week later steeg dit aantal naar ruim 360.000 rekeninghouders, circa 1,5 procent van het klantenbestand van Citigroup.

De hackers wisten vermoedelijk toegang te krijgen tot het betaalsysteem van Citigroup door de url te manipuleren. Citigroup stelt dat het inmiddels voldoende maatregelen heeft getroffen om herhaling te voorkomen. Ook heeft het honderdduizenden klanten een nieuwe creditcard gegeven.

Moderatie-faq Wijzig weergave

Reacties (40)

Er is veel meer fraude bij banken dan via de media naar buiten komt. De banken doen ook niet altijd aangifte. Banken zitten in de security business en een slecht security image is slecht voor business.

Het is voor een bank een risico management en risk mitigation verhaal. Bijvoorbeeld:

- Risico R kan b.v. 10 keer per jaar optreden met gemiddeld 100.000 euro schade per geval, totale schade 1 miljoen euro / jaar.

Stel nu dat ze een Application Level Neural Mind Reader Reverse Proxy Firewall zou bestaan die dit risico zou wegnemen, maar deze oplossing kost 700.000 euro in aanschaf. plus 800.000 euro / jaar aan maintenance. De bank zou dan vaak op basis van risk management kunnen beslissen deze magische firewall NIET te implementeren. In plaats daarvan zouden ze kunnen kiezen voor een risk mitigation die een combinatie van verzekeringen zijn, plus het verhogen van de kosten van de eindklant.

Een afweging dus tussen de kans dat een risico daadwerkelijk optreed, de kosten van de schade en de kosten om de kans dat het risico op treed te verminderen of volledig weg te nemen.

Het naar buiten brengen van incidenten kost een bank teveel in reputatie schade. Dus als ze het kunnen vermijden zullen dat gewoon niet doen.
Ik vind het wonderbaarlijk, dat diegenen die het gedaan hebben nog niet gepakt (zouden) zijn. Ik mag dan misschien niet bij de politie werken, maar volgens mij, zijn geldstromen toch altijd goed te volgen? Digitaal geld zou net als echt geld gewoon sporen na moeten laten toch?

Kan iemand mij uitleggen hoe je het voor elkaar krijgt om 2,7 miljoen euro digitaal te jatten om dit vervolgens ook nog ergens te kunnen uitgeven. Het geld moet toch van de ene rekening naar een andere gesluist worden? En als ze het direct uitgeven, dan zijn er toch ook adressen van ontvangers van goederen bekend? Ik snap niet dat deze criminaliteit uberhaupt nog mogelijk is, ook al zijn de beveiligingen niet perfect...
Ongeveer zo:
Geld over sluizen naar een buitenlandse bank (een bank die geen betalingsgegevens afstaat aan het "westen"). Vervolgens het geld naar een andere buitenlandse bank (die ook natuurlijk geen gegevens doorgeeft), en daarna kan het in theorie naar je eigen bank (niet het bedrag in 1x natuurlijk, en het liefst op verschillende rekeningen). Jij zelf wilt natuurlijk geen link met het eerste rekeningnummer.

En hoe meer oversluizen, en hoe meer tussen rekeningen, hoe beter.
Maar is de Citigroup geen bank die internationaal (ook in al dat soort landen) erg actief is? Op een of andere manier lijkt het me nog steeds een beetje vreemd, dat dit soort dingen nog steeds kunnen, al ken ik die verhalen die jullie allemaal schetsen ook.

Wonderbaarlijke wereld, criminele staten zijn er genoeg, dus een eind aan iets als dit maken blijft moeilijk. Maar je zou verwachten dat het toch ook wel makkelijker zou moeten kunnen worden met alle technologie die tegenwoordig beschikbaar is en dan nog, terughalen van funds zou toch moeten kunnen, zeker met digitaal geld, aangezien je niet letterlijk goud kwijt bent of iets dergelijks.

Het is in mijn ogen vreemd, dat als je weet hoe het geld is verdwenen, dat je dan niet de mogelijkheid hebt om het gewoon terug te draaien, door simpelweg het echte geld niet over te hevelen naar de desbetreffende ontvangers.
Een internationale organisatie is gewoon een bedrijf die 1 land heeft als hoofdvestiging. In al de andere landen waar ze actief zijn hebben ze een lokaal (of een fictief) kantoor. Het is dus niet zo dat een Amerikaans bedrijf zich in NL kan vestigen zonder een Nederlandse (Europese) BV te hebben.

Heb je dus een lokale BV dan moet je voldoen aan de lokale wetten.

Dit staat verder los van de technologie en de mogelijkheden van een internationaal opererend bedrijf... Dit zijn gewoon de wetten waaraan jij als bedrijf aan moet voldoen om zaken in het betreffende land te kunnen doen.

Dat het niet helemaal is zoals we het willen hebben dat begrijp ik maar je kan helaas niet om de politiek heen
Je maakt het over naar een lokale Chinese bank en je zorgt ervoor dat het geld even langs andere banken gaat die in landen zitten waar het land waar jij in woont geen verdragen mee heeft.

