Orange: hack betrof 1,3 miljoen klanten

Orange heeft toegegeven dat de persoonlijke gegevens van 1,3 miljoen Franse gebruikers gestolen zijn tijdens een aanval door hackers. Volgens de telecomprovider werd er bij de aanval een 'beperkt aantal' namen van klanten en potentiële klanten buitgemaakt.

Iphone OrangeDe hackers hebben op een niet nader gespecificeerd systeem van Orange toegang gekregen tot e-mailadressen, vaste en mobiele telefoonnummers, gegevens van internetproviders en geboortedata van de klanten. Orange verwachtte oorspronkelijk dat de inbraak, die op 18 april werd vastgesteld, enkele tienduizenden personen zou hebben getroffen. Nu blijkt dus dat er circa 1,3 miljoen klanten en potentiële klanten getroffen zijn.

De telecomprovider laat via Datanews weten dat het bedrijf bewust heeft gewacht met het naar buiten brengen van de aanval omdat het eerst de omvang ervan vast wilde stellen, het technische netwerk wilde vergrendelen en om er verzekerd van te zijn dat het lek niet meer bestaat. Orange laat ook weten dat het bedrijf vreest dat de buitgemaakte klantgegevens door criminelen gebruikt gaan worden voor phishing.

Het is niet de eerste keer dit jaar dat de gegevens van Orange-klanten gestolen zijn: in januari was er ook al een aanval op systemen van Orange. Toen slaagden hackers erin om de gegevens van 800.000 klanten te stelen. Bij die aanval werden namen, adresgegevens, telefoonnummers, klantnummers en e-mailadressen buitgemaakt. Ook toen waarschuwde Orange voor een mogelijke phishing-aanval.

Door Taco Blauw

Stagiair

Feedback • 07-05-2014 13:36 18

07-05-2014 • 13:36

18

Lees meer

Orange België meldt hack waarbij gegevens van 850.000 klanten zijn gestolen
Orange België meldt hack waarbij gegevens van 850.000 klanten zijn gestolen Nieuws van 20 augustus 2025
Orange introduceert Android-smartphone met Atom-chip
Orange introduceert Android-smartphone met Atom-chip Nieuws van 27 februari 2012
Orange en Apple beëindigen exclusiviteitsdeal in Frankrijk
Orange en Apple beëindigen exclusiviteitsdeal in Frankrijk Nieuws van 4 november 2009
Orange en T-Mobile fuseren Britse activiteiten
Orange en T-Mobile fuseren Britse activiteiten Nieuws van 8 september 2009
Meer producten en artikelen
Netwerk en systeembeheer Hackers

Reacties (18)

-Moderatie-faq
18
16
6
1
0
7
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 7 mei 2014 13:43
brengt veel geld op in de russische forums...
Huren ze dan geen pentesters in om hun netwerk te testen?
Verwijderd @Verwijderd7 mei 2014 13:55
Moet dat dan? Dit is van hetzelfde niveau als KPN die voor verschillende accounts een en hetzelfde wachtwoord uitgeeft. Mensen denken dat ze de beveiliging van infrastructuur er even bij doen of ze denken er helemaal niet aan. Waarschijnlijk is men nu pas wakker geworden want ze hebben het lek moeten dichten.
kwibus @Verwijderd7 mei 2014 17:14
Het mooie van systemen is dat ze nooit waterdicht zijn... Elk systeem kent zwakheden (lekken), het is meestal slechts een kwestie van tijd voordat ze ontdekt worden.

Wel is belangrijk hoe men met zo'n ontdekt lek omgaat en volgens mij is hier redelijk adequaat gehandeld. Men heeft de hand in eigen boezem gestoken, is het lek te lijf gegaan en uiteindelijk is het netjes gemeld. Vind als bedrijf maar eens uit wáár het precies lek geweest is!

Het is op z'n minst lovenswaardig dat men überhaupt heeft ontdekt dát er een hack plaatsgevonden heeft. Menig bedrijf heeft niet eens door dat ze aangevallen worden. Wat ook opvalt aan de lijst met buitgemaakte gegevens is dat er geen wachtwoorden gelekt zijn. Orange heeft dus blijkbaar die gegevens ergens anders staan of deze data versleuteld opgeslagen. In het verleden kan ik mij herinneren dat er wel eens complete tabellen met LEESBARE login data zijn buitgemaakt bij dergelijke bedrijven.
kamaradski @kwibus7 mei 2014 20:28
1 lek mag geen factor zijn om toegang te krijgen. Als dat wel het geval is heb je een brak systeem gebouwd.
Verwijderd 7 mei 2014 13:40
"Het is niet de eerste keer dit jaar dat de gegevens van Orange-klanten gestolen zijn"

Misschien moeten ze hun systemen beter beveiligen?
fantafriday @Verwijderd7 mei 2014 14:11
makkelijker gezegd dan gedaan helaas
rduinmayer @fantafriday7 mei 2014 14:41
Want? Wat een slap antwoord.

Dit mag niet gebeuren. Dit is essentieel.

Laat dan maar mensen 24 uur per dag werken om het te fixen. Of huur experts in. Of zet dingen uit.

Een bedrijf mag zich er nooit zo gemakkelijk van afmaken.

Het is veel werk maar dat is hun eigen schuld.
fantafriday @rduinmayer7 mei 2014 14:43
al huur je 24/7 mensen in of experts duurt het alsnog lang voor je een lek vindt (tenzij het zo lek als een mandje is)
DiedB @fantafriday7 mei 2014 15:03
Zo werkt het niet. Je moet het opnieuw opbouwen in plaats van te zoeken naar lekken.

Waarschijnlijk is hun systeem een zooi en weten ze zelf zelfs niet hoe het in elkaar steekt. Ontwerp het opnieuw en bouw het opnieuw.
kamaradski @DiedB7 mei 2014 20:26
Juist net als in de middeleeuwen bestaat een digitale vesting uit verschillende lagen security. Wij werken met betalingen en klantengegevens en hebben een doorlopende pentest waar we steeds weer andere specialisten voor inhuren. Tot zover is er since 2008 nog niemand door gekomen. Kom je door de eerste laag of lagen loop je toch stuk op de volgende en evt combinaties van de volgende en de vorige etc... Onmogelijk is niets maar er zijn mogelijkheden genoeg om het goed te doen.

Zulke gegevens mogen gewoon niet toegangkelijk zijn van buitenaf. Punt.
Wampa1 @DiedB7 mei 2014 21:27
Helaas is deze notie bij de meeste bedrijven een no-go zone en zullen er altijd pleisters geplakt blijven worden.

Ben het zeker met je eens dat als je iets goed wilt aanpakken, je het best even door het stof kan en gewoon weer van voren af aan beginnen, hoe "undaunting" dat ook mag zijn.
[Remmes] @fantafriday7 mei 2014 17:01
De beste mensen weten dat als zij met miljoenen klantengegevens werken dat deze goed beveiligd moeten worden.

Ben blij dat Orange hier niet meer in Nederland aanwezig is.
RGAT @fantafriday7 mei 2014 17:56
Tja, maar ik en Remmes_NT hoeven dan ook niet garant te staan voor de gegevens van miljoenen, Orange moet dat wel.
Als je die verantwoordelijkheid neemt moet je hem ook daadwerkelijk nakomen en ervoor zorgen dat het 'veilig' is of in ieder geval veilig genoeg, vooral dat het al eens eerder bij Orange is gebeurt laat zien dat het alles behalve veilig genoeg was en dat Orange dus daar een (of meerdere?) fouten heeft gemaakt waardoor de gegevens buit zijn gemaakt.
svenslootweg @fantafriday7 mei 2014 19:18
Pardon? Wat een onzin. Er zijn zat vrij verkrijgbare database-platformen die de beveiliging prima op orde hebben (en MySQL is daar niet één van).

Als ontwikkelaar heb je verder helemaal niets te maken met de beveiliging van de database zelf, enkel met die van de applicatie die ervoor hangt - en het grootste probleem met applicatie-beveiliging is niet dat het moeilijk is, maar dat het mensen niets interesseert.

Beveiliging is niet moeilijk. Je moet het alleen wel als een prioriteit behandelen.
kodak
7 mei 2014 19:30
In de EU spreekt men al vele jaren over een verplichting om datalekken te melden. Niet alleen in Nederland wil de overheid hier een zeer beperkte groep organisaties aan hangen die verplicht is om verantwoordelijkheid te nemen richting een toezichthouder, als het eenmaal te laat is.

Ook bij dit lek zien we weer het oude riedeltje: bedrijf verwerkt miljoenen persoonsgegeven, bedrijf heeft de beveiliging niet overal in orde, van meer dan een miljoen personen zijn de persoonsgegevens gestolen, bedrijf zet er een woordvoerder op die het gebeuren bagatelliseert. Het feit dat een bedrijf in het nieuws komt dat er een datalek is schrikt de bedrijven allang niet meer af. En stap je als klant naar de rechter dan krijg je daar doodleuk te horen dat je niet kunt aantonen dat je gedupeert bent enkel omdat onbevoegden je gegevens in handen hebben.

Dat de overheid de groep van organisaties beperkt is niet vreemd als je bedenkt hoeveel werk ambtenaren krijgen als alle bedrijven verplicht achteraf moeten melden dat hun klanten weer eens de dupe zijn van een lek. Het kost de belastingbetaler dan miljoenen extra omdat bedrijven hun systemen en processen niet op orde hebben - van de slager om de hoek tot de voetbalvereniging tot de multinational.

100% procent beveiliging bestaat niet, maar een streven naar 100% beperken van risico's zou al een mooie verplichting zijn. Laat iedereen die persoonsgegevens verwerkt maar aantonen dat ze hun uiterste best hebben gedaan om de persoonsgegevens veilig te verwerken. Maar dat zet de EU natuurlijk niet als verplichte kost op het wetgevingsmenu.

Stel je toch eens voor dat het bekend zou worden dat je dan honderdmiljoen zelfstandig ondernemers, midden en klein bedrijf een enorme last op legt waar ze geen flauw benul van hebben. Terwijl je bijna nooit in het nieuws iets verneemt hoeveel persoonsgegevens daar dagelijks buitgemaakt worden. Om het nog niet te hebben over de persoonsgegeven van anderen die dagelijks bij miljoenen personen uit hun adresboek wordt gejat door malware en slechte pc/mobiel hygiene.

Orange heeft eigenlijk gelijk, bij hun zijn slechts van 1,3miljoen personen hun gegevens gestolen.
Verwijderd 7 mei 2014 17:09
Misschien is het handig dat in de toekomst standaard alle database gegevens geencrypt worden (+ salt) .
Of alleen de belangrijkste gegevens zoals email,telefoon en wachtwoord etc..
Het lijkt me dat het dan voor een cyberdief alweer minder aantrekkelijk word om in sommige situaties de data alsnog te achterhalen.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 08:46]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq