Betalingsverwerker getroffen door datalek

Betalingsverwerker Global Payments, die onder meer in Nederland diensten levert, is getroffen door een datalek. Dat meldt een Amerikaanse krant. Gegevens van mogelijk 50.000 eigenaren van betaalkaarten zouden zijn buitgemaakt.

Donderdag waarschuwden MasterCard en VISA al voor een betalingsprovider die zou zijn gehackt. Beveiligingsjournalist Brian Krebs sprak over mogelijk 10 miljoen buitgemaakte creditcardnummers. Volgens The Wall Street Journal, dat informatie over de zaak in handen zegt te hebben, gaat het echter om 'slechts' 50.000 gegevens van kaarthouders.

Het zou gaan om het bedrijf Global Payments, dat onder meer creditcards uitgeeft, maar ook elektronisch betalingen verwerkt voor bijvoorbeeld winkels. Global Payments heeft niet bevestigd dat het het slachtoffer van een datalek is geworden.

MasterCard en VISA benadrukken dat hun eigen netwerken niet zijn getroffen door hackers. De Amerikaanse geheime dienst doet onderzoek naar de zaak. Het is onduidelijk welke Nederlandse bedrijven gebruikmaken van de diensten van Global Payments.

IT-banen

Reacties (45)

Alcmaria 30 maart 2012 21:07

Op zich is een creditcardnummer niet zoveel meer waard, het zijn maar 16 cijfers, waarvan de eerste 6 de BIN van de Bank is, dan 9 cijfers van het account en de laatste is een checkdigit die via luhn wordt berekend.
In principe kan je met een relatief simpel programmaatje een heleboel, mogelijk, geldige kaartnummers creeeren. Als je dan een geldig kaartnummer hebt, zal je nog de vervaldatum moeten hebben, nou is dat ook niet zo ingewikkeld want dat is MM/JJ dus niet heel veel combi's.
Om het echt interessant te maken heb je de CVC/CVV2 waardes nodig achterop de kaart, en ondertussen bij heel veel winkels een 3dSecure password.
Met alleen een kaartnummer kom je eigenlijk nergens meer.

Fraude is bij CreditCards prima afgedekt, als je een transactie niet hebt gedaan en het was een "Card Not Present" transactie dan krijg je zonder meer je geld terug.
Als het een Cardholder present transactie is, en je klaagt, dan zal de winkelier een vorm van authenticatie moeten kunnen overleggen.

Verder zijn er bij creditcards allerlei systemen operationeel die constant het transactieverkeer monitoren, bijvoorbeeld als jij je kaart nooit in Thailand gebruikt en je gaat ineens heel veel centjes in Azie uitgeven, zal je een belletje/smsje krijgen en als je niet reageert wordt je kaart preventief geblokkeerd.
Ook als je nu een Card Present transactie doet in Amsterdam en 5 minuten later in New York wordt je kaart ook automatisch geblokkeerd.
Zo zijn er nog duizenden regels die worden losgelaten om het verkeer zo veilig mogelijk te houden.

raphidae @Alcmaria • 30 maart 2012 21:37

Die regels werken niet altijd even goed en dat is ook de reden waarom ik van MasterCard (ABN-AMRO) naar Visa ben overgestapt. Ik betaal veel dingen online en mijn kaart werd om de haverklap geblokkeerd, de distinctie 'card present' of niet wordt dus niet altijd gemaakt.

Alcmaria @raphidae • 30 maart 2012 22:15

De ABN-AMRO MasterCards en Visa Credit Cards worden nu beide door 1 en het hetzelfde bedrijf uitgegeven. (International Card Services).. Tenzij je een LaSer card hebt maar daar wordt je echt niet vrolijk van.

ikheetkoen 30 maart 2012 20:12

Volgens mij doet dit bedrijf ook de betalingen die door steam heen gemaakt zijn...

Verwijderd @ikheetkoen • 30 maart 2012 22:01

Gartner analyst Avivah Litan said she believed the breach was related to a taxi garage in New York City.

"So if you've paid a NYC cab in the last few months with your credit or debit card - be sure to check your card statements for possible fraud," she said.

Dus je kan iets geruster zijn.

aikebah @ikheetkoen • 1 april 2012 20:22

Volgens mij doet dit bedrijf ook de betalingen die door steam heen gemaakt zijn...

Voor zover mij bekend is dat in ieder geval in NL niet het geval en worden die betalingen verwerkt door GlobalCollect.

Azerox 30 maart 2012 19:58

Ik lees niks anders meer lek hier lek daar.
Ben benieuwd hoe de wereld hier op gaat reageren.

tc982 @Azerox • 30 maart 2012 20:02

De Wereld? Die ligt er niet wakker van. Je ziet evenmin elk ongeluk met auto's in de krant. Hoogstens een voetnoot. Dit is voor de meeste mensen een fait divers, net zoals een accident of inbraak dat ergens gebeurd is.

himlims_ @tc982 • 30 maart 2012 20:29

De wereld niet, maar de financiele markten misschien wel. Aandeel is namelijk al met 10% gedropt; http://quotes.wsj.com/GPN

Maar dit is wel redelijk huge nieuws. Voor onze kikkerlandje misschien niet schokkend. Echter in de states des te meer. Daar draait zo'n beetje de hele samenleving op; achteraf afrekening.

Voor (ingehuurde) hackers of criminele organisaties zijn dit soort bedrijven de holy-grail:
[quote]Some recent and large examples of data breaches

• Global Payments
January - February 2012 Details unknown, estimated 50,000 card accounts at risk
• Citigroup
May 2011 Card numbers, names, email addresses from 360,000 accounts
• Epsilon Data Management
April 2011 Customer names, email addresses accessed
• Heartland Payment Systems.
January 2009 Card numbers, expiration dates, internal bank codes stolenn
• TJX Cos.
January 2007 Up to 90 million credit, debit card numbers stolen
• CardSystems Solutions
June 2005 40 million cards exposed
bron

[Reactie gewijzigd door himlims_ op 24 juli 2024 03:31]

Dennisdn @himlims_ • 30 maart 2012 22:51

Dat is het eerste waar ik ook aan dacht. Dat dit veel groter kan zijn dan menigeen denkt. Dit komt al redelijk in de buurt van invloed kunnen hebben op betalingsverkeer. En idd, wij Hollanders zijn een pin-landje, maar de rest van de wereld draait zon beetje op creditcards. KPN blokkeerd even zijn mailboxen wegens een potentieel gevaar en het hele land staat op de kop. Wat nou als uit veiligheidsredenen het betalingssysteem stilgelegd moet worden? Dan komt er in de rest van de wereld letterlijk geen geld meer uit de muur.

Een paar stappen verder en ze zitten in de "blackboxes" van de beurzen, wie weet wat er dan gebeurd.....

Verwijderd @Dennisdn • 31 maart 2012 15:04

Er zijn talloze "processors". VISA, MasterCard, etc. gaan heus niet hun netwerken platgooien om een enkele processor uit de brand te helpen. Daarnaast is het voor VISA/MasterCard/etc. eenvoudig te achterhalen welke cards de betreffende processor hebben gebruikt en deze cards selectief te blokkeren.

De "rest van de wereld" die "zo'n beetje op credit cards" "draait" heeft over het algemeen een hele rits cards in de portemonnee dus als er eentje uitvalt is dat niet direct heel spannend. Bovendien kunnen ze altijd nog even naar de bank rijden en cash opnemen of hun card omruilen voor een nieuwe.

Heb zelf eens met spoed een nieuwe kaart nodig gehad van HSBC. Werd binnen 24 uur bezorgd, per koerier en in het hotel waar ik verbleef. Ik heb er best vertrouwen in dat de betere banken voorbereid zijn op eventuele grootschalige problemen.

Verwijderd @tc982 • 30 maart 2012 20:10

Nou, dat denk ik toch echt wel. Alleen het feit dat Azerox er aan denkt (en ik ook) zegt al iets. Ik hoor het ook veel vaker om me heen nu. De tijd dat iedereen z'n schouders ophaalt en zijn kop in de grond steekt is met al dit nieuws toch wel een beetje voorbij denk ik. Je hoort nu elke dag een paar berichten, of het nou skimmen is of online. En stukken in de krant waarin een hoogleraar informatica zegt dat hij zelf nog met papieren overschrijvingskaarten werkt omdat hij online bankieren niet vertrouwt helpen ook niet echt.

PS. fait divers? accident?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 03:31]

Verwijderd @Verwijderd • 31 maart 2012 14:55

Wat voor effect heeft dit nieuws dan op jouw leven?

In de "industrie" is het misschien een schandaal en mogelijk gaat het bedrijf zelfs failliet, maar ik werk er niet, heb er geen aandelen in en ben er geen directe klant. Op mijn leven heeft het dus 0,0 effect (afgezien van mijn dagelijkse Tweakers-entertainment) en dat zal voor de meeste mensen gelden.

Verwijderd @Verwijderd • 1 april 2012 12:35

Dat je het nieuws hier als entertainment ziet zegt al wat over wat je van alle artikelen vindt, zo lees ik het tenminste wat je nu schrijft. Ok af en toe is er wat vermaak. Maar dit is toch niet echt wat je noemt vermakelijke nieuws. Ik zit bij een andere betalingsverwerker, maar die had net zo goed getroffen kunnen zijn. Gelukkig doen we in NL niet veel met creditcards. Dus zul je ook niet veel getroffenen hebben, als je een webshop hebt gericht op NL.

Verwijderd @Verwijderd • 2 april 2012 16:15

Het effect is dat ik erover denk mijn creditcard op te heffen. Hij is voor mij alleen nog handig voor de tolweg in Frankrijk, maar internetaankopen waar je normaal een cc voor nodig hebt doe ik tegenwoordig via Moneybookers/Skrill gewoon met iDeal. Dus ik denk dat ik mijn cc maar niet verleng volgende keer.

Het zijn er trouwens echt 1,5 miljoen! nieuws: Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders

[Reactie gewijzigd door Verwijderd op 24 juli 2024 03:31]

Zapato @tc982 • 31 maart 2012 07:59

Is intussen al nieuws op teletekst. Zou wel eens groot uit kunnen pakken. Het gaat hier om een belangrijke partij.

Angelevo @Azerox • 30 maart 2012 20:03

Inderdaad, misschien wordt het tijd om in de nieuwssectie een losse categorie voor hacks en datalekken te maken.

In ieder geval hoop ik dat mijn gegevens er niet bij zitten! 50.000 creditcardgegevens zijn toch wel een hele hoop geld waard. Ik hoop dat ze niet te voorbarig zijn met de info dat het slechts om gegevens van de kaarthouders gaat - de tijd zal het leren.

Iblies @Angelevo • 30 maart 2012 20:18

Frappant genoeg is dat ingecalculeerd. Er kan een bepaald bedrag worden gestolen zonder dat dat invloed heeft op het betalingsverkeer. Het zal pas misgaan als ze het voor mekaar om gelijk van alle cards een bedrag af te schrijven en het zoek te laten raken, oftewel niet meer te herleiden.
Een dergelijke bank bestaat gelukkig niet, en er zijn maar enkele banken op de wereld waar je een groot bedrag cash kunt opnemen of in vb goud of diamant. En dat zijn dan nog maar enkele miljoenen.

Verwijderd @Iblies • 31 maart 2012 15:07

Precies. Het mooie van credit cards is juist dat je bij dit soort problemen niet verantwoordelijk bent voor de schade. Zelfs als je je card verliest of deze gestolen wordt ben je niet verantwoordelijk, mits je direct nadat je het verlies/diefstal opmerkt dit meld.

raphidae @Azerox • 30 maart 2012 21:31

Dat is echt niet nieuw ofzo.

It seems that the Age of Electronics has jumped out and caught a
great many people more or less unprepared. Computer technology has
evolved rapidly and in many directions in the past few years, and one
of the offshoots of this development has been the rise of a new form of
trespass: microcomputer hacking.

If you are a computer user, but not a computer professional, you
may be wondering what goes on during those middle-of-the-night
hackers' incursions that have been reported so often lately in the local
and national press.

Out of the Inner Circle, Microsoft press, 1985

Verwijderd 31 maart 2012 08:31

Een Bank als ABN Amro had over 2011 zo'n 30 miljoen euro schade door o.a. frauduleuze transacties. Voor 2012 zal dit bedrag stijgen naar een bedrag tussen de 60 en 125 miljoen euro (prognose universiteit Twente, prof. Hartel).

Klanten verantwoordelijk stellen voor geleden schade lijkt mij de enige oplossing, oftewel stoppen met het vergoeden van fraudegevallen waar de bank niet voor verantwoordelijk is.

Verwijderd @Verwijderd • 31 maart 2012 09:46

De banken verdienen o.a. aan transacties en leningen/rood staan (wat met name in de US zeer veel gebeurt met credit cards). Zolang die baten opwegen tegen de kosten van fraude zullen de banken zelf de kosten voor deze fraude wel dragen.

Uiteraard trekken ze wel een grens maar dat zal van geval tot geval zijn.

Indirect betaal je als klant toch wel omdat de credit card fee's (voor diegene die de betaling ontvangt) absurd hoog zijn, die fee wordt al in de prijs van een product doorberekend.
Tevens werken vele credit card maatschappijen met een zogenaamde hold back van 3 maanden (je krijgt je geld veel later dus) dus daar verdienen ze ook weer aan.

Een systeem als iDeal is in mijn ogen een stuk beter.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 03:31]

paradoXical @Verwijderd • 31 maart 2012 10:09

Klanten verantwoordelijk stellen en vervolgens geen veilige alternatieven op elektronisch betalen bieden? Vandaag de dag is het nog amper mogelijk een loket bij een bank te bezoeken, banken dwingen mensen elektronisch te betalen om overhead te besparen. Het zou van de zotte zijn wanneer ze vervolgens klanten aansprakelijk stellen.

BoringDay @Verwijderd • 31 maart 2012 11:45

"Klanten verantwoordelijk stellen voor geleden schade lijkt mij de enige oplossing, oftewel stoppen met het vergoeden van fraudegevallen waar de bank niet voor verantwoordelijk is."

Hoe kan je klanten verwijten voor hun eigen lek systeem en misbruik door anderen?
De bank heeft de verantwoording dat alle transacties goed en veilig verlopen op een gecontroleerde manier. Als de huidige methode niet efficiënt genoeg is dan dient men daar wat aan te doen. En als men dat niet wil en men raakt 30 Miljoen kwijt hierdoor dan is er denk ik toch een probleem met het management.

Anders kan je net zo goed je geld in een sok bewaren.

[Reactie gewijzigd door BoringDay op 24 juli 2024 03:31]

Verwijderd @Verwijderd • 31 maart 2012 15:23

Banken wegen elke transactie op de mogelijkheid van fraude. Daarom wordt je kaart weleens geblokkeerd of krijg je een telefoontje/SMS als je iets doet wat bij niet in je normale patroon past.

De bank neemt hiermee dus verantwoordelijkheid voor de fraude. Als klant ga je immers vertrouwen op het systeem van de bank. (Afgezien van het feit dat de meeste credit cards je volledig schadeloos stellen mits je te goeder trouw handelt en verlies/diefstal tijdig meld.)

Enfin, de banken zijn dus al gestopt met het vergoeden van fraudegevallen waarvoor ze niet verantwoordelijk zijn. Bijvoorbeeld niet gemeld verlies of diefstal. In alle andere gevallen zijn ze namelijk wel verantwoordelijk, dat hebben ze zelf zo bedacht om credit cards tot een aantrekkelijk betaalmiddel te maken.

Verwijderd @Verwijderd • 31 maart 2012 09:50

Maar wanneer is de bank wel, en wanneer is de bank niet verantwoordelijk.
En hebben we het over bankbetalingen, creditcards, etc ?

In het betalingsverkeer is kosten afwegen normaal : elke betalingsmethode heeft zijn risico's. Via technische maatregelen kun je een groot deel voorkomen, maar een deel niet. Want vertrouwen kost geld, maar wie gaat dat uiteindelijk betalen?

Verwijderd @Verwijderd • 1 april 2012 12:43

Zolang de mensen passief dit nieuws lezen, dan zal het voor dergelijke banken niet uitmaken wie er wel of niet verantwoordelijk is. Zodra de mensen reageren zoals bij Dexia en DSB bank, dan wordt het ineens wel belangrijk. Maar banken hebben ws. al afspraken over wie wat betaalt, zolang het maar duidelijk is wie de slachtoffer is.

Hack_The_Planet @Verwijderd • 31 maart 2012 11:50

Abnamro moet niet zeuren zij dien hun it weg naar 3e partijen die vervolgens alles verhuizen naar lagelonenlanden als India en zuid-Afrika hahahaha tja voor zulke kwaliteit betaal je ook met alle gevolgen van dien. Mot je maar ict'ers uit de EU en nl nemen!!

Sentry23 30 maart 2012 20:12

Hoe lang moet het nog een probleem zijn wanneer je credit card gegevens openbaar zijn ?
Of is het stiekem toch goedkoper om fraude te vergoeden dan credit cards te beveiligen?

Verwijderd @Sentry23 • 31 maart 2012 15:14

Dat is het inderdaad. Credit cards zijn populair en leveren veel geld op omdat ze zo het zo verdomd makkelijk maken om geld uit te geven. Ga je daaraan lopen sleutelen met extra beveiligingen dan breng je dus direct de winstgevendheid in gevaar.

50.000 cards klinkt misschien veel maar met het is maar een klein percentage van het aantal actieve cards. In de VS alleen al zijn meer dan 200 miljoen actieve credit cards in omloop.

itlee 30 maart 2012 20:25

als ik kijk naar het verleden is het nu veel meer een "hot" item, het is eigenlijk allemaal begonnen met de start van anonymous, grote sites down, vervolgens de https-fail met google certs en de val van het security bedrijf in beverwijk.

Wat ik jammer vind aan de berichtgeving (en dat heeft niks met tweakers te maken) is dat ze niet vertellen, hoe en wat er precies is gebeurt. daar kunnen wij (it'ers) ter lering en vermaak nog iets van leren en vooral het voorkomen ervan.

de security branche gedijt weer aardig trouwens, bij foxit kunnen ze niet aan personeel komen en iedereen maakt weer budgetten vrij voor beveiligingsprojecten. Het enige waar het achterblijft (en mensen het bar weinig intresseren) is het MKB.

mensen schermen wel hun pincode af, maar fluffen vervolgens met hun ING app lekker onveilig de betalingen van links naar rechts. (bij alle apps viel mij trouwens op dat je nergens kan controleren of een sessie die je legt https of iets anders secure's is.

bbc 30 maart 2012 20:40

Mijn vriendin heeft op 1 jaar tijd 3 nieuwe visa kaarten thuis gestuurd gekregen zonder dat ze iets gevraagd had. Mij is het 1 keer overkomen. Ze zijn dus wel wat gewoon wat lekken betreft denk ik.

Ulysses 30 maart 2012 23:40

offtopic:
Hmmm, ze (T.net) moeten de linkjes naar artikelen maar blijvend blocken in de queue om stupide dubbele entries die ik met me halfwakkere hersens submit af te dekken...

Schande dat dit toch kon gebeuren. Ook al was de impact in eerste instantie wellicht nihil, nu het nieuws dan toch naar buiten is gekomen zal de werkelijke schade pas blijken. Ik bedoel, het is niet zo dat banken, payment providers en eigenlijk alles wat met de monetaire eenheid (zowel in de VS als de EU) te maken heeft, nog bijster veel "credit"/"credibility" kan verspelen. Bij veel mensen is er al genoeg aanleiding om geldverkeer te wantrouwen. En vertrouwen is uiteindelijk wat de waarde van een munteenheid bepaalt.

Rixter223 31 maart 2012 03:24

De FBI had van de week al melding gemaakt van het feit dat hackers de slag aan het winnen zijn, dit past er precies in. Misschien toch maar weer je geld in een sok stoppen voordat die Russen/Chinezen het overschrijven naar hun rekening

Tijd voor banken om toch wel een beetje zenuwachtig te worden zo langzamerhand denk ik?

Rev-anche 30 maart 2012 20:31

Misschien word het onderhand wel tijd voor biometrische oplossingen?! Dan maar met vingerafdrukken werken!?

renevanh @Rev-anche • 30 maart 2012 20:43

En hoe gaat die data verstuurd, opgeslagen en verwerkt worden?
Als je systemen lek zijn maakt het niet wat je gebruikt...

Durandal @renevanh • 31 maart 2012 00:14

Vingertje meesturen

awulms @Rev-anche • 30 maart 2012 21:23

Biometrisch is een slecht idee.

Als mijn creditcard gegevens gelekt worden omdat een bedrijf zijn beveiliging niet op order heeft, kan ik altijd de kaart laten blokkeren en een nieuwe aanvragen.

Als mijn vingerafdruk gegevens gelekt worden omdat de overheid of een bedrijf zijn beveiliging niet in order heeft, kan ik echter niet mijn vingers laten blokkeren en nieuwe vingers aanvragen...

The Reeferman @awulms • 30 maart 2012 23:39

Opzich moet dat wel kunnen, althans ik neem aan dat je meer dan 1 vinger hebt?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: