Hack bij Vodafone Duitsland treft 2 miljoen klanten

Hackers zijn er in geslaagd de infrastructuur van Vodafone Duitsland binnen te komen en toegang te krijgen tot databases met gegevens van ongeveer 2 miljoen klanten. De telecomaanbieder heeft zijn klanten over de hack geïnformeerd.

Volgens Vodafone Duitsland gaat het om een geavanceerde criminele aanval waarbij kennis van binnen het bedrijf zelf gebruikt moet zijn. De aanval heeft volgens het bedrijf 'diep in de infrastructuur' van Vodafone plaatsgevonden. De hackers wisten toegang te krijgen tot databanken met onder andere klantnamen, klantadressen, geboortedata, geslacht, bankrekeningnummers en factuurnummers. Gegevens over onder andere creditcards, wachtwoorden en mobiele telefoonummers zijn niet in handen van de criminelen gekomen, stelt Vodafone.

Volgens het bedrijf is de kans aanwezig dat de hackers de data gaan gebruiken voor phishingaanvallen en andere methodes om klanten creditcard- en inlog-gegevens te ontfutselen. De lekken die hackers gebruikten zijn gedicht en Vodafone werkt samen met de politie en de Duitse justitie om de daders op te sporen. Om het onderzoek niet in gevaar te brengen verstrekt het bedrijf geen verdere details.

Vodafone garandeert dat de hack alleen Duitsland betreft en dat andere landen, zoals Nederland, niet getroffen zijn.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 12-09-2013 12:4037

12-09-2013 • 12:40

37 Linkedin

Lees meer

Onderzoekers vinden lekken in Duits systeem voor overheidscommunicatie Nieuws van 3 juli 2017
Criminelen breken in op Vodafone-accounts van klanten in Verenigd Koninkrijk Nieuws van 2 november 2015
Onderzoeker: gevaar simkaarthack is grotendeels geweken Nieuws van 1 augustus 2013
Vodafone en T-Mobile: klanten niet getroffen door 'simkaart-hack' Nieuws van 22 juli 2013
'Hacker stelde Simpel via Vodafone op de hoogte van hack' Nieuws van 9 juli 2012
Onderzoekers leggen kwetsbaarheid in firewalls bloot Nieuws van 21 mei 2012
Vodafone weert gehackte femtocellen van netwerk Nieuws van 15 juli 2011
Hackers kunnen elk gesprek Britse Vodafone-klanten afluisteren Nieuws van 13 juli 2011
Meer producten en artikelen
Netwerk en systeembeheer Vodafone

Reacties (37)

-Moderatie-faq
37
34
27
2
0
1
Wijzig sortering
Dreeke fixed
12 september 2013 12:45
Misschien wordt het toch eens tijd om niet alleen paswoorden encrypted op te slaan, maar ook andere persoonsgegevens.
Al was het alleen maar om potentiele hackers/dieven moeilijker te maken.
Als je vervolgens de gegevens 10-10.000 x hashed is het ook een beste klus om dit te kraken.

[Reactie gewijzigd door Dreeke fixed op 12 september 2013 12:48]

tomverhoeff
@Dreeke fixed12 september 2013 12:51
Er is een groot verschil tussen wachtwoorden en persoonsgegevens. Bij wachtwoorden hoef je alleen te controleren of een ingevoerd wachtwoord overeenkomt met een eerder ingesteld wachtwoord. Dat kan door twee hashes met elkaar te vergelijken, waarbij je nooit het wachtwoord zelf nodig hebt of op hoeft te slaan.

