Hackers bemachtigen gegevens 83 miljoen mensen bij hack Amerikaanse bank

Hackers hebben de privégegevens van ongeveer 83 miljoen klanten van de Amerikaanse bank JP Morgan bemachtigd. Het zou gaan om een van de grootste datalekken uit de geschiedenis, hoewel het vooral gaat om weinig gevoelige gegevens als naam, e-mailadres en telefoonnummers.

De hackers hebben toegang gekregen tot de privégegevens van 76 miljoen huishoudens en 7 miljoen zakelijke accounts, blijkt uit een melding van de bank. Daarbij gaat het vermoedelijk vrijwel alleen om Amerikanen. Tot de uitgelekte gegevens behoren namen, adressen, telefoonnummers en e-mailadressen van rekeningeigenaren. Hackers zouden geen toegang hebben gekregen tot de rekeningnummers, wachtwoorden, gebruikersnamen en geboortedata van klanten.

Hoe de hackers toegang hebben gekregen tot de systemen, vermeldt de bank niet. Omdat het gaat om gegevens die niets te maken hebben met bankieren en alleen nodig zijn voor contact met klanten of marketing, ligt het voor de hand dat er geen banksystemen gekraakt zijn, maar alleen een of meer systemen voor contact met klanten.

JP Morgan heeft klanten niet geadviseerd om wachtwoorden te wijzigen. Wel zegt de bank dat klanten in de komende tijd alert moeten zijn op fraude met de gegevens. Gezien het hoge aantal van 83 miljoen getroffenen gaat het om een van de grootste bekende datadiefstallen tot nu toe.

IT-banen

Reacties (39)

Domih 3 oktober 2014 10:57

Heftig dit, hoop dat de hackers de gegevens niet gaan uitlekken/misbruiken, maar daar kan je natuurlijk niet vanuit gaan.. Zo zie je maar weer dat beveiliging van persoonsgegevens heel belangrijk is..

Verwijderd @Domih • 3 oktober 2014 11:22

maar daar kan je natuurlijk niet vanuit gaan..

Ik zou daar juist wel vanuit gaan.
En dan ook meteen:
- naar een andere bank gaan
- andere telefoonnummer nemen
- verhuizen
- je naam veranderen

OK, iets overtrokken maar je wachtwoord veranderen en een advocaat een brief laten sturen dat JP Morgan/Chase verantwoordelijk is voor de gevolgen die dat lek kunnen gaan veroorzaken lijkt me wel het minste wat je kan doen.

Verwijderd @Verwijderd • 3 oktober 2014 14:22

OK, iets overtrokken maar je wachtwoord veranderen en een advocaat een brief laten sturen dat JP Morgan/Chase verantwoordelijk is voor de gevolgen die dat lek kunnen gaan veroorzaken lijkt me wel het minste wat je kan doen.

En 150 Euro uitgeven aan die brief van de advocaat, voordat je ook maar de minste schade hebt, is niet overtrokken? Hou in de gaten dat je brief niets veranderd. Als ze verantwoordelijk zijn, waren ze dat voor je brief aankwam, zijn ze het niet heeft je brief ook niets te betekenen.

Ik denk dus dat je advies onbezonnen is.

RGAT @Verwijderd • 3 oktober 2014 11:37

Ja, Domih zei dat hij hoopt dat ze niet gaan lekken, en je daar niet vanuit kan gaan

Wel een aparte regel:

hoewel het vooral gaat om weinig gevoelige gegevens als naam, e-mailadres en telefoonnummers

Tuurlijk zijn je pincode en rekeningnummer wat gevoeliger, maar 'weinig gevoelig' noem ik een telefoonnummer of emailadres nou ook weer niet...

drdelta @RGAT • 3 oktober 2014 13:24

Het ergste is vooral de combinatie van die gegevens, aan alleen een telefoonnummer heb je wellicht niet zo veel, maar als je ook meteen je geboorte datum hebt zou je zomaar een boel schade aan kunnen richten als hacker.

himlims_ 3 oktober 2014 10:55

*klap*klap* knap!
documenten over de kraak; http://www.nytimes.com/in...k/jpmorgan-documents.html

CopyCatz @himlims_ • 3 oktober 2014 11:11

Ondertussen is het waarschijnlijk "veiliger" om gewoon alle bankgegevens van iedereen als open data bestand beschikbaar te stellen, met hacks van deze omvang is de kans dat jouw gegevens misbruikt worden kleiner dan de kans dat een bank überhaupt gehackt wordt..

jay123 @CopyCatz • 3 oktober 2014 11:44

Het gaat niet over de bankgegevens, enkel over persoonsgegevens zoals naam email...

Tot de gelekte gegevens behoren namen, adressen, telefoonnummers en e-mailadressen van rekeningeigenaren. Hackers zouden geen toegang hebben gekregen tot de rekeningnummers, wachtwoorden, gebruikersnamen en geboortedata van klanten.

En dan nog, nu is het voor hackers of computervredebreuk-plegers (weet je nog!) nog moeilijk om hieraan te geraken. Als je deze zaken beschikbaar maakt, gaan ze gelijk door naar de belangrijkere gegevens zoals bankrekening e.d..

[Reactie gewijzigd door jay123 op 30 juli 2024 21:30]

Iblies @jay123 • 3 oktober 2014 11:53

Email, adres en telefoonnummer??

Zo kun je vrij snel achterhalen wie overdag werkt, je kunt hem bellen waar die is, je kunt zijn huis leeghalen...
Antieke methode met een moderne update, grote verschil is dat je nu van 1/3 van Amerika de gegevens hebt en het een kwestie van selecteren is. Het gaat niet alleen om fraude op internet.

Verwijderd @Iblies • 3 oktober 2014 11:57

Of een email met phishing de deur uit naar potentieel 83 miljoen klanten van JP morgan.

Als er al 100 van dat aantal intrappen met een fors saldo dan is zo'n hack aardig succes.

Miks @Verwijderd • 3 oktober 2014 14:45

Als je het goed aanpakt ligt het succes van zo'n phishing op tientallen procenten. Als de mail niet grotendeels wordt geblokkeerd door filters en dergelijke.

DJ Henk @Iblies • 3 oktober 2014 12:03

Het is wel mogelijk, maar ik denk niet dat dat het doel was. Inbraken vergen tijd en mankracht, dus het is moeilijk schaalbaar.

Armin

Netwerk en systeembeheer

@Iblies • 3 oktober 2014 17:42

Zo kun je vrij snel achterhalen wie overdag werkt, je kunt hem bellen waar die is, je kunt zijn huis leeghalen...

Amerika is een erug groot land

Nee, serieus dit wordt enkel gebruikt voor online identiteits fraude. Stel je hebt al een deel van de informatie van een persoon, dan kun je die zo mooi aanvullen.

Golodh @Iblies • 4 oktober 2014 13:16

@Iblies

Fysiek inbreken kan, maar je met veel minder inspanning of risico deze gegevens gaan "raffineren". Google is daarbij je vriend.

Je moet je realiseren dat het feit dat al deze mensen klant zijn bij JP Morgan waardevol is. Dit zijn niet zomaar 83 mln. NAW gegevens die je uit een telefoonboek haalt. Dit zijn mensen met een bankrekening en een adres. Blijkbaar vond JP Morgan deze mensen interessant genoeg om ze bankdiensten te verkopen. Bijna al deze lieden hebben ook nog een credit-card, d.w.z. hun credietscore kan dat hebben.

Als je dus op naam van deze mensen een extra credit-card rekening kan openen (en die card flitsend snel $ 500 in het rood kan zetten) dan praat je over $500 winst per adres. Je hebt alleen nog wat extra informatie nodig, zoals SSN, geboortedatum, en misschien "mother's maiden name".

En daar is wel aan te komen.

Schrijf gewoon maar een Python scriptje dat die mensen uit de lijst (naam, adres, email) een voor een opzoekt op Google en laat dat script kijken of er een SSN (social security number) en een geboortedatum op de gevonden pagina staat.

Die gevallen filter je eruit, en dat halffabrikaat gebruik je als input om te verifieren dat de gevonden naam, SSN, geboortedatum, adres, email, telefoonnummer inderdaad bij elkaar horen. Wedden dat je een bestandje van een paar honderdduizend correcte combinaties overhoudt?

Dat bestand kan je zo verkopen voor ca. 1 $ per adres. Geeft ca. 3 x 100.000 x 1$ = $ 300.000 opbrengst. Voor een week of twee extra werk ...

Daar kan je een paar jaar van leven hoor. Ook de aankoop van hardware, telecom lijnen, software, specialistische diensten van black-hat programmeurs, zero-day vulnerabilities, en botnet-diensten is daarmee mogelijk.

Reken dus maar dat dat bestand met 83 mln. NAW gegevens wordt uitgemolken en dat het voor de inbrekers een lucratieve slag was. Het waren echt geen onbenullen die dat grote NAW bestand hebben gejat.

darknessblade @himlims_ • 3 oktober 2014 11:01

En de NSA bespioneerd wel zoveel mensen, dat ze dit niet hebben gemerkt, i heel ironisch

Verwijderd @darknessblade • 3 oktober 2014 11:24

Ik vind het met name verassend dat bijna 1/3 van de Amerikaanse bevolking klant is bij één bank. Zeker gezien het verleden van JP Morgan zou je dat niet verwachten.

jpsch @Verwijderd • 3 oktober 2014 11:28

Is JP Morgan niet de grootste hypotheekverstrekker?

o_f_course @Verwijderd • 3 oktober 2014 11:47

misschien ook veel ex-rekeninghouders?

PrismSub7 @Verwijderd • 3 oktober 2014 11:48

http://www.exciteddeliriu...-fail-happened-in-the-us/ Zie deze timeline, niet meer raar in deze tijd.

Armin

Netwerk en systeembeheer

@Verwijderd • 3 oktober 2014 17:40

Zeker gezien het verleden van JP Morgan zou je dat niet verwachten.

Hoezo niet?

Overigens is het minder extreem dan je denkt.

Allereerst is in Nederland is 90% van de bevolking klant bij of ABN, Rabo of ING. Zit je ook al aan 1/3.

Verder kun je klant bij verschillende banken zijn. Veel mensen in Amerika hebben verschillende credit- of charge cards bij verschillende banken en vooral de vele subvestigingen. Voeg toe hypotheken en verzekeringen.

Daarin doorgaand, is het dus ook de vraag of er niet veel dubbel-tellingen zijn. Iemand die een betaalrekening heeft bij ABN-AMRO en een hypotheek bij ABN-AMRO dochter MoneyYou zou bij een hack van ABN-AMRO ook potentieel dubbel geteld kunnen worden.

Verwijderd @Armin • 5 oktober 2014 11:18

Emm. Dat zijn drie banken, niet één. 30% per bank.

Armin

Netwerk en systeembeheer

@Verwijderd • 6 oktober 2014 18:48

Emm. Dat zijn drie banken, niet één

Ja, ik reageerde dus op het feit dat iemand het raar vond dat Chase bijna 1/3 van de markt had in de USA. Dat is dus in Nederland exact ook zo met de grote drie die ook elk ruwweg 1/3 hebben.

Kliko 3 oktober 2014 11:16

Reken er maar op dat een groot gedeelte van deze mensen allerlei nepmailtjes gaan ontvangen die zogenaamd bij hun bank vandaan komen. Wel erg vervelend voor de slachtoffers, ik weet niet of ik nog snel deze bank zou vertrouwen als ze mij per mail op de hoogte zouden stellen.

_{Beetje off-topic:

Ik krijg ook met enige regelmaat mailtjes van de ING-bank, die er echt zeer professioneel uitzien, maar ik ben geeneens klant van hun.}

[Reactie gewijzigd door Kliko op 30 juli 2024 21:30]

RGAT @Kliko • 3 oktober 2014 11:43

Ik krijg mailtjes in de richting van 'systeem update, controlleer op deze pagina of uw gegevens nog kloppen', deze ontvang ik van vier banken, alle vier niet de bank waar ik zit

Wel elke keer braaf melden bij valse-email@banknaam.nl, en dan zie je dat de site een uur of twee later offline is.

aikebah @RGAT • 4 oktober 2014 11:47

Dat melden ben ik maar mee gestopt toen ik de meldingen retour kreeg omdat ze door hun spamfilters geblokkeerd werden

3raser 3 oktober 2014 11:26

...hoewel het vooral gaat om weinig gevoelige gegevens...

Dat is maar net hoe je het bekijkt. Ik vind het nogal wat als je van al die mensen hun volledige naam, adresgegevens, telefoonnummer en e-mailadres hebt. Ja, een bank heeft veel gevoeligere gegevens in zijn systeem staan zoals rekeningnummers, saldo en mogelijk zelfs wachtwoorden van accounts. Maar als je dezelfde data buit zou maken bij een hack op bijvoorbeeld Bol.com dan had waarschijnlijk niemand gezegd dat het om weinig gevoelige gegevens gaat. Er is een enorme hoeveelheid persoonlijke gegevens gestolen, maar dat is niet erg want er waren nog veel belangrijkere gegevens die niet zijn gestolen?!

Flight77 @3raser • 3 oktober 2014 11:42

Ook een gevoelig gegeven, zeker in combinatie met de genoemde gegevens, is dat deze mensen dus klant zijn bij JP Morgan. Dat opent zoveel deuren voor wat betreft sturen van gerichtte phishing mails, of zelfs echte post en telefoontjes.
En met 76 miljoen particulieren, bestrijk je inderdaad ongeveer een kwart van de Amerikaanse bevolking.

kritischelezer 3 oktober 2014 11:23

het vooral gaat om weinig gevoelige gegevens als naam, e-mailadres en telefoonnummers.

Daar kan men heel veel mee, al is het alleen al om meer gegevens op te vragen en de controle vragen zijn dan direct te beantwoorden.

Thc_Nbl @kritischelezer • 3 oktober 2014 11:29

met het gemiddelde wat je op internet kan vinden over iemand kan je bijna alle controle vragen toch al beantwoorden..

kritischelezer @Thc_Nbl • 3 oktober 2014 11:56

Het gaat om een bak met data wat deze hacker te koop kan aanbieden, dat kan men niet per persoon zoeken op internet om dit in detail te vinden op deze schaal. Daarnaast heeft een bank de meest recente gegevens, dat kan niet gezegd worden over gegevens die op internet te vinden zijn.

Luuk Fiets 3 oktober 2014 10:58

Lekker offtopic: maar de stagiair heeft met photoshop mogen spelen?

On: best ernstig, ondanks dat het " slechts" om naam, emailadres en telefoonnummers gaat. Als je die emailadressen bijvoorbeeld zou koppelenen aan de database van gestolen gegevens bij die hack bij Adobe, zou je volgens mij redelijk wat interessante combinaties kunnen vinden.

Bonez0r @Luuk Fiets • 3 oktober 2014 11:14

Lekker offtopic: maar de stagiair heeft met photoshop mogen spelen?

Waarschijnlijk is de foto al een paar jaar oud, hij staat ook in een tweakers review uit 2011 (even er vanuit gaande dat de review niet recent gewijzigd is).

edit: Ik zie dat hij nu is weggehaald uit dit nieuwsartikel.

edit2: Waarom -1? Iets naar beneden zegt biglia hetzelfde en die krijgt gewoon 0 zoals het hoort (al zijn er (waarschijnlijk dezelfde) twee zuurpruimen die ook hem/haar een -1 geven).

[Reactie gewijzigd door Bonez0r op 30 juli 2024 21:30]

Plainside 3 oktober 2014 11:07

Zelfs als het maar contact informatie is kunnen ze nu genoeg mensen lastig vallen.
Ik snap ook niet een bank die gegevens niet zo heeft beveiligt als de rekening nummers en toebehorende

styno 3 oktober 2014 11:54

Je kan er de donder op zeggen dat er grootschalige phishing aanvallen op deze rekeninghouders afgevuurd gaan worden.

Astrix @styno • 3 oktober 2014 14:51

En reken maar dat telefoon van die JP Morgen klanten vaker zal afgaan dan ze gewend waren, niet dat ze dan gebeld worden door vrienden of bekenden, maar door verkopers die ze telefonisch van alles en nog wat proberen aan te smeren. De zogenaamde telefonische colportage.