Dit is vrij simpel is geldt eigenlijk ook voor mensen die ondergedoken zijn in het buitenland
Geld overmaken naar buitenlandse rekeningen van landen die het bankgeheim nog hebben of waar er rekeningen zijn geopend onder valse info en waar het geld gewoon in een keer wordt opgenomen op een locatie zonder camera's.
De hackers wisten vermoedelijk toegang te krijgen tot het betaalsysteem van Citigroup door de url te manipuleren. :'(

Ik heb geen verstand van hacken, maar een betaalsysteem moet toch niet zo eenvoudig te hacken zijn door het aanpassen van een url?
Zo makkelijk is dat niet hoor.

Wel treurig overigens, ik neem aan dat de hackers nog niet zijn opgespoord?
Door het manipuleren van de URL houd waarschijnlijk in dat de hackers via het bestandssysteem dit soort gegeven hebben buit gemaakt (auw auw auw) of dat ze de opties open hadden gelaten door variabelen in de querystring niet te controleren. Beide fouten horen tot standaard beveiliging die je sowieso moet hebben. (Rule 1, don't trust your users)

Al met al klinkt dit wel erg amateuristisch, zeker voor zo'n grote bank
Weet iemand hoe ze het precies hebben gedaan? Het zal heus niet een parameter van een 0 naar een 1 veranderen zijn geweest. Wellicht hebben ze een securitytoken gemanipuleerd in de URL. Who knows?
Volgens de New York Times moesten ze eerste inloggen, en konden ze daarna een willekeurig rekeningnummer in de URL opgeven om de gegevens van dat rekeningnummer te bekijken.

Bron: http://www.nytimes.com/20....html?_r=2&ref=technology

Kortom, een gigantische security-blunder van de Citibank.
Na het inloggen op de citigroup website stond het rekeningnummer blijkbaar in de url en was het mogelijk om een ander rekeningnummer op te geven. De website controleerde niet of je wel toegang had voor het nieuwe rekening nummer.
Er werd dus wel authenticatie toegepast maar niet gecontroleerd op autorisatie.
Toch wel...
Ze hebben gewoon het userId veranderd inde URL. Zie:
http://consumerist.com/20...rowser-vulnerability.html
hey, ik ben ooit opgepakt geweest door de 1 in een 0 te veranderen van een url... (cost=1 op cost=0 gezet...)
Zo moeilijk is dat nou ook weer niet en het voorkomen is nog makkelijker. Ik kan het bijv niet zelf doen maar ik kan het wel gemakkelijk voorkomen :) (je kan al bij aanvang het URL controlleren op inhoud en daaraan conclusie hangen zoals bijv een variable die te lang is of vreemde tekens in een variable waar normaal alleen tekst in staat)

[Reactie gewijzigd door Mellow Jack op 27 juni 2011 11:47]

sql injection waarschijnlijk. Iets dat niet gechecked werd en wel in een query terecht kwam, dat dan zo aanpassen dat het de database dumpt. Amateuristische beveiliginsfout, als dat het was. Erg triest voor een financieleinstelling.
Dit lijkt het begin van het einde van de IT... Hackers worden sowieso slimmer naarmate de "beveiliging" wordt verscherpt, dus eigenlijk zou ik vrij angstig zijn als zoiets mij zou overkomen. :o

[Reactie gewijzigd door SalimRMAF op 27 juni 2011 11:30]

Of het management dat te weinig budget vrijmaakt voor security?

off-topic edit: achteraf je reply aanpassen is best wel zielig trouwens.

[Reactie gewijzigd door F!SH op 27 juni 2011 12:04]

Of het management maakt een rekensom. Op een totaal budget van deze bank, een van de allergrootste in de wereld!, is 2.7 Mln nix! Da's minder dan je aan beveliging op alle punten uit moet geven. Dus is het rendement van beveiligen minder groot dan de schade.

Net als dat je geen slot van 100 euro op een fiets van een tientje zet.
Banken draaien op vertrouwen. Volgens mij is vertrouwen hebben in een bank moeilijk te kwantificeren, maar mocht er een bedrag aan hangen dan is dit ongetwijfeld meer dan 2.7 miljoen ;)!
Klopt niet in dit geval... Het gaat om een slecht geprogrammeerde omgeving. Dit heeft eigenlijk niks met beveiligen te maken omdat het gewoon een ontwerp fout is geweest. Het is gewoon mogelijk geweest om je rekening nr in het URL te veranderen om zo toegang te krijgen tot een rekening waar je geen autorisatie voor hebt.
Als men meer geld had uitgegeven, was er wellicht een betere software architect geweest, die dezelfde fout niet had gemaakt.
Je bron daarvoor is :S... want manipulatie van de url is absoluut niet te vergelijken met waar jij het over hebt. Manipulaties van de url kan dingen omvatten zoals cross site scripting aanvallen (is het trouwens zeker niet in dit geval, want dan zou de aanval zelf anders zijn verlopen) waar een 'paar' jaar geleden nog nauwelijks over werd nagedacht en zelfs een goed programmeur zich niet druk over had gemaakt.

EN @IEDEREEN HIER VER ONDER DIE HETZELFDE DENKT; url manipulaties (samen met post header manipulatie) is de enige manier hoe je met andere (http) websites feitelijk communiceert (en dus beinvloed) en dat is dus geenszins een teken van extra slechte beveiliging.

[Reactie gewijzigd door David Mulder op 28 juni 2011 01:34]

Ach ik zou het nog wel zien gebeuren dat ze fort knox hacken alle beveiligings alarmen uit zetten lampen en camera's uitschakelen dan paar dikke slaapgas granaten naar binnen gooien.
En met gasmaskers en nightvision goggle's naar binnen gaan en even met allerlei goudstaven naar buiten lopen en verdwijnen van de aardbodem.

Maar vind het schandalig dat de "security" van zo'n bank al zo lek is als de pest, omdat ze denken dat gebeurt toch niet

[Reactie gewijzigd door kniftagstuh op 27 juni 2011 13:27]

Wat dacht je wat ze aan goodwill verliezen door dit soort geintjes? Ga dat maar eens in miljoenen uitdrukken...

Dit is net zoiets als zeggen: het ontwikkelen van de website kostte ze maar $20.000 dollar, waarom zouden ze dan $500.000 aan beveiliging uitgeven? Dat is veel meer dan wat de hele site heeft gekost, belachelijk!

:+
Helemaal met je eens, ik denk dat daar het grootste knelpunt zit..
Bij het achteraf je reply aanpassen, zeker weten :P (sorry, ik las het zo en kon het niet laten :+ )

Maare, los daarvan, werk nu zelf in de ict en ons bedrijf maakt top producten, maar genoeg van de oudere code is zo lek als een mandje wat betreft beveiliging. Naja, bij de producten waar het echt uitmaakt is dat de laatste paar jaar echt super goed verbeterd, maar vooral in het bedrijfs leven zie je volgens mij vaak genoeg dat bijv. een bank iets laat maken maar daarna niet voldoende onderhoud pleegt aan hun producten "want ze werken toch al". Wat mij betreft zouden de meeste producten eens per - laat ik zeggen - 5 jaar van de grond af moeten worden herschreven, het kost wat, maar je krijgt het volgens mij ook wel dubbel en dik terug.
Kan je praten over een beveiliging wanneer je bug in je software misbruikt kan worden door het URL te veranderen?
Ja. Dat is teken dat je je URL's niet goed afhandeld
Dat is dus een ontwerp fout in de software en niet in de beveiliging.
Valt reuze mee.. Deze crack + bijv die van LulzSec waren allemaal op basis van Cross Site Scripting (XSS) en SQL Injecties.
Waar slaat dat nu weer op?

Hier is juist behoefte naar (fatsoenlijk) IT beleid.
Het probleem bij de meeste bedrijven is dat degene die beslissingen maken op het gebied van IT zelf geen verstand hebben van IT en daardoor slechte beslissingen nemen en/of kwakzalvers aannemen die kennelijk hun systeem goed verbergen. Via de url dingen buitmaken zou namelijk nooit mogen gebeuren.
Natuurlijk leren hackers ook bij maar als je de beveiliging steeds strenger maakt dan neemt het aantal hackers dat de beveiliging kan breken wel af. Dat is dus wel degelijk wat er gebeuren moet.
Dat is maar USD 7,50 per rekening gemiddeld. Zou dat expres zijn gebeurd om detectie te vertragen?
'"De 3400 getroffen klanten" U bedoelt natuurlijk 2.700.000 / 3400 = 7941$; gemiddeld.
The customers will be reimbursed

Dat is meer dan alleen geld terugkrijgen, ook eventuele extra schade wordt hiermee bedoeld.
Als het nu het geld eens aan de armen zou gegeven worden zou dit werkelijk een goede daad zijn geweest, maar te vergeefs ...
Sorry maar las ik het nu goed...? Door de URL te manipuleren??? Ik ben geen hacker, maar volgens mij is de url manipuleren les 1.a van de hackers handleiding! Zo snap ik ook niet waarom SQL injection nog steeds werkt.

Maar goed URL manipuleren dus. Stelen mag niet maar als je een koffer met 2.7 miljoen vindt en het is oh zo makkelijk mee te nemen... Ik weet niet of ik dan wel zo eerlijk ben :|
Hahahah en dan word er een hacker opgepakt en dan vinden we het met z'n alle zo zielig want dat is toch geen diefstal/crimineel gedrag. Foei 4 weken voorwaardelijke taakstraf. Geloof me alleen de super "grote" hackers besteden ze aandacht aan en die durven ze niet eens aan te pakken.

Ik vraag me af wat deze mensen zouden krijgen. Misschien 2 maanden zitten en dan zeggen dat je het geld niet meer hebt... jha opgemaakt kan niks terug betalen. Snel verdiend in 2 maanden. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True