Citigroup-hackers wisten 2,7 miljoen dollar buit te maken

Criminele hackers hebben met de creditcardgegevens van circa 3400 Citigroup-klanten circa 2,7 miljoen dollar buitgemaakt. Het is de eerste keer dat Citigroup erkent dat de hack in zijn betaalsysteem financiële schade heeft opgeleverd.

De 3400 getroffen klanten zullen hun geld terugkrijgen van de bank, zo meldt Bloomberg. In totaal zijn er gegevens van meer dan 360.000 rekeninghouders bij Citigroup buitgemaakt bij de hack die in juni plaatsvond.

Aanvankelijk stelde Citigroup, de op twee na grootste bank in de Verenigde Staten, dat de creditcarddata en andere privégegevens van 'slechts' 200.000 klanten door hackers was buitgemaakt. Een week later steeg dit aantal naar ruim 360.000 rekeninghouders, circa 1,5 procent van het klantenbestand van Citigroup.

De hackers wisten vermoedelijk toegang te krijgen tot het betaalsysteem van Citigroup door de url te manipuleren. Citigroup stelt dat het inmiddels voldoende maatregelen heeft getroffen om herhaling te voorkomen. Ook heeft het honderdduizenden klanten een nieuwe creditcard gegeven.

IT-banen

Reacties (40)

Sebast1aan 27 juni 2011 12:45

Er is veel meer fraude bij banken dan via de media naar buiten komt. De banken doen ook niet altijd aangifte. Banken zitten in de security business en een slecht security image is slecht voor business.

Het is voor een bank een risico management en risk mitigation verhaal. Bijvoorbeeld:

- Risico R kan b.v. 10 keer per jaar optreden met gemiddeld 100.000 euro schade per geval, totale schade 1 miljoen euro / jaar.

Stel nu dat ze een Application Level Neural Mind Reader Reverse Proxy Firewall zou bestaan die dit risico zou wegnemen, maar deze oplossing kost 700.000 euro in aanschaf. plus 800.000 euro / jaar aan maintenance. De bank zou dan vaak op basis van risk management kunnen beslissen deze magische firewall NIET te implementeren. In plaats daarvan zouden ze kunnen kiezen voor een risk mitigation die een combinatie van verzekeringen zijn, plus het verhogen van de kosten van de eindklant.

Een afweging dus tussen de kans dat een risico daadwerkelijk optreed, de kosten van de schade en de kosten om de kans dat het risico op treed te verminderen of volledig weg te nemen.

Het naar buiten brengen van incidenten kost een bank teveel in reputatie schade. Dus als ze het kunnen vermijden zullen dat gewoon niet doen.

e_balk 27 juni 2011 11:42

Ik vind het wonderbaarlijk, dat diegenen die het gedaan hebben nog niet gepakt (zouden) zijn. Ik mag dan misschien niet bij de politie werken, maar volgens mij, zijn geldstromen toch altijd goed te volgen? Digitaal geld zou net als echt geld gewoon sporen na moeten laten toch?

Kan iemand mij uitleggen hoe je het voor elkaar krijgt om 2,7 miljoen euro digitaal te jatten om dit vervolgens ook nog ergens te kunnen uitgeven. Het geld moet toch van de ene rekening naar een andere gesluist worden? En als ze het direct uitgeven, dan zijn er toch ook adressen van ontvangers van goederen bekend? Ik snap niet dat deze criminaliteit uberhaupt nog mogelijk is, ook al zijn de beveiligingen niet perfect...

TMDevil

@e_balk • 27 juni 2011 11:49

Ongeveer zo:
Geld over sluizen naar een buitenlandse bank (een bank die geen betalingsgegevens afstaat aan het "westen"). Vervolgens het geld naar een andere buitenlandse bank (die ook natuurlijk geen gegevens doorgeeft), en daarna kan het in theorie naar je eigen bank (niet het bedrag in 1x natuurlijk, en het liefst op verschillende rekeningen). Jij zelf wilt natuurlijk geen link met het eerste rekeningnummer.

En hoe meer oversluizen, en hoe meer tussen rekeningen, hoe beter.

e_balk @TMDevil • 27 juni 2011 12:20

Maar is de Citigroup geen bank die internationaal (ook in al dat soort landen) erg actief is? Op een of andere manier lijkt het me nog steeds een beetje vreemd, dat dit soort dingen nog steeds kunnen, al ken ik die verhalen die jullie allemaal schetsen ook.

Wonderbaarlijke wereld, criminele staten zijn er genoeg, dus een eind aan iets als dit maken blijft moeilijk. Maar je zou verwachten dat het toch ook wel makkelijker zou moeten kunnen worden met alle technologie die tegenwoordig beschikbaar is en dan nog, terughalen van funds zou toch moeten kunnen, zeker met digitaal geld, aangezien je niet letterlijk goud kwijt bent of iets dergelijks.

Het is in mijn ogen vreemd, dat als je weet hoe het geld is verdwenen, dat je dan niet de mogelijkheid hebt om het gewoon terug te draaien, door simpelweg het echte geld niet over te hevelen naar de desbetreffende ontvangers.

Mellow Jack @e_balk • 27 juni 2011 13:15

Een internationale organisatie is gewoon een bedrijf die 1 land heeft als hoofdvestiging. In al de andere landen waar ze actief zijn hebben ze een lokaal (of een fictief) kantoor. Het is dus niet zo dat een Amerikaans bedrijf zich in NL kan vestigen zonder een Nederlandse (Europese) BV te hebben.

Heb je dus een lokale BV dan moet je voldoen aan de lokale wetten.

Dit staat verder los van de technologie en de mogelijkheden van een internationaal opererend bedrijf... Dit zijn gewoon de wetten waaraan jij als bedrijf aan moet voldoen om zaken in het betreffende land te kunnen doen.

Dat het niet helemaal is zoals we het willen hebben dat begrijp ik maar je kan helaas niet om de politiek heen

Mellow Jack @e_balk • 27 juni 2011 11:45

Je maakt het over naar een lokale Chinese bank en je zorgt ervoor dat het geld even langs andere banken gaat die in landen zitten waar het land waar jij in woont geen verdragen mee heeft.

Dit is vrij simpel is geldt eigenlijk ook voor mensen die ondergedoken zijn in het buitenland

Mirved @e_balk • 27 juni 2011 11:45

Geld overmaken naar buitenlandse rekeningen van landen die het bankgeheim nog hebben of waar er rekeningen zijn geopend onder valse info en waar het geld gewoon in een keer wordt opgenomen op een locatie zonder camera's.

jerpsx

27 juni 2011 11:31

De hackers wisten vermoedelijk toegang te krijgen tot het betaalsysteem van Citigroup door de url te manipuleren.

Ik heb geen verstand van hacken, maar een betaalsysteem moet toch niet zo eenvoudig te hacken zijn door het aanpassen van een url?

Verwijderd @jerpsx • 27 juni 2011 11:35

Zo makkelijk is dat niet hoor.

Wel treurig overigens, ik neem aan dat de hackers nog niet zijn opgespoord?

braaibander @Verwijderd • 27 juni 2011 11:41

Door het manipuleren van de URL houd waarschijnlijk in dat de hackers via het bestandssysteem dit soort gegeven hebben buit gemaakt (auw auw auw) of dat ze de opties open hadden gelaten door variabelen in de querystring niet te controleren. Beide fouten horen tot standaard beveiliging die je sowieso moet hebben. (Rule 1, don't trust your users)

Al met al klinkt dit wel erg amateuristisch, zeker voor zo'n grote bank

kevinv2u @Verwijderd • 27 juni 2011 11:49

Weet iemand hoe ze het precies hebben gedaan? Het zal heus niet een parameter van een 0 naar een 1 veranderen zijn geweest. Wellicht hebben ze een securitytoken gemanipuleerd in de URL. Who knows?

Hoopje @kevinv2u • 27 juni 2011 12:01

Volgens de New York Times moesten ze eerste inloggen, en konden ze daarna een willekeurig rekeningnummer in de URL opgeven om de gegevens van dat rekeningnummer te bekijken.

Bron: http://www.nytimes.com/20....html?_r=2&ref=technology

Kortom, een gigantische security-blunder van de Citibank.

The_DoubleU @kevinv2u • 27 juni 2011 12:01

Na het inloggen op de citigroup website stond het rekeningnummer blijkbaar in de url en was het mogelijk om een ander rekeningnummer op te geven. De website controleerde niet of je wel toegang had voor het nieuwe rekening nummer.
Er werd dus wel authenticatie toegepast maar niet gecontroleerd op autorisatie.

Ethnocentrix @kevinv2u • 27 juni 2011 11:59

Toch wel...
Ze hebben gewoon het userId veranderd inde URL. Zie:
http://consumerist.com/20...rowser-vulnerability.html

telenut @kevinv2u • 27 juni 2011 15:52

hey, ik ben ooit opgepakt geweest door de 1 in een 0 te veranderen van een url... (cost=1 op cost=0 gezet...)

Mellow Jack @Verwijderd • 27 juni 2011 11:39

Zo moeilijk is dat nou ook weer niet en het voorkomen is nog makkelijker. Ik kan het bijv niet zelf doen maar ik kan het wel gemakkelijk voorkomen

(je kan al bij aanvang het URL controlleren op inhoud en daaraan conclusie hangen zoals bijv een variable die te lang is of vreemde tekens in een variable waar normaal alleen tekst in staat)

[Reactie gewijzigd door Mellow Jack op 24 juli 2024 03:15]

Zoijar @jerpsx • 27 juni 2011 11:43

sql injection waarschijnlijk. Iets dat niet gechecked werd en wel in een query terecht kwam, dat dan zo aanpassen dat het de database dumpt. Amateuristische beveiliginsfout, als dat het was. Erg triest voor een financieleinstelling.

SalimRMAF 27 juni 2011 11:28

Dit lijkt het begin van het einde van de IT... Hackers worden sowieso slimmer naarmate de "beveiliging" wordt verscherpt, dus eigenlijk zou ik vrij angstig zijn als zoiets mij zou overkomen.

[Reactie gewijzigd door SalimRMAF op 24 juli 2024 03:15]

Verwijderd @SalimRMAF • 27 juni 2011 11:30

Of het management dat te weinig budget vrijmaakt voor security?

off-topic edit: achteraf je reply aanpassen is best wel zielig trouwens.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 03:15]

boner @Verwijderd • 27 juni 2011 13:20

Of het management maakt een rekensom. Op een totaal budget van deze bank, een van de allergrootste in de wereld!, is 2.7 Mln nix! Da's minder dan je aan beveliging op alle punten uit moet geven. Dus is het rendement van beveiligen minder groot dan de schade.

Net als dat je geen slot van 100 euro op een fiets van een tientje zet.

zircondan @boner • 27 juni 2011 13:40

Banken draaien op vertrouwen. Volgens mij is vertrouwen hebben in een bank moeilijk te kwantificeren, maar mocht er een bedrag aan hangen dan is dit ongetwijfeld meer dan 2.7 miljoen ;)!

Mellow Jack @boner • 27 juni 2011 13:23

Klopt niet in dit geval... Het gaat om een slecht geprogrammeerde omgeving. Dit heeft eigenlijk niks met beveiligen te maken omdat het gewoon een ontwerp fout is geweest. Het is gewoon mogelijk geweest om je rekening nr in het URL te veranderen om zo toegang te krijgen tot een rekening waar je geen autorisatie voor hebt.

ath92 @Mellow Jack • 27 juni 2011 19:32

Als men meer geld had uitgegeven, was er wellicht een betere software architect geweest, die dezelfde fout niet had gemaakt.

David Mulder @Mellow Jack • 28 juni 2011 01:30

Je bron daarvoor is

... want manipulatie van de url is absoluut niet te vergelijken met waar jij het over hebt. Manipulaties van de url kan dingen omvatten zoals cross site scripting aanvallen (is het trouwens zeker niet in dit geval, want dan zou de aanval zelf anders zijn verlopen) waar een 'paar' jaar geleden nog nauwelijks over werd nagedacht en zelfs een goed programmeur zich niet druk over had gemaakt.

EN @IEDEREEN HIER VER ONDER DIE HETZELFDE DENKT; url manipulaties (samen met post header manipulatie) is de enige manier hoe je met andere (http) websites feitelijk communiceert (en dus beinvloed) en dat is dus geenszins een teken van extra slechte beveiliging.

[Reactie gewijzigd door David Mulder op 24 juli 2024 03:15]

Verwijderd @boner • 27 juni 2011 13:26

Ach ik zou het nog wel zien gebeuren dat ze fort knox hacken alle beveiligings alarmen uit zetten lampen en camera's uitschakelen dan paar dikke slaapgas granaten naar binnen gooien.
En met gasmaskers en nightvision goggle's naar binnen gaan en even met allerlei goudstaven naar buiten lopen en verdwijnen van de aardbodem.

Maar vind het schandalig dat de "security" van zo'n bank al zo lek is als de pest, omdat ze denken dat gebeurt toch niet

[Reactie gewijzigd door Verwijderd op 24 juli 2024 03:15]

S0epkip @boner • 27 juni 2011 16:12

Wat dacht je wat ze aan goodwill verliezen door dit soort geintjes? Ga dat maar eens in miljoenen uitdrukken...

Dit is net zoiets als zeggen: het ontwikkelen van de website kostte ze maar $20.000 dollar, waarom zouden ze dan $500.000 aan beveiliging uitgeven? Dat is veel meer dan wat de hele site heeft gekost, belachelijk!

Sluuut @Verwijderd • 27 juni 2011 12:19

Helemaal met je eens, ik denk dat daar het grootste knelpunt zit..

David Mulder @Sluuut • 28 juni 2011 01:28

Bij het achteraf je reply aanpassen, zeker weten

(sorry, ik las het zo en kon het niet laten

)

Maare, los daarvan, werk nu zelf in de ict en ons bedrijf maakt top producten, maar genoeg van de oudere code is zo lek als een mandje wat betreft beveiliging. Naja, bij de producten waar het echt uitmaakt is dat de laatste paar jaar echt super goed verbeterd, maar vooral in het bedrijfs leven zie je volgens mij vaak genoeg dat bijv. een bank iets laat maken maar daarna niet voldoende onderhoud pleegt aan hun producten "want ze werken toch al". Wat mij betreft zouden de meeste producten eens per - laat ik zeggen - 5 jaar van de grond af moeten worden herschreven, het kost wat, maar je krijgt het volgens mij ook wel dubbel en dik terug.

Mellow Jack @SalimRMAF • 27 juni 2011 11:31

Kan je praten over een beveiliging wanneer je bug in je software misbruikt kan worden door het URL te veranderen?

Damic @Mellow Jack • 27 juni 2011 13:15

Ja. Dat is teken dat je je URL's niet goed afhandeld

Mellow Jack @Damic • 27 juni 2011 13:24

Dat is dus een ontwerp fout in de software en niet in de beveiliging.

Ewald ! @SalimRMAF • 27 juni 2011 11:31

Valt reuze mee.. Deze crack + bijv die van LulzSec waren allemaal op basis van Cross Site Scripting (XSS) en SQL Injecties.

braaibander @SalimRMAF • 27 juni 2011 11:35

Waar slaat dat nu weer op?

Hier is juist behoefte naar (fatsoenlijk) IT beleid.
Het probleem bij de meeste bedrijven is dat degene die beslissingen maken op het gebied van IT zelf geen verstand hebben van IT en daardoor slechte beslissingen nemen en/of kwakzalvers aannemen die kennelijk hun systeem goed verbergen. Via de url dingen buitmaken zou namelijk nooit mogen gebeuren.

mashell @SalimRMAF • 27 juni 2011 12:01

Natuurlijk leren hackers ook bij maar als je de beveiliging steeds strenger maakt dan neemt het aantal hackers dat de beveiliging kan breken wel af. Dat is dus wel degelijk wat er gebeuren moet.

PcDealer 27 juni 2011 12:58

Dat is maar USD 7,50 per rekening gemiddeld. Zou dat expres zijn gebeurd om detectie te vertragen?

Gimpeke @PcDealer • 27 juni 2011 15:40

'"De 3400 getroffen klanten" U bedoelt natuurlijk 2.700.000 / 3400 = 7941$; gemiddeld.

Kalief 27 juni 2011 13:01

The customers will be reimbursed

Dat is meer dan alleen geld terugkrijgen, ook eventuele extra schade wordt hiermee bedoeld.

junkchaser 27 juni 2011 12:05

Als het nu het geld eens aan de armen zou gegeven worden zou dit werkelijk een goede daad zijn geweest, maar te vergeefs ...

kverhoef 27 juni 2011 22:08

Sorry maar las ik het nu goed...? Door de URL te manipuleren??? Ik ben geen hacker, maar volgens mij is de url manipuleren les 1.a van de hackers handleiding! Zo snap ik ook niet waarom SQL injection nog steeds werkt.

Maar goed URL manipuleren dus. Stelen mag niet maar als je een koffer met 2.7 miljoen vindt en het is oh zo makkelijk mee te nemen... Ik weet niet of ik dan wel zo eerlijk ben

stanman23 28 juni 2011 09:41

Hahahah en dan word er een hacker opgepakt en dan vinden we het met z'n alle zo zielig want dat is toch geen diefstal/crimineel gedrag. Foei 4 weken voorwaardelijke taakstraf. Geloof me alleen de super "grote" hackers besteden ze aandacht aan en die durven ze niet eens aan te pakken.

Ik vraag me af wat deze mensen zouden krijgen. Misschien 2 maanden zitten en dan zeggen dat je het geld niet meer hebt... jha opgemaakt kan niks terug betalen. Snel verdiend in 2 maanden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (40)

Sorteer op:

Weergave: