Hackers publiceren gegevens klanten Franse kredietverstrekker

Hackers hebben persoonlijke gegevens van klanten van het Franse Credipret online gezet. Het bedrijf, dat leningen verstrekt aan Fransen, wilde het door de hackers gevraagde geldbedrag om de gegevens uit de openbaarheid te houden niet betalen.

Op Twitter had de hackersgroep Rex Mundi, die wellicht gelieerd is aan het losvaste hackersverband Anonymous, al laten weten van plan te zijn de gegevens te publiceren. Beveiligingsnieuwssite security.nl ontdekte dat de gegevens ook daadwerkelijk openbaar zijn gemaakt. Op Pastebin zijn de gegevens van honderden Fransen verschenen, waarbij onder andere telefoonnummers, adressen en gegevens over de door hen aangevraagde leningen te zien zijn.

De hackers wilden een bedrag van 20.000 euro ontvangen van Credipret om de bewuste gegevens niet te publiceren. De kredietverstrekker wilde echter niet over de brug komen, waarna tot publicatie werd overgegaan. Volgens de hackers vroegen zij om geld omdat Credipret de gegevens op een onbeveiligde server had opgeslagen.

Het is niet de eerste keer dat de hackersgroep Rex Mundi persoonsgegevens steelt om daar vervolgens 'losgeld' voor te vragen. De hackers menen zelf dat de afpersingspraktijken als een soort straf voor het gehackte bedrijf moet worden gezien, wegens slechte beveiliging van persoonsgegevens. Eerder werden onder andere de gegevens van 4000 Nederlandse uitzendkrachten gestolen en online gezet omdat uitzendbureau Accord weigerde 10.000 euro te betalen.

Lees meer

IT-banen

Reacties (57)

arjanv
27 augustus 2012 19:18

tja, wat is slechte beveiliging? volgens mij moeten de meeste hackers toch wel enige moeite doen en kennis hebben om dit te doen. denk dat meer dan 90 procent ofzo van de bevolking niet weet hoe dat moet.
ik wordt er echt schijziek van hack pogingen die "wij" goedkeuren omdat er een achterdeur open stond of het "slot" was makkelijk te kraken. Bullshit, het is en blijf inbraak en je zit aan dingen die niet van jou zijn.
Alles is te kraken, beveiliging is alleen maar een middel om het moeilijker te maken.

jij heb toch ook geen 83 sloten op je deur en "onbreekbaar"glas in je kozijnen.

en eigenlijk zou je niets op slot hoeven doen. het is niet van jou, dus afblijven met je tengels. het is zo simpel.

@amanoo, mag ik je adres. kom ik een keer kijken hoe het met de beveiliging van jou eigendom is. of mag ik via de achterdeur je huis leeghalen en op MP verkopen?
tssssssssss. slechte beveiliging belasting

Cens
@arjanv • 27 augustus 2012 20:56

Hier ben ik het helemaal mee eens. Ze breken in op een server, zeggen dat die heel slecht beveiligd is en dat het bedrijf daarom een boete verdient die zij opleggen en innen.

Als het ze echt om de bescherming van privacy te doen was dan hadden ze het bedrijf wel een berichtje gestuurd in de trant van 'kijk we zitten op jullie server, beveilig hem eens wat beter!' Er zijn genoeg hackers die het zo doen, en daar vind ik nog wel wat voor te zeggen, maar dit zijn gewoon criminelen.

laptopleon
@Cens • 28 augustus 2012 09:54

Als de hond van de buren losloopt is dat een mooie oplossing maar niet bij een leeuw van het staatscircus. We hebben het hier over een grote kredietverstrekker. Een bedrijf waar kapitale bedragen in omgaan, alleen al aan personeel. Het is 2012 mensen, het ene na het andere schandaal kwam langs de laatste 20 jaar. Als je nu nog je beveiliging niet op orde hebt als grootbedrijf, neem je bewust grote risico's.

Cens
@laptopleon • 28 augustus 2012 13:24

Ja, maar als het al de taak is van particulieren om bedrijven daar op te wijzen dan nog is het zeker niet aan hen om straffen uit te delen. Daar hebben we rechters voor.

Keypunchie

Beveiliging

27 augustus 2012 15:44

. De hackers menen zelf dat de afpersingspraktijken als een soort straf voor het gehackte bedrijf moet worden gezien

Private groepen die 'straffen' gaan uitdelen, niet bepaald hoe een rechtsstaat in elkaar zit. Dit is gewoon klip-en-klare criminaliteit, waar de grens tussen "white hat" en "black hat" ver is overschreden.

