Frauduleuze webeconomie bedraagt 219 miljoen euro

De redactie cybercrime_1.jpgvan het Duitse tijdschrift Wirtschaftswoche kreeg onlangs de persoonlijke gegevens (namen, adressen, rekeningnummers) van 21 miljoen Duitse bankklanten aangeboden. De prijs is 12 miljoen euro, 55 cent per dataset. In totaal heeft de criminele webeconomie, de handel in gestolen informatie en frauduleuze online diensten, een waarde van 219 miljoen dollar. Dat schrijft beveiligingsbedrijf Symantec in het Report on the Underground Economy. Symantec heeft onderzoek gedaan naar online handelplaatsen waar gestolen bankrekening- en creditcardnummers worden verkocht. Van de bijna 70.000 individuele aaanbieders was de top tien volgens het rapport goed voor 12,9 miljoen euro aan creditcardgegevens en 1,6 miljoen euro aan bankrekeningen. Gestolen creditcardnummers maken 31 procent van het totale aanbod van illegaal verkregen data. Een gestolen creditcardnummer is acht eurocent tot twintig euro waard.

De Duitse bankgegevens zijn overigens niet uitgelekt via gaten in de techniek, maar via ‘lekke’ callcenter medewerkers, die de data verkochten aan illegale informatiehandelaren.

(Foto van d70focus)

Postbank snapt eigen TAN-code probleem niet

Webwereld had postbank.jpgvanmorgen een mooie primeur over een gat in het TAN-codesysteem van de Postbank. De bank had alert gereageerd op het nieuws en na een gesprek met Webwereld de TAN-codelijn gesloten. Blijkbaar waren niet alle medewerkers en ingehuurde krachten die voor de Postbank werken op de hoogte van het lek en het besluit van de bank om de TAN-codelijn te sluiten. Klanten die de Postbank belden met vragen over de veiligheid van TAN-codes kregen verkeerde informatie, meldt Webwereld in een follow-up.

(Foto van Thomas van de Weerd)

TAN-codes Postbank waren onveilig

De Postbank gsm.jpgheeft een lek in het TAN-codesysteem gedicht. Een lezer van internetmagazine Webwereld ontdekte onlangs dat het TAN-codesysteem te misleiden was. TAN staat voor Transactie Autorisatie Nummer en is een eenmalige beveiligingscode. Via Caller ID spoofing was het mogelijk om het telefoonnummer van een bankklant na te doen en zo in handen te komen van een TAN-code. Bij de TAN-codelijn (0800-TANINFO) van de Postbank, waar klanten telefonisch een code konden opvragen voor een overboeking, werd alleen de Caller ID gecontroleerd via nummerherkenning. Met belsoftware kan een willekeurig telefoonnummer opgegeven worden. De Postbank heeft de TAN-codelijn afgelopen vrijdag gesloten. Nu is het niet meer mogelijk om via Caller ID spoofing onrechtmatig een TAN-code te verkrijgen.

(Foto van Beau Maes)

Zwak vlees in nieuwe Britse datablunder

Groot-Brittannië is shanghai.jpgweer een dataschandaal rijker. Een hoge medewerker van premier Gordon Brown heeft in januari zijn BlackBerry laten stelen. De man is volgens de Sunday Times in een val van de Chinese geheime dienst gelopen. De medewerker werd versierd door een Chinese vrouw in een disco in Shanghai. Ze gingen naar zijn hotel en de volgende dag ontdekte de man dat zijn BlackBerry was gestolen. Mensen blijven de zwakste schakel in de beveiligingsketen. Protocollen en technischebeveiligingsmaatregelen helpen niets als mensen irrationeel handelen. Webwereld meldt dat Amerikaanse inlichtingendiensten bang zijn dat Amerikaanse bezoekers van de Olympische Spelen de komende weken slachtoffer worden van cyberspionage.

(Foto van Thierry)

Universiteit mag artikel ov-chip publiceren

Prof. dr. busutrecht.jpgBart Jacobs van de Radboud Universiteit Nijmegen mag van de rechter zijn artikel over de Mifare Classic Chip, die wordt gebruikt in de ov-chipkaart, publiceren. De voorzieningenrechter in Arnhem heeft geoordeeld dat het publiceren van dit wetenschappelijk artikel valt onder de vrijheid van meningsuiting en dat er in een democratische samenleving grote belangen zijn gemoeid met het kunnen publiceren van de resultaten van wetenschappelijk onderzoek. “Daaraan kunnen slechts beperkingen worden gesteld indien daarvoor een dringende maatschappelijke noodzaak bestaat en alleen als die noodzaak overtuigend wordt aangetoond. Dat vergt een afweging van concrete belangen. Overwogen wordt dat er in een democratische samenleving grote belangen zijn gemoeid met het kunnen publiceren van de resultaten van wetenschappelijk onderzoek en het informeren van de samenleving over de ernstige manco’s die de chip blijkt te hebben zodat maatregelen kunnen worden genomen tegen de risico’s van het lek in de chip”, aldus de rechtbank in een persbericht. Het artikel wordt begin oktober gepubliceerd tijdens een wetenschappelijke conferentie in Malaga, Spanje. De producent van de chip, NXP, had een kort geding tegen de Radboud Universiteit aangespannen om de publicatie van het artikel te verbieden.

(Foto van Gen Gibson)

Kort geding wegens publicatie over OV-chip

Fabrikant NXP nijmegenstation.jpgvan de OV-chipkaart heeft een kort geding aangespannen tegen onderzoekers van de Radboud Universiteit Nijmegen vanwege een publicatie over de chip van de OV-chipkaart. In maart toonden onderzoekers van de Radboud Universiteit Nijmegen, onder leiding van prof. dr. Bart Jacobs, aan dat de Mifare Classic Chip zoals die wordt gebruikt in toegangspassen en de OV-chipkaart ernstige tekortkomingen vertoont. NXP wil dat de publicatie waarin deze gebreken worden beschreven wordt verboden. De zitting van vandaag vond plaats achter gesloten deuren. De uitspraak wordt uiterlijk maandag verwacht. De Radboud Universiteit zegt in een persbericht dat “de universiteit zorgvuldig gehandeld heeft. Een publicatieverbod brengt de academische vrijheid van onderzoek, waaronder de vrijheid van publicatie, in geding. Het is de wettelijke taak van een universiteit op onafhankelijke wijze onderzoek te doen en daarover te publiceren. Wetenschappelijk onderbouwde resultaten van onderzoek moeten vrij hun weg naar de samenleving kunnen vinden. Ook de resultaten van een onderzoek naar de digitale beveiliging. Het is een maatschappelijk belang dat aangetoonde kwetsbaarheden in beveiligingssystemen, zoals in de Mifare Classic Chip, verifieerbaar worden gepubliceerd. Zo kunnen passende maatregelen genomen worden en kan de beveiligingstechnologie zich verder ontwikkelen.”

Webwereld meldt dat de chip die voor de OV-chipkaart wordt gebruikt al enkele jaren geleden gekraakt en gekloond is. “Gedetailleerde kennis over de Mifare Classic Chip is al jaren te koop. Sinds 2004 zijn zelfs klonen op de markt”, aldus de internetnieuwssite.

(Foto van Bruce Turner)

Gemak dient de mens

Praktijkgevallen dieziekenhuis02.jpg onderzoek ondersteunen zijn altijd leuk. ‘Gemak dient de mens’, moeten de makers van de gezondheidsdatabank Vecozo gedacht hebben toen ze een kleine 80.000 mensen toegang gaven tot de namen, adressen, telefoonnummers en sofinummers van alle Nederlanders. (De naam Vecozo staat overigens voor VEilige COmmunicatie in de ZOrg.) De databank bevat ook geheime telefoonnummers en geheime adressen van bijvoorbeeld vrouwen die hun verblijfplaats geheim willen houden uit angst voor een gewelddadige ex-man. Naast persoonsgegevens bevat Vecozo ook de verzekeringsgegevens van patiënten. Een op de 200 Nederlanders heeft toegang tot de privégegevens van al zijn landgenoten, rekende hoogleraar computerbeveiliging Bart Jacobs uit in Trouw. Met de beveiligingsmethode van de gegevensbank is volgens Jacobs op zich niets mis, maar waarom zou je nog de moeite nemen om Vecozo te beveiligen als iedereen bij alle gegevens mag?

(Foto van Jako Jellema)