4 vragen aan LiteBit over hack: 7 Bitcoin (BTC) aan losgeld geëist
De Nederlandse broker LiteBit is getroffen door een hack. Buitenstaanders verkregen toegang tot gegevens van hun klanten. De vermoedelijke aanvallers eisen 7 bitcoin als losgeld, omgerekend ~210.000 euro. Het gaat om oude klantendata, die vóór december 2019 zijn geregistreerd door het bedrijf.
Financiële dienstverleners moeten in Nederland veel gegevens van hun klanten opslaan. Dat doen ze voor hun eigen administratie, maar ook om aan de landelijke regels te voldoen. Er vinden jaarlijkse meerdere grote datalekken plaats, gegevens van klanten komen op straat te liggen. Vier vragen aan LiteBit over dit ongelukkige voorval.
1. Welke data is er gestolen?
LiteBit: ”Het gaat om naam, email, telefoon en IBAN-nummer.”
De criminelen hebben toegang verkregen tot (waarschijnlijk) een oude database. Volgens LiteBit eist de dader 7 bitcoin. Komt het bedrijf niet over de brug met de zak met geld? Dan dreigt de crimineel alle gegevens openbaar te maken en door te verkopen op het dark web bijvoorbeeld.
De cryptovaluta die LiteBit voor de klanten beheert én andere gevoelige gegevens zoals wachtwoorden en ID-documenten hebben volgens het bedrijf uit Rotterdam nooit risico gelopen.
2. Hoeveel gebruikers zijn getroffen?
LiteBit: “Bij de bedreiging door de crimineel zat een sample van de buitgemaakte data van 224 personen. Aan de hand van die data hebben wij kunnen concluderen dat het gaat om gegevens van voor december 2019. Dit is ook wat de crimineel zelf heeft aangegeven.
Hij beweert de gegevens van 200k personen te hebben (dat weten wij dus niet zeker). Daarnaast zaten er enkel Nederlandse gebruikers in deze sample. Wij hebben de gebruikers die mogelijk bij dit data incident betrokken zijn, geïnformeerd en zij weten wat ze moeten doen.”
Het is dus onduidelijk hoeveel gegevens er zijn gelekt. Ook is het de vraag wat de hacker uiteindelijk gaat en wil doen met de data. Hou je email in de gaten als je klant bent bij LiteBit. LiteBit heeft ruim 1 miljoen geregistreerde accounts in Nederland en daarbuiten.
3. Hoe hebben de aanvallers binnen kunnen komen?
LiteBit: ”Er is nog een lopend onderzoek. Wij doen voortdurend veiligheidsupdates door de tijd heen. We weten met zekerheid dat het gaat om gegevens van vóór 2019. Onze data zien er vandaag heel anders uit dan het sample dat wij ontvingen. We zijn er dan ook zeker van dat dit probleem in ieder geval nu niet speelt.
Wij werken samen met gerenommeerde IT-beveiligingsbedrijven. Wij doen voortdurend veiligheidsupdates en we zijn er dan ook zeker van dat dit probleem in ieder geval nu niet speelt.”
4. Is bij de registratie bij de DNB geen assessment geweest van de security?
Nederlandse bitcoinbedrijven moeten zich sinds vorig jaar registreren bij toezichthouder De Nederlandsche Bank (DNB). LiteBit: ”Het gaat om data van ver voor de registratie en we hebben altijd focus op security. De DNB-registratie richt zich op de Wet ter voorkoming van witwassen en financieren van terrorisme Wwft.”