De BBC heeft 22.000 computers gekraakt om aan te tonen hoe onveilig internet is en hoe eenvoudig het is voor cybercriminelen om hun slag te slaan. De redactie van het technologieprogramma Click gebruikte hacksoftware om een netwerk van 22.000 gekaapte computers, een zogeheten botnet, te vormen.

De BBC zegt dat de redactie geen persoonlijke informatie op de gekraakte pc’s heeft ingezien. Omdat de Britse publieke omroep niet van plan was om een misdaad te plegen, is de hackactie volgens de BBC niet strafbaar.

Click gebruikte het botnet om spam te versturen naar twee eigen e-mailadressen. Daarna voerde het netwerk een Distributed Denial of Service (DDoS) aanval uit op een computerbeveiligingsbedrijf. De aanval, die websites kan uitschakelen, was vantevoren afgesproken. Er waren volgens de BBC slechts 60 pc’s in het netwerk nodig om de site van het bedrijf offline te brengen.

Click heeft het botnet weer onklaar gemaakt.

(Foto van Mike Fleming)

De chief security officer (cso) van de Verenigde Staten is opgestapt vanwege een machtsstrijd met de NSA. Wired wist de hand te leggen op zijn ontslagbrief (pdf). Directeur Rod Beckström van het National Cybersecurity Center (NCSC) heeft geen zin om nog langer ruzie te maken met de National Secority Agency (NSA). In zijn ontslagbrief zegt Beckström dat het NCSC officieel de baas is over de digitale beveiliging van de Verenigde Staten, maar dat in de praktijk de NSA de  macht heeft. Beckström verwijt het ministerie van Homeland Security, waaronder het NCSC valt, ook te weinig budget te hebben gekregen. In een interview met Forbes legt Beckström het verschil in inzicht tussen beide organisaties zo uit: “In intelligence environments like the NSA, you seek out and gather information, and then you classify it. It’s the opposite of collaboration.”

Betalingenverwerker Heartland Payment Systems is gekraakt. Dat maakte Heartland gisteren zelf bekend. Het bedrijf verwerkt 100 miljoen creditcard-betalingen per week. Het lek bij Heartland Payment Systems is mogelijk de oorzaak van het grote aantal gevallen van creditcardfraude in december. Het gaat misschien om het grootste creditcardfraude-incident ooit, schrijft The Washington Post.

De oorzaak van de fraude is een kwaadaardig programma (malware), dat is geïnstalleerd in het netwerk dat de betalingen verwerkt. Heartland zegt niet te weten hoe de software daar terecht is gekomen.

(Foto van popstencil)

In Duitsland is weer persoonlijke informatie over rekeninghouders uitgelekt. Deze keer gaat het om een lek bij de Landesbank Berlin. Er zijn echter niet alleen gegevens van klanten van de LBB uitgelekt, maar ook van klanten van andere banken. Uitgelekt zijn voor- en achternamen van klanten, adressen, nummers van creditcards en bankrekeningen en details over betaaltransacties. De gegevens werden bij de redactie van de Frankfurter Rundschau bezorgd. De Landesbank Berlin zegt in een verklaring dat de gegevens gestolen zijn van een koerier die van een dataverwerkingsbedrijf op weg was naar de bank. De bank zegt een hoge standaard te hebben voor de omgang met gevoelige gegevens van klanten, maar de data waren niet versleuteld.

De redactie van het Duitse tijdschrift Wirtschaftswoche kreeg onlangs het aanbod om persoonlijke gegevens (namen, adressen, rekeningnummers) van 21 miljoen Duitse bankklanten te kopen.

In Nederland heeft de Postbank bekend gemaakt dat tientallen klanten van de bank het slachtoffer zijn geworden van phishing (internetfraude). Er is 211.000 euro gestolen. De Postbank heeft besloten het gestolen geld terug te betalen omdat de klanten niets te verwijten valt.

(Foto van Solar Ikon)

De redactie van het Duitse tijdschrift Wirtschaftswoche kreeg onlangs de persoonlijke gegevens (namen, adressen, rekeningnummers) van 21 miljoen Duitse bankklanten aangeboden. De prijs is 12 miljoen euro, 55 cent per dataset. In totaal heeft de criminele webeconomie, de handel in gestolen informatie en frauduleuze online diensten, een waarde van 219 miljoen dollar. Dat schrijft beveiligingsbedrijf Symantec in het Report on the Underground Economy. Symantec heeft onderzoek gedaan naar online handelplaatsen waar gestolen bankrekening- en creditcardnummers worden verkocht. Van de bijna 70.000 individuele aaanbieders was de top tien volgens het rapport goed voor 12,9 miljoen euro aan creditcardgegevens en 1,6 miljoen euro aan bankrekeningen. Gestolen creditcardnummers maken 31 procent van het totale aanbod van illegaal verkregen data. Een gestolen creditcardnummer is acht eurocent tot twintig euro waard.

De Duitse bankgegevens zijn overigens niet uitgelekt via gaten in de techniek, maar via ‘lekke’ callcenter medewerkers, die de data verkochten aan illegale informatiehandelaren.

(Foto van d70focus)

Zembla besteedt vanavond aandacht aan het gemak waarmee je aan gestolen privégegevens kunt komen. In de uitzending wordt getoond hoe gegevens van Nederlandse creditcardhouders te koop worden aangeboden door Russische criminelen. Voor vijf dollar kreeg de redactie de naam, het huisadres, het e-mail adres, het telefoonnummer en het creditcardnummer van een creditcardhouder in handen. Zembla plaatst ook online bestellingen en laat de producten afleveren op het adres van de creditcardhouder en op andere adressen. Het openbaar ministerie was volgens Zembla niet op de hoogte van deze vorm van datahandel (misschien nog wel schokkender dan het misdrijf op zich). In de uitzending zeggen officier van justitie Fred Speijers en Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens (CBP), dat banken en creditcardmaatschappijen zouden verplicht moeten worden diefstal van persoonsgegevens aan hun klanten te melden.

In de Verenigde Staten hebben criminelen de medische dossiers van miljoenen mensen gestolen. Dat meldt de New York Times. De patiëntengegevens waren in handen van het bedrijf Express Scripts, dat fungeert als tussenpersoon voor zorgverzekeraars inzake medicijneninkoop en -verstrekking. Express Scripts wordt nu afgeperst door de crackers. Als het bedrijf niet betaalt, maken de dieven de gegevens (het gaat om naam- en adresgegevens, geboortedata, sofinummers en medische gegevens) openbaar. Express Scripts heeft de FBI ingeschakeld.

Het openbaar worden van privégegevens levert niet alleen privacy- en frauderisico’s op. In augustus werd bekend dat Amerikaanse verzekeraars gegevens van patiënten kopen. Ze gebruiken deze gegevens, afkomstig uit commerciële databases die worden gevuld door bijvoorbeeld laboratoria, om te bepalen welk risico een aanvrager vormt. In een land waar ziektekostenverzekeringen toch al erg duur en ontoegankelijk zijn, kan de handel in medische gegevens een extra drempel opwerpen voor het afsluiten van een verzekering.

(Afbeelding van d70)

Webwereld had vanmorgen een mooie primeur over een gat in het TAN-codesysteem van de Postbank. De bank had alert gereageerd op het nieuws en na een gesprek met Webwereld de TAN-codelijn gesloten. Blijkbaar waren niet alle medewerkers en ingehuurde krachten die voor de Postbank werken op de hoogte van het lek en het besluit van de bank om de TAN-codelijn te sluiten. Klanten die de Postbank belden met vragen over de veiligheid van TAN-codes kregen verkeerde informatie, meldt Webwereld in een follow-up.

(Foto van Thomas van de Weerd)

De Postbank heeft een lek in het TAN-codesysteem gedicht. Een lezer van internetmagazine Webwereld ontdekte onlangs dat het TAN-codesysteem te misleiden was. TAN staat voor Transactie Autorisatie Nummer en is een eenmalige beveiligingscode. Via Caller ID spoofing was het mogelijk om het telefoonnummer van een bankklant na te doen en zo in handen te komen van een TAN-code. Bij de TAN-codelijn (0800-TANINFO) van de Postbank, waar klanten telefonisch een code konden opvragen voor een overboeking, werd alleen de Caller ID gecontroleerd via nummerherkenning. Met belsoftware kan een willekeurig telefoonnummer opgegeven worden. De Postbank heeft de TAN-codelijn afgelopen vrijdag gesloten. Nu is het niet meer mogelijk om via Caller ID spoofing onrechtmatig een TAN-code te verkrijgen.

(Foto van Beau Maes)

Groot-Brittannië wil een leidende rol spelen in een internationaal sociaal netwerk voor officieren van justitie die zich bezighouden met het vervolgen van cybercriminaliteit. Dat meldt Information World Review. Het Global Prosecutors’ E-Crime Network (GPEN) is ontwikkeld door het Britse openbaar ministerie en de International Association of Prosecutors. Het netwerk is onder meer bedoeld voor het delen van kennis en het volgen van virtuele trainingen. Een van de problemen waar officieren van justitie tegenaan lopen bij de vervolging van cybercrime is gebrek aan kennis bij rechters en juryleden. De officieren moeten leren om ingewikkelde technische materie beter aan leken uit te leggen. De Raad van Europa en Eurojust ondersteunen het project. Het is de bedoeling dat ook officieren van justitie uit andere landen die cybercrime als specialisatie hebben lid worden van het netwerk.

(Foto van Steve Punter)

Crackers die het hebben voorzien op Amerikaanse bankrekeningen willen  misbruik maken van de afrekensystemen van supermarkten in Groot-Brittannië. De aanstaande dieven zijn volgens de BBC van plan om nep creditcards te gebruiken bij de zelfbedieningskassa’s in winkels om bedragen te laten afschrijven van echte bankrekeningen in de Verenigde Staten. Volgens de BBC zeggen de crackers te beschikken over details van Amerikaanse rekeninghouders die zijn verkregen door het aftappen van telefoonlijnen tussen geldautomaten en banken. De bankgegevens worden op de magnetische strips van credit cards gekopieerd.

(Foto van Jay Gooby)