3 februari 2014 16:00

Aanval op Orange maakt 800.000 slachtoffers

Een aanval op de Franse website van telecombedrijf Orange heeft gegevens over drie procent van de klanten blootgelegd.

Hackers hebben zich toegang weten te verschaffen tot de gegevens van drie procent van alle Orange-klanten in Frankrijk. Dat maakt het telecombedrijf zelf bekend.

De boeven braken in via de My Account-pagina op de website orange.fr. De aanval vond waarschijnlijk plaats op 16 januari en heeft zo’n achthonderdduizend mensen geraakt.

[related_article id=”161920″]

Volgens Orange is My Account meteen gesloten toen de hack werd ontdekt en hebben technische maatregelen de aanval verder afgeweerd, zo laat het bedrijf weten in een verklaring aan ZDNet.

Wachtwoorden van klanten zijn niet geraakt en “kunnen niet gebruikt worden”, zegt Orange. Waaruit we afleiden dat deze versleuteld zijn. Desondanks hebben de hackers voldoende gegevens bemachtigd voor een grootschalige phishing-aanval in Frankrijk. Ze hebben toegang gekregen tot de namen van de klanten, hun e-mailadressen, postadressen, telefoonnummers en klanten-ID’s. Die laatste waren volgens Orange ook “gemaskerd”.

“Dit soort diefstal is vooral bedoeld om phishingaanvallen te voeden”, zegt de Orange-woordvoerder. Dit betekent dat er uiteindelijk jacht wordt gemaakt op persoonlijke financiële gegevens via e-mail. “We vragen onze klanten om op hun hoede te blijven en nooit persoonlijke gegevens af te staan via e-mail, of op onbetrouwbare links in hun mail te klikken.”

Orange zegt dat het alle betrokken klanten op de hoogte brengt, zij hoeven zelf verder geen actie te ondernemen. De operator verklapt echter niet hoe de aanval precies heeft plaatsgevonden. In dit soort gevallen gaat het meestal om SQL-injectie, cross-site scripting of een kapotte authenticatiefunctie.

Voor Europese telecombedrijven geldt sinds vorig jaar dat zij zulke inbraken binnen 24 uur na de ontdekking ervan moeten rapporteren aan hun nationale overheid.