Pixeltje

@Keypunchie • 27 augustus 2012 16:06

Zonder meer worden hiermee de verkeerde personen gestraft; als je een lening hebt lopen bij dit bedrijf liggen al jou gegevens op straat, niet die van het bedrijf. Dat is inmijn ogen verkeerd. áls ze dan zo nodig eigen rechter willen spelen, straf dan de mensen die je wilt pakken en niet de mensen die er geen ruk aan kunnen doen.

Anoniem: 132385
@Pixeltje • 27 augustus 2012 17:24

@ Pixeltje

Helaas zal het op deze manier moeten gebeuren omdat er geen wettelijk alternatief is om een bedrijf dat nalaat om gegevens naar behoren te beveiligen voor het gerecht te dagen.

Als je het pastebin bericht leest http://pastebin.com/N3LBcfj8 zie je dat ze hun eis al hadden verlaagd naar 5000 euro omdat ze de grootte van het bedrijf overschat hadden.
Desalniettemin weigerden ze te betalen voor de privacy van hun klanten. En men kan inderdaad concluderen dat de gegevens toch verspreid kunnen worden nadat het losgeld is betaald maar dat is nu eenmaal het risico van online data slecht te beveiligen.

Dat klanten worden bestraft doordat hun gegevens geopenbaard worden is zwaar overdreven omdat ze al in tal van databases bekend zijn. Voor bedrijven/banken zijn deze gegevens al op te vragen omdat iedere kredietverstrekking geregistreerd word bij een nationale databank. Dat men kwaad kan doen met deze gegevens is de schuld van bedrijven/overheid doordat men uit kostenoverwegingen steeds minder gegevens nodig heeft om een wettelijke overeenkomst te sluiten. Zie een mondeling akkoord met op een bandje bij energiecontracten. Daar is de identiteit aan de andere kant van de lijn al helemaal niet wettelijk vast te stellen maar toch kan er een mondeling akkoord die wettelijk bindend is aangegaan worden. Het is dus een fout in het huidige systeem.

Verder zou een mogelijk toekomstige klant zich wel twee keer achter de oren krabben voordat hij een lening bij het bedrijf aanvraagt omdat zijn gegevens waarvan hij verwacht dat deze zorgvuldig bewaard worden niets waard zijn voor dit bedrijf. Dat is de straf voor het bedrijf.

die wellicht gelieerd is aan het losvaste hackersverband Anonymous? Bron?
Er word namelijk nergens enige melding gemaakt dat dit waar zou zijn. En de handelswijze lijkt ook niet op Anonymous aangezien deze voor zover ik weet nog nooit losgeld gevraagd zou hebben voor wat dan ook. Ze leggen websites plat en waar mogelijk defacen ze websites uit principiele overwegingen. Niet voor geld.

wica
@Keypunchie • 27 augustus 2012 15:53

Vooraf gezegt, ik ben het niet eens met het publiseren van deze data en er losgeld gevraagt wordt. Dit moet door de wet aangepakt worden. Nu dit gezegt te hebben.

Wat is het verschil met BREIN?

Beun de Haas
@wica • 27 augustus 2012 16:46

Het verschil me Brein lijkt me toch vrij duidelijk, maar kennelijk is dat niet voor iedereen zo. Ten eerste zit Brein (nog) niet achter particulieren aan. Ten tweede plaatst Brein geen gegevens van particulieren op Pastebin. Ten derde zit Brein in de hoek van de (vermeende) copyright schending, niet in de server beveiliging. Ten vierde dupeert Brein geen particulieren die totaal geen invloed hebben op het al dan niet publiceren van hun data.

Als ik echt mijn best doe kan ik waarschijnlijk nog wel even door gaan. Kort gezegd, ik zie totaal geen overeenkomsten tussen Brein en deze groep overduidelijke internet criminelen, afgezien misschien van het feit dat ik het met geen van beide eens ben.

Jochem_
@Beun de Haas • 27 augustus 2012 17:47

Waar wica op doelt is waarschijnlijk het eigen rechter spelen. En eerlijkheid gebied me te zeggen dat Brein dat inderdaad ook doet. Het meest kwalijke daaraan is echter dat de Nederlandse rechtspraak dat oogluikend toestaat. Maar de vergelijking slaat hier verder de plank mis.

Niemand_Anders

Beveiliging

@Jochem_ • 27 augustus 2012 18:09

Het schikken van een (copyright) overtreding is nog altijd heel wat anders dan het chanteren van een bedrijf. In der minne schikking is juist een groot goed in een rechtsstaat. Verkeers overtredingen worden in het algemeen ook in der minne afgehandeld door het betalen (=acceptatie schikking) van de acceptgiro.

Je hebt ook de mogelijkheid om niet in te gaan op het voorstel. Maar dan moet je verantwoording afleggen bij een rechter. Dat brengt vaak extra kosten met zich mee. Brein speelt geen rechter, maar bied jouw de mogelijkheid om de gang naar de rechter te voorkomen.

Het hacken van een bedrijf wordt over het algemeen meer gezien als een overtreding dan een misdrijf. Had het bedrijf die 20.000 euro betaald aan de hackers dan zou de zaak waarschijnlijk nooit een vervolg krijgen bij justitie. Daarbij heb je ook niet de garantie dat de gegevens niet alsnog worden gepubliceerd als je wel betaald. Nu kan Credipret bewijzen dan zij zijn gechanteerd en chantage is altijd een misdrijf en het zal ook met een veel hogere prioriteit worden opgepakt.

Daarbij is de kans waarschijnlijk erg klein dat Credipret zelf de software van de website heeft geschreven. In de meeste gevallen wordt daarvoor een extern bureau ingehuurd. Credipret mag in dat geval net als de consument verwachten dat de beveiliging op orde is.

De meeste bedrijven hebben geen verstand van beveiliging. Dat is de primaire reden dat zij ontwikkeling en hosten uitbesteden. Zelfs als Credipret gebruik heeft gemaakt van een elcheapo ontwikkelaar is zij (juridisch) nog steeds niet verantwoordelijk voor de beveiliging van de servers. Dat is en blijft de ontwikkelaar/hoster, die wordt daarvoor betaald..

GoBieN-Be
@Niemand_Anders • 27 augustus 2012 18:16

Waarom zou een website van een kredietverlener gegevens bevatten van de klanten? Ik heb nog niet gehoord van kredietverleners waar je online kan inloggen om een lening af te sluiten. Mocht dat toch zo zijn dan is dat nieuws voor mij.
Maar als de webserver in het netwerk hangt en op die manier andere servers met deze data kunnen bereikt worden, dan lijkt me dat een grove fout in netwerkbeveiliging van de IT dienst aldaar.

Zer0
@GoBieN-Be • 27 augustus 2012 19:09

Ik heb nog niet gehoord van kredietverleners waar je online kan inloggen om een lening af te sluiten. Mocht dat toch zo zijn dan is dat nieuws voor mij

Ik zou zeggen google eens op "online lening afsluiten" en je krijgt legio mogelijkheden te zien. Alles kan online, ook een lening afsluiten.

Anoniem: 146814
@Beun de Haas • 28 augustus 2012 20:42

Brein durft nog niet. Maar zie de duitse variant:
http://www.telegraaf.nl/d..._aan_de_schandpaal__.html

robvanwijk

Hackers
Beveiliging
Privacy

@wica • 27 augustus 2012 17:17

Muziek uploaden is illegaal, volslagen incompetent zijn (als ik even aanneem dat dit inderdaad van een onbeveiligde server komt) niet.

Brein heeft van (een flink aandeel van) de mensen waar ze de rechten van behartigen toestemming om namens hen op te treden; Rex Mundi heeft dat ongetwijfeld niet (al was het maar omdat de gegevens die ze openbaar maken toebehoren aan de mensen die ze claimen te beschermen

_Erikje_
@Keypunchie • 27 augustus 2012 15:46

Dit zijn echte cyberterroristen. Aanpakken die gasten!

ViperXL
@Keypunchie • 27 augustus 2012 17:13

Ja in plaats van boetegeld te vragen voor het niet dichten van een beveiligingslek en de gegevens als bewijs geven om lek te bevestigen lijkt me logisscher. Dan even terzijde dat het crimineel is om "boetegeld/losgeld" te vragen.

Wees creatief en reken geld voor consultancy

Rob Coops

Beveiliging
Hackers

@Keypunchie • 27 augustus 2012 16:10

Inderdaad zo hoort het niet.

Aan de andere kant hoeveel bedrijven betalen hun mede werkers niet geld om hun mond te houden over bepaalde dingen dan wel pers/politie om even de andere kant op te kijken. Al dan niet via een legale weg maar het is zeker niet vreemd voor een bedrijf om geld neer te leggen om voor hun schadelijke informatie onder de pet te houden.

In dit geval doen de hackers niet veel anders ze doen hun "werk" en verkrijgen toegang tot persoonsgegevens die beveiligd hadden moeten zijn. Vervolgens melden ze dit bij het bedrijf en bieden ze het bedrijf aan voor een bedrag de gegevens niet openbaar te maken. Het bedrijf heeft dan een simpele keuze, toegeven dat ze een probleem hadden het probleem oplossen en al dan niet pogen hun klanten te beschermen door de gegevens terug te kopen van de hackers.
Veel bedrijven zullen dit zeker doen en dat is dan ook waar de hackers van uitgaan. Voor de hackers is het erg belangrijk dat ze als ze het geld ontvangen ook daadwerkelijk de gegevens niet publiceren of misbruiken als ze geloofwaardig willen blijven naar andere bedrijven toe.

Of je het nu leuk vind of niet het is een al jaren lang bestaande manier om geld te verdienen. Van mensen die voor een TV programma Schiphol binnen dringen tot reviewers die voor een leuk bedrag of een mooie gadget positief zijn over een product. Het komt allemaal op het zelfde neer mensen tonen aan dat iets wel of niet goed is om er zelf wijzer van te worden. In het geval van een hack is de enige manier om aan de buiten wereld te bewijzen dat de hack ook echt geslaagd is gegevens buitmaken en publiceren. Deze hackers bieden aan om deze informatie niet te laten zien om op die manier het bedrijf haar imago te laten behouden.
Dat het bedrijf er voor kiest om niet te betalen en vertrouwd op de kwaliteit van hun producten en het feit dat mensen vergeven en vergeten is een keuze. Voor de klanten een zeer ongelukkige omdat de hackers toen er niet betaald werd geen andere optie hadden dan te publiceren. Immers geloofwaardigheid is van groot belang in hun tak van sport.

Piraterij en gijzeling bestaan al vele jaren alleen nu worden klanten gegijzeld en worden bedrijven gevraagd om ze te beschermen door hun geld er tegen over te zetten. Het hoort niet maar het is een logisch gevolg van de manier waarop veel bedrijven omgaan met de gegevens die klanten aan hen toevertrouwen.

TDeK

Beveiliging

@Rob Coops • 27 augustus 2012 16:20

pogen hun klanten te beschermen door de gegevens terug te kopen van de hackers.

Er is een simpel probleem met deze redenatie: hackers zijn niet te vertrouwen. Er is geen enkele garantie dat deze hackers in de toekomst de gegevens niet alsnog publiceren, of er nog een keer geld voor proberen te vragen, of de gegevens aan je teruggeven terwijl ze ook aan andere partijen worden verkocht (de concurrent bijvoorbeeld). Het geld is dus altijd weggegooid. Sterker nog, het kan zelfs schadelijk zijn als uitkomt dat jij als bedrijf criminelen hebt afgekocht (dat op zichzelf is al chantagemateriaal).
Praktijkvoorbeeld: de man die cd-roms met Zwitserse bankgegevens stal, hiervoor werd veroordeeld en de schijven terug moest geven, dat deed, en vervolgens kopieën aan Duitsland doorverkocht voor vele miljoenen én een nieuwe identiteit kreeg.

hexeye
@Rob Coops • 27 augustus 2012 17:08

Wat een onzin. Alsof dr tv ploeg dan tegen Schiphol zegt: "als je ons betaald zenden we t niet uit".

Gijzeling hoort niet inderdaad, sterker nog: het is verboden.

Als niemand die databases zouden hacken is er niets aan de hand, je mag alleen wel van een bedrijf verwachten dat het afdoende z'n werk doet om te versleutelen, beveiligen etc.

Bedrijven zouden helemaal niet moeten kunnen kiezen om hun falen onbekend te laten zijn door daarvoor criminelen te betalen. Een hacker met goede bedoelingen stelt het bedrijf op de hoogte en vraagt tegen vergoeding het bedrijfs probleem op te lossen of doet het gratis, en gaat niet schermen met het duperen van klant en bedrijf.

laptopleon
@hexeye • 28 augustus 2012 10:31

Die tv ploeg doet het ook alleen maar voor het geld. Die cameraman en geluidsman liggen echt niet wakker van de beveiliging van Schiphol. Ze nemen dat alleen als onderwerp, omdat het kijkers zal trekken, omdat het niet door de beugel kan. Ze verdienen aan het feit dat Schiphol-passagiers gevaar lopen. Moreel gezien doen ze niet zo heel veel anders dan de hackers ten opzichte van de klanten van deze financiële dienstverlening.

Foxl
@Keypunchie • 27 augustus 2012 15:55

Dan noem je het een schikking, zoals Brein en kornuiten doen.

TDeK

Beveiliging

@Keypunchie • 27 augustus 2012 15:56

Mee eens, alleen ben ik wel benieuwd naar de rechtzaak mochten ze deze gasten ooit te pakken krijgen (en die kans is groot, aangezien hackersgroepen slecht tegen infiltratie kunnen leert de geschiedenis, zie LulzSec). Want waar eindigt het laakbaar handelen van de eigenaar van de database(s) en waar begint cybercrime? Je kunt dan zeggen 'jah, ze hebben helemaal niks te zoeken in dat systeem, dus zijn ze schuldig!'. Dat vind ik hypocriet, want als zij het kunnen, dan kunnen 'echte' criminelen het ook, met als verschil dat die het niet aan de grote klok hangen. Wat is erger: je gegevens gestolen waarbij jij én het bedrijf hiervan op de hoogte zijn, of een diefstal die niet eens is opgemerkt en plots wordt je slachtoffer van identity theft, waarbij je vervolgens onmogelijk kunt aantonen dat het lek bij het bedrijf x heeft gezeten (want die ontkennen natuurlijk alles, bang dat ze zijn voor claims). Natuurlijk mag je een auto niet stelen, maar als ik hem niet op slot doe, dan kan ik hoog en laag springen, maar de verzekering zal niet uitkeren. Nog los van of en welke straf de dief in dat geval verdient.

[Reactie gewijzigd door TDeK op 27 augustus 2012 15:58]

HCHRIST
@Keypunchie • 27 augustus 2012 21:25

Idd... nooit toegeven aan dit soort dreigementen. En uiteraard wel direct je beveiliging omhoogschroeven, eens gebleken is dat dit niet bleek te deugen.

Anoniem: 399807
@Keypunchie • 28 augustus 2012 09:01

"Private groepen die 'straffen' gaan uitdelen, niet bepaald hoe een rechtsstaat in elkaar zit. Dit is gewoon klip-en-klare criminaliteit, waar de grens tussen "white hat" en "black hat" ver is overschreden.", zegt Keypunchie.

Het idee van white en black hat staat op losse schroeven als je een andere discussie voert.

De discussie gaat over het feit dat wij hebben geleerd dat we leven in een rechtsstaat, waar mensen voor hun gedrag verantwoordelijk worden gehouden in een rechtzaal, door daarvoor opgeleide mensen etc.
Er bestaat ook zoiets als burgerlijke ongehoorzaamheid. Ik vind dat een cruciaal en essentieel middel voor burgers om gerechtigheid af te dwingen en bestuurders te confronteren met de wensen van de groep.
Je kunt zeggen dat white hat hackers een vorm van digitale burgerlijke ongehoorzaamheid vertonen. Dat is prima.

Maar als een groep een soort losgeld vraagt in de zin van straf voor bedenkelijk, gevaarlijk of verwijtbaar gedrag dan vindenw e dat alleen een rechter dat mag vaststellen.

Echter, wanneer we kijken naar de digitale samenleving, dan blijkt dat bedrijven beveiliging niet seieus genoeg nemen, daaraan te weinig middelen besteden en verwijtbaar te weinig werk er van maken en dus achter lopen. Het risico is groot, niet voor een enkel individu maar juist voor steeds grotere groepen mensen wier persoonlijke gegevens op straat komen te liggen.

Kunnen wij wachten en dienen we te vertrouwen op commerciële instellingen die de digitale samenleving betreden met hun websites, registraties en databases met klantgegevens? En moeten we gelaten accepteren dat die bedrijven en instellingen weten dat ze er mee weg komen? Het is immers niet zo dat er veel rechtszaken lopen over dit verwijtbare gebrek aan risico management.

Blijkbaar kunnen de white hatters niet genoeg indruk maken en doen ze feitelijk het werk voor die organisaties, die vervolgens vaak niet alleen niet ondankbaar zijn maar die goedbedoelende hackers vervolgen.

Iets wringt hier. Is het dan vreemd dat als de rechterlijke macht achter loopt en niet in staat is tot dwang en het afdwingen van verantwoordelijk gedrag bij organisaties, er mensen zijn die die taak overnemen? Ze doen dat op basis van het collectief belang. Maar wij leren vanaf onze geboorte dat wij zelf alle verantwoordelijkheid uit handen dienen te geven aan de rechterlijke macht en het Openbaar Ministerie, dat de wetgever bepaalt wat kan en wat niet kan en dat we voor de rest pacifistisch alles aan hen moeten overlaten.

Dat blijkt niet te werken. Hebben wij als mens het fundamentele recht vanuit moreel-ethische gronden het recht in eigen hand te nemen? Ik meen van wel. De vraag is alleen, waar ligt de grens, hoe vermijd je willekeur. Maar dienen wij overgeleverd te zijn aan de grillen van organisaties met gebrekkige beveiliging omdat black hat hackers zich te buiten gaan in wat we dan 'chantage' noemen? En is het juist dat ze de gegevens publiceren als losgeld niet betaald wordt?

Is er een andere keuze? Als men niet publiceert dan is het een wassen neus en komen die bedrijven er alsnog mee weg.

Misschien is het erg voor de getroffen mensen in dat bestand. Maar misschien zouden ze kunnen accepteren dat in principe, in principe de hackers in hun belang en het belang van de samenleving handelden. Want de getroffenen staan niet in alleen die onbeveiligde server maar ook misschien in vele andere. En dus in theorie kunnen ze meermaals getroffen worden door gebrek aan beveiliging.

De situatie zoals die is is niet ideaal. Ik heb geen medelijden met die bedrijven en organisaties. Ze nemen niet de vereiste verantwoordelijkheid en de wetgever loopt achter en de rechterlijke macht al net zo. Als burger heb je het recht jezelf te beschermen en deze hackers zijn wat mij betreft de enigen die verantwoordelijkheid nemen.

jappiejaap
27 augustus 2012 18:39

de klanten zouden zo een bedrijf toch moeten aanklagen voor dit soort fratsen hun gegevens op straat door een bedrijf waar zij desnoods gebruik van maken te goedkoop is om maar 5000 euro te betalen ik geef deze crackers groot gelijk hopelijk zullen ze dit in de toekomst met grotere ondernemingen doen en hopelijk verandert het idee dat het internet door de overheid gecontroleerd iets moet zijn pfff.

lamme23
@jappiejaap • 27 augustus 2012 20:17

Je zou het bedrijf moeten aanklagen vanwege de te slechte beveiliging, niet omdat ze het niet afgekocht hebben. Wat die zogenaamde hackers gedaan hebben is gewoon afpersing.

Anoniem: 103509
27 augustus 2012 15:51

Leuke discussie gaat dit opleveren...Bank rommelt maar aan en hebben de hele wereld economie aan duigen geslagen, maken van vertrouwlijke gegevens een zooitje en zijn opeens "de goeien". Niet leuk dat de gegevens op straat liggen maar men vergeet snel klaarblijkelijk. Misschien herrinneren mensen alleen al het hen overkomt!!

TDeK

Beveiliging

@Anoniem: 103509 • 27 augustus 2012 16:01

En de échte discussie, namelijk over IT projecten die gisteren af moeten zijn, waar geen budget voor is, waar vanwege kostenreductie stagiaires zonder begeleiding op worden gezet, waar testen ondergeschikt is aan de opleverdatum....daar wordt natuurlijk niet over gesproken. Het zijn die duivelse hackers, rekels zijn het!

Anoniem: 125509
@TDeK • 27 augustus 2012 16:32

Of Credipret wel of niet 'de goeie' is, of haar ICT projecten 'niet goed doet', staat volgens mij volledig los van het feit dat die 'Rex Mundi' een clubje criminelen is, dat geld wil verdienen met afpersing.

Laten we hier geen Robin Hoods van maken. Dat de ene boef de andere boef pakt is tot daar aan toe, maar niet over de rug van de klanten.

mad_max234
@TDeK • 27 augustus 2012 16:40

Heb je wel idee wat hackers veroorzaken aan schade en dat het jou en mij gewoon geld kost? Daar staat je dus achter zo te horen?

Het zijn niet eens hackers meer maar gewoon criminelen, afpersers, moet je je ver van distantiëren als je slim bent! En als ik iets wil openlaten dan behoord niemand daar aan te komen, snap dat dat de ideale wereld is, maar zo hoort het wel, en die daar niet aan houd moeten gestraft worden en schade betalen die ze veroorzaakt hebben met hun criminelen gedrag! Kaal plukken voor rest van hun leven of tot ze het terug betaald hebben!

We kunnen wel alles gaan beveiligen en er miljarden tegenaan gooien elke maand en alles in bunkers zetten! Maar vind dat we dan overgeven aan hackers, we moeten juist niet bang ingraven maar middelen beschikbaar maken zodat dat soort groepen gewoon snel gepakt kunnen worden en schade terug gevorderd kan worden! We hebben ons al bang genoeg laten maken door val allerlei groepering, tijd dat we vuist maken en terug slaan!

Vergeet niet dat dit soort hackersgroepjes ons Nederlanders miljoenen aan belastinggeld kost en bedrijven kost het nog veel meer Bij elkaar(virussen, hackers, etc) veroorzaken ze miljarden schaden per jaar in vorm van extra kosten voor beveiliging, herstel, schadeloosheid stellen, etc.

[Reactie gewijzigd door mad_max234 op 27 augustus 2012 16:42]

TDeK

Beveiliging

@mad_max234 • 27 augustus 2012 16:47

Wat een onzin. Zal ik vanaf nu ook de regen de schuld geven van het feit dat ik nat word? Of had ik beter een paraplu meegenomen en een dak op mijn huis gezet?
Een financiële instantie bezit nu eenmaal waardevolle data. Als je dat open laat staan, dan ben je als bedrijf gewoon schuldig (of minstens medeplichtig aan plichtsverzuim en laakbaar handelen). Het gaat er immers niet om wat wel en wat niet mag (criminelen houden zich per definitie niet aan de wet of aan enig moreel besef), het gaat erom wat kan. Een slecht beveiligd systeem ís makkelijk te compromitteren, zonder het te vragen. Dus of iets al dan niet mag is compleet irrelevant: als jij je deur niet goed sluit ben je op een slechte dag je boedel kwijt. Welcome to the real world. Face it, hou er rekening mee en neem preventieve maatregelen.
Daarbij, zoals ik al in een eerdere comment aanhaal, de enige reden dat we nu deze discussie hebben, is dat de hackers het publiek hebben gemaakt. Hoeveel van jouw gegevens zijn op dit moment al in verkeerde handen zonder dat jij en/of het bedrijf waar je gegevens stonden er weet van hebben? Alleen daarom al moet je aan security doen. En security hoeft helemaal niet duurder te zijn, als er maar vanaf het eerste systeemontwerp rekening mee wordt gehouden. Achteraf inbouwen in inderdaad erg lastig.

[Reactie gewijzigd door TDeK op 27 augustus 2012 16:49]

Zer0
@TDeK • 27 augustus 2012 19:15

Dus als ik je een knal voor je kop geef is dat je eigen schuld omdat je geen intergraal helm draagt? Jammer dat je in het ziekenhuis ligt met een steekwond, had je maar op tijd opzij moeten gaan? Tja, neergeschoten... had je maar moeten bukken voor die kogel?
Natuurlijk moet je rekening houden met het feit dat niet iedereen goede bedoelingen heeft, maar dat neemt absoluut geen schuld weg bij degene die de wet overtreed.

laptopleon
@Zer0 • 28 augustus 2012 10:12

Verschil in dit geval is, dat deze creditverstrekker gegevens van klanten onveilig op een server zet. Die klanten vragen daar niet om, maar ze worden, zeg maar, figuurlijk meegenomen naar een ongure kroeg. DAN mag je verwachten dat het bedrijf maatregelen neemt om te voorkomen dat ze op hun bek geslagen worden.

supertheiz
@TDeK • 27 augustus 2012 16:30

Samengevat:
Baasje bank weet niets van IT.
Businesscase online verkopen van leningen: Geld verdienen.
Businesscase goede beveiliging: Geld uitgeven.

Baasje bank: Doe maar alleen optie 1.

ViperXL
@TDeK • 27 augustus 2012 17:15

niet echt on-topic maar je hebt hier wellicht een kleinpuntje?

primanocte
27 augustus 2012 15:46

en wat zou er met dat robin hood geld gedaan worden? als er dan nog iets nobels mee gedaan zou worden .. mwoah.. ok.. niet geweldig.. maar ok
maar dit ruikt meer naar afpersing voor eigen gewin..

alidogan
27 augustus 2012 15:56

Zeer sneu voor de klanten van deze firma. Ik betwijfel ook ten zeerste of deze hackersgroep nobele intenties had voor het geëiste geld. Vind het overigens wel schandalig van Credipret als de informatie daadwerkelijk onbeveiligd opgeslagen stond.

Cis
27 augustus 2012 16:48

Gelukkig is er geen losgeld betaald. Dit zou alleen maar bevestigen dat het plegen van inbraken in computersystemen loont. Daarnaast speelt dan de discussie op: hoeveel losgeld is 'verantwoord' ? 10.000 euro? 100.000? 10.000.000? Elke euro losgeld zou een verkeerd signaal afgeven.

Hoewel het vreselijk is voor de klanten, is het goed dat een bedrijf imagoverlies lijdt bij een dergelijke inbraak. Dit bevestigt alleen maar voor andere bedrijven dat het investeren in goede beveiliging cruciaal kan zijn voor het voortbestaan van het bedrijf.

laptopleon
@Cis • 28 augustus 2012 10:20

Reken maar dat het loont. De meeste bedrijven zouden meteen betalen. 20.000 euro is peanuts voor zulke bedrijven, dat betalen ze al aan een invalkracht telefoniste via een uitzendbureau in twee maanden.

Elmo_nl
27 augustus 2012 17:30

De oplossing voor dit soort ongewilde hackers praktijken lijkt mij simpel:
Maak een zo onafhankelijk mogelijke partij die een soort veiligheidskeurmerk voor online websites/diensten mogen verstrekken (als die persoonsgegevens willen opslaan). Aangezien het hier om persoonsgegevens gaat lijkt mij de overheid de aangewezen partij maar dat even terzijde.
Deze partij looft beloningen uit voor hackers die kunnen aantonen dat ze een beveiligingslek hebben gevonden bij bedrijf X, en ook direct vertellen hoe het gat gedicht kan worden. Als blijkt dat na x tijd de gegevens niet (aantoonbaar door hen) openbaar zijn gemaakt (op b.v. pastebin) dan krijgt die hackersgroep een beloning die vervolgens door de onafhankelijke partij weer wordt verhaald op het bedrijf waar de gegevens van zijn gestolen. Heeft het bedrijf dan geen zin om te betalen of blijkt na een audit dat de gegevens nog steeds niet veilig zijn dan wordt het keurmerk ingetrokken en mag bedrijf x geen persoonsgegevens meer opslaan.
Hackers kunnen dan kiezen voor de eerlijke weg hierboven of anders is hun schuld voor afpersing praktisch bewezen.

[Reactie gewijzigd door Elmo_nl op 27 augustus 2012 17:32]

laptopleon
@Elmo_nl • 28 augustus 2012 10:05

Afpersing is niet goed te praten maar een bedrijf van die omvang heeft een enorm bord voor zijn kop als het voor € 20.000 zoveel reputatieschade voor zijn rekening wil nemen. Dit staat over 10 jaar nog op internet! Als ze één flinke hypotheek verkopen, hebben ze het al terugverdiend.

Amanoo
27 augustus 2012 18:46

Dit is wel een beetje een geval van zwarte moraliteit tegen grijze. Die hackers zitten gewoon snoeihard fout, maar sommige bedrijven maken van hun beveiliging ook wel een bende. Hierop mag wel eens belasting worden geheven. Hebben we meteen weer een middel om geld in het overheidslaatje te krijgen en kunnen we nog hopen dat sommige beveiligingen degelijk worden. Slechte beveiliging belasting, ik ben voor.

Keypunchie

Beveiliging

@Amanoo • 27 augustus 2012 19:52

De enige die het recht heeft om belasting te heffen is een overheid. Een overheid die verantwoording moet afleggen, zo democratisch mogelijk als we kunnen regelen.

Het wordt mooi als allemaal zelfbenoemde baasjes "belasting" gaan heffen. Zou jij willen dat mensen in jouw buurt "veiligheidsbelasting" gaan heffen, om te zorgen dat je veilig over straat kan?

Zelf heb ik toch echt liever dat er echte politie is en niet allerlei zelfbenoemde lui.

Als de politie iets verkeerd doet, kun je altijd nog naar de rechter, of naar de ombudsman, of zelfs een kamerlid aanschrijven. Wie controleert deze zelfbenoemde baasjes?

Let ook op: Wiens gegevens gooien deze lui op straat? Die van de bank? Nee, die van de klanten. Lekker eerlijk is dat! Om de stoute bank te 'straffen' worden allerlei gewone mensen gedupeerd!

[Reactie gewijzigd door Keypunchie op 27 augustus 2012 19:56]

laptopleon
@Keypunchie • 28 augustus 2012 10:00

Hij zeg toch ook dat het geld in het overheidslaadje terecht moet komen?

Het is niet leuk voor de klanten maar anderzijds ook niet dramatisch. Wel zal het een flinke rel geven. Dit zal meer effect hebben dan een belastingmaatregel. Die zal namelijk toch doodleuk aan de klanten worden doorberekend.

Sterker nog, de gemiddelde prijzen van de branche zullen stijgen en het is makkelijker wat te verdienen aan dure producten dan aan goedkope.