LaCie: hackers konden jaar lang creditcard-betalingen inzien

De maker van opslagproducten LaCie heeft ontdekt dat er op 27 maart 2013 een hack heeft plaatsgevonden die bijna een jaar lang onopgemerkt is gebleven. De hackers konden daardoor lange tijd bij creditcardgegevens van klanten die via de LaCie-site bestelden.

LaCie kreeg op 19 maart dit jaar naar eigen zeggen bericht van de FBI dat onbevoegden met malware toegang hadden verkregen tot klanttransacties die via de website van de Franse opslagspecialist verliepen. Na onderzoek concludeert LaCie dat transacties verricht tussen 27 maart 2013 en 10 maart 2014 ingezien konden worden.

Daarmee was toegang mogelijk tot onder andere namen, adressen, e-mailadressen en creditcardgegevens, waaronder de verloopdatum. Ook de gebruikersnamen en wachtwoorden die klanten gebruikten voor de website van LaCie waren toegankelijk. Als voorzorgsmaatregelen heeft LaCie de verkoop via zijn site gestaakt en alle wachtwoorden een reset gegeven.

Het bedrijf stapt nu over op een betaalaanbieder die op een veiliger manier transacties kan verrichten. Getroffen klanten hebben op 11 april bericht gehad over de hack. Het concern werkt samen met een beveiligingsbedrijf aan verdere stappen. Niet duidelijk is hoeveel klanten getroffen zijn.

IT-banen

Reacties (51)

Verwijderd 15 april 2014 11:09

Kunnen creditcardmaatschappijen niet een keertje een veiliger systeem bedenken?
Scheelt een hoop gezeur, elke keer.

Want waarom kunnen ABN-AMRO, ING, etc. het wel, en waarom zouden Mastercard, VISA, etc. het niet kunnen? (Ja ik weet het: het is goedkoper om met het oude systeem te blijven aanklungelen, maar zowel klanten als winkeliers hebben hier enorm veel last van).

[Reactie gewijzigd door Verwijderd op 24 juli 2024 18:23]

Daniel. @Verwijderd • 15 april 2014 11:14

Het creditcard systeem is ontworpen met als gedachte van vertrouwen. Ja helaas is niet iedereen in de wereld te vertrouwen, maar voorderest is het een mooi systeem, alleen zo onveilig als het maar kan.

Verwijderd @Daniel. • 15 april 2014 11:16

Wat is er dan zo mooi aan? Ja het werkt (voor betalingen), maar dat is op zich toch niet bijzonder?

Verwijderd @Verwijderd • 15 april 2014 11:19

Het mooie is dat het risico niet bij de klant, maar bij de bank ligt. Je geldt terugkrijgen bij een creditcard gaat veel makkelijker, dan bij een debitcard.

Verwijderd @Verwijderd • 15 april 2014 11:23

Maar dat staat los van de manier waarop die kaart is geimplementeerd.

Verwijderd @Verwijderd • 15 april 2014 11:26

Klopt, maar dat maakt voor de consument minder uit. Risico ligt bij de bank. Hun verantwoordelijkheid. Dat is het mooie. Of het altijd verstandig is voor de bank dat is een tweede

Blaise @Verwijderd • 15 april 2014 11:42

En uiteindelijk betalen alle consumenten bij die bank voor die risico's.

Verwijderd @Blaise • 15 april 2014 11:56

Juist!

Verwijderd @Verwijderd • 15 april 2014 11:27

Sorry, maar als ik elke keer lees dat mijn creditcardgegevens op straat kunnen liggen, dan word ik daar niet vrolijk van. Of ik het geld nou terug krijg of niet.

Of het altijd verstandig is voor de bank dat is een tweede

Dus de bank kan bij een grootschalige hack ook omvallen. Dan ben ik als klant alsnog de pineut.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 18:23]

mischaatje2 @Verwijderd • 15 april 2014 11:50

Daar betaal je dan ook wél zelf voor.

De opslag die creditcardmaatschappijen hanteren zijn mede voor een verzekeringspremie, bedoeld om eventuele claims te kunnen dekken. Deze opslag wordt weliswaar in eerste aanleg betaald door de verkopende partij, maar hij zal deze kosten linksom (direct bijtellen bij afrekenen) of rechtsom (onderdeel van de verkoopprijs) bij jou terughalen. Je betaalt dus zelf voor de premie. Je kan goedkoper winkelen als deze premie er niet was geweest. Het is dus een sigaar uit eigen doos, vergeet dat niet.

Edit: stukje weggevallen
Daarnaast heb je ook kosten verbonden aan het hebben van een CC die je niet hebt bij bij een debitcard. Bestedingsverplichtingen, rente tarieven, een soort van 'periodiek abonnementsgeld', of een mogelijke combinatie van deze drie. Ook in deze 'omzet' die CC mijen genereren zit een stukje premie.

Ik zou zeggen: blijf vooral lekker claimen. Het zal de opslag/premie niet snel lager maken. Maar ja, zolang anderen meebetalen aan jouw claimgedrag, who cares?

[Reactie gewijzigd door mischaatje2 op 24 juli 2024 18:23]

Verwijderd @mischaatje2 • 15 april 2014 21:34

Ik heb nog nooit wat geclaimd. Ik zeg alleen dat het risico bij een bedrijf ligt.

Verwijderd @Verwijderd • 15 april 2014 11:23

Kunnen creditcardmaatschappijen niet een keertje een veiliger systeem bedenken?
Scheelt een hoop gezeur, elke keer.

Eh, als ik de tekst lees gaat het om het stuk bij LaCie, niet bij de Creditcard maatschappijen.

Verwijderd @Verwijderd • 15 april 2014 11:26

Ja maar als die creditcardmaatschappijen een veilig systeem zouden hebben, dan zouden er bij LaCie (en alle andere bedrijven waarbij soortgelijke hacks zijn gepleegd) slechts naam+adres gegevens zijn buitgemaakt.

francisp @Verwijderd • 15 april 2014 14:26

De creditcard maatschappijen hebben een veilig systeem (secure3D) waarbij je bij een betaling (bij mij toch - implementatie verschilt van bank tot bank) je creditkaart in een kaartlezer moet steken om te betalen.
Echter : het staat de klant ( de klant van de betalingsprovider, m.a.w. de verkoper) vrij om daarvoor te kiezen of niet. Kiest hij secure3D, dan ligt meer risico bij de bank, maar zijn de tarieven duurder. Kiest hij geen secure3D, dan betaalt hij minder voor zijn betalingsverkeer, maar draagt hij meer risico.

kodak

Hackers

@Verwijderd • 15 april 2014 23:03

Wrong, veel bedrijven slaan onnodig teveel persoonlijke gegevens op. Zelfs als het wettelijk niet mag en ook de creditcardmaatschappijen de eis stellen dat dergelijke gegevens niet mogen worden opgeslagen. Nogal wat personen bij dergelijke bedrijven kan het geen fluit schelen dat het niet mag, of zijn zo onprofessioneel bezig dat ze niet eens de moeite genomen hebben om zich in de wet en de eisen te verdiepen. Zolang ze maar geld verdienen en er niets mis gaat vinden ze het prima. En helaas is er geen toezicht op.

Alcmaria @Verwijderd • 15 april 2014 11:34

Je kan met een Credit card nummer en een Vervaldatum eigenlijk al niks meer, je hebt minimaal de CVV en/of CVC1 nodig en vaak ook nog het 3dSecure wachtwoord.

[Remmes] @Alcmaria • 15 april 2014 14:04

"alstublieft hier heeft U uw creditcard waarop alles opstaat wat U nodig heeft om aankopen te doen"

Het is belachelijk dat alle info op het kaartje zelf staat, als die nummers staan opgeslage en iemand heeft daar toegang tot ben je gewoon de lul, al helemaal inc contactgegevens.

Amanoo @Verwijderd • 15 april 2014 12:38

Het systeem van creditcards is inderdaad zo onveilig als de pest. Gooi een keylogger bij wat mensen op de computer die gegevens naar je toe stuurt zodra een serie cijfers van bepaalde lengte wordt ingevoerd en je hebt gratis geld. De cijfers zijn immers alles wat je hoeft te weren voor online aankopen. Het simpelweg hebben van een creditcard staat voor mij al gelijk aan het op straat gooien van je geld, want ze zijn niet eens een beetje beveiligd. Bij onze debit cards/iDeal moet je in ieder geval ook nog de fysieke kaart hebben. En hoewel iDeal vast ook wel zijn foutjes bevat is simpelweg het feit dat je random reader een soort mysterieuze black box is waar je kaart in moet al stukken veiliger.

blouweKip @Amanoo • 15 april 2014 14:57

Probleem met ideal is dan weer dat je aankopen niet verzekerd zijn, indien je wordt opgelicht en je hebt betaald via ideal dan kun je naar je geld fluiten.
Lacie is gewoon nalatig geweest, zolang er nog geen gevolgen zijn voor bedrijven die laks omgaan met gebruikersdata zal dit blijven gebeuren,

[Reactie gewijzigd door blouweKip op 24 juli 2024 18:23]

Bockelaar @Verwijderd • 15 april 2014 11:13

verwar je niet debit met credit cards?

himlims_ 15 april 2014 11:07

toch fijn dat bij LaCie goed opgeslagen is

Verwijderd @himlims_ • 15 april 2014 11:11

$_/-\o_$

Ik vind wel dat het lacie verantwoordelijk is voor de opgelopen schade. En deze moeten vergoeden.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 18:23]

grafgever @Verwijderd • 15 april 2014 11:36

Neem aan dat het de betalingsprovider is die verantwoordelijk is hiervoor, niet lacie.

knights16 @grafgever • 15 april 2014 12:20

Volgens de aanstaande Europese Privacy Verordening is de eigenaar van de gegevens (Lacie) verantwoordelijk voor de schade. Zij kunnen straks een boete van maximaal 5% van de jaaromzet krijgen. Mocht er bijvoorbeeld een derde partij het beheer van de transactiesoftware verrichten, kan Lacie in theorie de schade weer op hun verhalen.

Maar de eigenaar van de data is verantwoordelijk.

Verwijderd @grafgever • 15 april 2014 11:39

"Het bedrijf stapt >nu< over op een betaalaanbieder (...)"

Eerder was dat dus nog niet het geval.

Darkstriker @Verwijderd • 15 april 2014 11:47

Lees die zin even geheel. Er staat niet duidelijk of ze vantevoren wel een betaalprovider hebben gebruikt

grafgever @Darkstriker • 15 april 2014 14:13

Je hebt gelijk, ik las dat ze overstapte op een andere betaalaanbieder maar dat stond er inderdaad niet.

lekorque @Verwijderd • 15 april 2014 11:38

Ik vind wel dat het lacie verantwoordelijk is voor de opgelopen schade. En deze moeten vergoeden.

Dat ben ik niet met je eens. Ik vind dat de schade moet worden verhaald op de misbruikers van de CC gegevens. Jij klaagt toch ook niet de maker van je kettingslot aan nadat je fiets is gejat?

timselier @lekorque • 15 april 2014 11:56

Wel als dat kettingslot ongeroerd op plek ligt waar eerst mijn fiets stond.

SuperDre

Hackers

@timselier • 15 april 2014 17:14

Er zijn meer manieren om een kettingslot open te maken dan met een boltcutter..

WizzyThaMan @SuperDre • 15 april 2014 17:29

Ja en ook meer manieren om aan gegevens te komen dan alleen maar de server met de gegevens fysiek te stelen... Je opmerking raakt noch kant noch wal.

Verwijderd @lekorque • 15 april 2014 11:55

Wel als die maker de moedersleutels op internet plaatst

Halidith @lekorque • 15 april 2014 12:05

Nou, je hebt het slot toch niet voor niks gekocht?
Natuurlijk zou de misbruiker / dief het moeten vergoeden maar meestal kan die niet gevonden worden, anders was alles wel heel makelijk.

Goldwing1973 @lekorque • 15 april 2014 12:28

Je vergelijking klopt niet helemaal.
Maar als jij je fiets stalt bij een bedrijf waar een bordje bij de ingang staat, uw fiets staat hier 100% veilig (privacy in verkoopvoorwaarden) en vervolgens is je fiets weg als je 'm later wil ophalen.
Dan stel jij het bedrijf toch ook aansprakelijk voor het vermissen van je fiets?

Pathogen 15 april 2014 11:07

Technisch gezien is dit natuurlijk heel erg, maar de openheid kan ik dan wel weer erg waarderen.

Blokker_1999

Hackers
Netwerk en systeembeheer

@Pathogen • 15 april 2014 11:14

Wat moet men anders doen? Het probleem verzwijgen? Enig idee wat dat zou betekenen als het dan achteraf toch nog uitkwam? Dit soort dingen mag je simpelweg niet verzwijgen voor je klanten.

himlims_ @Blokker_1999 • 15 april 2014 11:20

bij Interconnect binnen geweest (sql inject) denk je dat ze dat gecommuniceerd hebben richting hun klanten na herhaaldelijk verzocht te hebben?
volgende keer publiceer ik zelf wel (al dan niet via klokkeluiders tweakers.net)

Daniel. 15 april 2014 11:09

Wel heel erg slordig. Toch goed dat de FBI hierover bericht doet bij het bedrijf en goed dat ze direct actie ondernemen. Iedereen een reset geven en de betalingen via een betalingsbedrijf laten lopen. Ook goed dat ze direct een oplossing proberen te vinden naar klanten. Zo hoort het te gaan.
Desondanks heel slordig dat dit 1 jaar lang heeft kunnen gebeuren.

Boy @Daniel. • 15 april 2014 11:12

Toch goed dat de FBI hierover bericht doet bij het bedrijf

na ze eerst zelf alle data gedownload hebben

lekorque @Boy • 15 april 2014 11:40

Je verwart de FBI met de CIA ;-)

Verwijderd @lekorque • 15 april 2014 12:12

Nee, de FBI slaat net zo graag dingen op als de NSA, weliswaar met een kleiner budget dan: FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail: nieuws: FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail

FBI moet beginnen met kopiëren 150TB aan MegaUpload-data:
nieuws: FBI moet beginnen met kopiëren 150TB aan MegaUpload-data

Of in de Silkroad zaak: " they have between eight and ten terabytes of evidence"

[Reactie gewijzigd door Verwijderd op 24 juli 2024 18:23]

Anonymoussaurus @lekorque • 15 april 2014 12:12

Vergeet de NSA niet

Damic @Anonymoussaurus • 15 april 2014 21:39

Die hadden dat al.

Olaf van der Spek 15 april 2014 11:37

Ook de gebruikersnamen en wachtwoorden die klanten gebruikten voor de website van LaCie waren toegankelijk.

Lacie is toch niet zo dom geweest wachtwoorden ongehashed op te slaan toch?

Dr.Root 15 april 2014 11:40

namen, adressen, e-mailadressen en creditcardgegevens

Kun je gewoon telefoon abonnementen mee afsluiten hoor

of dergelijk ander iets

Tevens zijn adres gegevens ietwat gevoeliger dan Credit Card gegevens.

Waarom?
Kwaadwillende die gestolen data in handen krijgen, kunnen daardoor zeer gerichte oplichting mails / brieven componeren. Wanneer dezelfde klant in meerdere bedrijfsdatabases voorkomt, neemt dat risico alleen maar toe. Ofwel, social engineering-aanvallen kunnen op die manier veel betrouwbaarder overkomen.

Zoals eerder al vermeldt door een mede-tweaker:
Je kan de kosten van aankopen die je niet hebt gedaan terugeisen bij de kredietkaartmaatschappij. Of je hier een lekkerder gevoel van krijgt, neen.

Aantal jaar terug is er een grote breach geweest bij Epsilon:
http://www.emerce.nl/nieu...nen-emailadressen-epsilon

Dit waren geverifierde adressen en die zijn goud waard, voor juistem! gerichte Social-Engineering-Aanvallen

[Reactie gewijzigd door Dr.Root op 24 juli 2024 18:23]

TiesB 15 april 2014 16:07

Ben toch benieuwd hoe iets als de FBI hier dan weer achter komt...

kodak

Hackers

@TiesB • 15 april 2014 22:58

Een crimineel die het om geld te doen is gaat het niet om het verzamelen van de gegevens maar het uitbuiten ervan. Dus op een gegeven moment zullen die gegevens misbruikt worden. En meestal valt dat na verloop van tijd de eigenaar van die gegevens wel op (he dat heb ik niet besteld en betaald) of ziet de creditcardmaatschappij verdachte transacties (he deze gebruikers kopen nooit voor zulke grote bedragen). En als de FBI voldoende meldingen krijgt valt uit de betaalgegevens vaak wel een patroon op te maken waar de gegevens 'toevallig' ook steeds gebruikt zijn. Allemaal bij LaCie bijvoorbeeld.

Verwijderd 15 april 2014 17:24

Deze firma heeft ook een cloud opslagdienst: Wuala. Deze hack geeft toch wel de nodige twijfels over de beveiliging daar.

kodak

Hackers

@Verwijderd • 15 april 2014 22:59

En waarom zou je die twijfels niet hebben als je niets hoort over de beveiliging? Veel personen zijn goedgelovig en hopen dat het goed gaat.....en gaan pas achteraf twijfelen.

Op dit item kan niet meer gereageerd worden.

LaCie: hackers konden jaar lang creditcard-betalingen inzien

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: