'Hacker steelt 50GB aan klantgegevens bij Mastercard en Visa'

Een hacker claimt 50GB aan klantgegevens van Visa en Mastercard buit te hebben gemaakt. Een lijst van circa duizend creditcardhouders, waaronder Nederlanders en Belgen, is al gepubliceerd, al zijn de creditcardnummers zelf weggelaten.

De hacker, die zou opereren onder de naam Reckz0r, claimt op Twitter dat hij de systemen van beide creditcardbedrijven binnen is gekomen om daarna de klantgegevens buit te hebben gemaakt. In een posting op Pastebin schrijft Reckz0r dat hij als bewijs van zijn hack een lijst met klantgegevens online heeft gezet.

In de dump zijn de meest gevoelige gegevens van de rekeninghouders, zoals creditcardnummer, verloopdatum en security code weggelaten. Naast een aantal Nederlandse namen en adressen noemt de lijst ook diverse Belgische personen die klant zouden zijn bij Visa of Mastercard. Het totale bestand zou 50GB groot zijn, zo claimt Reckz0r.

Visa Europe laat aan De Standaard weten dat zij de claims samen met de politie onderzoeken. MasterCard zou de hack nog niet kunnen bevestigen. Het is echter nog onduidelijk of de gepubliceerde data authentiek is, en of deze daadwerkelijk afkomstig is van de systemen van MasterCard en Visa, of dat deze is buitgemaakt bij bijvoorbeeld een webwinkel of een betalingsverwerker. Verder is het niet ondenkbaar dat de creditcardgegevens onversleuteld zijn bewaard.

IT-banen

Reacties (95)

Johny_B 19 juni 2012 00:24

Mjah, dit mooie 'gehackte' document is al eerder op het internet verschenen. Toen in het Arabisch en onder andere hier. Dat was 6 mei al. Zelfde gegevens, zelfde creditcard vermeldingen. Slechte Google vertaling (verklaring voor de rare karakters in de txt) 'hier. Als je kijkt naar de opgegeven e-mailadressen zie je wel grappige dingen ertussen staan, alsof mensen hetgeen wat ze invulden al niet vertrouwden.

Ik zou zwaar verbaasd zijn als er echt CC gegevens bekend zijn. Sowieso is deze hack niet door deze ´hacker´ gedaan.

[Reactie gewijzigd door Johny_B op 24 juli 2024 02:32]

reyals @Johny_B • 19 juni 2012 00:37

"@xflixted: @Cyber_War_News @Reckz0r He stole that from here: http://t.co/d3cOBW69 - Don't steal others credit."

Voor cwn reden genoeg om het bericht te verwijderen

kjast @Johny_B • 19 juni 2012 09:10

Oke, schijnbaar zijn Visa & Mastercard zelf dus niet gehackt, zoals we al dachten.

Toch leuk dat de NOS doodleuk vermeldt dat dit wel zo is. Tweakers houdt nog een slag om de arm met "een hacker claimt". Duur stukje imagoschade.

Anoniem: 264902 @kjast • 19 juni 2012 09:15

Ik vind het in België nog erger, Belsec claimde gisteren "met zekerheid" dat de hacker geen bluf was. Terwijl een heel simpele search uitwees dat de betrouwbaarheid van reckz0r vrijwel nihil is. Schande.

Hack_The_Planet @Johny_B • 19 juni 2012 05:53

Sinds bedrijven it zijn gaan belegen bij 3e is de kwaliteit enorm achteruit gegaan. Over een tijdje weten wij niet eens hoe dat werkt! En moeten we naar goedkope loon landen om hulp vragen immers alle it gaat daar na toe!

FvdM @Johny_B • 19 juni 2012 15:02

Dat was 6 mei al.

*5 juni

als je kijkt naar de andere data op het forum zie je bijv. 05-16-2012

MaZeLe 18 juni 2012 22:09

Ik vind het toch apart dat hackers hun handen weten te leggen op dit soort informatie. Je zou toch denken dat bedrijven hiervan leren, maar het gebeurt telkens weer. Ben benieuwd hoe dit over 10 of 20 jaar is.

Het stukje op pastebin, met downloadlink naar de file. http://pastebin.com/K8k0uEEp

[Reactie gewijzigd door MaZeLe op 24 juli 2024 02:32]

InflatableMouse

@MaZeLe • 19 juni 2012 08:52

Ik vind er maar twee uit Nederland in die hele lijst

. Ik snap dus niet helemaal waarom Nederland en Belgie apart genoemd worden als het merendeel niet eens uit Europa komt van die lijst.

Anoniem: 126610 @InflatableMouse • 19 juni 2012 09:05

Omdat dit de doelgroep van deze site is en het voor hen van belang is te weten dat zij ook potentieel slachtoffer zijn.

Krankenstein @InflatableMouse • 19 juni 2012 18:05

De lijst bevat slechts een klein deel van de namen, zoals ook wordt aangegeven op de begeleidende tekst op pastebin. Het totale aantal Nederlanders en Belgen zal dus inderdaad een stuk groter zijn.

David Mulder @MaZeLe • 18 juni 2012 22:30

Naja, ten eerste draaien veel bedrijven nog software die 10 tot 20 jaar oud is... en ja... toen werd security nog niet gezien als 1 van de belangrijkste zaken.

Daarnaast, zover ik weet zijn Visa en Mastercard twee verschillende bedrijven zonder overlap, dus als gegevens van *zowel* via EN mastercard zijn buit gemaakt dan lijkt de enige juiste conclusie dat deze gegevens van een derde partij komen met klant gegevens. En ja, die derde partij zou wel eens buitenlands kunnen zijn sowieso een stuk minder druk zich bezig hebben gehouden van security (webshop of game misschien).

bbob

Privacy
Politiek en recht
Netwerk en systeembeheer

@David Mulder • 18 juni 2012 22:53

Klopt dacht ook aan een 3de partij.

Maar betere vraag is wat klopt er niet 50gb aan data, kaartnummer, adres en dan heb je het bijna over alle klanten van visa en mastercard.

Die 50 gb klopt dus zeker niet en grote kans dat het ergens bij een webwinkel zit die de zaakjes niet goed voor elkaar heeft.

Sh4wn @bbob • 19 juni 2012 00:27

Op twitter zegt hij het volgende:

"Actually, I didn't hacked VISA & Mastercard, I hacked the banks, #Chase..etc"
"I penetrated over 79 large banks, I've been targetting these banks since 3 months."

Dus inderdaad meerdere derde partijen.

Anoniem: 114278 @bbob • 19 juni 2012 05:27

@ bbob1970:

als je goed leest zie je dus ook: Een lijst van circa duizend creditcardhouders, waaronder Nederlanders en Belgen, is al gepubliceerd.

Er is dus meer data gehacked dan gepubliceerd is de conclusie

CMG @Anoniem: 114278 • 19 juni 2012 08:16

Het waren ~1200 VISA en ~500 MasterCard records.

Als "proof" had zij ook de CC gegevens van de oprichter van LinkedIn (Reid Hoffman) online gezet, met verloop datum en CVC code. Hij heeft het heel snel weer gedeelte, maar had het nog in mijn cache: https://twitter.com/NKCSS/status/214652743489560576

Proberen te valideren: https://twitter.com/NKCSS/status/214655033659228161 maar geen reactie gehad (worth a shot)

preske @bbob • 19 juni 2012 13:04

We weten natuurlijk niet welke data er nog allemaal bijstaat, en of het 50gb pure text is. Hij zegt zelf dat alles in een nogal slordig formaat was opgesteld.

Anoniem: 463479 @David Mulder • 19 juni 2012 09:13

Behalve dan dat in België Mastercard en Visa net wél door 1 bedrijf verdeeld worden, namelijk Bank Card Company. Voor de andere landen gaat dit niet op maar in BE zou ik net daar mijn slag slaan

burgt

@Anoniem: 463479 • 19 juni 2012 10:28

In Nederland wordt dat gedaan door ICS

Mr_gadget @MaZeLe • 18 juni 2012 22:34

In principe loop je altijd risico als je een systeem aan het internet koppelt. Het is geen bankkluis meer waarvoor geld dicht = dicht..Een zero day exploit of iets kan je systeem compromisen..Ben bang dat over 10 of 20 jaar het even erg is, of nog erger, als er quantum computers zijn die sleutels zo breken.

David Mulder @Mr_gadget • 18 juni 2012 22:35

De sleutels zullen wel wat langer worden, en alle oude software zal weg zijn, dus nope, ik moet zeggen dat ik denk dat het een stuk beter zal zijn.

Anoniem: 49450 @David Mulder • 18 juni 2012 23:06

Denk niet dat jij helemaal snapt hoe dat gaat met quantum computers, de lengte van de key doet er dan niet meer toe.

da_Mastah @Anoniem: 49450 • 18 juni 2012 23:57

Mits quantumcomputers over voldoende qubits zullen beschikken om die keylengtes in 1x te kraken. Alhoewel ik wel verwacht, dat zodra quantum computing eenmaal daadwerkelijk zou gaan werken (buiten het lab dus) die hoeveelheid qubits snel toe zal nemen en sleutels dus snel zullen gaan verouderen omdat ze te kort zijn.

luuksnijmegen @da_Mastah • 19 juni 2012 01:06

Mag ik vragen hoe dat werkt dan? Waarom kan een quantumcomputer dat zo snel eneen normale niet?ik ben.niet helemaal ingelezen in die materie helaas.

Edit: toch even snel wiki; Door deze eigenschappen kan een kwantumdeeltje gebruikt worden voor binaire eenheden die tegelijkertijd waarden tussen 0 en 1 bit aannemen. In de gebruikelijke processors kunnen de binaire eenheden alleen de waarde 0 of 1 aannemen. In de kwantum-binaire eenheden (qubits) van de kwantumprocessor zijn waarden mogelijk die bijvoorbeeld 30% 0 en tegelijk 70% 1 zijn. Hierdoor kan een n-qubit systeem

beschreven worden met 2 n vectoren in de Hilbertruimte; dankzij dit fenomeen stijgt de capaciteit van kwantumcomputers exponentieel met het aantal qubits.

Dat lijkt.me dan het antwoord?

[Reactie gewijzigd door luuksnijmegen op 24 juli 2024 02:32]

Blackbird-ce @Mr_gadget • 18 juni 2012 23:00

Ook een kluis levert geen garanties, het is slechts een vertragende fysieke maatregel voor de boef.
Activiteiten ontplooien = risico: Er is altijd wel iemand geinteresseerd in wat jij doet of in bewaring hebt. Of het nu informatie is (zelfs een weerbericht kan interessant zijn voor een derde) of iets fysieks als geld.

Het gaat tegenwoordig m.i. meer om detectie van malafide praktijken en een adequate reactie, dan het (proberen/kunnen) voorkomen van een inbraak.

[Reactie gewijzigd door Blackbird-ce op 24 juli 2024 02:32]

sygys @Mr_gadget • 18 juni 2012 23:46

Tegen die tijd heb je quantum computers die zonder tussenkomst van mensen zelf hackers detecteerd en buiten sluit. computers zijn nog altijd domme machines... waarom? omdat we nog altijd niet de benodigde rekenkracht en opslag hebben om hem slim te maken... dit komt nog wel.

Katsunami @MaZeLe • 19 juni 2012 02:39

Wat ik me afvraag: Stel, dat mijn creditcardnummer en andere data inderdaad in handen van anderen is gevallen. Dan is elke aankoop met dat nummer dus verdacht. Hoe gaat het dan verder; word ik door Visa/Mastercard gebeld met de vermelding dat mijn kaart gecompromitteerd is, en dat ik een andere krijg, of moet ik mijn rekening in de gaten gaan houden, en een onbekende afschrijving melden, waarna de kaart dan pas wordt geblokkeerd en vervangen?

Van dit soort zaken weet ik weinig af; ik gebruik mijn creditcard nauwelijks online (eigenlijk als allerlaatste optie), maar aangezien ik wel een Mastercard heb en er Nederlandse namen op de lijst staan, komt het wel erg dichtbij nu. Ik neem wel even aan dat de hack inderdaad waarheid is.

[Reactie gewijzigd door Katsunami op 24 juli 2024 02:32]

arjankoole

Beveiliging
Hackers

@Katsunami • 19 juni 2012 07:51

Hoe gaat het dan verder; word ik door Visa/Mastercard gebeld met de vermelding dat mijn kaart gecompromitteerd is, en dat ik een andere krijg, of moet ik mijn rekening in de gaten gaan houden, en een onbekende afschrijving melden, waarna de kaart dan pas wordt geblokkeerd en vervangen?

Mijn ervaring met visa is dat ze daar pro-actief in zijn. Ik heb al eens gehad dat ze naar aanleiding van een incident preventief een nieuwe kaart hebben verstrekt. Ook hebben ze me wel eens gebeld voor verificatie van een transactie toen ik mijn kaart op 1 dag zowel in een fysieke winkel in Nederland gebruikte, als in een fysieke winkel in New York.

scsirob @Katsunami • 19 juni 2012 08:28

Ze zijn heel scherp op misbruik en patroonherkenning. Vorige maand was ik in Italië, op het vliegveld stond een aftandse automaat. Muntgeld viel er doorheen, dus de creditcard optie geprobeert. Drie consumpties, drie creditcard transacties van 1 Euro of zo

Een uur later probeerde ik iets groters af te rekenen, kaart geblokkeerd! Visa gebeld, hadden ze dit als verdacht gezien (opmaat naar grotere fraude) en uit voorzorg geblokkeerd.

Marc P @Katsunami • 19 juni 2012 10:32

Mijn ervaring is dat Visa heel rap is met het blokkeren van je kaart als ze iets verdachts zien. Best vervelend als je in Bangkok een cdtje staat af te rekenen. Tijdens het belletje naar Visa waarom mijn kaart het niet deed gelijk door naar de afdeling Fraude.
Ze hadden me al gebeld maar alleen om mijn huisnummer omdat ik mijn 06 nooit had doorgegeven. Na wat simpele vragen over de verdachte transactie was mijn kaart direct weer te gebruiken.
Mastercard heb ik dan weer minder prettige ervaringen mee. Die valt het niet eens op dat er in Engeland een aankoop wordt gedaan naar een Engels adres wat op een totaal andere naam staat, enz, enz. Zelf er achteraan moeten gaan. Allerlei formulieren moeten invullen. Duurde weken voordat er antwoord kwam terwijl een kind kon zien wat er niet goed was gegaan.
Vervolgens een brief waarin ze het niet als fraude zagen?! Bellen, oh sorry we hebben de verkeerde brief verzonden. Het is wel als fraude goedgekeurd.....zucht

3raser @Katsunami • 19 juni 2012 11:09

Ik heb zeer goede ervaringen met Visa. Kreeg een sms om een transactie te bevestigen en daarin het telefoonnummer van de fraudelijn. Direct gebeld want de transactie kwam niet van mij. Ik heb de rekening uiteraard niet hoeven te betalen en had binnen 3 dagen een nieuwe creditcard op de mat. Sindsdien betaal ik online zoveel mogelijk met creditcard. Er is voor mij geen veiligere methode te bedenken. Eat that iDeal!

Mocht je creditcard nu dus gehackt zijn dus hoef je alleen maar goed op je afschriften te letten. Als er iets mis is gelijk bellen en alles wordt geregeld. De vraag is of er ook Nederlandse creditcards in de lijst staan want het lijkt te gaan om gegevens van buitenlandse banken.

acreed166 @MaZeLe • 18 juni 2012 23:14

Hackers zullen er altijd zijn en over 20 jaar zal dat niet minder op worden, security wordt beter maar hackers worden nog beter.

computerjunky @MaZeLe • 18 juni 2012 22:48

zo vreemd is het niet ALLES is te hacken al duurt het soms wat langer.
als je het niet gehackt wil hebben is er maar 1 manier om compleet veilig te zijn HAAL HET OFFLINE...

purrple @computerjunky • 19 juni 2012 07:18

Nee hoor. dan heb je nog de medewerkers van je bedrijf als bedreigende factor.

TDeK

Beveiliging

@computerjunky • 19 juni 2012 09:38

als je het niet gehackt wil hebben is er maar 1 manier om compleet veilig te zijn HAAL HET OFFLINE...

Dat dachten de Iraanse kerncentrales ook

. Alles is te hacken (online en offline), mits je maar waardevol genoeg bent.
Verder snap ik die laatste regel van het artikel niet: creditcard gegevens onversleuteld opgeslagen. Dat lijkt me nogal logisch. Hashen heeft geen zin omdat dat one-way is (je kunt de originele waarde niet meer terughalen) en je dan geen terugkerende betalingen kunt doen (je moet de gebruiker dan elke keer om zijn creditcardnummer vragen). Encrypten is ook niet echt zinnig aangezien de key ofwel op dezelfde machine staat, ofwel in hetzelfde netwerk, ofwel in het systeemgeheugen, waardoor een aanvaller (die waarschijnlijk tijdens een hack al diep genoeg in het systeem zit) die key vrij makkelijk te pakken kan krijgen waardoor die hele encryptie zinloos is gebleken.
In mijn ogen is de beste en veiligste manier om de creditcardnummers op een compleet losse databaseserver te draaien waarmee alleen via een hele stricte API gecommuniceerd kan worden (geen rechtstreekse read/writes).

Haas_nl 18 juni 2012 22:57

Even gechecked of ik er tussen sta maar niet dat is niet gelukkig niet, al was dat maar paar kb van de 50 gig....
Er staan wel mail adressen bij dus als iemand zo lief kan zijn ff die mail adressen spammen dat hun gegevens op straat liggen...
De hacker zegt trouwens op twitter dat hij de banken gehacked heeft niet mastercard en visa.
https://twitter.com/#!/Reckz0r

MrRobin 18 juni 2012 22:10

''Verder is het niet ondenkbaar dat de creditcardgegevens onversleuteld zijn bewaard.''

Weer zie ik zoiets. De laatste tijd is het vaak raak met bedrijven die hun beveiliging niet op orde hebben door wachtwoorden niet versleuteld op te slaan. Ik ben geen expert op dit gebied, maar zo veel moeite is het toch niet om je wachtwoorden / cc gegevens versleuteld op te slaan?

PierkenAas @MrRobin • 18 juni 2012 22:36

Nou, legaal gezien is het voor iedere applicatie die ook maar iets met creditcard data te maken heeft strikt verboden om dit in cleartext op te slaan.

Men is verplicht de PCI-DSS regels te volgen (linkje : https://www.pcisecuritystandards.org/security_standards/)

Een greep uit de zaken die hierin vermeld staan:
- security ivm netwerk (firewall, anti-virus, anti-spyware, intrusion detection & prevention systems, ...)
- fysieke security (camera's, backups, toegang tot server lokalen, ...)
- Niet in cleartext opslaan van usernames/paswoorden
- salten van paswoorden
- gebruik van encryptie/hashing algoritmes
- het verplicht NIET opslaan van verificatie codes zoals CVV2/CVC2
- enz...

Probleem is natuurlijk als men er toch maar mee doorgaat en bewust niet voldoet aan deze regels. Het kost voor een webshop immers handenvol BAKKEN vol geld om de nodige maatregelen te treffen ivm infrastructuur.
De boetes zijn natuurlijk niet min voor dergelijke inbreuken.

[Reactie gewijzigd door PierkenAas op 24 juli 2024 02:32]

]Byte[ @PierkenAas • 19 juni 2012 00:20

Dit was ook mijn eerste reactie.

Wat mij wel op valt is dat er geen enkele structuur in de gepubliceerde lijst zit.
Dat is juist iets wat ik wel zou verwachten als je dit 'bij de bron' rechtstreeks vandaan zou hebben.
Adressen in de US, Egypte, Engeland, Nederland, België, Ierland, Frankrijk, Saudi Arabië, Hongarije, Iran etc.
Er is werkelijk geen enkele structuur te vinden in namen, adressen, landen, CC-nummers en noem maar op.
Verder staan Mastercard en Visa allemaal door elkaar heen...
Geen enkele logica die mij de gedachten zouden ondersteunen dat dit rechtstreeks bij MC en/of Visa vandaan zou komen.

Het zou tenslotte niet de eerste keer zijn dat iemand een claim maakt en bleek het om oude data te gaan die uit een Babydump-hack afkomstig waren.
Niet dat het dat vervolgens minder ernstig is, maar de CC-maatschappijen zouden uit de gegevens wel de mogelijke bron moeten kunnen distilleren.

Dat er de nodige regels, met betrekking op security, met voeten getreden zijn lijkt wel duidelijk te zijn.

Het kost voor een webshop immers handenvol BAKKEN vol geld om de nodige maatregelen te treffen ivm infrastructuur.

Daar ben ik het niet mee eens!
Alles draait om design! Als het design van scratch af aan brak is, JA, dan gaat het bakken geld kosten omdat later recht te trekken.
Maar als je van te voren weet aan welke regels je moet voldoen, is het gewoon een geval van implementeren zoals je het zou moeten doen van begin af aan.

PierkenAas @]Byte[ • 19 juni 2012 11:08

Dat er de nodige regels, met betrekking op security, met voeten getreden zijn lijkt wel duidelijk te zijn.

[...]
Daar ben ik het niet mee eens!

Alles draait om design! Als het design van scratch af aan brak is, JA, dan gaat het bakken geld kosten omdat later recht te trekken.
Maar als je van te voren weet aan welke regels je moet voldoen, is het gewoon een geval van implementeren zoals je het zou moeten doen van begin af aan.

Sorry ]Byte[, maar daar sla je de bal helemaal mis.
Als ik je reactie goed begrijp dan heb je het over software design.

Er komt echter ivm PCI-DSS wel meer bij kijken dan software design.
Zoals in mijn eerdere reactie al vermeld betreft de grootste kost immers het implementeren van:
- server room, de fysieke security daarrond. Met een badge systeem geraak je er immers niet! Er zijn allerlei eisen ivm bunkers e.d.
- het implementeren van camera's in de serverrrooms en het opslaan, backuppen en secure storen van de beelden hiervan.
- disaster recovery procedures implementeren en het testen hiervan
- escrow overeenkomst en (test)procedures (ook niet bepaald goedkoop te noemen)
- enz...

]Byte[ @PierkenAas • 19 juni 2012 17:13

Er komt echter ivm PCI-DSS wel meer bij kijken dan software design.

Klopt ook helemaal.
Nu ik het zo zelf ook terug lees, begrijp ik je reactie wel.

Je moet je ook als ondernemer afvragen of je het überhaupt zelf wil gaan doen of je transacties uitbesteden aan een externe partij.
Het is ook een gevallettje kosten-baten-analyse om te zien wat interessant is.
Ben je een grote onderneming en heb je de basis al liggen (zoals beveiligde locaties etc) kán het interessant zijn om het zelf te gaan doen.
Je moet je daarbij natuurlijk wel realiseren of je het onderhoud en beheer dan ook ff wil inregelen.
Als ik een kleine webshop heb, dan zou ik het wel 10x uit mijn hoofd laten om dan dit zelf op te gaan zetten.
Doe vooral waar je zelf goed in ben! De rest uitbesteden!
Maar als data in plain-text in databases wordt opgeslagen, en helemaal dergelijke data zoals in dit artikel genoemd wordt, heb je wel een heel groot bord voor je kop tijdens het bouwen.

Menesis @PierkenAas • 19 juni 2012 10:05

Was het niet de Playstation store waar al die regels aan de laars waren gelapt?
Het zou imho heel goed kunnen dat die 'dump' van een oude, eerdere hack afkomstig is. Of eenofandere webwinkel/instantie die verkeerd met de regels is omgegaan. Ik geloof écht niet dat dit van MC én Visa afkomstig is!

thegve @MrRobin • 18 juni 2012 22:20

De informatie die in het gelekte document staan worden normaliter ook niet versleuteld bewaard. Ik zie daar alleen NAW gegevens, en het is als bedrijf toch vrij lastig als je je klantgegevens versleuteld opslaat, is zo lastig om ze dan te bereiken.
Verder, als ik even kritisch/sceptisch kijk, valt het mij op dat er erg veel gratis Yahoo/Hotmail/Gmail adressen tussen zitten, en bijna alleen maar Arabische namen, zelfs bij de Nederlandse adressen. Ze lijken wel te kloppen (via Google teruggevonden).
Daarnaast zijn de Nederlandse adressen ook bijzonder goed googlebaar, maar dat kan natuurlijk toeval zijn. Ik vind bij de 2 adressen die ik heb gegoogled toevallig een (obscure) universiteit en iemand die de verbouwing van zijn huis heeft geblogged (en hierbij uitgebreid postcode + huisnummer vermeld).

[Reactie gewijzigd door thegve op 24 juli 2024 02:32]

FvdM @thegve • 18 juni 2012 22:26

het is als bedrijf toch vrij lastig als je je klantgegevens versleuteld opslaat, is zo lastig om ze dan te bereiken

Dat is helemaal niet lastig. In het processing script, dat de brug vormt tussen database en backend, kan je prima de encrypt/decrypt functies plaatsen.

David Mulder @FvdM • 18 juni 2012 22:34

Naja, als je het te algemeen maakt dan schiet je er natuurlijk niks mee op, want dan wordt die data ook gedecrypt indien iemand een sql injectie of iets dergelijks vind

(want alleen dan helpt encryption... meestal zal het niks helpen als ze filesystem access krijgen).

Brainiacs @thegve • 18 juni 2012 22:33

Die email adressen vielen mij ook op, wat ook erg opvallend is, is dat NAW gegevens niet allemaal hetzelfde zijn, dus niet volgens allemaal dezelfde indeling. Zo staat er bij sommige The Netherlands, HOLLAND. Telefoon nummers die sommige netjes met landcode en andere helemaal geen landcode. Al met al een erg rare indeling voor zo een instantie.

Voor mijn gevoel is dit eerder een bij elkaar geraapt zootje vanaf internet. Er is niks hieraan dat wijst naar de database van VISA/Mastercard.

The Reeferman @Brainiacs • 19 juni 2012 02:34

De hacker heeft volgens zijn eigen Twitter berichten idd niet VISA/MC gehackt maar 79 banken. Wat daar van waar is zal de toekomst uitwijzen.

Anoniem: 434945 @thegve • 18 juni 2012 22:34

Ach, toch respect dat hij dan de moeite heeft gedaan om al die info te zoeken.. Maar waarom gaat visa dan actie ondernemen? Als t nep was hadden ze dat ook gewoon kunnen zeggen

YbonG @Anoniem: 434945 • 18 juni 2012 23:08

er staat dat ze de claim onderzoeken, ze hebben dus nog geen idee of het nep is. Dat is wat ze gaan checken.

reyals 18 juni 2012 23:22

En hoe komt hij dan aan de gegevens van american express die in zijn bestandje staan?

Komt van een webshop ofzo af, zou wel erg toevallig zijn dat alle cards een Email adres hebben geregistreerd, zeker als dat ook nog eens veel hotmail en gmail en dergelijke zijn.

Volgens zijn recente tweets heeft hij visa en mc niet gehakt maar 79 banken.
https://mobile.twitter.com/Reckz0r/status/214820302578917376

[Reactie gewijzigd door reyals op 24 juli 2024 02:32]

Anoniem: 390704 @reyals • 18 juni 2012 23:40

Precies. Er staan ook Nederlandse postbus-adressen tussen. Je kan een postbus-adres niet opgeven bij een CC/bank. Je kan het wel opgeven bij een webshop.

Hetzelfde met emailadressen: mijn CC-maatschappij heeft geen mailadres van mij. Webshops hebben wel mijn mailadres..

En opvallend: veel Arabische/Aziatische namen. Ook in Nederland. Dus misschien een webshop in Azie en/of met Aziatische spullen

Dus ook volgens mij geen mega-kraak van een bank of CC-maatschappij, maar een (mini)kraak van een webshop.

Of helemaal geen kraak: sommige posts zeggen "ja, het klopt, want ik de NAW vinden via google". Dat kan die 'hacker' ook gedaan hebben: gewoon wat namen en adressen verzamelen via Google, en dan zeggen dat je iets gehacked hebt.

[Reactie gewijzigd door Anoniem: 390704 op 24 juli 2024 02:32]

n4m3l355 @Anoniem: 390704 • 19 juni 2012 02:02

Incorrect, ik heb bij de ABN, SNS en Standard Chartered mijn postbus als correspondentie-adres opgegeven. Dit gaat niet digitaal maar wel als je er even binnen loopt.

Verder ook met je emailaddress, de ABN maakt gebruikt van ICS die wel je email adres heeft.

Ik kan dan ook niets zinnigs zeggen of dit wel/niet zo is waar de gegevens vandaan komen maar laten we wel graag even alles correct houden.

Engeneer 18 juni 2012 22:26

Ik heb net de file beken, wat onduidelijk. Maar wat kun je er nou mee. Je moet toch eerst hun pasje hebben.
Maar als het echt over visa en mastercard gaat is dit wel heel erg.
Het is op een manier dan ook weer goed dat hij dit doet, het weer een keer aan het licht brengen, mensen mij visa en mastercard wordt wakker. Die beveiliging van jullie is shit.
Wel erg voor de mensen die dit treft.
ben ook benieuwd hoe dit afloopt, weer het zelfde liedje

Anoniem: 434945 @Engeneer • 18 juni 2012 22:29

Nee, code en security code is genoeg.. Beide staan op de kaart. Ik snap niet dat ze de security code niet standaard weglaten en m los geven, zelf schuur ik m er af nadat ik m uit mijn hoofd ken.. Stuk veiliger.. Maar zou niet helpen tegen zoiets..

kabouter428 @Anoniem: 434945 • 18 juni 2012 23:22

bij mijn pasje is de cvc gelijk aan de laatste 3 cijfer dus als iedereen dat heeft dan maakt die cvc ook geen zak meer uit

arjankoole

Beveiliging
Hackers

@kabouter428 • 19 juni 2012 07:56

bij mijn pasje is de cvc gelijk aan de laatste 3 cijfer dus als iedereen dat heeft dan maakt die cvc ook geen zak meer uit

Ik denk dat dat toeval is, op geen van mijn kaarten heb ik dat ooit meegemaakt.

Jazco2nd @Anoniem: 434945 • 18 juni 2012 22:40

en vervaldatum, en naam...

en bij de meeste online aankopen tegenwoordig ook je Visa of Mastercard secur login gegevens ofzoiets.. superirritant vergeet ik altijd.

Bastien @Engeneer • 18 juni 2012 22:29

Als hij CC nummer, vervaldatum en security code te pakken heeft, heeft hij genoeg gegevens. Pasjes heb je echt niet nodig, zelfs in de winkel met fysieke apparatuur niet. Dus hij kan er alles mee.

En als hij echt al die gegevens heeft en die worden gelekt... dan krijgen een heleboel mensen een nieuw pasje. Overuren voor de pasjesboeren gaan dat dan worden

Arjan_25 @Engeneer • 18 juni 2012 22:35

Voor aankopen via een webshop ben je geen pasje nodig.

Vind dit inderdaad wel zorgwekkend. Gelukkig niet in het bezit van een CC maar je zou er maar tussen staan..... Jammer is dan weer wel dat dit niet geverifieerd word. Dus de echtheid kan in twijfel getrokken worden.

[Reactie gewijzigd door Arjan_25 op 24 juli 2024 02:32]

wizzkizz @Engeneer • 18 juni 2012 22:36

Op internet kun je vaak betalen zonder de pas, met alleen het naam/nummer, de verloopdatum en de security code.

[edit]Om fraude tegen te gaan ondersteunen sommige verwerkers MasterCard SecureCode of 3-D Secure van VISA. In geval van de Rabobank heb je dan je Random Reader nodig om te betaling uit te kunnen voeren. Dan moet je dus wel in het bezig zijn van de pas zelf.

[Reactie gewijzigd door wizzkizz op 24 juli 2024 02:32]

Anoniem: 283748 18 juni 2012 22:10

Heb zojuist de dump bekeken. Zijn rond de 1200 klantgegevens en staan dus geen CC-nummers enz in, enkel NAW-gegevens en aangegeven of die persoon een Mastercard of Visa heeft.

Zegt dus niets dat dit direct van MC of Visa afkomstig is, kan net zo goed van een onveilige webwinkel o.i.d. zijn. Die kans lijkt mij een stuk groter dan dat Mastercard EN Visa gehacked zijn.

[Reactie gewijzigd door Anoniem: 283748 op 24 juli 2024 02:32]

Baggeraar @Anoniem: 283748 • 18 juni 2012 22:13

lees even deze bovenstaande reactie en je weet waarom dat gedaan is.

MaZeLe in 'nieuws: 'Hacker steelt 50GB aan klantgegevens bij Mastercard en Visa''

Anoniem: 126717 @Anoniem: 283748 • 18 juni 2012 22:19

Ook even gekeken, sta er niet in, dus ik kan niet zeggen of de gegevens juist zijn.
Maar ik vermoed dat dit niet van een CC maatschappij is. Die beste hacker weet dat hij een forse som geld kan verdienen met die database, dus zal hem eerder stilletjes te koop zetten dan ermee zwaaien.

Clifdon 18 juni 2012 22:12

Ik vind 50 GB voor ca. duizend creditcardhouders nogal veel of ben ik gek? Zeker wanneer dergelijke bestanden als zijnde onversleuteld zijn bewaard? Zijn deze bestanden dan met opzet opgeblazen tot dergelijke grote?

YbonG @Clifdon • 18 juni 2012 22:18

het bestand wat uit is gebracht is dus maar 97~ kbyte, voor de duidelijkheid. Het is de hacker zelf die claimed dat de totale lijst 50GB omvangt.

[Reactie gewijzigd door YbonG op 24 juli 2024 02:32]

DeMolT. @Clifdon • 18 juni 2012 22:19

De hacker geeft aan dat de files te groot zijn om alles te posten, dus dit is slechts een greep van 1200 uit de 50GB.

Ik kan me wel voorstellen dat het 50GB is, het klantenbestand van Mastercard en VISA zijn extreem groot.

Erg jammer dat dit de nieuwe trend is, hopelijk komt er ooit nog iemand met de oplossing om dit soort gekloot tegen te gaan.
Triggers zodra er grote hoeveelheden data worden gedownload wellicht?

Bastien @Clifdon • 18 juni 2012 22:23

Lees het artikel nog eens een keer

WhatsappHack

Politiek en recht
Netwerk en systeembeheer
Privacy

18 juni 2012 22:10

Another one bites the dust. Als dit waar is, dan is het het zoveelste probleem met grote bank/creditcard maatschappijen. Heeft wakkerschudden uberhaupt zin?

walletje-w @WhatsappHack • 18 juni 2012 23:06

Je zou zeggen dat ze in 2005 al wakker geschud zijn toen er 40 miljoen accounts gehacked zijn. Als je deze link bekijkt dan zien je dat er veel bedrijven zijn die gehacked zijn met enorme aantallen accounts die hierdoor openbaar zijn geworden. http://www.focus.com/fyi/...ve-data-breaches-history/

Ik vraag me ontzettend af waar dit in de toekomst heen gaat en hoe je als consument je hier nou het beste tegen kan beschermen. Je kunt er tegenwoordig zeker van zijn dat er een account van je gehacked word. Zou er een soort van login systeem moeten komen wat bij de consument ligt. Waardoor een hacker ineens vele miljoenen systemen moet hacken voordat hij dus een miljoen account gegevens heeft. Los van of het mogelijk is. Ik weet niet wat een betere oplossing is maar dat het een probleem is en blijft staat in mijn ogen vast.

In de toekomst lijkt het me zelfs nog moeilijker om te ontdekken of je account gehacked is doordat hackers het redelijk vaak publiceren maar wat is er gebeurd en gaat er gebeuren met alle gegvens die gestolen zijn maar waar het niet van openbaar gemaakt is?

toxict 18 juni 2012 23:00

http://pastebin.com/V5gCayyb

Volgens mij zijn anderen boos op hem.
Ze zeggen hoe hij heet en dat ie uit nederland komt.

rvl1980 @toxict • 19 juni 2012 08:06

Yeah... Kenneth Nietsche klinkt wel Nederlands, beetje dezelfde tongval als Gerard Schothort zegmaar :-P .... Of zou het een amerikaan zijn met de topografische kennis van een biertviltje...

Nahhh, klinkt mij eerder als iemand die iets niet weet, maar pretendeerd stoer te zijn door wat dingen te roepen: suck this and fuck that and eat my ... Jaloezie, afgunst, onzekerheid, zichzelf ondergewardeerd voelen??? dunno, maar hij klinkt niet echt overtuigend, dat weet ik wel...

Op dit item kan niet meer gereageerd worden.

'Hacker steelt 50GB aan klantgegevens bij Mastercard en Visa'

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: