Gestolen data niet afkomstig van Mastercard of Visa

AMSTERDAM - De gestolen creditcardgegevens die dinsdag gepubliceerd werden, zijn vermoedelijk niet afkomstig van Visa of Mastercard.

Foto:  ANP

Dat blijkt uit onderzoek van Henriëtte van het Genootschap van Hackende Huisvrouwen, die de data samen met NU.nl analyseerde. Henriëtte wil niet dat haar achternaam gepubliceerd wordt.

Op Twitter erkent hacker Reckz0r inmiddels dat hij inderdaad Mastercard en Visa niet gehackt heeft. Hij beweert inmiddels 69 banken digitaal te hebben gekraakt, waaronder de Amerikaanse bank Chase. Voor deze bewering heeft hij echter geen ondersteunend bewijs geleverd.

Oude gegevens

Reckz0r publiceerde dinsdagochtend een lijst van 113 pagina’s waarvan in eerste instantie gezegd werd dat de gegevens afkomstig waren van de creditcardmaatschappijen.

Tweakers.net meldt dat de gepubliceerde informatie eerder al openbaar is gemaakt op een Palestijns hackersforum. Dit komt overeen met het beeld dat ook uit onderzoek van Henriëtte en NU.nl blijkt, omdat sporen van de creditcardgegevens leiden naar een Israëlische hostingprovider. Echter is dat nog altijd niet bevestigd.

Onderzoek

Uit het onderzoek blijkt verder dat er in de lijst 11 klanten van de Amerikaanse financiële dienstverlener American Express staan. Deze gegevens hebben Visa en Mastercard niet tot hun beschikking.

Een ander opvallend detail is de samenstelling van de gegevens, die atypisch is voor de manier waarop creditcardmaatschappijen gegevens beheren. De data hebben de kenmerken van een betaaladministratie van een website.

Zo zitten er de nodige typefouten in de adresgegevens, komen sommige klanten meervoudig in de lijst voor met verschillen in schrijfwijze van persoonsgegevens en is de samenstelling van klanten heel divers. Henriëtte concludeert dat het waarschijnlijk is dat een winkel of dienstverlener gehackt is.

Oorzaak

Bij welk bedrijf de data precies buitgemaakt zijn, blijkt lastig te achterhalen. Er zijn aanwijzingen dat een internetprovider gehackt is, maar die zijn onvoldoende hard om daar nu al conclusies aan te verbinden.

De hacker claimt creditcardnummers te hebben buitgemaakt, maar publiceerde alleen adresgegevens en het type creditcard. De nummers zelf zijn niet gepubliceerd om 'onschuldigen' te beschermen.

Webwinkels moeten voldoen aan de PCI-standaard die expliciet verbiedt om creditcardnummers leesbaar op te slaan. In de praktijk blijkt bij datalekken dat veel aanbieders wel degelijk de creditcardnummers bewaren.

Pornosite

In een andere tweet stelt Reckz0r de premium accounts van een pornosite Brazzers in bezit te hebben. Of dit klopt is nog niet bevestigd, maar opvallend is dat de lijst in onderdelen op internet is gezet.