Hack bij MasterCard en Visa is waarschijnlijk hoax

Het is niet geheel duidelijk waar de gestolen creditcardgegevens die maandag op het internet verschenen vandaan komen. Bovendien lijkt het erop dat de 'hacker' die de gegevens publiceerde, zelf helemaal niet achter de hack zit.

CreditcardDe kans is groot dat de maandag gepubliceerde 'creditcardgegevens' niet van de hacker, met de naam Reckz0r, afkomstig zijn. Zoals tweaker Johny_B aanvoert, zijn de gegevens begin mei al gepubliceerd op een Palestijnse hackerssite. De kans is dan ook groot dat 'hacker' Reckz0r de gegevens simpelweg heeft gekopieerd en als zijn eigen werk heeft gepubliceerd.

De 'aanvaller' claimt bovendien opeens niet Visa en MasterCard te hebben gekraakt, maar de banken. Hij zou in de afgelopen drie maanden toegang tot 79 grote banken hebben gehad, waaronder de Amerikaanse gigant Chase. Eerder stelde hij bij de creditcardmaatschappijen Visa en MasterCard 50GB aan data te hebben buitgemaakt.

Reckz0r heeft maandag een deel van de buitgemaakte gegevens gepubliceerd, maar al snel ontstond twijfel over de herkomst van de gegevens. Op de lijst stonden namelijk ook gegevens van klanten van creditcardbedrijf American Express, een concurrent van Visa en MasterCard. Er is geen reden waarom die laatste twee bedrijven over gegevens van American Express-klanten zouden beschikken.

Het lijkt waarschijnlijker dat de gegevens afkomstig zijn van een andere bron, ook omdat er op de lijst geen enkel creditcardnummer of verwante gegevens, zoals de security-code en de verloopdatum, te vinden zijn. Volgens de hacker zelf zou hij die gegevens hebben weggelaten om de privacy van de klanten te beschermen, maar tegelijk publiceerde hij wel e-mailadressen en telefoonnummers.

Door Joost Schellevis

Redacteur

Feedback • 19-06-2012 11:16 57

19-06-2012 • 11:16

57

Lees meer

'Cybercriminelen stelen meer dan 200 miljoen euro van Russische banken'
'Cybercriminelen stelen meer dan 200 miljoen euro van Russische banken' Nieuws van 9 april 2013
Hackers breken in bij Witte Huis
Hackers breken in bij Witte Huis Nieuws van 2 oktober 2012
'Hacker steelt 50GB aan klantgegevens bij Mastercard en Visa'
'Hacker steelt 50GB aan klantgegevens bij Mastercard en Visa' Nieuws van 18 juni 2012
Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders
Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders Nieuws van 2 april 2012
Microsoft: onttrekken creditcard-data aan Xbox onwaarschijnlijk
Microsoft: onttrekken creditcard-data aan Xbox onwaarschijnlijk Nieuws van 31 maart 2012
Meer producten en artikelen
Privacy Beveiliging Creditcard Hackers

Reacties (57)

-Moderatie-faq
57
57
35
2
0
9
Wijzig sortering
Tom 19 juni 2012 11:21
Een enkele creditcardmaatschappij hacken zou al een hele prestatie zijn. Laat staan de twee grootste maatschappijen. Toen ik hoorde dat er ook 79 grote banken gehackt waren wist ik al genoeg dat het een grappenmaker was.
ktf @Tom19 juni 2012 11:32
Alles goed en wel, maar hij zal zijn doel nu al wel bereikt hebben: reputatieschade. Moet je de reacties op het eerste artikel (hier op Tweakers) zien, van mensen die meteen riepen dat het een schande was wat betreft beveiliging. Dit nieuws heeft de gewone media ook bereikt, dit is gewoon gezichtsverlies voor de CC-maatschappijen terwijl er niets is gebeurd.

Als dat het doel was van deze 'hacker', dan heeft ie dat prima voor mekaar. Het blijft me verbazen hoeveel effect hoax blijft hebben. Vroeger was het al wel opletten met broodje-aap-verhalen, maar met de opkomst van massacommunicatie de afgelopen 20 jaar wordt het toch wel steeds beter oppassen geblazen vermoed ik.

[Reactie gewijzigd door ktf op 22 juli 2024 16:09]

GewoonWatSpulle @ktf19 juni 2012 11:39
Een scheet laten op de beursvloer doet ook wonderen! ;) maar in werkelijkheid doet het niets met de bedrijven qua functioneren, alleen de handel in bedrijfdelen gaat wat omlaag.
kimborntobewild @Tom19 juni 2012 14:36
Een enkele creditcardmaatschappij hacken zou al een hele prestatie zijn. Laat staan de twee grootste maatschappijen. Toen ik hoorde dat er ook 79 grote banken gehackt waren wist ik al genoeg dat het een grappenmaker was.
Het is in dit geval dan niet waar geweest, maar als er 79 banken zijn die eenzelfde systeem gebruiken, en dat systeem zelf wordt gekraakt (bijv. SHA-1 - ik roep maar iets), dan kan dat wel op hetzelfde neerkomen.
Anoniem: 255718 @kimborntobewild19 juni 2012 17:17
Inderdaad: Je roept maar iets, zoals zovelen dat elke keer weer doen.
TheekAzzaBreek 19 juni 2012 12:22
Op de lijst stonden namelijk ook creditcardnummers van creditcardbedrijf American Express, een concurrent van Visa en MasterCard. Er is geen reden waarom die laatste twee bedrijven over gegevens van American Express-klanten zouden beschikken.

Het lijkt waarschijnlijker dat de gegevens afkomstig zijn van een andere bron, ook omdat er op de lijst geen enkel creditcardnummer of verwante gegevens, zoals de security-code en de verloopdatum, ...
Staan er nou wel of geen creditcard nummers in? Ik heb even kort gekeken of ik er zelf in voorkwam, en toen geen nummers gezien, maar misschien iets gemist.
Alcmaria @TheekAzzaBreek19 juni 2012 12:41
Er stonden geen CC nummers in.. maar .. en ik heb dit vaker gezegd :-).. een CC nummer is helemaal niet zo heel erg interessant..
het is maar een nummer van 16 lang..
waarvan de eerste 6 de BIN van de Bank zijn (BankIdentificationNumber)
dan nog 9 nummertjes en dan 1 laatste checkdigit via luhncheck methode.

dus wat heb je dan..

4563530000000004 theoretisch geldig kaartnummer.. en ga zo maar door..

maar wat ga je er mee doen? je hebt geen CVC2 waarde, geen chipinfo, geen vervaldatum (hoewel die redelijk simpel te gokken is).. dan heb je een nummer..

Maar goed.. dat is net zoals ik heb een lijst gehackt met pincodes:

1231
4923
2942
3234
9426
3942

Het zijn maar nummertjes..(alleen korter)
liquid_ice @Alcmaria19 juni 2012 12:59
Heeey, hoe kom je aan mijn pincode ???
:P
pknl @liquid_ice19 juni 2012 13:09
stond in deze lijst....
http://www.positiveatheism.org/crt/pin.htm
Alcmaria @pknl19 juni 2012 13:12
Okay ik geef toe.. het was niet mijn hack...
Jheroun @pknl19 juni 2012 15:13
Als je die in willekeurige volgorde zet kan je er gegarandeerd nieuwssites mee halen :)
Luuk Fiets @Alcmaria19 juni 2012 19:20
Klopt. Met wiskunde heb ik laatst tellen weer eens gehad. Stel dat de eerste nummers bekend zijn en dat zouden dan allemaal 5'en zijn, en het laatste nummer is ook bekend en dat is een 6, dan heb je in theorie dus: 1*1*1*1*1*1*10*10*10*10*10*10*10*10*10*1
wat neerkomt op 10*10*10*10*10*10*10*10 wat neerkomt op 10^9 mogelijkheden. Dat is dus "maar": 1.000.000.000 opties...Oh en stel dat er dus helemaal niets bekend is (de eerste 6 niet, en de laatste ook niet), tja dan kom je op 10^16= 10.000.000.000.000.000, en dat is veel.
Pincodes? 10^4= 10.000 (als je cijfers dubbel gebruikt).
Ik ga weer verder, ajooeh
paradoXical 19 juni 2012 11:21
Wat ik me verder afvraag: hoe kan iemand 50GB aan data downloaden zonder dat er een alarmbel gaat rinkelen ergens, het lijkt me toch dat dit makkelijk traceerbaar is, en het lijkt me dat CC maatschappijen vol inzetten op security. Alles staat of valt met vertrouwen.
freaky @paradoXical19 juni 2012 11:47
Met de offsite replicatie van backups en de sowieso al enorme hoeveelheden data die dat soort partijen verzetten betwijfel ik dat 50GB opvalt.

Als je netwerk meter al 6TB per dag aan geeft zal die 50GB niet snel opvallen.

Je praat hier niet over een 5 mans timmer bedrijfje dat mss 15GB aan internetverkeer per maand heeft.
kjast @freaky19 juni 2012 11:53
Reken maar dat het opvalt als je 50Gb verscheept naar een server die niet in binnen je eigen netwerk valt.

De vraag is of het op zou vallen als je die 50Gb verscheept naar een door jou aangestuurd botnet, maar als het naar 1 server gaat buiten je eigen netwerk dan moeten alle alarmbellen gaan rinkelen.
Anoniem: 338569 @kjast19 juni 2012 18:05
50GB / 79 grote banken = nog geen GB maar 600/700 MB per bank dus vrij ontraceerbaar.
rob12424 @Anoniem: 33856919 juni 2012 21:49
Geloof me bij een goed systeem (en dat zit er bij de meeste banken in) is zelfs 3 mb bij bepaalde data al opvallend. Zelfs bij een bepaalde hoeveelheid kb´s al genoeg zijn (immers sleutels zijn vaak maar een paar honderd kb´s groot.
..bennie @paradoXical19 juni 2012 11:23
Je kunt natuurlijk over een lange termijn veel data verzamelen zonder dat er sprake is van een eenmalige piek.
YopY @paradoXical19 juni 2012 11:54
idd, de CC maatschappijen zelf zijn / worden ook (voor zover ik weet) nooit gehacked; het zijn altijd webshops en dergelijke die hun beveiliging niet op orde hebben.

Natuurlijk, mijns insziens, moet CC gegevens die derde partijen opslaan ook geen invloed hebben op de veiligheid van een betalingsaanbieder. iDeal is bijvoorbeeld belachelijk veel veiliger, simpelweg omdat de (web)winkel zelf niks hoeft op te slaan qua jouw bank/betalingsgegevens.
TvdW 19 juni 2012 11:18
Gezien de mailadressen op de oorspronkelijke lijst waar het vandaan lijkt te komen, lijkt me dit een simpel gevalletje phishing.
bbob
@TvdW19 juni 2012 11:30
Denk het ook maar stel je eens de vraag. 50 gb aan data dan heb je het denk ik over een tiental miljoen credit card gegevens wereldwijd. Lijkt me dat dat niet kan kloppen.
TvdW @bbob19 juni 2012 11:38
Het leukste deel van een hoax is dat je dingen kunt zeggen die nergens op slaan. 50GB lijkt me dus gewoon onzin ;)
Tukkertje-RaH @TvdW19 juni 2012 12:33
Precies! 'Pics or it didn't happen' zoals 4Chan zou zeggen...

Maar goed - ik heb die vrijgegeven lijst gedownload en effe snel gezocht naar Nederlandse slachtoffers. Voor & achternaam in google - en de gegevens lijken in ieder geval te matchen.

Ik vraag me verder af wat erger is - 2 credit card maatschappijen hacken, of 79 banken...

Zou dit de nieuwe trend in de 'scene' zijn - gegevens op straat gooien met een claim dat je een multinational gehackt hebt?
TvdW @Tukkertje-RaH19 juni 2012 12:37
Als ik een hoax zou willen maken zou ik ook wel eventjes checken of de data klopt, via de Facebook API...
Keypunchie
@bbob19 juni 2012 11:47
Denk het ook maar stel je eens de vraag. 50 gb aan data dan heb je het denk ik over een tiental miljoen credit card gegevens wereldwijd. Lijkt me dat dat niet kan kloppen.
In theorie zou daar ook de volledige aankoop- en betalingsgeschiedenis van zo'n kaart kunnen zijn. Of misschien ook alle servicedesk-contacten van een klant. En bij de kaartverwerkers zou het ook niet zo gek zijn om in de database een scan van het oorspronkelijke formulier + handtekening in een ongecomprimeerd formaat te hebben zitten (dus als 'blob').

Dus, er zijn genoeg dingen te verzinnen om aan die 50 GB te komen.

Neemt niet weg dat zonder verdere duiding het een waardeloos gegeven blijft dat niet bijdraagt aan de geloofwaardigheid.
VW-Arjan @Keypunchie19 juni 2012 11:52
Ja of opgenomen gesprekken met de klanten.
Dan is 50gb nog weinig.
YopY @bbob19 juni 2012 11:52
Als het echt om alleen (relevante) creditcardgegevens gaat - kaarthouder, nummer, expiry date en code - dan kun je (ruwe schatting) miljarden creditcardgegevens in 50 GB verstouwen.
Anoniem: 114278 @TvdW20 juni 2012 00:23
http://www.zdnet.com/blog...rd-data/12519?tag=nl.e589
Double_DeluXe 19 juni 2012 12:38
De overtuiging is er dat dit een hoax is.
Maar is het niet interesanter om te kijken wat de kanesn zijn dat dit GEEN hoax is?
Hoe groot is deze kans tegenwoordig?
PaulC @Double_DeluXe19 juni 2012 12:51
Visa en master die dit afdoen als HOAX om reputatieschade in te dammen of niet te moeten vergoeden lijkt mij op dit moment ook HEEL erg plausibel.
(De nummers zijn er inderdaad effectief, ook al heeft hij ze misschien niet gehacked maar iemand anders reeds vroeger)
TheekAzzaBreek @PaulC19 juni 2012 13:13
Wat een onzin. Of er vergoed wordt hangt af of er geld achterover gedrukt wordt, en dat is aantoonbaar met je maandafschrift. Een CC bedrijf kan wel duizend keer hoax roepen, als er betalingen op je afschrift staan waar ze de rechtmatigheid niet kunnen aantonen moeten ze betalen.

Nou hoeft een mooie samenzweringstheorie nergens op gebaseerd te zijn, daarom zijn ze zo leuk, maar wou je echt beweren dat onze eigen Johny_B een infiltrant is van Visa en MC?

Edit: En die CC nummers zijn er dus effectief niet, zie boven.

[Reactie gewijzigd door TheekAzzaBreek op 22 juli 2024 16:09]

ro8in 19 juni 2012 11:44
Zou wel lullig zijn als die nu als nog gewoon opgepakt werd. Is die gewoon de lul voor iets wat die helemaal niet gedaan heeft.
Anoniem: 282840 @ro8in19 juni 2012 11:47
Zou zeker wel terecht zijn als die berecht word, hij steld mastercard en visa in slecht daglicht en dit valt gewoon onder smaad
Smaad is het zwartmaken van een ander door deze in het openbaar van feiten te beschuldigen waaraan hij of zij zich schuldig zou hebben gemaakt, zonder dat wordt gehandeld uit noodzakelijke verdediging of dat te goeder trouw kon worden aangenomen dat deze feiten waar zijn en dat het algemeen belang vereiste dat de feiten naar buiten werden gebracht. Het doel is het ruïneren van de reputatie van het slachtoffer.

[Reactie gewijzigd door Anoniem: 282840 op 22 juli 2024 16:09]

breezie 19 juni 2012 11:24
De niet uniforme manier waarop de "sample" gegevens in het tekstbestand op pastebin waren opgesteld, deed mij al vermoeden dat dit fake was...
benji83 19 juni 2012 11:27
Het leek me al zeer sterk toen hij zijn verhaal veranderde naar '79 banken in de afgelopen 3 maanden'.
Hij heeft het zo ongeloofwaardig gemaakt dat het wel een hoax moet zijn.
DeTeraarist 19 juni 2012 12:44
Omdat we nog geen woord hadden voor "Virtuele Johnny en Anita's" stel ik voor dat we daar voortaan "Reckz0r" voor gaan gebruiken. Moet je voor de grap z'n twitter eens nalezen, kansloze stoerdoenerij, meer is het niet.
..bennie 19 juni 2012 11:23
De tweede hackhoax in korte termijn, ik voelde hem wel al aankomen.
Anoniem: 390704 @..bennie19 juni 2012 11:35
Mooi woord: Hackhoax. Hackhoax is nu al de trend van 2012. Zie de zogenaamde KPN-lijst die kwam van de babydump.

Het wordt dus tijd dat media (tweakers, NOS-journaal) kritisch kijken en zoeken naar bewijs voordat ze publiceren dat er een hack is.

Dat is geen makkelijke taak, maar wel nodig, juist omdat echte hacks wel bekend gemaakt moeten worden.
Anoniem: 175233 @Anoniem: 39070419 juni 2012 15:34
Tja.... vroeger betekent journalistiek automatisch dat je kritisch keek naar de geboden informatie. Tegenwoordig schijnt dat niet meer het geval te zijn... Alles moet snel snel snel, voordat een andere website het geplaatst heeft...
Anoniem: 126610 @Anoniem: 17523319 juni 2012 20:50
Dat vind ik hier nogal meevallen eerlijk gezegd. Tweakers is juist vaak wat later met actueel nieuws dan bijvoorbeeld nu.nl, maar biedt wel (veel) meer diepgang en inhoud.

En het voordeel van Tweakers is dat je door de comments (zoals in dit geval van johny_B) vaak een beter beeld krijgt van wat er aan de hand is dan door alleen het artikel te lezen. Bij NuJij is het die keren dat ik gekeken heb onkunde troef.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq