'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen'

Hackers zouden bij meer grote Amerikaanse winkelketens creditcard- en klantgegevens hebben buitgemaakt, naast inmiddels bekende aanvallen bij Target en de firma Neiman Marcus. De aanvallen zouden op soortgelijke wijze zijn uitgevoerd.

Er zouden nog zeker drie kleinere hacks op betaalsystemen zijn uitgevoerd bij een aantal bekende Amerikaanse winkelketens waarover meer details nog bekend moeten worden. Ook zouden een aantal aanvallen al eerder in 2013 hebben plaatsgevonden. Dat meldt persbureau Reuters op basis van anonieme bronnen die betrokken zijn bij onderzoek naar de hacks bij Target - waarbij 70 miljoen persoonsgegevens en 40 miljoen creditcarddata zijn gestolen - en de inbraak bij Neiman Marcus. Laatstgenoemde maakte dit weekend bekend ook te zijn beroofd maar wist niet te melden hoeveel data er is gestolen.

De getroffen winkelketens zouden vooral in winkelcentra zijn te vinden, maar verdere details zouden de onderzoekers niet willen geven. Wel is de verdenking uitgesproken dat de daders vanuit Oost-Europa zouden opereren en dat zij waarschijnlijk ook de aanval op Target hebben uitgevoerd.

Uit onderzoek naar de gebruikte malware zou zijn gebleken dat de aanvallers onder andere een zogeheten ram-scraper hebben ingezet. Dergelijke malware weet tijdelijk onversleutelde data in het werkgeheugen buit te maken. Criminelen zouden steeds vaker ram-scrapers inzetten op bijvoorbeeld betaalautomaten omdat de overige datastromen zijn versleuteld. Creditcardmaatschappij Visa heeft winkeliers gewaarschuwd voor dergelijke aanvallen, maar de cybercriminelen zouden in dit geval een fijnzinniger methode hebben gebruikt dan de methodes die Visa beschrijft.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (34)

rickiii

12 januari 2014 10:09

Het concept dat je wachtwoorden en persoonlijke gegevens moet opgeven om te kunnen betalen is een overblijfsel uit de tijd voor het internet. Die gegevens worden centraal verzameld en zijn tegenwoordig een makkelijk doelwit om massaal te onderscheppen. Het wordt tijd dat we een systeem kunnen gebruiken waarbij je digitaal kunt betalen zonder een wachtwoord of identiteit te hoeven opgeven aan een derde of onvangende partij tenzij je dat zelf echt wil.

+2ebia
@rickiii • 12 januari 2014 12:12

Als de bedrijven de standaarden hiervoor in acht nemen (PCI DSS) https://www.pcisecurityst.../documents/pci_dss_v2.pdf dan is de kans dat het fout gaat al een stuk kleiner.

Daarnaast blijft het me verwonderen hoe men alles tegenwoordig maar aan het internet knoopt. Waarom heeft een PoS systeem internettoegang nodig vraag ik me af? Los van de VPN's naar de betalingsprovider that is.

mmjjb
@ebia • 12 januari 2014 16:24

Wie zegt dat de PoS systeem aan het publieke internet hangt? Volgens mij staat dat nergens.
Maar als je een aantal servers hebt die zowel in aan het internet zit als aan het PoS VPN netwerk dan kan dat een hele mooie manier zijn om binnen te komen.

Verder doet bovenstaand artikel mij niet specifiek concluderen dat de PCI DDS standaard erg geschonden is. In ieder geval misschien de vereiste regelmatige security audits, blijkbaar niet vaak genoeg anders waren ze er wel eerder achter gekomen.

Verder heb ik in een eerder artikel hier op tweakers gelezen dat de data gecodeerd was opgeslagen, Het betrof hier gewoon een grootschalige geheugen lek.

Wel ben ik van mening dat er iets in de netwerk infrastructuur mis is, want de vraag blijft natuurlijk van hoe is dit virus op de PoS kassa´s gekomen?

0GJvdZ
@ebia • 12 januari 2014 18:29

Jij wilt dus weer terug naar de jaren 70/80 met allemaal dure dedicated netwerken....

+2Golodh
@rickiii • 12 januari 2014 13:08

@rickii

Dat kon allang hoor. Denk maar aan ECash (david chaum; zie http://en.wikipedia.org/wiki/Ecash) .
Dat idee was zijn tijd te ver vooruit, bood te weinig meerwaarde boven gewoon giraal verkeer, en het bedrijf erachter ging falliet.

Nu is er dan Bitcoin, en dat werkt voor de gebruiker op een min of meer equivalente manier (zie http://en.wikipedia.org/wiki/Bitcoin).

Probleem met werkelijk anoniem electronisch geld is natuurlijk dat het een natuurlijk vehikel is voor illegale of zelfs criminele transacties.

fevenhuis
@Golodh • 12 januari 2014 16:07

Ik denk inderdaad dat het belangrijk is om te melden dat Bitcoin een alternatief bied op centraal verzamelde betaalgegevens.

En een DNS systeem aan de hand van een cryptocurrency zoals Namecoin, heeft ook de potentie om het internet verkeer met een online winkel veiliger te maken.

Papiergeld is verder net zo onderhevig aan "criminele transacties" alsmede gewoon bankverkeer.
"HSBC was accused of failing to monitor more than $670 billion in wire transfers"

En "accused" betekend hier gewoon dat HSBC de rechtzaak heeft afgekocht met een soort van "settlement", blijkbaar mogen banken dat doen.

+1BoringDay
@rickiii • 12 januari 2014 11:11

En hoe wil je dan de transacties valideren? of erger nog als het mis gaat hoe wil je dan het probleem traceren?

Je hebt altijd een validatie proces nodig en route om het proces uit te voeren, anoniem bestaat namelijk niet.

+1ebia
@BoringDay • 12 januari 2014 12:19

Anoniem kan prima, contant geld is toch ook anoniem?

Het validatieproces is makkelijk, jij geeft het geld, de ander controleert het op waarde en echtheid en geeft eventueel nog wat wisselgeld terug (dat je dan ook weer controleert op waarde en echtheid).

Dat zou prima kunnen in een digitale vorm, zonder tussenkomst van een centrale partij. Echter moeten beide partijen (koper en verkoper) er dan wel voldoende vertrouwen in hebben dat de transactie (door computers ipv mensen) ook daadwerkelijk echt heeft plaatsgevonden en dat het dus onbetwist is.

De chipknip is zo'n systeem bijvoorbeeld. En ook veel creditcardtransacties (in de VS althans ) onder de 50 euro gaan zonder tussenkomst van een centrale partij direct door. Uiteindelijk blijft er wel een centrale verwerking die alles registreert (al is het dus achteraf), dus dat stukje anonimiteit zoals met het huidige papieren geld heb je niet. Maar zoiets zou wel (makkelijk) te realiseren zijn als men echt zou willen.

+1BoringDay
@ebia • 12 januari 2014 14:10

We hebben het over betalen via internet, daar zit een communicatielijn (wie, wat en waar).

Om van A naar B te komen leg je een weg af waar A en B bekende gegevens zijn.
Voor digitale transacties dienen je persoonsgegevens overeen te stemmen bij de bank die uiteindelijk de transactie uitvoert wat inhoud dan anonieme transacties niet worden uitgevoerd via internet.

Maar ook papier geld heeft een traceer nummer in principe kunnen ze dat ook tot een bepaald niveau nalopen.

seweso
@BoringDay • 13 januari 2014 13:44

Wat is dit voor discussie? Weet niemand van het bestaan van Bitcoin? Echt ik moest even goed naar de datum kijken of dit niet een discussie van 10 jaar geleden is

+1Vendar

Verenigde staten

@rickiii • 12 januari 2014 12:10

Ik betaal zo veel mogelijk cash.

Ik raad iedereen aan dat ook te doen om de volgende uiterst belangrijke reden:

MKB Nederland speculeert al jaren over de 'cashless society'. Zij willen graag toe naar het bannen van contant geld. Vanwege de 'overvallen en denk aan de kinderen'. Voor de 'veiligheid van ons personeel en denk aan de kinderen.' Voor 'de overvallen op geldtransporten en denk aan de kinderen'.

Als het logisch zou klinken, zouden ze pedofilie en terrorisme ook aanbieden als legitimatie.

Wie een cashless society wil is niet helemaal goed bij. Dan verlies je alle privacy wat je aankopen betreft.

En zoals iedereen inmiddels weet, als je de verkeerde combinatie van huishoud schoonmaakmiddelen koopt gaan er ergens alarmbellen af en wordt je er van verdacht een bom te maken.

+1wouter veltmaat
@Vendar • 12 januari 2014 14:08

Je vergeet nog het feit dat als alle betaling elektronisch zijn het voor een bank relatief eenvoudig is om jouw betalingen uit te sluiten en je daarmee financieel gevangen te kunnen houden. En dan kan een bank een opdracht van de overheid krijgen omdat je toevallig mee hebt gelopen in een demonstratie en je dus terroristische motieven zou hebben.

yousql
@rickiii • 12 januari 2014 10:17

of alles goed met het wachtwoord van de gebruiker encrypten, zodat alle kant gegevens alleen (tijdelijk) zichtbar worden tijdens een bestelling.

Hardfreak
@rickiii • 12 januari 2014 10:21

"een overblijfsel uit de tijd voor het internet" zou ik het niet durven noemen zeker als je rekening houdt met het feit dat ze in Amerika juist géén PIN-code moeten opgeven om te betalen.

Nu, het internet heeft er niet veel mee te maken dat we onze identiteit zo vaak moeten opgeven: als iedereen anoniem geld zou kunnen versluizen dan zou de staat gegarandeerd miljarden verliezen aan fraude zonder dat ze zelfs de mogelijkheid krijgen om de fraude te ontdekken of de feiten hard te maken.
Het feit dat je je gegevens moet opgeven heeft ook zijn voordelen in geval van problemen: je geld terugkrijgen als je het niet anoniem betaald hebt lijkt met een stuk eenvoudiger dan wanneer je moet gaan bewijzen dat jij juist die anonieme persoon bent.

Naast fraude waarbij de staat geld misloopt, is er ook nog fraude waarbij je zelf de dupe bent. Haal wachtwoorden, PIN-codes en andere verificaties weg en iedereen kan zo aan je geld (of als je het op Bitcoin wijze doet: bij verlies van je wallet ben je al je centen kwijt). Ga maar eens bewijzen dat jij niet al het geld van je rekening hebt gehaald...

0Marc050
@rickiii • 12 januari 2014 10:12

Contant betalen? In euro's dus? Huur, boodschappen, auto kopen met een kruiwagen?

@Hieronder: met leuke inflatie(Weimar) er bij:

http://keripeardon.wordpr...-and-the-weimar-republic/

En in India is rondlopen met stapels geld ook gewoon.

[Reactie gewijzigd door Marc050 op 12 januari 2014 12:21]

mrveenie
12 januari 2014 10:22

wat mij nog meer verbaast is het grote aantal webwinkels ook in nederland.

Die wachtwoorden dus totaal niet encrypted opslaat... Hallo mrveenie leuk dat u zich heeft aangemeld uw inlog gegeven zijn : XXXXXXXXXXXXXX en XXXXXXXXXXXX....

Als ze zo'n mailtje kunnen versturen en ook als je wachtwoord vergeten aanvinkt je eigen wachtwoord terug gemaild krijgt houdt simpelweg in dat ze je wachtwoord zo uit hun database kunnen lezen...

en dan roepen dat ze niks konden doen tegen het hacken....

+1Origin64
@mrveenie • 12 januari 2014 10:31

Deze Amerikaanse ketens hebben niet alleen wachtwoorden, maar ook CC-nummers en persoonlijke gegevens in plain text op hun systemen staan. Niet heel gek dus dat ze een populair doelwit zijn...al 30 jaar lang.

+1Zer0
@Origin64 • 12 januari 2014 11:02

Dergelijke malware weet tijdelijk onversleutelde data in het werkgeheugen buit te maken
Er stond geen onversleutelde data op de systemen, die is uit het geheugen gehaald. Het is nu eenmaal onmogelijk encrypted data te controleren of weer te geven zonder het eerst tijdelijk te ontsleutelen.

0Origin64
@Zer0 • 13 januari 2014 12:52

Zoals ik zeg, dit verhaal is al dertig jaar aan de gang. Ik heb boeken gelezen van een hacker die zelf toegeeft dat het (jaren 90, begin 2000) wel zo was dat klantgegevens gewoon op disk op de computers stonden. Misschien wordt dat nu allemaal in memory gedaan.

yousql
@mrveenie • 12 januari 2014 10:34

ik ben zelfs een keer mijn wachtwoord tegen gekomen in de url van de website index.php?user=yousql?pass=Wind0ws zeg maar( via firefox en google chrome kan dat tegenwoordig nog geïndexeerd worden in google ook), meteen maar me account verwijderd.

[Reactie gewijzigd door yousql op 12 januari 2014 10:36]

0Origin64
@yousql • 13 januari 2014 12:53

Dat deed de It's Learning omgeving van mijn middelbare school ook. Je voerde je naam en ww in, vervolgens werden die gewoon in de URL naar de server gestuurd. Lekker veilig.

+1mutley69
12 januari 2014 15:35

Afin - ik geloof niet meer in credietkaarten rechtstreeks gekoppeld aan m'n bankrekening - de MIjne is gestopt - ben prepaid gegaan!

Ik raad elkeen aan om die koppeling met de bankrekening goed te bewaken en meer en meer diensten af te schakelen - en de bank te dwingen om u te doen tekenen op het bankkantoor om iets terug te mogen aanzetten.

Papieren overschrijvingen zijn ook bijzonder onveilig - uitzetten die handel! Betalen met GSM - ook niet veilig. Bankieren met de smartphone/tablet - die Apps zijn zo onveilig dat je er niet van zou willen weten hoe erg het is. Dus ook niet doen.

Ik laat ook geen dom's meer toe - omdat die beheerd worden door het bedrijf en niet door de bank - je kan wel herroepen - maar dat wil ik niet. Ik wil een opt-in en geen opt-out - nl. niemand komt er in - tenzij ik beslis dat het mag. De banken hebben er zich gemakkelijk van afgemaakt - wel dan is de conclusie hard - geen dom's.

Bankieren doe je 't best met boot vanaf een dedicated read-only medium dat u up-to-date houdt door het te vernieuwen - juist een CD-R (geen RW). Een stick is ook niet veilig genoeg. WIe doet dat - weinig - heel weinig mensen... Waarom - dat is haast onwerkbaar.

Betalen met GSM - begin er niet aan - veel en veel te onveilig - een valse toren zonder encryptie - u zal het niet eens merken. Er staat één bit foutief op de sim die dat zou kunnen verhinderen - waarom grijpt de overheid - en instituten zoals het BIPT niet in???

Waar is de EU als men meer beveiliging MOET afdwingen? We moeten meer van die oude garde dumpen uit de parlementen - da's duidelijk - minder Karel De Gucht's, Verafstoten, Martens, Declercks, minder dogmadenkers maar eerder pragmatische denkers die terug goeie breed bruikbare wetgeving schrijven die mee kan met de evolutie - dat hebben we nodig - meer gezond boerenverstand.
Het bizarre is dat wetten van 1840 veel langer bruikbaar blijven dan wat nu snel snel en masse in het straatsblad verschijnt.

En ja - uw GSM, smartphone, tablet - schendt uw privacy - stop 'm in een pacsafe zak - voor u bekogeld wordt met reclame - allemaal dankzij blauwtand.

En binnenkort staat er NFC op uw bankkaart - wel, wel - dan weet men dankzij de chips in de verpakking hoe u uw zaken aankoopt. Wil u dat? Wordt u vergoedt voor die verregaande schendingen van uw privacy? Ik denk het niet!

Ik ga terug vaker over op cash - zeker weten!

+1GJvdZ
@mutley69 • 12 januari 2014 18:33

Credit cards zijn toch nooit gekoppeld aan een bankrekening tenzij je een machtiging hebt gegeven? In alle andere gevallen moet je zelf de rekening betalen aan het einde van de maand.

JC Ken
@mutley69 • 12 januari 2014 19:30

Helemaal mee eens mutley69 .
Ik snap ook niet dat zoveel mensen zo naïef zijn en vervolgens toch massaal zo onveilig systeem gebruiken.

dere12
12 januari 2014 10:11

Ik snap dat de betrokken winkels dit niet aan de grote klok willen hangen, aan de andere kant hebben hun klanten recht op uitleg wat er met hun gegevens is gebeurt. Het lijkt een oneindig spel te blijven tussen beveiligingssoftware die lekken dicht en criminelen die weer nieuwe kwetsbaarheden met malware blootleggen...

+1Spinux
12 januari 2014 10:14

Ik ben net op vakantie geweest naar Amerika en was verbaasd dat je nergens de pincode van je creditcard hoeft in te geven. Dus alleen de gegevens van je kaart hoeven te worden gehacked/afgevangen. Dat maakt het al een stuk eenvoudiger om de gegevens her te gebruiken.

yousql
12 januari 2014 10:28

iemand enig idee hoe het zit met de gegevens van nederlanders, die in het verleden bestellingen hebben gedaan via targetweb?

+1keigezellig123
12 januari 2014 10:51

Er zijn initiatieven zoals SRED
om met dit soort zaken om te gaan. Wij zijn er op het werk ook mee bezig.
Verder lopen ze in de VS nog aardig achter in het betalingsverkeer, in Europa wordt voornamelijk de EMV chip voor betalingen gebruikt, waarbij de gegevens zoals rekeningnummer, creditcard nummer versleuteld op de chip staan. Dit in tegenstelling tot de magneetstrip die in de VS nog veel gebruikt wordt, waar eigenlijk die gegevens onversleuteld op de strip staan.

matthijst
12 januari 2014 16:30

Was in november en december in de VS. Uiteraard ook bij o.a. Target geweest. Van de week spontaan een brief van VISA in de bus dat ze me een nieuwe pas gaan toesturen.
Perfect geregeld zo'n creditcard, niks mis mee

0GJvdZ
@matthijst • 12 januari 2014 18:34

Het toont in ieder geval aan, dat de "ouderwetse" credit card internationaal nog altijd het beste betaalsysteem is.

+1stresskiller
@IXyzyxI • 12 januari 2014 11:51

Na het verhaal van die ptt meneer van de week over de encryptie van de gsm dat dat onder dwang min of meer verzwakt is zodat geheime diensten mee konden luisteren , zal het me niks verbazen als ook de digitale betalingen slechter beveiligd zijn dan ze eigenlijk kunnen zijn omdat de nodige geheime diensten mee willen kunnen kijken in wat men besteed "follow the money ".

stukje over gsm van van de week : nieuws: Oud-KPN'er: 2g-netwerk onder druk Britten voorzien van zwakkere encryptie

0GJvdZ
@stresskiller • 12 januari 2014 18:32

Uit hetzelfde artikel: "onder politieke druk van waarschijnlijk de Britse overheid " en "Of geheime diensten gebruik hebben gemaakt van de mogelijkheid om gsm-gesprekken af te luisteren, vermeldt het artikel van de Noorse krant niet."

Oftewel: allemaal speculatief.

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers