Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

Hackers hebben de privégegevens van ongeveer 83 miljoen klanten van de Amerikaanse bank JP Morgan bemachtigd. Het zou gaan om een van de grootste datalekken uit de geschiedenis, hoewel het vooral gaat om weinig gevoelige gegevens als naam, e-mailadres en telefoonnummers.

De hackers hebben toegang gekregen tot de privégegevens van 76 miljoen huishoudens en 7 miljoen zakelijke accounts, blijkt uit een melding van de bank. Daarbij gaat het vermoedelijk vrijwel alleen om Amerikanen. Tot de uitgelekte gegevens behoren namen, adressen, telefoonnummers en e-mailadressen van rekeningeigenaren. Hackers zouden geen toegang hebben gekregen tot de rekeningnummers, wachtwoorden, gebruikersnamen en geboortedata van klanten.

Hoe de hackers toegang hebben gekregen tot de systemen, vermeldt de bank niet. Omdat het gaat om gegevens die niets te maken hebben met bankieren en alleen nodig zijn voor contact met klanten of marketing, ligt het voor de hand dat er geen banksystemen gekraakt zijn, maar alleen een of meer systemen voor contact met klanten.

JP Morgan heeft klanten niet geadviseerd om wachtwoorden te wijzigen. Wel zegt de bank dat klanten in de komende tijd alert moeten zijn op fraude met de gegevens. Gezien het hoge aantal van 83 miljoen getroffenen gaat het om een van de grootste bekende datadiefstallen tot nu toe.

Moderatie-faq Wijzig weergave

Reacties (39)

Heftig dit, hoop dat de hackers de gegevens niet gaan uitlekken/misbruiken, maar daar kan je natuurlijk niet vanuit gaan.. Zo zie je maar weer dat beveiliging van persoonsgegevens heel belangrijk is..
maar daar kan je natuurlijk niet vanuit gaan..
Ik zou daar juist wel vanuit gaan.
En dan ook meteen:
- naar een andere bank gaan
- andere telefoonnummer nemen
- verhuizen
- je naam veranderen

OK, iets overtrokken maar je wachtwoord veranderen en een advocaat een brief laten sturen dat JP Morgan/Chase verantwoordelijk is voor de gevolgen die dat lek kunnen gaan veroorzaken lijkt me wel het minste wat je kan doen.
OK, iets overtrokken maar je wachtwoord veranderen en een advocaat een brief laten sturen dat JP Morgan/Chase verantwoordelijk is voor de gevolgen die dat lek kunnen gaan veroorzaken lijkt me wel het minste wat je kan doen.
En 150 Euro uitgeven aan die brief van de advocaat, voordat je ook maar de minste schade hebt, is niet overtrokken? Hou in de gaten dat je brief niets veranderd. Als ze verantwoordelijk zijn, waren ze dat voor je brief aankwam, zijn ze het niet heeft je brief ook niets te betekenen.

Ik denk dus dat je advies onbezonnen is.
Ja, Domih zei dat hij hoopt dat ze niet gaan lekken, en je daar niet vanuit kan gaan :)

Wel een aparte regel:
hoewel het vooral gaat om weinig gevoelige gegevens als naam, e-mailadres en telefoonnummers
Tuurlijk zijn je pincode en rekeningnummer wat gevoeliger, maar 'weinig gevoelig' noem ik een telefoonnummer of emailadres nou ook weer niet...
Het ergste is vooral de combinatie van die gegevens, aan alleen een telefoonnummer heb je wellicht niet zo veel, maar als je ook meteen je geboorte datum hebt zou je zomaar een boel schade aan kunnen richten als hacker.
Ondertussen is het waarschijnlijk "veiliger" om gewoon alle bankgegevens van iedereen als open data bestand beschikbaar te stellen, met hacks van deze omvang is de kans dat jouw gegevens misbruikt worden kleiner dan de kans dat een bank überhaupt gehackt wordt..
Het gaat niet over de bankgegevens, enkel over persoonsgegevens zoals naam email...
Tot de gelekte gegevens behoren namen, adressen, telefoonnummers en e-mailadressen van rekeningeigenaren. Hackers zouden geen toegang hebben gekregen tot de rekeningnummers, wachtwoorden, gebruikersnamen en geboortedata van klanten.
En dan nog, nu is het voor hackers of computervredebreuk-plegers (weet je nog!) nog moeilijk om hieraan te geraken. Als je deze zaken beschikbaar maakt, gaan ze gelijk door naar de belangrijkere gegevens zoals bankrekening e.d..

[Reactie gewijzigd door jay123 op 3 oktober 2014 11:46]

Email, adres en telefoonnummer??

Zo kun je vrij snel achterhalen wie overdag werkt, je kunt hem bellen waar die is, je kunt zijn huis leeghalen...
Antieke methode met een moderne update, grote verschil is dat je nu van 1/3 van Amerika de gegevens hebt en het een kwestie van selecteren is. Het gaat niet alleen om fraude op internet.
Of een email met phishing de deur uit naar potentieel 83 miljoen klanten van JP morgan.

Als er al 100 van dat aantal intrappen met een fors saldo dan is zo'n hack aardig succes.
Als je het goed aanpakt ligt het succes van zo'n phishing op tientallen procenten. Als de mail niet grotendeels wordt geblokkeerd door filters en dergelijke.
Het is wel mogelijk, maar ik denk niet dat dat het doel was. Inbraken vergen tijd en mankracht, dus het is moeilijk schaalbaar.
Zo kun je vrij snel achterhalen wie overdag werkt, je kunt hem bellen waar die is, je kunt zijn huis leeghalen...

Amerika is een erug groot land O-)

Nee, serieus dit wordt enkel gebruikt voor online identiteits fraude. Stel je hebt al een deel van de informatie van een persoon, dan kun je die zo mooi aanvullen.
@Iblies

Fysiek inbreken kan, maar je met veel minder inspanning of risico deze gegevens gaan "raffineren". Google is daarbij je vriend.

Je moet je realiseren dat het feit dat al deze mensen klant zijn bij JP Morgan waardevol is. Dit zijn niet zomaar 83 mln. NAW gegevens die je uit een telefoonboek haalt. Dit zijn mensen met een bankrekening en een adres. Blijkbaar vond JP Morgan deze mensen interessant genoeg om ze bankdiensten te verkopen. Bijna al deze lieden hebben ook nog een credit-card, d.w.z. hun credietscore kan dat hebben.

Als je dus op naam van deze mensen een extra credit-card rekening kan openen (en die card flitsend snel $ 500 in het rood kan zetten) dan praat je over $500 winst per adres. Je hebt alleen nog wat extra informatie nodig, zoals SSN, geboortedatum, en misschien "mother's maiden name".

En daar is wel aan te komen.

Schrijf gewoon maar een Python scriptje dat die mensen uit de lijst (naam, adres, email) een voor een opzoekt op Google en laat dat script kijken of er een SSN (social security number) en een geboortedatum op de gevonden pagina staat.

Die gevallen filter je eruit, en dat halffabrikaat gebruik je als input om te verifieren dat de gevonden naam, SSN, geboortedatum, adres, email, telefoonnummer inderdaad bij elkaar horen. Wedden dat je een bestandje van een paar honderdduizend correcte combinaties overhoudt?

Dat bestand kan je zo verkopen voor ca. 1 $ per adres. Geeft ca. 3 x 100.000 x 1$ = $ 300.000 opbrengst. Voor een week of twee extra werk ...

Daar kan je een paar jaar van leven hoor. Ook de aankoop van hardware, telecom lijnen, software, specialistische diensten van black-hat programmeurs, zero-day vulnerabilities, en botnet-diensten is daarmee mogelijk.

Reken dus maar dat dat bestand met 83 mln. NAW gegevens wordt uitgemolken en dat het voor de inbrekers een lucratieve slag was. Het waren echt geen onbenullen die dat grote NAW bestand hebben gejat.
En de NSA bespioneerd wel zoveel mensen, dat ze dit niet hebben gemerkt, i heel ironisch
Ik vind het met name verassend dat bijna 1/3 van de Amerikaanse bevolking klant is bij één bank. Zeker gezien het verleden van JP Morgan zou je dat niet verwachten.
Is JP Morgan niet de grootste hypotheekverstrekker?
misschien ook veel ex-rekeninghouders?
Zeker gezien het verleden van JP Morgan zou je dat niet verwachten.

Hoezo niet?

Overigens is het minder extreem dan je denkt.

Allereerst is in Nederland is 90% van de bevolking klant bij of ABN, Rabo of ING. Zit je ook al aan 1/3.

Verder kun je klant bij verschillende banken zijn. Veel mensen in Amerika hebben verschillende credit- of charge cards bij verschillende banken en vooral de vele subvestigingen. Voeg toe hypotheken en verzekeringen.

Daarin doorgaand, is het dus ook de vraag of er niet veel dubbel-tellingen zijn. Iemand die een betaalrekening heeft bij ABN-AMRO en een hypotheek bij ABN-AMRO dochter MoneyYou zou bij een hack van ABN-AMRO ook potentieel dubbel geteld kunnen worden.
Emm. Dat zijn drie banken, niet één. 30% per bank.
Emm. Dat zijn drie banken, niet één

Ja, ik reageerde dus op het feit dat iemand het raar vond dat Chase bijna 1/3 van de markt had in de USA. Dat is dus in Nederland exact ook zo met de grote drie die ook elk ruwweg 1/3 hebben.
Reken er maar op dat een groot gedeelte van deze mensen allerlei nepmailtjes gaan ontvangen die zogenaamd bij hun bank vandaan komen. Wel erg vervelend voor de slachtoffers, ik weet niet of ik nog snel deze bank zou vertrouwen als ze mij per mail op de hoogte zouden stellen.

Beetje off-topic:
Ik krijg ook met enige regelmaat mailtjes van de ING-bank, die er echt zeer professioneel uitzien, maar ik ben geeneens klant van hun. :D :+

[Reactie gewijzigd door mkliko op 3 oktober 2014 11:17]

Ik krijg mailtjes in de richting van 'systeem update, controlleer op deze pagina of uw gegevens nog kloppen', deze ontvang ik van vier banken, alle vier niet de bank waar ik zit :p
Wel elke keer braaf melden bij valse-email@banknaam.nl, en dan zie je dat de site een uur of twee later offline is.
Dat melden ben ik maar mee gestopt toen ik de meldingen retour kreeg omdat ze door hun spamfilters geblokkeerd werden
...hoewel het vooral gaat om weinig gevoelige gegevens...
Dat is maar net hoe je het bekijkt. Ik vind het nogal wat als je van al die mensen hun volledige naam, adresgegevens, telefoonnummer en e-mailadres hebt. Ja, een bank heeft veel gevoeligere gegevens in zijn systeem staan zoals rekeningnummers, saldo en mogelijk zelfs wachtwoorden van accounts. Maar als je dezelfde data buit zou maken bij een hack op bijvoorbeeld Bol.com dan had waarschijnlijk niemand gezegd dat het om weinig gevoelige gegevens gaat. Er is een enorme hoeveelheid persoonlijke gegevens gestolen, maar dat is niet erg want er waren nog veel belangrijkere gegevens die niet zijn gestolen?!
Ook een gevoelig gegeven, zeker in combinatie met de genoemde gegevens, is dat deze mensen dus klant zijn bij JP Morgan. Dat opent zoveel deuren voor wat betreft sturen van gerichtte phishing mails, of zelfs echte post en telefoontjes.
En met 76 miljoen particulieren, bestrijk je inderdaad ongeveer een kwart van de Amerikaanse bevolking.
het vooral gaat om weinig gevoelige gegevens als naam, e-mailadres en telefoonnummers.

Daar kan men heel veel mee, al is het alleen al om meer gegevens op te vragen en de controle vragen zijn dan direct te beantwoorden.
met het gemiddelde wat je op internet kan vinden over iemand kan je bijna alle controle vragen toch al beantwoorden..
Het gaat om een bak met data wat deze hacker te koop kan aanbieden, dat kan men niet per persoon zoeken op internet om dit in detail te vinden op deze schaal. Daarnaast heeft een bank de meest recente gegevens, dat kan niet gezegd worden over gegevens die op internet te vinden zijn.
Lekker offtopic: maar de stagiair heeft met photoshop mogen spelen?

On: best ernstig, ondanks dat het " slechts" om naam, emailadres en telefoonnummers gaat. Als je die emailadressen bijvoorbeeld zou koppelenen aan de database van gestolen gegevens bij die hack bij Adobe, zou je volgens mij redelijk wat interessante combinaties kunnen vinden.
Lekker offtopic: maar de stagiair heeft met photoshop mogen spelen?
Waarschijnlijk is de foto al een paar jaar oud, hij staat ook in een tweakers review uit 2011 (even er vanuit gaande dat de review niet recent gewijzigd is).

edit: Ik zie dat hij nu is weggehaald uit dit nieuwsartikel.

edit2: Waarom -1? Iets naar beneden zegt biglia hetzelfde en die krijgt gewoon 0 zoals het hoort (al zijn er (waarschijnlijk dezelfde) twee zuurpruimen die ook hem/haar een -1 geven).

[Reactie gewijzigd door Bonez0r op 3 oktober 2014 11:35]

Zelfs als het maar contact informatie is kunnen ze nu genoeg mensen lastig vallen.
Ik snap ook niet een bank die gegevens niet zo heeft beveiligt als de rekening nummers en toebehorende
Je kan er de donder op zeggen dat er grootschalige phishing aanvallen op deze rekeninghouders afgevuurd gaan worden.
En reken maar dat telefoon van die JP Morgen klanten vaker zal afgaan dan ze gewend waren, niet dat ze dan gebeld worden door vrienden of bekenden, maar door verkopers die ze telefonisch van alles en nog wat proberen aan te smeren. De zogenaamde telefonische colportage.
Offtopic: Maar wat is die foto irritant zeg, vooral bij het scrollen. :/

[Reactie gewijzigd door tomaszcs op 3 oktober 2014 11:05]

En ook totaal overbodig bij het nieuws bericht.
Het is er eentje uit het archief: reviews: Een datalek: wat nu? . Ik wist dat die foto me bekend voorkwam.
Hoeveel mensen zouden deze informatie of een groot gedeelte hiervan al niet Facebook, LinkedIn, Googel+ of andere netwerk-sites hebben staan?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True