Databasegegevens van Nationale Theaterkassa uitgelekt

Een anonieme hacker heeft gegevens van bijna honderdduizend personen kunnen plukken uit de database van de Nationale Theaterkassa. Daartussen waren 2100 creditcardgegevens te vinden, waarvan er 226 nog actief zijn.

De hacker ontdekte dat de volledige database van de website, 4,5 miljoen regels, zonder wachtwoord te benaderen was, meldt NU.nl. Het gekraakte systeem betreft een oude database die werd gebruikt voor de nieuwsbrief. Sinds 2010 gebruikt de website een ander systeem, daarom is ook nog maar een tiende van de creditcards actief. Directielid Matthijs Bongertman spreekt van een 'moedwillige inbraak' op een 'beveiligd systeem'. Volgens hem is het beveiligingsprobleem inmiddels opgelost. Vanwege een eerdere inbraak op het systeem had de hacker geen wachtwoord nodig.

In de database konden ook adresgegevens, correspondentie en transactiegegevens teruggevonden worden. Onversleutelde opslag van creditcardgegevens mag niet volgens de regels van de creditcardmaatschappijen. Om aan die eis te voldoen worden de creditcardnummers nu onleesbaar opgeslagen. In de database waren de gegevens van onder meer PvdA-Kamerlid Mariëtte Hamer en enkele politiefunctionarissen te vinden.

IT-banen

Reacties (47)

Verwijderd 22 februari 2012 12:39

We hadden Diginotar, Lektober en nog eens serie beveiligingsproblemen in 2011. Kan dat beter?

"Beveiliging moet eerst prioriteit krijgen, al in de ontwerpfase. Beveiliging moet een voorwaarde worden zonder welk je geen systeem begint. Maar het is een puinhoop. Het is allemaal snel bijeen gegrabbelde, vaak door losers gebouwde, fors gefactureerde bullshit."

Daar moeten we het mee doen?

"Dat hoort bij dit tijdperk. Voor we APK en liftkeuringen hadden kenden we veel gammele auto's op de weg en spectaculaire liftongevallen. Op een gegeven moment worden de kosten voor de samenleving zo hoog dat er pressie komt om de politiek wakker te schudden. Ik geloof in die zin in vooruitgang."

bron: http://www.netkwesties.nl...rnet-weer-decentraler.htm

kimborntobewild @Verwijderd • 23 februari 2012 01:17

Ik geloof in die zin in vooruitgang

Grotendeels onterecht, zolang er sprake is van straffeloosheid. Kijk bijvoorbeeld naar Windows. Sinds Windows netwerken ondersteunt (WfW?) is het nog steeds hopeloze gatenkaas. Dus al een jaartje of twintig...

En ook al is er sprake van een relatief kort tijdperk waarin veel hacks opdoemen... Ook dat is onacceptabel.

Beveiliging moet eerst prioriteit krijgen, al in de ontwerpfase. Beveiliging moet een voorwaarde worden zonder welk je geen systeem begint.

Helemaal eens. Allereerste best practice: Windows (gatenkaas OS) de deur uit doen.

roboreaper 22 februari 2012 11:24

en daar gaan we weer. weer een db dat niet beveiligd is...
wanneer snappen bedrijven het nou en gaan ze hun gegevens beter beveiligingen

IIsnickerII @roboreaper • 22 februari 2012 11:27

Als je eens een keer eerst leest voordat je een fipo´tje maakt dan wordt het al gauw duidelijk. Dit is een oude database van 2 jaar geleden. Toen was al dat hacken nog niet zo actueel.

ot: Alsnog enorm slecht dat je een database vol met gegevens niet beveiligd met een wachtwoord. Alleen encrypten is niet genoeg.

edit: encrypten i.p.v. encoderen

[Reactie gewijzigd door IIsnickerII op 23 juli 2024 05:23]

RVervuurt @IIsnickerII • 22 februari 2012 11:30

Ook twee jaar geleden hoorde je je databases te beveiligen hoor. Er staan nou eenmaal gegevens in die privé zijn en dus voorzichtig moeten worden behandeld.

Verwijderd @RVervuurt • 22 februari 2012 12:12

daarbij: wat doen creditcard gegevens in een nieuwsbrief database?

Pixeltje

@IIsnickerII • 22 februari 2012 12:43

Met alle respect, ook 2 jaar geleden hoorde je een DB of server gewoon te beveiligen. Dat het hacken toen niet zo actueel was of niet vaak in het nieuws kwam heeft daar niets mee te maken natuurlijk. Al helemaal niet als je betaalgegevens opslaat.

TDeK

Beveiliging

@Pixeltje • 22 februari 2012 13:10

Precies, de enige reden dat het nu 'actueel' is komt doordat hackers hun hacks publiceren. Vroeger trokken ze zo'n database leeg, verkochten de hele zwik op een underground fora en de website eigenaar merkte hier helemaal niks van.
Het probleem in dit geval is klassiek. Er is al jaren een nieuwe website die wel een beveiligde en gehaste database heeft (qua wachtwoorden e.d.) alleen werd de oude oude database nog in leven gehouden voor de nieuwsbrief. Zonder dat deze werd opgeschoon. Ook hing hij aan het internet zonder wachtwoord (letterlijk vrije toegang).
Persoonlijk vind ik dat de wet aangepast moet worden zodat je bedrijven direct aan kunt klagen en een schadevergoeding moet kunnen eisen indien je slachtoffer (lees: klant) bent bij zo'n bedrijf. Een dergelijke stok achter de deur wordt doorgaans wel begrepen.

Forsith @IIsnickerII • 22 februari 2012 11:34

Dat is geen excuus om zo om te gaan met privé- en creditcardgegevens van je klanten.

Het zou toch te gek voor woorden zijn dat je dat als excuus mag aandragen? Om de zoveelste auto-vergelijking te maken: jij laat toch ook geen (dure) spullen van andere mensen in jouw auto liggen als je 'm aan een landweggetje laat staan (van slot)?

Er zijn wel betere vergelijkingen te trekken, maar de auto-variant is op tweakers vrij populair

.

OT: Wat valt er nog over te zeggen? Het aantal digitale inbraken neemt hard toe, het komt in ieder geval meer en meer in het nieuws, ook het mainstream nieuws. Het wordt onderhand echt is tijd dat bedrijven de beveiliging van hun systemen (ook die niet _meer_ actief zijn) is flink onder handen gaan nemen.

zwippie @IIsnickerII • 22 februari 2012 11:47

Het hacken van computersystemen is al meer dan dertig jaar actueel. Het mag dan nu wel erg vaak in het nieuws komen, maar het gebeurt al tijden.

Hensz @IIsnickerII • 22 februari 2012 12:57

Oh, en oude databases hoeven niet beveiligd te zijn, ook niet als ze plat online te bereiken zijn, nog actieve creditcardgegevens bevatten en ook gewoon regelmatig door het bedrijf in kwestie gebruikt worden?
Kijk naar jezelf en de onzin die je verkoopt i.p.v. een fipo te kakken te zetten!

Dit is de zoveelste foute boel, waarom moet een nieuwsbriefdatabase überhaupt online staan? Online wijzigen van de gegevens is kennelijk niet mogelijk, waarmee al het nut van een online database vervalt.
Bedrijven zouden ook eens moeten besluiten om creditcardgegevens die een week of zo niet gebruikt zijn gewoon te wissen. De laatste transactie is dan wel zo goed als zeker probleemloos verlopen. Dat nummer heeft die organisatie dan nergens meer voor nodig. Deleten dus, daarmee wordt het erg onmogelijk om ze te stelen. Sommige dingen zijn écht héél simpel!

JT @IIsnickerII • 22 februari 2012 13:23

Dat er 2 jaar geleden niet zoveel gehackt werd betekent niet dat je een database waar nog op z'n minst deels relevante/kloppende gegevens staan niet hoeft te beveiligen wanneer dit (nog meer) een noodzaak wordt.

mphilipp @IIsnickerII • 22 februari 2012 19:09

Nee, 2 jaar geleden was hacken nog niet zo actueel (het komt ook pas uit de jaren '60). Als je ergens als een korstmos onder een steen leefde wel... Hacken is van alle tijden, exploitanten van websites moeten daarvan op de hoogte zijn. Geen uitzonderingen. Vooral als je nog eens - tegen alle regels in - cc gegevens gaat opslaan op een onlinesysteem. Hoe dom ben je dan? Ik heb totaal geen begrip voor enige exploitant van een website die zijn zaakjes niet goed voor elkaar heeft op beveiligingsgebied. Er is gewoon geen excuus. Ik bedoel, er zijn zát excuses: geen geld, geen tijd, het is een uit de hand gelopen hobby, het loopt niet zo'n vaart, geen verstand van enz, enz. Maar dan moet je er niet aan beginnen. Het zijn allemaal ongeldige excuses. Gewoon smoesjes.

Ik maak me overigens sterk dat heel veel van die hobby-bob webshopjes ook ijskoud bank- en cc gegevens opslaan. Geen hond die ze erop controleert of op aanspreekt.

Misschien moet elke hacker maar gewoon de aanval openen op al die prutssites zodat iedereen er een beetje van doordrongen raakt dat ict beveiliging ons allemaal raakt. En dat ook die jandoedels die zogenaamd niets van computers (willen) snappen zich er nu eens in gaan verdiepen. En dat 'ondernemers' eens de knip open willen trekken voor beveiliging ipv het handige neefje in te schakelen voor wènig. Dat neefje moet dat overigens niet willen. Maar dat is een ander verhaal. Die snapt er nog niet veel van en denkt dat als je iets met php in elkaar kunt knutselen, je een website kunt bouwen voor een bedrijf...

Verwijderd @roboreaper • 22 februari 2012 11:28

Nou, niet helemaal he. De database stond in principe wel op een beveiligde plek, alleen had iemand met een eerdere hek de beveiliging ongedaan gemaakt.

Een beetje een situatie alsof jij netjes je auto (met de sleutels in het slot) op een afgesloten terrein neerzet. Wellicht niet super slim, maar op zich kan het weinig kwaad.
Nu komt er een onverlaat langs en die sloopt het hek dat om het terrein heen staat. Tja, dan is het natuurlijk wachten op het moment dat iemand je auto steelt. Echter als die auto er al een half jaar staat, kan ik me ook wel weer voorstellen dat je vergeten bent dat de sleutels er in zitten.

sys64738 Moderator F&V @Verwijderd • 22 februari 2012 11:50

En dat maakt deze hack juist alleen maar erger. Je bent dus al eerder gehackt maar toen heeft de hacker blijkbaar niet de publiciteit opgezocht. Deze hack is blijkbaar onopgemerkt gebleven of zo.

Je hoort sowieso je beveiliging continue te controleren. Als ik 's avonds ga slapen, controleer ik ook even of mijn deuren op slot zijn dat zou je als bedrijf ook voor je systemen moeten doen. Het is toch van de zotte dat je database zonder password te benaderen is en blijkbaar ook nog op een plek staat waar mensen van buitenaf er makkelijk bij kunnen.

berties @roboreaper • 22 februari 2012 11:48

Het zal wel zo zijn dat de bedrijven het misschien wel beter willen doen, maar er onvoldoende intentie is om dat ook te doen. Wanneer er geen juridische (strafrechtelijk, respectievelijk civiel aansprakelijkheidsrechtelijk) gevolgen zijn is er alleen de commerciële spreekwoordelijke stok achter de deur. Nu is dit natuurlijk ook een aardige motivatie om je beveiliging naar een hoger plan te tillen, omdat hier de regel "alle publiciteit is goede publiciteit" niet echt opgaat.

Echter, na de vele gevallen van het uitlekken door hacken van persoonsgegevens is het uitlekken van creditcard gegevens naar mijn idee toch van een ander niveau. Het zou mij dan ook niets verbazen dat een of meerdere van dergelijke nieuwsberichten leiden tot politieke discussie en uiteindelijk, om hieraan tegemoet te komen, wetgeving die strafrechtelijke vervolging bij nalatig gedrag mogelijk maken. In hoeverre dit nu met huidige wetgeving al niet mogelijk is weet ik niet. Maar dit lijkt me een punt om politiek gezien mee te "scoren".

kimborntobewild @berties • 23 februari 2012 00:58

...wetgeving die strafrechtelijke vervolging bij nalatig gedrag mogelijk maken.

Er is helemaal geen nieuwe wetgeving nodig, hoor. Die wetgeving is er al lang!
Het probleem zit hem puur in de handhaving van die wetten.

In hoeverre dit nu met huidige wetgeving al niet mogelijk is weet ik niet.

In een rechts kabinet zoals nu is de aanpak van bedrijven (die grote fouten maken) welhaast volledig afwezig.
Vrije marktwerking staat voorop enzo... (Geld, geld en nog eens geld... Fatsoensnormen, fatsoenswaarden, privacy... Dat telt allemaal niet in een rechts kabinet.)

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 05:23]

kimborntobewild @roboreaper • 23 februari 2012 00:56

wanneer snappen bedrijven het nou en gaan ze hun gegevens beter beveiligingen

Je hebt de afgelopen 12 maanden vast gelezen over ontelbare lekken.
Heb je ook maar iets gelezen over één bedrijf die er voor is aangepakt? Dat ze hun databases niet hadden beveiligd? Nee!
Zie daar het antwoord op je vraag: het aanpakken van bedrijven die grote fouten maakt in zulks, heeft nul prioriteit.
Zolang bedrijven geen verantwoording hoeven af te leggen, gaat dit dus sowieso door.

roy-t 22 februari 2012 11:25

Sinds 2010 gebruikt de website een ander systeem, daarom is ook nog maar een tiende van de creditcards actief.

Ik heb zelf geen credit card, maar dit lijkt me wel een heel gekke aanname, je wisselt toch niet elke 2 jaar van credit card nummer?

Onversleutelde opslag van creditcardgegevens mag niet volgens de regels van de creditcardmaatschappijen. Om aan die eis te voldoen worden de creditcardnummers nu onleesbaar opgeslagen

Zoals ik dit lees waren de creditcard gegevens dus wel onversleuteld opgeslagen? Dit lijkt me dan tenminste een overtreding, wordt het niet tijd dat verschillende burger groeperingen verhaal gaan halen na dit soort inbraken, volgens mij word beveilging van databases namelijk nog steeds absoluut niet serieus genomen. Het is een moeilijke tak van sport, dat zeker, maar je hoort nooit van hele ingewikkelde hacks, altijd hoor je van dit soort super simpele fouten waardoor een random script kiddie er ook mee vandoor had kunnen gaan.

Ik denk ook dat er nog veel meer van dit soort data gestolen wordt dan wij denken, volgens mij zitten de admins echt niet elke dag de access logs te lezen om te zien of niet toevallig de database gedownload is.

[Reactie gewijzigd door roy-t op 23 juli 2024 05:23]

ArcticWolf @roy-t • 22 februari 2012 11:27

Je wisselt wel elke 2 tot 4 jaar van creditcard! Dit hoeft geen nieuw nummer te zijn, maar wel ander pasnummer of cvc nummer.

the_shadow @roy-t • 22 februari 2012 11:29

Ik heb zelf geen credit card, maar dit lijkt me wel een heel gekke aanname, je wisselt toch niet elke 2 jaar van credit card nummer?

Nee, maar wel 5 jaar. Verder heeft niet iedereen bij het aangaan van een transactie een splinternieuwe creditcard. De nog niet verlopen kaarten die ze aan hebben getroffen in het systeem zijn dus kaarten die tussen 2007 en 2010 in gebruik zijn genomen, deze zijn op het moment nog geldig.

kimborntobewild @the_shadow • 23 februari 2012 01:02

De nog niet verlopen kaarten die ze aan hebben getroffen in het systeem zijn dus kaarten die tussen 2007 en 2010 in gebruik zijn genomen, deze zijn op het moment nog geldig.

Dit rijmt helemaal niet met de constatering dat slechts 10% van de kaarten actief is.
Een geldige kaart is hetzelfde als een actieve kaart.

