Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties

Orange heeft toegegeven dat de persoonlijke gegevens van 1,3 miljoen Franse gebruikers gestolen zijn tijdens een aanval door hackers. Volgens de telecomprovider werd er bij de aanval een 'beperkt aantal' namen van klanten en potentiŽle klanten buitgemaakt.

Iphone OrangeDe hackers hebben op een niet nader gespecificeerd systeem van Orange toegang gekregen tot e-mailadressen, vaste en mobiele telefoonnummers, gegevens van internetproviders en geboortedata van de klanten. Orange verwachtte oorspronkelijk dat de inbraak, die op 18 april werd vastgesteld, enkele tienduizenden personen zou hebben getroffen. Nu blijkt dus dat er circa 1,3 miljoen klanten en potentiële klanten getroffen zijn.

De telecomprovider laat via Datanews weten dat het bedrijf bewust heeft gewacht met het naar buiten brengen van de aanval omdat het eerst de omvang ervan vast wilde stellen, het technische netwerk wilde vergrendelen en om er verzekerd van te zijn dat het lek niet meer bestaat. Orange laat ook weten dat het bedrijf vreest dat de buitgemaakte klantgegevens door criminelen gebruikt gaan worden voor phishing.

Het is niet de eerste keer dit jaar dat de gegevens van Orange-klanten gestolen zijn: in januari was er ook al een aanval op systemen van Orange. Toen slaagden hackers erin om de gegevens van 800.000 klanten te stelen. Bij die aanval werden namen, adresgegevens, telefoonnummers, klantnummers en e-mailadressen buitgemaakt. Ook toen waarschuwde Orange voor een mogelijke phishing-aanval.

Moderatie-faq Wijzig weergave

Reacties (18)

brengt veel geld op in de russische forums...
Huren ze dan geen pentesters in om hun netwerk te testen?
Moet dat dan? Dit is van hetzelfde niveau als KPN die voor verschillende accounts een en hetzelfde wachtwoord uitgeeft. Mensen denken dat ze de beveiliging van infrastructuur er even bij doen of ze denken er helemaal niet aan. Waarschijnlijk is men nu pas wakker geworden want ze hebben het lek moeten dichten.
Het mooie van systemen is dat ze nooit waterdicht zijn... Elk systeem kent zwakheden (lekken), het is meestal slechts een kwestie van tijd voordat ze ontdekt worden.

Wel is belangrijk hoe men met zo'n ontdekt lek omgaat en volgens mij is hier redelijk adequaat gehandeld. Men heeft de hand in eigen boezem gestoken, is het lek te lijf gegaan en uiteindelijk is het netjes gemeld. Vind als bedrijf maar eens uit wŠŠr het precies lek geweest is!

Het is op z'n minst lovenswaardig dat men Łberhaupt heeft ontdekt dŠt er een hack plaatsgevonden heeft. Menig bedrijf heeft niet eens door dat ze aangevallen worden. Wat ook opvalt aan de lijst met buitgemaakte gegevens is dat er geen wachtwoorden gelekt zijn. Orange heeft dus blijkbaar die gegevens ergens anders staan of deze data versleuteld opgeslagen. In het verleden kan ik mij herinneren dat er wel eens complete tabellen met LEESBARE login data zijn buitgemaakt bij dergelijke bedrijven.
1 lek mag geen factor zijn om toegang te krijgen. Als dat wel het geval is heb je een brak systeem gebouwd.
"Het is niet de eerste keer dit jaar dat de gegevens van Orange-klanten gestolen zijn"

Misschien moeten ze hun systemen beter beveiligen?
makkelijker gezegd dan gedaan helaas
Want? Wat een slap antwoord.

Dit mag niet gebeuren. Dit is essentieel.

Laat dan maar mensen 24 uur per dag werken om het te fixen. Of huur experts in. Of zet dingen uit.

Een bedrijf mag zich er nooit zo gemakkelijk van afmaken.

Het is veel werk maar dat is hun eigen schuld.
al huur je 24/7 mensen in of experts duurt het alsnog lang voor je een lek vindt (tenzij het zo lek als een mandje is)
Zo werkt het niet. Je moet het opnieuw opbouwen in plaats van te zoeken naar lekken.

Waarschijnlijk is hun systeem een zooi en weten ze zelf zelfs niet hoe het in elkaar steekt. Ontwerp het opnieuw en bouw het opnieuw.
Juist net als in de middeleeuwen bestaat een digitale vesting uit verschillende lagen security. Wij werken met betalingen en klantengegevens en hebben een doorlopende pentest waar we steeds weer andere specialisten voor inhuren. Tot zover is er since 2008 nog niemand door gekomen. Kom je door de eerste laag of lagen loop je toch stuk op de volgende en evt combinaties van de volgende en de vorige etc... Onmogelijk is niets maar er zijn mogelijkheden genoeg om het goed te doen.

Zulke gegevens mogen gewoon niet toegangkelijk zijn van buitenaf. Punt.
Helaas is deze notie bij de meeste bedrijven een no-go zone en zullen er altijd pleisters geplakt blijven worden.

Ben het zeker met je eens dat als je iets goed wilt aanpakken, je het best even door het stof kan en gewoon weer van voren af aan beginnen, hoe "undaunting" dat ook mag zijn.
De beste mensen weten dat als zij met miljoenen klantengegevens werken dat deze goed beveiligd moeten worden.

Ben blij dat Orange hier niet meer in Nederland aanwezig is.
Tja, maar ik en Remmes_NT hoeven dan ook niet garant te staan voor de gegevens van miljoenen, Orange moet dat wel.
Als je die verantwoordelijkheid neemt moet je hem ook daadwerkelijk nakomen en ervoor zorgen dat het 'veilig' is of in ieder geval veilig genoeg, vooral dat het al eens eerder bij Orange is gebeurt laat zien dat het alles behalve veilig genoeg was en dat Orange dus daar een (of meerdere?) fouten heeft gemaakt waardoor de gegevens buit zijn gemaakt.
Pardon? Wat een onzin. Er zijn zat vrij verkrijgbare database-platformen die de beveiliging prima op orde hebben (en MySQL is daar niet ťťn van).

Als ontwikkelaar heb je verder helemaal niets te maken met de beveiliging van de database zelf, enkel met die van de applicatie die ervoor hangt - en het grootste probleem met applicatie-beveiliging is niet dat het moeilijk is, maar dat het mensen niets interesseert.

Beveiliging is niet moeilijk. Je moet het alleen wel als een prioriteit behandelen.
In de EU spreekt men al vele jaren over een verplichting om datalekken te melden. Niet alleen in Nederland wil de overheid hier een zeer beperkte groep organisaties aan hangen die verplicht is om verantwoordelijkheid te nemen richting een toezichthouder, als het eenmaal te laat is.

Ook bij dit lek zien we weer het oude riedeltje: bedrijf verwerkt miljoenen persoonsgegeven, bedrijf heeft de beveiliging niet overal in orde, van meer dan een miljoen personen zijn de persoonsgegevens gestolen, bedrijf zet er een woordvoerder op die het gebeuren bagatelliseert. Het feit dat een bedrijf in het nieuws komt dat er een datalek is schrikt de bedrijven allang niet meer af. En stap je als klant naar de rechter dan krijg je daar doodleuk te horen dat je niet kunt aantonen dat je gedupeert bent enkel omdat onbevoegden je gegevens in handen hebben.

Dat de overheid de groep van organisaties beperkt is niet vreemd als je bedenkt hoeveel werk ambtenaren krijgen als alle bedrijven verplicht achteraf moeten melden dat hun klanten weer eens de dupe zijn van een lek. Het kost de belastingbetaler dan miljoenen extra omdat bedrijven hun systemen en processen niet op orde hebben - van de slager om de hoek tot de voetbalvereniging tot de multinational.

100% procent beveiliging bestaat niet, maar een streven naar 100% beperken van risico's zou al een mooie verplichting zijn. Laat iedereen die persoonsgegevens verwerkt maar aantonen dat ze hun uiterste best hebben gedaan om de persoonsgegevens veilig te verwerken. Maar dat zet de EU natuurlijk niet als verplichte kost op het wetgevingsmenu.

Stel je toch eens voor dat het bekend zou worden dat je dan honderdmiljoen zelfstandig ondernemers, midden en klein bedrijf een enorme last op legt waar ze geen flauw benul van hebben. Terwijl je bijna nooit in het nieuws iets verneemt hoeveel persoonsgegevens daar dagelijks buitgemaakt worden. Om het nog niet te hebben over de persoonsgegeven van anderen die dagelijks bij miljoenen personen uit hun adresboek wordt gejat door malware en slechte pc/mobiel hygiene.

Orange heeft eigenlijk gelijk, bij hun zijn slechts van 1,3miljoen personen hun gegevens gestolen.
Misschien is het handig dat in de toekomst standaard alle database gegevens geencrypt worden (+ salt) .
Of alleen de belangrijkste gegevens zoals email,telefoon en wachtwoord etc..
Het lijkt me dat het dan voor een cyberdief alweer minder aantrekkelijk word om in sommige situaties de data alsnog te achterhalen.

[Reactie gewijzigd door 913nn op 7 mei 2014 17:17]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True