mboost-dp1

Citigroup

Bankhackere slap afsted med 14 millioner kroner

- Via Computerworld AU - , redigeret af Pernicious

Amerikanske Citigroup der under navnet Citi driver en af USA’s største banker, kunne tidligere på måneden fortælle, at hackere havde tilgået data for mere end 360.000 kreditkort tilknyttet banken.

På daværende tidspunkt havde man ikke overblik over hvad hackerne var sluppet afsted med, men nu lyder det, at forbryderne i alt har stjålet godt 14 millioner kroner fra 3.400 konti. Citi har desuden udtalt, at de berørte kunder vil få pengene erstattet.

Allerede den 10. maj fandt banken ud af at de var blevet angrebet, men først i begyndelsen af juni gav man kunderne besked. Når man medregner blandt andet erstatningerne og prisen for at udsende 360.000 nye kreditkort anslåes det, at angrebet koster Citigroup mere end 400 millioner kroner.

Hackerne loggede ind på bankens hjemmesides kundedel, hvorefter de med et bruteforce-angreb gættede kontinumre, der gav mulighed for at opfange private data.





Gå til bund
Gravatar #1 - Sofus99
27. jun. 2011 07:51
Hvordan kan man brute force sig til at gætte kortnumre, burde der ikke være en eller anden mekanisme der disabler adgang når frekvensen af datapakker og/eller ukorrekte numre der bliver sendt overstiger et eller andet nummer?
Gravatar #2 - Eniac
27. jun. 2011 07:51
Bruteforce på en hjemmeside?
Den skal da være rimelig ringe kodet hvis den tillader et utal af forsøg på logins over meget kort tid.
Så er login på min egen private hjemmeside bedre sikret mod BF end en stor international bank! Men mine feriebilleder har heller ikke godt af at slippe ud i offentligheden ;-)
Gravatar #3 - fidomuh
27. jun. 2011 07:54
#1

I en bank med mange millioner kunder, kan det vaere saerdeles svaert at tjekke login-forsoeg og matche med ip'er, specielt hvis hackerne koerer fra et botnet med *mange* IP'er :)

Men jo, det er en god start at have fail2ban :P
Gravatar #4 - RamboToBe
27. jun. 2011 08:22
Er det ikke her vi skal være glade for NemID?
Gravatar #5 - Montago.NET
27. jun. 2011 08:26
360.000 nye kreditkort anslåes det, at angrebet koster Citigroup mere end 400 millioner kroner.


1111 kr pr kreditkort... er de nutz ??!?

måske de skulle skifte leverandør af de plastikkort !
Gravatar #6 - Wraith
27. jun. 2011 08:30
Montago (5) skrev:
1111 kr pr kreditkort... er de nutz ??!?

måske de skulle skifte leverandør af de plastikkort !


"Blandt andet"
Gravatar #7 - majbom
27. jun. 2011 08:32
Montago (5) skrev:
1111 kr pr kreditkort... er de nutz ??!?

måske de skulle skifte leverandør af de plastikkort !


nu har de nok andre udgifter forbundet med denne lille happening udover fremstilling af nye kreditkort til kunderne ;)
Gravatar #8 - T_A
27. jun. 2011 08:34
#3
well kan ikke se det er meget mere besværlig fordi man er stor bank.
Jo det kan godt være man har mange login servers, men de burde altid kun have en intern server der holder øje med hvad konto lukket for formange forsøg.

Gravatar #9 - Slettet Bruger [2703104385]
27. jun. 2011 08:39
Woah...
Kan man stadig bruteforce idag? jeg troede da det var en at de første ting man tager højde for.

Gravatar #10 - Mnemonic
27. jun. 2011 08:39
"Allerede den 10. maj fandt banken ud af at de var blevet angrebet, men først i begyndelsen af juni gav man kunderne besked."

Det er sjovt at tænke på at folk fik ondt bagi da Sony var hele 3 dage om at informere deres brugere... ;)

Men det er de færreste der er klar over hvor mange dataindbrud der sker hele tiden.
Gravatar #11 - moulder666
27. jun. 2011 08:41
1111 kr pr kreditkort... er de nutz ??!?
måske de skulle skifte leverandør af de plastikkort !


Der står "medregnet erstatninger" - dvs. også det de hænger på ved diverse indsigelsessager - så hvis der i snit "kun" er misbrugt for ca. en tusse pr. kort er de vel relativt heldige?

P.S: Et slag på tasken med hensyn til de mere organiserede kriminelle fra min tid i indsigelsesafdelingen er, at de i snit nåede at misbruge kort for omkring 20-30.000 inden kortet blev spærret.
Gravatar #12 - bq
27. jun. 2011 08:54
Til sammenligning er LulzSec bare drengestreger, hvor dette er rigtige kriminelle.
Gravatar #13 - mfriis
27. jun. 2011 09:04
#12 Så du tror ikke der er brugt mere end 14 millioner kroner imellem alle de sites der er hacket på at rydde op efter det samt tabt indtjening og forringelse af "image"?

Om pengene er hugget, misbrugt eller bare "brugt" som følge af et angreb er vel ligemeget.
Gravatar #14 - Tingholm
27. jun. 2011 09:47
13: omkosningerne kan godt være det samme, men jeg vil give bq ret i at forbrydelsen ikke er nær så slem, når det ikke bare handler om at berige sig selv, men nærmere at udstille dårlig sikkerhed...
Gravatar #15 - moulder666
27. jun. 2011 09:54
Tilføjelse til #11 Kan man rate sig selv irrelevant? Der står jo klart og tydeligt i nyheden, at der kun er "stjålet" for 14 millioner.
:-) /facepalm
Gravatar #16 - FlameBait
27. jun. 2011 10:14
moulder666 (15) skrev:
Tilføjelse til #11 Kan man rate sig selv irrelevant? Der står jo klart og tydeligt i nyheden, at der kun er "stjålet" for 14 millioner.
:-) /facepalm


There you go :-)
Gravatar #17 - PraetorianGuard
27. jun. 2011 10:58
Der stod ligesom at de nakkede 14 millioner fra kundernes kort. Ergo er der 386 millioner tilbage at trykke kort for ;)
Gravatar #18 - matt1
27. jun. 2011 11:44
Hvordan kan de slippe af med pengene? De må da kunne spore hvor pengene er blevet sendt hen, og derfra finde bagmændene.
Gravatar #19 - PraetorianGuard
27. jun. 2011 11:53
Visse lande sammenarbejder jo ikke med resten :P. De kan jo have sendt pengene til Sweitz eller Zurich osv og så er der ligesom ikke rigtigt ret meget at gøre.
Gravatar #20 - RMJ
27. jun. 2011 12:27
Man lærer at gøre sådanne ting her i Uplink.

De må være rimelig gode, jeg har hacket en del banker og jeg bliver altid busted i uplink dammit :S
Gravatar #21 - Mnc
27. jun. 2011 12:30
RMJ (20) skrev:
De må være rimelig gode, jeg har angrebet en del banker og jeg fejler altid
FYP.
Gravatar #22 - nyhjem
27. jun. 2011 12:50
matt1 (18) skrev:
Hvordan kan de slippe af med pengene? De må da kunne spore hvor pengene er blevet sendt hen, og derfra finde bagmændene.

De hvidvasker dem jo nok :)
De køber en masse vare på nettet, og sender til f.eks. godtroende danskere for ompakning. Kontant på DR1 havde et indslag om dette for noget tid siden.
En anden fin mulighed er at købe produkter i deres egen webshop. F.eks ubrugelige piller eller andet.

Ved kreditkort misbrug er det banken der hænger på erstatningsansvaret, så en webshop får lov at beholde pengene, og nu er de så lovlige, og kan bruges til at købe store biler for og den slags.. :)
Gravatar #23 - ruNury
27. jun. 2011 15:16
Tingholm (14) skrev:
13: omkosningerne kan godt være det samme, men jeg vil give bq ret i at forbrydelsen ikke er nær så slem, når det ikke bare handler om at berige sig selv, men nærmere at udstille dårlig sikkerhed...


Ahhh, jeg vil så mene at berige sig selv da har et klart formål, mens lulzsec bare vil have opmærksomhed - udstille sikkerhedshuller my ass! Pest eller kolera som man siger.
Gravatar #24 - arne_v
27. jun. 2011 16:39
#cost

Den anslåede pris på 77 M$ kommer ikke fra Citibank men er er en gennemsnitspris udregnet af et andet firma.

Det kan meget vel inkludere gratis monitorering imod identitetstyveri for de berørte i flere år.

Dette er ikke relevant i dette tilfælde, da der ikke er lækket DOB, SSN etc. oplysninger (ifølge citibank selv, men indtil videre må vi jo stole på det).
Gravatar #25 - lordsasa
27. jun. 2011 17:18
Det er vildt nok...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login