Zoefff @roy-t • 22 februari 2012 11:34

Hoewel ik het enigszins overdreven vind krijg ik van de ABN iedere 2 jaar een nieuwe creditcard. Het nummer verandert dan niet, maar de CVC code wel. Ik denk overigens dat je als klant ook wel aan kan geven dat je die periode wilt verlengen, iets wat voor zakelijke gebruikers volgens mij standaard al zo is.

Het verhaal dat van de 2100 creditcards nog maar 226 actieve kaarten zijn is dan ook wat dubieus. Dat zal gebaseerd zijn op de expiration date van de kaarten. Die zal dan ook daadwerkelijk verlopen zijn, maar dat neemt niet weg dat je wel de nummers zelf hebt. Misschien niet direct bruikbaar zonder de CVC code (hoewel, voor offline transacties in het buitenland vaak nog uitstekend bruikbaar) maar het is wel waardevolle informatie voor iemand die kwaad wil. Al is het maar om in een social engineering sessie meer informatie los te peuteren.

Ik ben benieuwd hoe de creditcard maatschappij(en?) hier nu mee omgaan. Helaas zijn er aan veel lekken -anders dan imagoschade als het in de publiciteit komt- nog veel te weinig consequenties voor de betreffende bedrijven, in de vorm van boetes, afsluiting of andere zaken. Voor zover ik weet zijn creditcard maatschappijen hier een stuk strenger in en zou je regelmatig aan security audits onderworpen moeten worden met afsluiting als straf wanneer zaken niet in orde zijn. Maargoed, als de gegevens in het verleden onversleuteld opgeslagen zijn lijkt het dat dit ook niet gebeurd is.

Ayera 22 februari 2012 12:15

Waarom worden credicard gegevens überhaupt opgeslagen.

Is er geen mogelijkheid om na een succesvolle transactie de creditcard gegevens te verwijderen? Daarmee zou je al een potentieel risico mee afvangen.

Als de reden is dat het vanwege controles bewaard moet blijven, zou daar dan niet een andere oplossing voor zijn?

Keypunchie

Beveiliging

@Ayera • 22 februari 2012 12:32

Waarom worden credicard gegevens überhaupt opgeslagen.

Veel mensen vinden het handig dat wanneer ze terugkerende bestelling doen, dat ze dan niet weer al hun credit-card info hoeven in te kloppen.

Denk maar eens aan aankopen bij iTunes. Alleen maar je AppleID + password en *poef* het liedje of appje is binnen.

De creditcardmaatschappijen stellen wel dat CVC codes daarom niet opgeslagen mogen worden. En bij de meeste transacties die ik on-line doe, moet ik vaak ook nog eens van SecureID (o.i.d.) gebruikmaken: dat ik dan nog een los wachtwoord heb.

Dat laatste ben ik overigens altijd weer vergeten, dus kan ik vervolgens alsnog al mijn gegevens inkloppen.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 05:23]

ErikRo 22 februari 2012 11:28

Wanneer gaan bedrijven nou eens forse boetes krijgen hiervoor dat ze elke klant in de DB een schadevergoeding moeten betalen?
Wedden dat de beveiliging dan al beter wordt.

gedonie @ErikRo • 22 februari 2012 12:26

De beveiliging van een website wordt alleen beter als de klant dat wil en bereid is daarvoor te betalen. Is dat leuk voor de klant, nee. Maar zo simpel gaat het nou eenmaal in het bedrijfsleven.

En zelfs al wil een bedrijf het goed doen niemand heeft geld of tijd om iedere seconde van iedere dag beveiliging scans te doen, om zo problemen te zoeken.

FiVAL @gedonie • 22 februari 2012 12:31

"De beveiliging van een website wordt alleen beter als..."
...bedrijven forse boets riskeren van onze overheid.

tweaknico @FiVAL • 22 februari 2012 15:04

OF beter elke klant op eerste verzoek een vergoeding moeten geven voor geleden [ met een minimum van EUR 500,00 of de werkelijke schade indien hoger ]

Als hieraan niet binnen een bepaalde termijn [ 30 dagen?] voldaan is tevens een boete aan de overheid ...

Zo hebben de slachtoffer er ook nog wat aan.

kimborntobewild @gedonie • 23 februari 2012 01:05

De beveiliging van een website wordt alleen beter als de klant dat wil en bereid is daarvoor te betalen. Is dat leuk voor de klant, nee. Maar zo simpel gaat het nou eenmaal in het bedrijfsleven.

Natuurlijk worden per defintie alle kosten doorberekend aan de klanten.
Maar het is 100% de verkeerde denkvolgorde als je zegt dat de klanten eerst bereid moeten zijn meer te betalen. Dat is gewoon lariekoek. De bedrijven moeten eerst hun zaakjes op orde hebben, vooraleer ze uberhaupt klanten mogen nemen! En als dan blijkt dat ze hun zaakjes niet op orde hebben, dan moeten er gewoon hoge boetes volgen. Dat is het enige wat helpt. (Afgezien van alle bedrijven nationaliseren.)

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 05:23]

mashell @ErikRo • 22 februari 2012 17:59

Een boete gaat naar de overheid, een schadevergoeding naar de slachtoffers.

Interfico 22 februari 2012 11:25

Een oude database die werd gebruikt voor de nieuwsbrief bevat creditcardgegevens?! Hoe kan het dat de database zonder wachtwoord te benaderen was? Betekent dit dat de hacker directe toegang heeft gehad tot de server?

Hatsjoe 22 februari 2012 11:29

Wat een prutswerk van de personen die verantwoordelijk zijn/waren voor het onderhoud en functioneren van de servers.

Als er nog allemaal data in een database staat welke niet meer gebruikt wordt, dan verwijder je dat. Al helemaal als het gaat om creditcard gegevens. Tevens is het inderdaad illegaal om creditcard gegevens in zijn geheel in plaintext op te slaan. Doe dan enkel de laatste paar nummers of laat je betalingsverkeer door een extern bedrijf regelen.

Ik hoop dat hier koppen gaan rollen, en de verantwoordelijke lekker ander werk kunnen gaan zoeken (bij voorkeur iets zoals plantsoenmedewerker, kunnen ze tenminste weinig verkloten).

kimborntobewild @Hatsjoe • 23 februari 2012 01:10

Tevens is het inderdaad illegaal om creditcard gegevens in zijn geheel in plaintext op te slaan.

In de praktijk komt er niks terecht van de regel dat het geëncrypt moet zijn. Het is - gezien het feit dat bedrijven er nooit redelijk voor gestraft worden - ook niet te verwachten dat dat beter wordt in de toekomst voor wat betreft creditcards.
Kortom... Concurrende betalingssystemen zoals Paypal spinnen hier heel veel garen bij.

ravenger 22 februari 2012 11:29

Zo beveiligd was dat beveiligde systeem dus niet. Dat je in de veronderstelling bent als leek dat het een beveiligd systeem betreft kan ik begrijpen, maar zeker gezien de grote historie van hacks de afgelopen tijd zou ik toch de hand in eigen boezem steken als ik die directeur was; hij is feitelijk gewoon nalatig geweest en verschuilt zich achter zijn eigen onkunde. Het wordt tijd dat de aangescherpte regels zoals voorgesteld door College Bescherming Persoonsgegevens snel worden doorgevoerd, dan kunnen dit soort lui daarvoor ook echt aangepakt worden.

Soldaatje 22 februari 2012 11:42

Hopen dat die directie vervolgd wordt, dit kan echt niet deze grove nalatigheid.

Ergomane @Soldaatje • 22 februari 2012 13:07

Is het dan al bekend _hoe_ de eerste inbraak gedaan is?

fevenhuis 22 februari 2012 11:51

Wellicht kunnen we ook spreken van 'moedwillige onkunde'.

De meeste bedrijven hebben jaren lang leuk van de voordelen van automatisering omgezet in winst en mogen dan nu genieten van de vruchten van de jaren van onderbesteding in automatisering.

Ik denk dat er een direct verband is tussen de hoogte van de salarissen in de ICT sector en alle inbraken, er wordt hier inde Nederland simpelweg te weinig geld uitgegeven aan goed personeel.

[Reactie gewijzigd door fevenhuis op 23 juli 2024 05:23]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: