Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties

De maker van opslagproducten LaCie heeft ontdekt dat er op 27 maart 2013 een hack heeft plaatsgevonden die bijna een jaar lang onopgemerkt is gebleven. De hackers konden daardoor lange tijd bij creditcardgegevens van klanten die via de LaCie-site bestelden.

LaCie logoLaCie kreeg op 19 maart dit jaar naar eigen zeggen bericht van de FBI dat onbevoegden met malware toegang hadden verkregen tot klanttransacties die via de website van de Franse opslagspecialist verliepen. Na onderzoek concludeert LaCie dat transacties verricht tussen 27 maart 2013 en 10 maart 2014 ingezien konden worden.

Daarmee was toegang mogelijk tot onder andere namen, adressen, e-mailadressen en creditcardgegevens, waaronder de verloopdatum. Ook de gebruikersnamen en wachtwoorden die klanten gebruikten voor de website van LaCie waren toegankelijk. Als voorzorgsmaatregelen heeft LaCie de verkoop via zijn site gestaakt en alle wachtwoorden een reset gegeven.

Het bedrijf stapt nu over op een betaalaanbieder die op een veiliger manier transacties kan verrichten. Getroffen klanten hebben op 11 april bericht gehad over de hack. Het concern werkt samen met een beveiligingsbedrijf aan verdere stappen. Niet duidelijk is hoeveel klanten getroffen zijn.

Moderatie-faq Wijzig weergave

Reacties (51)

Kunnen creditcardmaatschappijen niet een keertje een veiliger systeem bedenken?
Scheelt een hoop gezeur, elke keer.

Want waarom kunnen ABN-AMRO, ING, etc. het wel, en waarom zouden Mastercard, VISA, etc. het niet kunnen? (Ja ik weet het: het is goedkoper om met het oude systeem te blijven aanklungelen, maar zowel klanten als winkeliers hebben hier enorm veel last van).

[Reactie gewijzigd door twop op 15 april 2014 11:11]

Het creditcard systeem is ontworpen met als gedachte van vertrouwen. Ja helaas is niet iedereen in de wereld te vertrouwen, maar voorderest is het een mooi systeem, alleen zo onveilig als het maar kan.
Wat is er dan zo mooi aan? Ja het werkt (voor betalingen), maar dat is op zich toch niet bijzonder?
Het mooie is dat het risico niet bij de klant, maar bij de bank ligt. Je geldt terugkrijgen bij een creditcard gaat veel makkelijker, dan bij een debitcard.
Maar dat staat los van de manier waarop die kaart is geimplementeerd.
Klopt, maar dat maakt voor de consument minder uit. Risico ligt bij de bank. Hun verantwoordelijkheid. Dat is het mooie. Of het altijd verstandig is voor de bank dat is een tweede :).
En uiteindelijk betalen alle consumenten bij die bank voor die risico's.
Sorry, maar als ik elke keer lees dat mijn creditcardgegevens op straat kunnen liggen, dan word ik daar niet vrolijk van. Of ik het geld nou terug krijg of niet.
Of het altijd verstandig is voor de bank dat is een tweede
Dus de bank kan bij een grootschalige hack ook omvallen. Dan ben ik als klant alsnog de pineut.

[Reactie gewijzigd door twop op 15 april 2014 11:42]

Daar betaal je dan ook wťl zelf voor.

De opslag die creditcardmaatschappijen hanteren zijn mede voor een verzekeringspremie, bedoeld om eventuele claims te kunnen dekken. Deze opslag wordt weliswaar in eerste aanleg betaald door de verkopende partij, maar hij zal deze kosten linksom (direct bijtellen bij afrekenen) of rechtsom (onderdeel van de verkoopprijs) bij jou terughalen. Je betaalt dus zelf voor de premie. Je kan goedkoper winkelen als deze premie er niet was geweest. Het is dus een sigaar uit eigen doos, vergeet dat niet.

Edit: stukje weggevallen
Daarnaast heb je ook kosten verbonden aan het hebben van een CC die je niet hebt bij bij een debitcard. Bestedingsverplichtingen, rente tarieven, een soort van 'periodiek abonnementsgeld', of een mogelijke combinatie van deze drie. Ook in deze 'omzet' die CC mijen genereren zit een stukje premie.

Ik zou zeggen: blijf vooral lekker claimen. Het zal de opslag/premie niet snel lager maken. Maar ja, zolang anderen meebetalen aan jouw claimgedrag, who cares?

[Reactie gewijzigd door mischaatje2 op 15 april 2014 12:00]

Ik heb nog nooit wat geclaimd. Ik zeg alleen dat het risico bij een bedrijf ligt.
Kunnen creditcardmaatschappijen niet een keertje een veiliger systeem bedenken?
Scheelt een hoop gezeur, elke keer.
Eh, als ik de tekst lees gaat het om het stuk bij LaCie, niet bij de Creditcard maatschappijen.
Ja maar als die creditcardmaatschappijen een veilig systeem zouden hebben, dan zouden er bij LaCie (en alle andere bedrijven waarbij soortgelijke hacks zijn gepleegd) slechts naam+adres gegevens zijn buitgemaakt.
De creditcard maatschappijen hebben een veilig systeem (secure3D) waarbij je bij een betaling (bij mij toch - implementatie verschilt van bank tot bank) je creditkaart in een kaartlezer moet steken om te betalen.
Echter : het staat de klant ( de klant van de betalingsprovider, m.a.w. de verkoper) vrij om daarvoor te kiezen of niet. Kiest hij secure3D, dan ligt meer risico bij de bank, maar zijn de tarieven duurder. Kiest hij geen secure3D, dan betaalt hij minder voor zijn betalingsverkeer, maar draagt hij meer risico.
Wrong, veel bedrijven slaan onnodig teveel persoonlijke gegevens op. Zelfs als het wettelijk niet mag en ook de creditcardmaatschappijen de eis stellen dat dergelijke gegevens niet mogen worden opgeslagen. Nogal wat personen bij dergelijke bedrijven kan het geen fluit schelen dat het niet mag, of zijn zo onprofessioneel bezig dat ze niet eens de moeite genomen hebben om zich in de wet en de eisen te verdiepen. Zolang ze maar geld verdienen en er niets mis gaat vinden ze het prima. En helaas is er geen toezicht op.
Je kan met een Credit card nummer en een Vervaldatum eigenlijk al niks meer, je hebt minimaal de CVV en/of CVC1 nodig en vaak ook nog het 3dSecure wachtwoord.
"alstublieft hier heeft U uw creditcard waarop alles opstaat wat U nodig heeft om aankopen te doen"

Het is belachelijk dat alle info op het kaartje zelf staat, als die nummers staan opgeslage en iemand heeft daar toegang tot ben je gewoon de lul, al helemaal inc contactgegevens.
Het systeem van creditcards is inderdaad zo onveilig als de pest. Gooi een keylogger bij wat mensen op de computer die gegevens naar je toe stuurt zodra een serie cijfers van bepaalde lengte wordt ingevoerd en je hebt gratis geld. De cijfers zijn immers alles wat je hoeft te weren voor online aankopen. Het simpelweg hebben van een creditcard staat voor mij al gelijk aan het op straat gooien van je geld, want ze zijn niet eens een beetje beveiligd. Bij onze debit cards/iDeal moet je in ieder geval ook nog de fysieke kaart hebben. En hoewel iDeal vast ook wel zijn foutjes bevat is simpelweg het feit dat je random reader een soort mysterieuze black box is waar je kaart in moet al stukken veiliger.
Probleem met ideal is dan weer dat je aankopen niet verzekerd zijn, indien je wordt opgelicht en je hebt betaald via ideal dan kun je naar je geld fluiten.
Lacie is gewoon nalatig geweest, zolang er nog geen gevolgen zijn voor bedrijven die laks omgaan met gebruikersdata zal dit blijven gebeuren,

[Reactie gewijzigd door blouweKip op 15 april 2014 14:58]

verwar je niet debit met credit cards?
toch fijn dat bij LaCie goed opgeslagen is :+
_/-\o_

Ik vind wel dat het lacie verantwoordelijk is voor de opgelopen schade. En deze moeten vergoeden.

[Reactie gewijzigd door kitafe op 15 april 2014 11:11]

Neem aan dat het de betalingsprovider is die verantwoordelijk is hiervoor, niet lacie.
Volgens de aanstaande Europese Privacy Verordening is de eigenaar van de gegevens (Lacie) verantwoordelijk voor de schade. Zij kunnen straks een boete van maximaal 5% van de jaaromzet krijgen. Mocht er bijvoorbeeld een derde partij het beheer van de transactiesoftware verrichten, kan Lacie in theorie de schade weer op hun verhalen.

Maar de eigenaar van de data is verantwoordelijk.
"Het bedrijf stapt >nu< over op een betaalaanbieder (...)"

Eerder was dat dus nog niet het geval.
Lees die zin even geheel. Er staat niet duidelijk of ze vantevoren wel een betaalprovider hebben gebruikt
Je hebt gelijk, ik las dat ze overstapte op een andere betaalaanbieder maar dat stond er inderdaad niet.
Ik vind wel dat het lacie verantwoordelijk is voor de opgelopen schade. En deze moeten vergoeden.
Dat ben ik niet met je eens. Ik vind dat de schade moet worden verhaald op de misbruikers van de CC gegevens. Jij klaagt toch ook niet de maker van je kettingslot aan nadat je fiets is gejat?
Wel als dat kettingslot ongeroerd op plek ligt waar eerst mijn fiets stond.
Er zijn meer manieren om een kettingslot open te maken dan met een boltcutter..
Ja en ook meer manieren om aan gegevens te komen dan alleen maar de server met de gegevens fysiek te stelen... Je opmerking raakt noch kant noch wal.
Wel als die maker de moedersleutels op internet plaatst :).
Nou, je hebt het slot toch niet voor niks gekocht?
Natuurlijk zou de misbruiker / dief het moeten vergoeden maar meestal kan die niet gevonden worden, anders was alles wel heel makelijk.
Je vergelijking klopt niet helemaal.
Maar als jij je fiets stalt bij een bedrijf waar een bordje bij de ingang staat, uw fiets staat hier 100% veilig (privacy in verkoopvoorwaarden) en vervolgens is je fiets weg als je 'm later wil ophalen.
Dan stel jij het bedrijf toch ook aansprakelijk voor het vermissen van je fiets?
Technisch gezien is dit natuurlijk heel erg, maar de openheid kan ik dan wel weer erg waarderen.
Wat moet men anders doen? Het probleem verzwijgen? Enig idee wat dat zou betekenen als het dan achteraf toch nog uitkwam? Dit soort dingen mag je simpelweg niet verzwijgen voor je klanten.
bij Interconnect binnen geweest (sql inject) denk je dat ze dat gecommuniceerd hebben richting hun klanten na herhaaldelijk verzocht te hebben?
volgende keer publiceer ik zelf wel (al dan niet via klokkeluiders tweakers.net)
Wel heel erg slordig. Toch goed dat de FBI hierover bericht doet bij het bedrijf en goed dat ze direct actie ondernemen. Iedereen een reset geven en de betalingen via een betalingsbedrijf laten lopen. Ook goed dat ze direct een oplossing proberen te vinden naar klanten. Zo hoort het te gaan.
Desondanks heel slordig dat dit 1 jaar lang heeft kunnen gebeuren.
Toch goed dat de FBI hierover bericht doet bij het bedrijf
na ze eerst zelf alle data gedownload hebben :+
Je verwart de FBI met de CIA ;-)
Nee, de FBI slaat net zo graag dingen op als de NSA, weliswaar met een kleiner budget dan: FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail: nieuws: FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail

FBI moet beginnen met kopiŽren 150TB aan MegaUpload-data:
nieuws: FBI moet beginnen met kopiŽren 150TB aan MegaUpload-data

Of in de Silkroad zaak: " they have between eight and ten terabytes of evidence"

[Reactie gewijzigd door Renick op 15 april 2014 12:13]

Vergeet de NSA niet
Die hadden dat al.
Ook de gebruikersnamen en wachtwoorden die klanten gebruikten voor de website van LaCie waren toegankelijk.
Lacie is toch niet zo dom geweest wachtwoorden ongehashed op te slaan toch?
namen, adressen, e-mailadressen en creditcardgegevens

Kun je gewoon telefoon abonnementen mee afsluiten hoor ;) of dergelijk ander iets

Tevens zijn adres gegevens ietwat gevoeliger dan Credit Card gegevens.

Waarom?
Kwaadwillende die gestolen data in handen krijgen, kunnen daardoor zeer gerichte oplichting mails / brieven componeren. Wanneer dezelfde klant in meerdere bedrijfsdatabases voorkomt, neemt dat risico alleen maar toe. Ofwel, social engineering-aanvallen kunnen op die manier veel betrouwbaarder overkomen.

Zoals eerder al vermeldt door een mede-tweaker:
Je kan de kosten van aankopen die je niet hebt gedaan terugeisen bij de kredietkaartmaatschappij. Of je hier een lekkerder gevoel van krijgt, neen.

Aantal jaar terug is er een grote breach geweest bij Epsilon:
http://www.emerce.nl/nieu...nen-emailadressen-epsilon

Dit waren geverifierde adressen en die zijn goud waard, voor juistem! gerichte Social-Engineering-Aanvallen :)

[Reactie gewijzigd door Dr.Root op 15 april 2014 11:45]

Ben toch benieuwd hoe iets als de FBI hier dan weer achter komt...
Een crimineel die het om geld te doen is gaat het niet om het verzamelen van de gegevens maar het uitbuiten ervan. Dus op een gegeven moment zullen die gegevens misbruikt worden. En meestal valt dat na verloop van tijd de eigenaar van die gegevens wel op (he dat heb ik niet besteld en betaald) of ziet de creditcardmaatschappij verdachte transacties (he deze gebruikers kopen nooit voor zulke grote bedragen). En als de FBI voldoende meldingen krijgt valt uit de betaalgegevens vaak wel een patroon op te maken waar de gegevens 'toevallig' ook steeds gebruikt zijn. Allemaal bij LaCie bijvoorbeeld.
Deze firma heeft ook een cloud opslagdienst: Wuala. Deze hack geeft toch wel de nodige twijfels over de beveiliging daar.
En waarom zou je die twijfels niet hebben als je niets hoort over de beveiliging? Veel personen zijn goedgelovig en hopen dat het goed gaat.....en gaan pas achteraf twijfelen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True