Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

Het is niet geheel duidelijk waar de gestolen creditcardgegevens die maandag op het internet verschenen vandaan komen. Bovendien lijkt het erop dat de 'hacker' die de gegevens publiceerde, zelf helemaal niet achter de hack zit.

CreditcardDe kans is groot dat de maandag gepubliceerde 'creditcardgegevens' niet van de hacker, met de naam Reckz0r, afkomstig zijn. Zoals tweaker Johny_B aanvoert, zijn de gegevens begin mei al gepubliceerd op een Palestijnse hackerssite. De kans is dan ook groot dat 'hacker' Reckz0r de gegevens simpelweg heeft gekopieerd en als zijn eigen werk heeft gepubliceerd.

De 'aanvaller' claimt bovendien opeens niet Visa en MasterCard te hebben gekraakt, maar de banken. Hij zou in de afgelopen drie maanden toegang tot 79 grote banken hebben gehad, waaronder de Amerikaanse gigant Chase. Eerder stelde hij bij de creditcardmaatschappijen Visa en MasterCard 50GB aan data te hebben buitgemaakt.

Reckz0r heeft maandag een deel van de buitgemaakte gegevens gepubliceerd, maar al snel ontstond twijfel over de herkomst van de gegevens. Op de lijst stonden namelijk ook gegevens van klanten van creditcardbedrijf American Express, een concurrent van Visa en MasterCard. Er is geen reden waarom die laatste twee bedrijven over gegevens van American Express-klanten zouden beschikken.

Het lijkt waarschijnlijker dat de gegevens afkomstig zijn van een andere bron, ook omdat er op de lijst geen enkel creditcardnummer of verwante gegevens, zoals de security-code en de verloopdatum, te vinden zijn. Volgens de hacker zelf zou hij die gegevens hebben weggelaten om de privacy van de klanten te beschermen, maar tegelijk publiceerde hij wel e-mailadressen en telefoonnummers.

Moderatie-faq Wijzig weergave

Reacties (57)

Een enkele creditcardmaatschappij hacken zou al een hele prestatie zijn. Laat staan de twee grootste maatschappijen. Toen ik hoorde dat er ook 79 grote banken gehackt waren wist ik al genoeg dat het een grappenmaker was.
Alles goed en wel, maar hij zal zijn doel nu al wel bereikt hebben: reputatieschade. Moet je de reacties op het eerste artikel (hier op Tweakers) zien, van mensen die meteen riepen dat het een schande was wat betreft beveiliging. Dit nieuws heeft de gewone media ook bereikt, dit is gewoon gezichtsverlies voor de CC-maatschappijen terwijl er niets is gebeurd.

Als dat het doel was van deze 'hacker', dan heeft ie dat prima voor mekaar. Het blijft me verbazen hoeveel effect hoax blijft hebben. Vroeger was het al wel opletten met broodje-aap-verhalen, maar met de opkomst van massacommunicatie de afgelopen 20 jaar wordt het toch wel steeds beter oppassen geblazen vermoed ik.

[Reactie gewijzigd door ktf op 19 juni 2012 11:33]

Een scheet laten op de beursvloer doet ook wonderen! ;) maar in werkelijkheid doet het niets met de bedrijven qua functioneren, alleen de handel in bedrijfdelen gaat wat omlaag.
Een enkele creditcardmaatschappij hacken zou al een hele prestatie zijn. Laat staan de twee grootste maatschappijen. Toen ik hoorde dat er ook 79 grote banken gehackt waren wist ik al genoeg dat het een grappenmaker was.
Het is in dit geval dan niet waar geweest, maar als er 79 banken zijn die eenzelfde systeem gebruiken, en dat systeem zelf wordt gekraakt (bijv. SHA-1 - ik roep maar iets), dan kan dat wel op hetzelfde neerkomen.
Inderdaad: Je roept maar iets, zoals zovelen dat elke keer weer doen.
Op de lijst stonden namelijk ook creditcardnummers van creditcardbedrijf American Express, een concurrent van Visa en MasterCard. Er is geen reden waarom die laatste twee bedrijven over gegevens van American Express-klanten zouden beschikken.

Het lijkt waarschijnlijker dat de gegevens afkomstig zijn van een andere bron, ook omdat er op de lijst geen enkel creditcardnummer of verwante gegevens, zoals de security-code en de verloopdatum, ...
Staan er nou wel of geen creditcard nummers in? Ik heb even kort gekeken of ik er zelf in voorkwam, en toen geen nummers gezien, maar misschien iets gemist.
Er stonden geen CC nummers in.. maar .. en ik heb dit vaker gezegd :-).. een CC nummer is helemaal niet zo heel erg interessant..
het is maar een nummer van 16 lang..
waarvan de eerste 6 de BIN van de Bank zijn (BankIdentificationNumber)
dan nog 9 nummertjes en dan 1 laatste checkdigit via luhncheck methode.

dus wat heb je dan..

4563530000000004 theoretisch geldig kaartnummer.. en ga zo maar door..

maar wat ga je er mee doen? je hebt geen CVC2 waarde, geen chipinfo, geen vervaldatum (hoewel die redelijk simpel te gokken is).. dan heb je een nummer..

Maar goed.. dat is net zoals ik heb een lijst gehackt met pincodes:

1231
4923
2942
3234
9426
3942

Het zijn maar nummertjes..(alleen korter)
Heeey, hoe kom je aan mijn pincode ???
:P
Okay ik geef toe.. het was niet mijn hack...
Als je die in willekeurige volgorde zet kan je er gegarandeerd nieuwssites mee halen :)
Klopt. Met wiskunde heb ik laatst tellen weer eens gehad. Stel dat de eerste nummers bekend zijn en dat zouden dan allemaal 5'en zijn, en het laatste nummer is ook bekend en dat is een 6, dan heb je in theorie dus: 1*1*1*1*1*1*10*10*10*10*10*10*10*10*10*1
wat neerkomt op 10*10*10*10*10*10*10*10 wat neerkomt op 10^9 mogelijkheden. Dat is dus "maar": 1.000.000.000 opties...Oh en stel dat er dus helemaal niets bekend is (de eerste 6 niet, en de laatste ook niet), tja dan kom je op 10^16= 10.000.000.000.000.000, en dat is veel.
Pincodes? 10^4= 10.000 (als je cijfers dubbel gebruikt).
Ik ga weer verder, ajooeh
Wat ik me verder afvraag: hoe kan iemand 50GB aan data downloaden zonder dat er een alarmbel gaat rinkelen ergens, het lijkt me toch dat dit makkelijk traceerbaar is, en het lijkt me dat CC maatschappijen vol inzetten op security. Alles staat of valt met vertrouwen.
Met de offsite replicatie van backups en de sowieso al enorme hoeveelheden data die dat soort partijen verzetten betwijfel ik dat 50GB opvalt.

Als je netwerk meter al 6TB per dag aan geeft zal die 50GB niet snel opvallen.

Je praat hier niet over een 5 mans timmer bedrijfje dat mss 15GB aan internetverkeer per maand heeft.
Reken maar dat het opvalt als je 50Gb verscheept naar een server die niet in binnen je eigen netwerk valt.

De vraag is of het op zou vallen als je die 50Gb verscheept naar een door jou aangestuurd botnet, maar als het naar 1 server gaat buiten je eigen netwerk dan moeten alle alarmbellen gaan rinkelen.
50GB / 79 grote banken = nog geen GB maar 600/700 MB per bank dus vrij ontraceerbaar.
Geloof me bij een goed systeem (en dat zit er bij de meeste banken in) is zelfs 3 mb bij bepaalde data al opvallend. Zelfs bij een bepaalde hoeveelheid kb´s al genoeg zijn (immers sleutels zijn vaak maar een paar honderd kb´s groot.
Je kunt natuurlijk over een lange termijn veel data verzamelen zonder dat er sprake is van een eenmalige piek.
idd, de CC maatschappijen zelf zijn / worden ook (voor zover ik weet) nooit gehacked; het zijn altijd webshops en dergelijke die hun beveiliging niet op orde hebben.

Natuurlijk, mijns insziens, moet CC gegevens die derde partijen opslaan ook geen invloed hebben op de veiligheid van een betalingsaanbieder. iDeal is bijvoorbeeld belachelijk veel veiliger, simpelweg omdat de (web)winkel zelf niks hoeft op te slaan qua jouw bank/betalingsgegevens.
Gezien de mailadressen op de oorspronkelijke lijst waar het vandaan lijkt te komen, lijkt me dit een simpel gevalletje phishing.
Denk het ook maar stel je eens de vraag. 50 gb aan data dan heb je het denk ik over een tiental miljoen credit card gegevens wereldwijd. Lijkt me dat dat niet kan kloppen.
Het leukste deel van een hoax is dat je dingen kunt zeggen die nergens op slaan. 50GB lijkt me dus gewoon onzin ;)
Precies! 'Pics or it didn't happen' zoals 4Chan zou zeggen...

Maar goed - ik heb die vrijgegeven lijst gedownload en effe snel gezocht naar Nederlandse slachtoffers. Voor & achternaam in google - en de gegevens lijken in ieder geval te matchen.

Ik vraag me verder af wat erger is - 2 credit card maatschappijen hacken, of 79 banken...

Zou dit de nieuwe trend in de 'scene' zijn - gegevens op straat gooien met een claim dat je een multinational gehackt hebt?
Als ik een hoax zou willen maken zou ik ook wel eventjes checken of de data klopt, via de Facebook API...
Denk het ook maar stel je eens de vraag. 50 gb aan data dan heb je het denk ik over een tiental miljoen credit card gegevens wereldwijd. Lijkt me dat dat niet kan kloppen.
In theorie zou daar ook de volledige aankoop- en betalingsgeschiedenis van zo'n kaart kunnen zijn. Of misschien ook alle servicedesk-contacten van een klant. En bij de kaartverwerkers zou het ook niet zo gek zijn om in de database een scan van het oorspronkelijke formulier + handtekening in een ongecomprimeerd formaat te hebben zitten (dus als 'blob').

Dus, er zijn genoeg dingen te verzinnen om aan die 50 GB te komen.

Neemt niet weg dat zonder verdere duiding het een waardeloos gegeven blijft dat niet bijdraagt aan de geloofwaardigheid.
Ja of opgenomen gesprekken met de klanten.
Dan is 50gb nog weinig.
Als het echt om alleen (relevante) creditcardgegevens gaat - kaarthouder, nummer, expiry date en code - dan kun je (ruwe schatting) miljarden creditcardgegevens in 50 GB verstouwen.
De overtuiging is er dat dit een hoax is.
Maar is het niet interesanter om te kijken wat de kanesn zijn dat dit GEEN hoax is?
Hoe groot is deze kans tegenwoordig?
Visa en master die dit afdoen als HOAX om reputatieschade in te dammen of niet te moeten vergoeden lijkt mij op dit moment ook HEEL erg plausibel.
(De nummers zijn er inderdaad effectief, ook al heeft hij ze misschien niet gehacked maar iemand anders reeds vroeger)
Wat een onzin. Of er vergoed wordt hangt af of er geld achterover gedrukt wordt, en dat is aantoonbaar met je maandafschrift. Een CC bedrijf kan wel duizend keer hoax roepen, als er betalingen op je afschrift staan waar ze de rechtmatigheid niet kunnen aantonen moeten ze betalen.

Nou hoeft een mooie samenzweringstheorie nergens op gebaseerd te zijn, daarom zijn ze zo leuk, maar wou je echt beweren dat onze eigen Johny_B een infiltrant is van Visa en MC?

Edit: En die CC nummers zijn er dus effectief niet, zie boven.

[Reactie gewijzigd door TheekAzzaBreek op 19 juni 2012 13:15]

Zou wel lullig zijn als die nu als nog gewoon opgepakt werd. Is die gewoon de lul voor iets wat die helemaal niet gedaan heeft.
Zou zeker wel terecht zijn als die berecht word, hij steld mastercard en visa in slecht daglicht en dit valt gewoon onder smaad
Smaad is het zwartmaken van een ander door deze in het openbaar van feiten te beschuldigen waaraan hij of zij zich schuldig zou hebben gemaakt, zonder dat wordt gehandeld uit noodzakelijke verdediging of dat te goeder trouw kon worden aangenomen dat deze feiten waar zijn en dat het algemeen belang vereiste dat de feiten naar buiten werden gebracht. Het doel is het ruļneren van de reputatie van het slachtoffer.

[Reactie gewijzigd door michaaeel op 19 juni 2012 11:47]

De niet uniforme manier waarop de "sample" gegevens in het tekstbestand op pastebin waren opgesteld, deed mij al vermoeden dat dit fake was...
Het leek me al zeer sterk toen hij zijn verhaal veranderde naar '79 banken in de afgelopen 3 maanden'.
Hij heeft het zo ongeloofwaardig gemaakt dat het wel een hoax moet zijn.
Omdat we nog geen woord hadden voor "Virtuele Johnny en Anita's" stel ik voor dat we daar voortaan "Reckz0r" voor gaan gebruiken. Moet je voor de grap z'n twitter eens nalezen, kansloze stoerdoenerij, meer is het niet.
De tweede hackhoax in korte termijn, ik voelde hem wel al aankomen.
Mooi woord: Hackhoax. Hackhoax is nu al de trend van 2012. Zie de zogenaamde KPN-lijst die kwam van de babydump.

Het wordt dus tijd dat media (tweakers, NOS-journaal) kritisch kijken en zoeken naar bewijs voordat ze publiceren dat er een hack is.

Dat is geen makkelijke taak, maar wel nodig, juist omdat echte hacks wel bekend gemaakt moeten worden.
Tja.... vroeger betekent journalistiek automatisch dat je kritisch keek naar de geboden informatie. Tegenwoordig schijnt dat niet meer het geval te zijn... Alles moet snel snel snel, voordat een andere website het geplaatst heeft...
Dat vind ik hier nogal meevallen eerlijk gezegd. Tweakers is juist vaak wat later met actueel nieuws dan bijvoorbeeld nu.nl, maar biedt wel (veel) meer diepgang en inhoud.

En het voordeel van Tweakers is dat je door de comments (zoals in dit geval van johny_B) vaak een beter beeld krijgt van wat er aan de hand is dan door alleen het artikel te lezen. Bij NuJij is het die keren dat ik gekeken heb onkunde troef.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True