Persoonsgegevens heb je als bedrijf uiteraard wel nodig in je bedrijfsvoering, wat in een database staat moet dus altijd te herleiden zijn tot de daadwerkelijke gegevens. Je kan dus niet zeggen dat je persoonsgegevens gewoon even moet encrypten net als wachtwoorden.
Foxl
@tomverhoeff12 september 2013 12:59
encrypten != hashen. Het hashen van persoonsgegevens is inderdaad compleet doelloos, encrypten kan uiteraard wel. Al blijft het nut natuurlijk afhankelijk van de "diepte" van de hack.
robvanwijk
@Foxl12 september 2013 14:19
Encrypten kan wel... maar werkelijk elke machine op de klantenservice moet erbij kunnen, dus waar doe je dan de decryptie? Ik ben bang dat je het in de praktijk nauwelijks moeilijker maakt voor hackers om de plain-text gegevens te pakken te krijgen.
Soggney
@tomverhoeff12 september 2013 13:18
Persoonsgegevens zijn niet altijd nodig voor bedrijfsvoering.
Bv. de bonuskaarten van appie, jumbo, en andere toko's gebruiken die gegevens enkel om inzicht te krijgen in het gedrag van hun klanten. Maar de naam, adresgegevens e.d. hebben ze helemaal niet nodig.
Dreamvoid
@Soggney12 september 2013 16:10
Juist wel, als ze zien dat mensen uit Lutjebroek veel pindakaas kopen, dan kunnen ze het aanbod daarop aanpassen. Of dat een winkel in Appelscha veel mensen uit een ander dorp trekt, dat kan een teken zijn om een nieuwe winkel te starten in dat andere dorp.

[Reactie gewijzigd door Dreamvoid op 12 september 2013 16:11]

Cerberus_tm
@Dreamvoid12 september 2013 18:32
Er zijn ook meestal andere manieren om dat uit te vinden. Als mensen in de winkel in Lutjebroek veel pindakaas kopen, kun je dat gewoon zien aan de totale omzet aan pindakaas van de hele winkel in Lutjebroek. Als je overweegt een nieuwe winkel in een ander dorp op te richten, kun je ook gewoon een bordje ophangen in de winkel in Appelscha, "zoudt U een winkel in dorp x appreciëren?". Maar waarom zou je een extra winkel bouwen in dorp x als mensen toch wel bereid zijn naar Appelscha af te reizen...? Zo'n nieuwe winkel zou alleen nut hebben wat betreft de mensen die niet bereid zijn af te reizen, en die bereik je ook niet met bonuskaartonderzoek in Appelscha.
Dreeke fixed
@tomverhoeff12 september 2013 21:15
Je hebt helemaal gelijk, en ik heb mijn opmerking een beetje kort door de bocht omschreven.
Ik weet dat je de gegeven zo moet versleutelen dat je ze ook moet kunnen ontsleutelen. Als je dit 1x doet is dit waarschijnlijk simpel te kraken, doe je dit 10.000x kost dit misschien te veel tijd.
Punt is dat een volledig versleutelde DB niet een heel interessant doel is, je moet er immers nog heel veel energie in steken voordat je iets kan lezen. En mensen die wel de DB kunnen kopieren kunnen deze hopelijk niet ontsleutelen, en mensen die de database kunnen lezen kunnen deze hopelijk niet copieren...
Gratzip
@Dreeke fixed12 september 2013 12:51
Lijkt mij niet handig. Dit betekend dat elke keer als je persoongegevens worden gebruikt (een bestelling, wijziging, update-mail, etc) je je gegevens opnieuw moet invoeren om te checken of je gegevens overeen komen met de gehashde gegevens.
crackletinned
@Dreeke fixed12 september 2013 13:25
Dat is totaal niet praktisch, encryptie is niet gratis en zou de bedrijfsvoering vertragen. Daarbij is dit natuurlijk vervelend maar niet heel schadelijk, vooral aangezien die mensen op de hoogte zijn en zich niet zomaar zullen laten pakken.
CyberJack
12 september 2013 13:10
Gegevens over onder andere creditcards, wachtwoorden en mobiele telefoonummers zijn niet in handen van de criminelen gekomen, stelt Vodafone.
Ik vraag me toch altijd af hoe ze zo zeker kunnen weten welke gegevens wel en niet opgevraagd zijn.

Om dat 100% zeker te weten moeten alle aanvragen (dus lees + schrijf acties) gelogd worden en moeten ze al precies weten waar de aanval vanaf kwam. Ik geloof niet dat ik 1 bedrijf ken wat alles logt (schrijf acties misschien, maar lees acties zeker niet).
ludonis
@CyberJack12 september 2013 13:15
Mogelijk omdat deze in een andere database zitten? Alles loggen lijkt me inderdaad niet echt toegepast is de meeste bedrijven.
ilaurensnl
@ludonis12 september 2013 13:21
Dat kan je niet weten, waar ze toegang hebben gehad of niet, als je weet hoe ze ingelogd zijn weet je vaak waar hun toegang tot hebben gekregen, omdat ze dan toegang hebben tot een hele bepaald database, echter zijn er vaak meerdere databases. Dus die zijn niet getroffen, tenzij ze daar ook gelogd waren/zijn.
Anoniem: 539800
@ludonis12 september 2013 13:24
Gegevens voor een applicatie zitten voor zo ver ik weet altijd in 1 database. Hoe ga je anders joins leggen en efficient je gegevens opvragen?

Persoonlijk geloof ik ook niets van die uitleg van Vodafone: wel gegevens van bankrekeningnummers maar niet van creditcards???

Yeah right !
Ceased2Be
@Anoniem: 53980012 september 2013 13:36
Uit normalisatie-oogpunt is dat nog wel te verklaren.

tabel met n.a.w. gegevens
tabel passwords
tabel bankrekeningen
tabel creditcards
tabel telefoonnummers

Geen idee overigens aan welke standaard ze moeten voldoen als Telecom-provider, bij mijn vorige werkgever zou de complete access tot de betreffende tabellen gelogd zijn (in tweevoud) zodat precies te achterhalen zou zijn wat er ge-accessed was.
Luftbanana
@Anoniem: 53980012 september 2013 14:32
Ik heb als webdeveloper ook meerdere databases gebruikt voor één website. Tot aan 3 verschillende toe voor 1 view.

Het nut daarvan?
  • Snelheid: zware taken & cronjobs verdelen over verschillende soorten data die eigenlijk niets met elkaar te maken hebben[/i]
  • Data-ownership: sommige databases zijn niet van jou, ook al maak je er gebruik van
Uiteraard zou je dan kunnen zeggen; regel dat via één databasecontroller en laat die controller maar data ergens anders vandaan trekken. In de praktijk kost dat alleen maar tijd en extra expertise die mogelijk zelfs van buitenaf moet komen.
Anoniem: 382732
@Anoniem: 53980012 september 2013 19:33
Credit card gegevens worden voor andere use cases gebruikt, dus zo gek is het niet dat die niet samen met bankrekeningnummers is opgeslagen.
Anoniem: 120539
@CyberJack12 september 2013 13:53
Ik geloof niet dat ik 1 bedrijf ken wat alles logt (schrijf acties misschien, maar lees acties zeker niet).
Zeker nooit voor een bedrijf in de medische sector gewerkt?
Daar wordt in veel gevallen (maar helaas inderdaad niet altijd) gelogd wie, wanneer en vanaf welke locatie welke patientendata geraadpleegd heeft. Deze data wordt (in de gevallen waar dit wel goed geregeld is) 10 jaar bewaard.
In de zorg is dit wettelijk geregeld. Overigens is er onlangs een rapport verschenen waaruit blijkt dat dit inderdaad lang niet overal correct wordt gedaan...
Ceased2Be
@Anoniem: 12053912 september 2013 14:21
Betaalsector ook. PCI DSS schrijft redelijk wat logging voor.
Bockelaar
12 september 2013 12:55
het wordt tijd dat op datadiefstal zware straffen komen, voor het bedrijf dat het overkomt dan heh? IT Security moet echt belangrijker worden, nu komen bedrijven weg met een "foei"
bonzz.netninja
@Bockelaar12 september 2013 13:03
Er staan zware straffen op datadiefstal. Bedrijven komen niet weg met een foei.
ludonis
@bonzz.netninja12 september 2013 13:16
Ik vrees dat de bedrijven er grotendeels wel mee wegkomen. De zware straffen staan vooral aan de kant van de hackers.
orange.x
@ludonis12 september 2013 13:47
Dat is toch ook logisch? Er zitten wat mij betreft 2 kanten aan zo'n situatie.

Stel ik heb een huis en ik heb mijn deuren niet op slot, dan is dat een keuze van mij. In deze maatschappij een niet al te slimme keuze. Maar eigenlijk moet je er vanuit kunnen gaan dat een ander gewoon van je spullen afblijft. Anders zou het mooi zijn, zegt de verzekeringsmaatschappij van ja, je had wel sloten van categorie 3, en niet categorie 4, dus er geldt nu een eigen risico van 25% ofzo. Dan zou je dus als onschuldige burger, je hebt immers niet gekozen om bestolen te worden, nog meer de dupe worden van een inbraak.

Je doet er als bewoner of beveiliger natuurlijk zoveel mogelijk aan om je zaakjes op orde te hebben maar als men kwaad wil kan er altijd wel kwaad gedaan worden. Ze kunnen ook de volledige voorpui van je woning eruit blazen en naar binnen... Moet je daar dan ook verantwoordelijk voor zijn?
Ultraman
@orange.x12 september 2013 14:22
Kleine nuance is dat jij zelf verantwoordelijk bent voor het sluiten van je deuren en ramen. Als iemand anders er door naar binnen gaat omdat jij de ramen niet dicht hebt gedaan (bewust of niet), dan ligt dat in zekere zin aan je eigen falen.

In dit geval heb jij jouw persoonsgegevens aan een andere partij toevertrouwd. En die partij is de controle over die gegevens verloren (!). Of die andere partij daarin nalatig is geweest of niet, is vervolgens de vraag en dat zal uitgezocht moeten worden.
Maar jouw persoonsgegevens liggen nu wel metaforisch op straat. En dit zijn gegevens waarmee jij vaak geidentificeerd wordt. Als ik bijvoorbeeld een partij bel waar ik een dienst oid afneem dan wordt mijn identiteit vaak door de medewerker aan de telefoon geverifieerd door mij te vragen om mijn postcode+huisnummer en mijn geboortedatum. Die gegevens heeft een hacker en wie weet ik nog meer nu dus van alle getroffen personen.
Met die gegevens kunnen ze zeer veel irritante dingen doen als ze dat zouden willen. Ook zijn de gegevens te gebruiken om bijvoorbeeld gericht email accounts te gaan hacken om vervolgens accounts (Facebook, Twitter, Apple, allerlei websites) over te nemen en/of vrolijk mee te lezen. Je weet nu immers al een stuk meer over je doelwit. Met deze informatie is ooit een Apple account gehacked en daar heeft de getroffen persoon (Mat Honan) aardig onder geleden (lees: http://www.wired.com/gadg...amazon-mat-honan-hacking/ ).

Dergelijke informatie in de handen van de verkeerde persoon is echt niet grappig.

De suggestie van "Dreeke fixed" om persoongegevens dan ook versleuteld op te gaan slaan vind ik dan ook geen slechte. Hoe effectief het is hangt wel af van de gebruikte methode en hoe er mee gewerkt moet worden. Het bedenken van een oplossing is een mooie uitdaging voor security experts.
Zelf ben ik er nu over aan het nadenken en ik zit aan asymmetrische encryptie met keys te denken. Per medewerker/werkstation een key waarmee een record lokaal ontsleuteld kan worden, waardoor alles dus versleuteld in de opslagserver staat en ook versleuteld over het (interne) netwerk gaat. Combineer dat met een restrictie hoeveel records per keer mogen worden opgevraagd op een dag of per key om eventuele schade te beperken mocht er een key uitlekken (want dat gebeurd zeker).
En dan is wellicht zelfs mogelijk om te traceren wiens key is gelekt... enfin...

Wat summier en of het haalbaar is is nog maar de vraag. Maar het lijkt mij duidelijk dat op het gebied van beveiliging binnen het bedrijfsleven nog grote stappen gezet kunnen en moeten worden.
Thc_Nbl
@orange.x12 september 2013 15:38
quote: .......
Stel ik heb een huis en ik heb mijn deuren niet op slot, dan is dat een keuze van mij ....

Tuurlijk maar een verzekering zal dan ooit uitkeren.
Als je dat maar weet.
Raampje open laten, wordt niet uitgekeerd.
etc.
CNS
12 september 2013 12:44
Volgens de Telegraaf gaat het om een medewerker (wiens identiteit bekend is) van een toeleverancier die toegang had tot het netwerk van Vodafone.

Bron:
http://www.telegraaf.nl/d...Vodafone_Duitsland__.html

Edit: Verkeerde link

[Reactie gewijzigd door CNS op 12 september 2013 12:46]

Soundstorm2010
@CNS12 september 2013 12:46
http://www.telegraaf.nl/d...Vodafone_Duitsland__.html

De juiste link
rogier1974
12 september 2013 13:19
Uit de tekst :

"De lekken die hackers gebruikten zijn gedicht en Vodafone werkt samen met de politie en de Duitse justitie om de daders op te sporen."

Als je dit zo snel voor elkaar hebt, heeft Vodafone dan niet van de kwetsbaarheid afgeweten ?
lord4163
12 september 2013 13:52
Wat zijn hackers? Crackers bedoelen jullie vast?
mrlammers
@lord416312 september 2013 14:40
Hackers zijn mensen gespecialiseerd in het vinden van toepassingen die niet door de maker van het middel bedoeld zijn
Hackers gebruiken dus features voor zaken waar ze niet voor bedoeld zijn.

Crackers passen software aan om 'lastige' features te wijzigen of te verwijderen.

Da's de korte versie.

[Reactie gewijzigd door mrlammers op 12 september 2013 14:40]

koelpasta
@mrlammers12 september 2013 16:15
Hmm,.., volgens mij wordt onder cracking specifiek het omzeilen van beveiligingen bedoelt.
Wordt inderdaad vrijwel altijd verward met hacking, wat eigenlijk neerkomt op het creatief/oneigenlijk toepassen van technologie.
Die verwarring is ontstaan omdat er bij cracking vaak hacking wordt gebruikt. Dat wil zeggen dat er middels een onbedoelde interactie (creatief gebruik van een protocol) een beveiliging omzeilt wordt. Vervolgens is hacking dan synoniem geworden voor omzeilen van beveiligingen.
FreshMaker
@koelpasta12 september 2013 18:50
En zo begint de decennia oude discussie weer, over één onderwerp, terwijl duidelijk is in welke context het gebruikt is ....
mrlammers
12 september 2013 13:21
Hack bij Vodafone Duitsland treft 2 miljoen klanten
Hack
"Hacken is het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Complexiteit speelt hierbij geen rol, integendeel, gemakkelijke en snelle alternatieve oplossingen hebben de voorkeur. Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack."
Er is geen sprake van een hack als een ongenode gast gewoon door de voordeur naar binnen kan; je hebt het dan alleen over ongeautoriseerde toegang.

[Reactie gewijzigd door mrlammers op 12 september 2013 14:43]

koelpasta
@mrlammers12 september 2013 16:09
Alleen weten we dus niet wat er precies is gebeurt.
Vooralsnog wordt het een hack genoemd.
En die kan ook prima van binnenuit gedaan zijn. Niet iedereen heeft zomaar overal toegang.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee