Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

De winkelketen Target heeft in een persbericht laten weten dat er persoonsgegevens van 70 miljoen mensen zijn gestolen. Eerder waren al creditcardgegevens en mogelijk ook pincodes van 40 miljoen klanten buitgemaakt. Het ziet er nu naar uit dat die pincodes online zijn gezet.

De Amerikaanse winkelketen Target laat in een persbericht weten dat uit het onderzoek naar de aanval uit december blijkt dat de persoonsgegevens van 70 miljoen mensen zijn ontvreemd. Eerder was al duidelijk dat de creditcardgegevens van 40 miljoen mensen waren buitgemaakt. Dit was mogelijk door het infecteren van kassa's met malware. Van de creditcards zijn mogelijk begin januari de versleutelde pincodes op een ondergronds forum geplaatst.

Bij de buitgemaakte persoonsgegevens gaat het om namen, adressen, telefoonnummers en e-mailadressen. Per klant verschilt de gestolen informatie. Target laat weten dat het contact gaat opnemen met de klanten die geregistreerd staan met een e-mailadres. Het zal dan tips geven over hoe de klanten zich kunnen wapenen tegen oplichters. De tips zijn al op de website van het bedrijf geplaatst.

In december lukte het aanvallers om van 27 november tot en met 15 december de kassa's te infecteren met malware en daarbij grote hoeveelheden creditcardgegevens buit te maken. Eind december zag het er bovendien naar uit dat het de aanvallers ook was gelukt om de pincodes te verkrijgen, al waren die versleuteld.

Die pincodes zijn echter recentelijk mogelijk op een ondergronds forum opgedoken. Op een onbekend forum is een 50GB grote dump geplaatst van met 3DES-encryptie versleutelde pincodes. De originele poster, die waarschijnlijk afkomstig is uit Oost-Europa, vraagt 10 dollar per ontsleutelde regel. 3DES is vatbaar voor bruteforceaanvallen en bovendien zijn de gegevens niet gesalt, waardoor twee identieke pincodes dezelfde versleutelde waarde hebben.

De verwachting is dat de hack de verkopen van Target heeft doen dalen. De winkelketen gaf vandaag een update op de vooruitzichten van het vierde kwartaal, waarin het stelt dat sinds aankondiging van de hack in december de verkopen 'aanzienlijk zwakker zijn geweest dan verwacht'.

Moderatie-faq Wijzig weergave

Reacties (31)

Wow en dan probeer je bij de pin automaat op straat altijd op te letten. Hand voor de pincode intoetsen heeft tegenwoordig dus geen zin meer.
Dat heeft het al jaren niet meer. Vroeger werden de pincodes nog afgekeken met een verborgen camera. Tegenwoordig fabriceren ze dunne plaatjes die over de toetsen heen worden gelegd en zo alle aangeslagen toetsen onthoud. Skimmen doe je als consument helaas weinig tegen.
3DES is vatbaar voor bruteforceaanvallen en bovendien zijn de gegevens niet gesalt, waardoor twee identieke pincodes dezelfde versleutelde waarde hebben.
Zie ik iets over het hoofd, of hoef je alleen een lookup table met tienduizend waarden aan te maken om die hele dump te kunnen ontcijferen?

Ik ben trouwens benieuwd of Target nog aangeklaagd gaat worden (je kunt het altijd op "grove nalatigheid" gooien). Rechtzaken duren lang en zolang er telkens een beetje over bericht wordt blijven ze waarschijnlijk last hebben van slechtere verkopen.
Dat was ook het eerste wat in me opkwam, vervolging van dit soort bedrijven is tegenwoordig hard nodig, anders blijft men de beveiliging als sluitpost hanteren.
Mooitje aan het hele verhaal vind ik dat nadat ZIJ jouw gegevens over straat heen gooien, ze jouw wel even gaan uitleggen hoe je je moet weren tegen oplichters.....
Dat wordt dus klant gericht inbreken voor de inbrekers , ze kunnen dus waarschijnlijk achterhalen wie wat wanneer heeft aangeschaft.
3DES is vatbaar voor bruteforceaanvallen en bovendien zijn de gegevens niet gesalt, waardoor twee identieke pincodes dezelfde versleutelde waarde hebben.
Dat is wel pijnlijk, maarja aan de andere kant als je de salt weet is die salt ook nutteloos...

[Reactie gewijzigd door watercoolertje op 10 januari 2014 17:07]

De vraag die ik hier telkens langs zie komen, wat doet Target met deze gegevens, wordt heel behandeld in dit artikel: http://nytimes.com/2012/0...html?pagewanted=1&_r=1&hp=

In dit artikel, http://www.forbes.com/sit...nt-before-her-father-did/, zegt Target zelfs dat zij eerder wisten van de zwangerschap van een tienermeisje dan haar eigen vader. Het is niet bekend of dit slechts een anekdote is of dat dit een waargebeurd verhaal is.
wat een schandaal.

en de ironie:

"Het zal dan tips geven over hoe de klanten zich kunnen wapenen tegen oplichters. "

Als zij nou eens tips hadden gevolgd over hoe zij hun winkelketens tegen dit soort praktijken kunnen weren het is immers een welbekend soort malware.
Eerder was al duidelijk dat de creditcardgegevens van 40 miljoen mensen waren buitgemaakt

bovendien zijn de gegevens niet gesalt, waardoor twee identieke pincodes dezelfde versleutelde waarde hebben.

Nou, dat is dan lekker. De meeste creditcards (dus niet alle) hebben een 4-cijferige pincode, dus zou je zeggen 0000-9999 = 10.000 mogelijkheden, maar veelal wordt 1111 en 1234 etc. niet geaccepteerd, mag een cijfer maximaal 2x gebruikt worden, etc. dus in de praktijk zijn het er al minder... maar reken even met 10.000 dan komt elke code gemiddeld 40 mln / 10 k = 4000 keer voor.

Dus weet je EEN code (bijvoorbeeld w3z1kx5SJ3pTzR4t = 3949) te achterhalen, dan heb je er meteen 4000.
Maar nu de hamvraag, waarom heeft target deze gegevens?! Hoezo slaan ze de pincode op :s in principe zou een medewerker van target dus ook met alle gemak misbruik kunnen maken?
Als het artikel goed had gelezen had je gezien dat de kassa's waren geïnfecteerd met malware. Het gaat dus om VERSLEUTELDE pincodes.
Edit: En als je mijn reactie had gelezen had je gelezen dat we het daar niet over hebben.

Maar waarom worden die versleutelde pincodes opgeslagen door target? Wat is het nut daarvan vraag ik me af.

Als ik naar de supermarkt ga en ik ga pinnen dan onthouden ze toch ook niet mijn pincode? Ja, een skimmer wel maar die gaat geen moeite doen om er een encryptie overheen te doen.

En ik weet dat pinnen niet gelijk staat aan een credit card, maar pinpas + pincode is voldoende om geld te halen, en in dit geval hebben ze ook alle gegevens van de credit card om er gewoon geld vanaf te halen.

Ik zou iig nooit geen zaken doen met een bedrijf die mn pincode gewoon opslaat of opvraagt :S

[Reactie gewijzigd door NightFox89 op 10 januari 2014 16:47]

Als ik het goed begrijp horen de pincodes eigenlijk niet opgeslagen te worden. Maar, omdat de kassa's besmet waren, werd dit wel gedaan.
Afhankelijk van hoe de malware precies in het kassasysteem aanwezig is geweest gaat het denk ik niet zozeer om opslag van pincodes maar transport ervan. Dit komt ook deels terug in het nieuwsbericht:
Daarnaast zouden de onversleutelde codes kunnen worden onderschept op het moment dat ze het interne geheugen passeren.
(nieuws: 'Hackers Amerikaanse winkelketen stalen versleutelde pincodes')

Op deze manier kunnen ook versleutelde gegevens langs zijn gekomen en opgevangen door de malware. (want het artikel stelt immers niet dat er daadwerkelijk oversleutelde gegevens zijn buitgemaakt)

Ik weet zo de details niet uit mijn hoofd maar bij een PIN-transactie vindt er ergens wat sleuteluitwisseling her en der plaats die dan ook ergens te onderscheppen is. Zie bijvoorbeeld ook de details van het (oa. in Nederland gebruikte) EMV-protocol.
Offline plaintext PIN
Offline enciphered PIN
Offline plaintext PIN and signature
Offline enciphered PIN and signature
Online PIN
(http://en.wikipedia.org/wiki/EMV#Cardholder_verification)

Bij online pin-verificatie zal communicatie met de bank plaatsvinden en die communicatie is wellicht af te luisteren. Offline pin-verificatie vindt echter plaats op de pas zelf maar alleen bij pinpassen met een chip (de chip maakt het immers een smartcard terwijl de magneetstrip slechts dataopslag is).

Opslag van pinsleutels is ook niet iets dat de industrie aanraadt aan winkeliers.
Do Not Log PIN Blocks – Although PINs are protected in an encrypted or enciphered form within a transaction message, they must not be retained in transaction journals or logs subsequent to PIN transaction processing. Many processing environments have programs that actively overwrite or mask PIN blocks;
(Visa PIN Security | Tools and Best Practices for Merchants
http://usa.visa.com/downl...security-080507-final.pdf)


Tot we echter meer details te horen krijgen blijft dit giswerk. Mocht een betrokken Amerikaanse beveiligingsonderzoeker hier echter mededelingen over doen lijkt het me zeer interessant die te bestuderen maar ook commercie voor de om hier mogelijkerwijs lering uit te trekken.

[Reactie gewijzigd door Eagle Creek op 10 januari 2014 16:53]

Ah kijk, dit maakt het allemaal stuk duidelijker :)
Volgens mij hebben ze in America overal nog magneetstrips, geen chips.
Laten we ook niet vergeten dat het voornamelijk om credit card gegevens gaat. Is het niet zo dat de authorisatie daarbij niet op dezelfde manier gebeurt als met onze pinpassen?

Daarnaast is het ook het geval dat in de VS veel winkelketens hun eigen credit card hebben. Je kunt een Target credit card krijgen die je extra veel voordeel oplevert bij Target zelf. Aangezien Target zelf geen bank is, zullen ze de dienst zeker uitbesteden, maar ik kan me voorstellen dat ze een gedeelte zelf beheren voor klantgegevens en service. Als men de code niet meer weet of een nieuwe pas willen, dat er snel geschakelt kan worden en er niet hoeft gewacht te worden op de externe partij (bank) voor een nieuwe kaart of code.
Volgens mij werden ze niet opgeslagen. Maar die versleutelde pincodes gaan door het systeem. Als de malware die onschept, kunnen ze daarna naar de C&C-server gestuurd worden. Daarvoor hoeft Target zelf de codes niet op te slaan. Daar hebben ze namenlijk niets aan...
De pincode's zijn sowieso versleuteld en worden normaal gesproken niet opgeslagen.
Nogmaals aangezien het al door 2 mensen gezegd is en het nog steeds niet duidelijk genoeg is voor je.

De kassasystemen waren GEINFECTEERD met MALWARE, als je even logisch nadenkt kan je je misschien bedenken dat het niet de kassasysteem is die de pincode's standaard opslaan maar alleen ontvangen, checken en verwijderen.... ingeval van malware en/of loggers, slaat de malware/logger de gegevens op....
Ik woon momentaal in San Francisco, California. Op Black Friday kocht mijn roommate een camera bij Target. Een maand later wordt er met zijn VISA gegevens door een onbekende persoon in Tenessee, duizenden kilometers verder, voor 3000 Dollar aan electronica gekocht.

Het gaat dus wel degelijk niet om versleutelde gegevens. De hackers zijn wel degelijk met geld aan de haal. Na onderzoek van zijn (Belgische) bank, krijgt hij zijn geld terug omdat het om een fraudegeval gaat. Er blijkt dat er aan de hand van de gestolen gegevens nieuwe credit cards werden gemaakt met de gegevens van de gestolen kaarten, en deze valse kaarten dan werden doorverkocht.

Het kan mischien zijn dat de PIN code versleuteld was, maar de security code was dat zeker niet. Het is ook niet abnormaal dat je in de US iets koopt met VISA je geen pin code hoeft in te geven.

[Reactie gewijzigd door volar op 11 januari 2014 06:54]

Omdat de kassa's geinfecteerd waren en de pinconsoles daar waarschijnlijk direct mee gekoppeld zijn.
Schandalig dat Target überhaupt al deze creditcard gegevens opslaat (pincodes),
En dan ook nog de beveiliging helemaal niet op orde!
Dit zou je verwachten van een plaatselijk cafe in de US die af en toe een keer wat creditcard betalingen verwerkt, maar toch niet van zo'n grote keten als Target?

Wat mij betreft is Target ook zeer zeker mede verantwoordelijk voor deze hack.
Deze manier van "beveiliging" is gewoonweg triest.
Het lijkt me niet dat een kassasysteem de (volledige) creditcardgegevens ooit opslaat, dat is gewoon een te groot risico. Een kassasysteem of de betaalconsole moet wel de creditcardgegevens met een externe partij communiceren. Grote kans dat de communicatie afgetapt is door de malware.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True