Alle seinen op rood na hack TfL

TfL, het Londonse openbaarvervoersbedrijf met de iconische rode bussen, is gehackt en wat tot nu toe bekend is doet vrezen voor klanten en personeel. Het is met name een spoedmaatregel die alle seinen op rood zet. london busHet begon, zoals zo vaak, de meldingen op de socials dat er iets aan de hand was met Transport for London (TfL). Klanten waren benaderd door het bedrijf met de melding dat hun bankgegevens mogelijk waren gelekt. Dat lek zelf was niet opgevallen. Wel was kort daarvoor de online omgeving van het vervoersbedrijf slecht bereikbaar. Een hack na een cyberaanval – daar leek het op. Maar er was echt wel meer aan de hand. Het bedrijf heeft iets dat lijkt op de OV chip. Er is dus een behoorlijke hoeveelheid data van alle reizigers voorhanden. Daarom werd de vraag gesteld waarom van slechts 5.000 klanten de data was gelekt. Was de hack en het lek zo snel afgeweerd en gedicht? De arrestatie van een 17 jarige puber deed dat vermoeden. Snel opgepakt, dus een aanval die makkelijke te traceren is geweest.

30.000 resets

Als dat het verhaal was, dat was dit artikel niet verschenen. Donderdag lekte op de socials interne berichtgeving van TfL aan de medewerkers door. Van alle 30.000 personeelsleden is het wachtwoord gereset. Niemand kan meer online. Om weer toegang te krijgen moet van elke medewerker de identiteit worden vastgesteld. Dat kan niet online gebeuren, iedereen moet met een geldig ID bewijs naar kantoor komen.

“Low tech”

Het is deze melding die alle seinen op rood zet. Het is de tweede keer in evenzoveel maanden dat een low tech “cyberaanval” op een bedrijf tot deze drastische spoedmaatregel leidt. TfL heeft in het interne bericht bevestigd dat gegevens van het personeel zijn gelekt. Dit doet dus vermoeden dat men vreest dat door de aanval het klonen van personeel ID’s is geworden. Met een gekloond ID kan nu of later het systeem worden benaderd en gemanipuleerd. Door hard aan de noodrem te trekken en ieder account opnieuw te verifiëren wordt van alle gekloonde accounts de nek omgedraaid. TfL heeft dus genoeg redenen aan te nemen dat dit soort accounts bestaat. Met dit soort accounts zijn dus ook de betaalgegevens van 5.000 klanten bekeken.

Social Engineering

Er zijn signalen dat de aanval zelf amper iets met cyber te maken heeft. De “groep” Scattered Spider doet namelijk niets meer dan social engineering. Men belt de helpdesk van een bedrijf op, doet zich voor als een medewerker die niet meer kan inloggen. De criminelen doen zich uiteraard niet voor als de jongste bediende, want dat levert te weinig bevoegdheden op. Gelet op meldingen van TfL zijn de aanvallers er in geslaagd de ID van een of meer personen te bemachtigen of klonen die betalingen aan klanten mogen verrichten.

Helpdesk als zwakste schakel

Cyberaanvallen, zerodays, geheime diensten, niets van dat alles. Wederom wijst alles op criminelen met een snelle babbel die (kortstondig) konden profiteren van menselijke fouten, een helpdesker wil immers zijn “collega’s” graag verder helpen. Support als zwakste schakel – dat moet elke IT beheerder en MSP’er zich aantrekken. (nog niet alles is helder, maar de contouren van deze aanval zijn dat wel. We wachten nog op informatie over het aanwezig en verplicht zijn van MFA)
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein