The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)
Een hacker die vorig jaar al werd aangeklaagd wegens de creditcarddiefstal bij TJX, was ook betrokken bij de aanval op Heartland Payment System, in totaal maakte hij zo'n 230 miljoen creditcardnummers buit. Bij TJX ging het om de gegevens van 94 miljoen kaarthouders, bij Heartland waren het er meer dan 130 miljoen. Ook sloeg Albert “Segvec” Gonzalez toe bij supermarktketen Hannaford en restaurantketen Dave & Busters. De hacker is samen met twee niet nader genoemde Russische handlangers aangeklaagd voor de aanval op Heartland, wat nu te boek staat als de grootste creditcardroof in de geschiedenis. Daarnaast houdt men rekening dat hij bij meerdere aanvallen is betrokken. "We kennen niet veel hackers die in staat zijn dit te doen, maar voornamelijk een selecte groep, wat laat zien dat deze hacks vrij complex zijn", aldus Erez Liebermann, van het Amerikaanse Ministerie van Justitie.

Eenvoudig
Volgens beveiligingsexperts Robert Graham is er niets complex aan SQL-injectie. "Het is extreem eenvoudig. Een miljoen tiener-hackers over de hele wereld weten hoe ze via SQL-injectie in een website kunnen inbreken." Graham is van mening dat SQL-injectie zoveel voorkomt omdat de programmeurs van de website denken dat het alleen een "theoretisch" lek is. Iedereen met gemiddelde hacking skills kan dit uitvoeren, aldus de expert. "Omdat deze programmeurs niet in het probleem geloven, komt SQL-injectie nog zoveel voor."

SQL-injectie
De 28-jarige Gonzalez en een handlanger genaamd "P.T." vonden hun slachtoffers op een lijst met Fortune 500 bedrijven. Vervolgens verkenden ze de gebruikte betalingssystemen en zochten naar beveiligingslekken. Computers in Nederland, Letland, Oekraïne en Verenigde Staten werden gebruikt voor het opslaan van de malware, het uitvoeren van de aanvallen en het ontvangen van de gestolen creditcardnummers. Via SQL-injectie aanvallen wisten de aanvallers toegang tot het netwerk te krijgen. Daar plaatsten ze de malware die niet alleen de aanwezige virusscanners omzeilde, maar ook zichzelf kon verwijderen.

Het werkelijke aantal gestolen creditcardnummers ligt waarschijnlijk veel hoger, aangezien twee getroffen ketens een aanval op hun netwerk stil hielden. De financiële schade loopt in de tientallen miljoenen. Opmerkelijk detail is dat Gonzalez ten tijde van de aanvallen als informant voor de Secret Service werkte. Gonzalez hangt een maximale gevangenisstraf van 25 jaar boven het hoofd.


Copyright © 2022. All Rights Reserved.