Datalek bij hotelketen MGM trof 142 miljoen mensen in plaats van 10 miljoen

Bij de hack op de hotelketen MGM vorig jaar zijn 142,5 miljoen personen getroffen. Dat is veel meer dan de 10,6 miljoen waarover de hotelketen het eerder zelf had. Er zijn namen, adressen, telefoonnummers en geboortedatums gestolen bij de hack.

Bij het datalek zijn de gegevens van 142.479.937 personen gestolen. Dat gebeurde in de zomer van 2019, toen hackers inbraken op de een server van een van de hotels in de keten. MGM is eigenaar van een reeks hotels in onder andere Las Vegas. MGM benaderde toen al een deel van de slachtoffers.

Aanvankelijk werd gedacht dat er 10,6 miljoen klanten slachtoffer waren, waaronder zo'n 10.000 Nederlanders. Nu blijkt dat het om veel meer slachtoffers gaat. ZDNet ontdekte op een hackersforum dat er gegevens van 142 miljoen klanten werd aangeboden. De database is daar te koop voor 2900 dollar, omgerekend zo'n 2500 euro.

In de database staan namen, adressen, telefoonnummers en geboortedatums van klanten. Volgens MGM is er geen rekeninginformatie buitgemaakt. Ook creditcardgegevens en wachtwoorden zijn volgens de hotelketen niet in handen van de hackers.

De hackers zeggen op het forum dat de data afkomstig is van Data Viper, een dienst die datalekken indexeert. Die dienst werd vorige week zelf gehackt, maar een woordvoerder van Data Viper zegt dat het bedrijf niets met het MGM-lek te maken heeft. Data Viper zou geen database van MGM in handen hebben. Het is onbekend hoe de hacker dan aan de informatie zou zijn gekomen.

MGM-accounts
Afbeelding: ZDNet

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 14-07-2020 17:1243

14-07-2020 • 17:12

43 Linkedin Whatsapp

Lees meer

Holland America Line waarschuwt voor datalek met paspoortgegevens
Holland America Line waarschuwt voor datalek met paspoortgegevens Nieuws van 18 juni 2021
Gerucht: Amazon wil filmbedrijf MGM overnemen voor 9 miljard dollar
Gerucht: Amazon wil filmbedrijf MGM overnemen voor 9 miljard dollar Nieuws van 18 mei 2021
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk Nieuws van 9 november 2020
E-bikeverkoper Amslod waarschuwt klanten voor datalek bij extern callcenter
E-bikeverkoper Amslod waarschuwt klanten voor datalek bij extern callcenter Nieuws van 12 augustus 2020
'Datalek hotelketen MGM treft 9800 Nederlanders'
'Datalek hotelketen MGM treft 9800 Nederlanders' Nieuws van 21 februari 2020
Gegevens 10,6 miljoen klanten Amerikaanse hotelketen MGM verschijnen op forum
Gegevens 10,6 miljoen klanten Amerikaanse hotelketen MGM verschijnen op forum Nieuws van 20 februari 2020
Meer producten en artikelen
Beveiliging en antivirus Datalek Hack Hackers Verenigde staten

Reacties (41)

-Moderatie-faq
41
30
20
0
0
3
Wijzig sortering
Clubbtraxx
14 juli 2020 17:31
10 of 142 miljoen, joh dat is maar een marginaal verschilletje... Kortom nog een dikke boete naar MGM voor het bedonderen van de boel.
bbob
@Clubbtraxx14 juli 2020 18:08
Die boete kun je pas geven als je de data koopt, controleert op echtheid en of ze idd van mgm komt. Als dat zo is kan er idd een boete gegeven worden.
kodak
@Clubbtraxx14 juli 2020 18:38
Bedonderen wil zeggen dat iemand aan het bedriegen is. Je kan dat niet zomaar beweren omdat een ander achteraf meer gegevens online weet te vinden. Dat zegt namelijk niet dat het bedrijf wist dat er meer gegevens gestolen waren en bijvoorbeeld om te bedriegen een lager aantal noemde. Dus wat is dan je bewijs voor het bedonderen?
Buitensport
14 juli 2020 17:47
Ik vind het altijd zo stom dat bedrijven zoveel data houden, tot jaren na gebruik. Zelfs in mijn kleine bedrijfje flikker ik alles na het verlopen van wettelijke termijnen weg. Ik wil het niet, ik kan er niks mee, ik ga het ook niet herlezen voor napret ofzo, en als het uitlekt is het alleen maar meer gezeur.
kodak
@Buitensport14 juli 2020 19:15
Maar hoe relevant is dat in dit geval? MGM is geen klein bedrijf met een paar hotels. Ze hebben over de hele wereld hotels, resorts, entertainment voorzieningen en casino's. Die 13 miljard dollar in 2019 aan omzet komt waarschijnlijk niet om dat er weinig gasten zijn. Daarnaast doen dit soort Amerikaanse bedrijven vaak ook aan loyalty programma's waarin ze klanten voor vele jaren aan zich proberen te binden die wat langer duren dan bijvoorbeeld een wettelijke verplichting om bepaalde gegevens te bewaren.
Puffino
@kodak14 juli 2020 20:28
Wat héél goed de bron kan zijn inderdaad, en meteen verklaart waarom er geen creditcard gegevens bij zouden zitten.
twizzle
@Puffino15 juli 2020 00:17
Het is in de horeca branche altijd goed om te weten wat de voorkeuren van je gasten zijn.

Dat ene stelletje dat 25 jaar geleden voor hun trouwdag een bepaalde wijn gedronken heeft en nu 25 jaar later terug komt diezelfde wijn aanbieden is natuurlijk gewoon een leuke gestie om maar een voorbeeld te noemen.
SuperDre
@Buitensport14 juli 2020 23:12
Tja, is natuurlijk niets van te zeggen als je niet weet waarvoor ze de data gebruiken. Zelf ben ik juist ook meer van, waarom weggooien als het me toch geen ruimte kost en al te vaak gehad dat ik toch verder moest kijken dan het wettelijke termijn, wat overigens puur voor de financiele administratie geldt.
Dat JIJ het dus niet nodigt acht voor JOUW bedrijfsvoering, wil nog niet zeggen dat dat voor anderen ook geldt.
SinergyX
14 juli 2020 17:27
In de database staan namen, adressen, telefoonnummers en geboortedatums van klanten. Volgens MGM is er geen rekeninginformatie buitgemaakt. Ook creditcardgegevens en wachtwoorden zijn volgens de hotelketen niet in handen van de hackers
Creditcard kan je redelijk snel actie tegen ondernemen, plus deels gedekt, maar telefoonnummers en emailadressen kan je natuurlijk 10x meer mee, phising op gigantische schaal (social via WA), zelfs als er maar 0.01% bijt, heb je goeie 14.000 alsnog te pakken, doe dat voor zeg 100 euro de man, even 1,5 miljoen binnenharken met slechts 2500 investering.. aardig rendement :P
Zenomyscus
@SinergyX14 juli 2020 17:38
zelfs als er maar 0.01% bijt, heb je goeie 14.000 alsnog te pakken
Behalve dat je dan eerst 142 miljoen mensen hebt moeten benaderen... Daar gaat veel tijd in zitten. Los van:
- dubbele data
- data die niet meer klopt
- data afkomstig uit verschillende landen, dus je zult je scams mogelijk anders op moeten zetten
Etc
Yordi-
14 juli 2020 23:00
Valt zoiets gewoon onder heling als je zoiets koopt? Of zit dat anders?
SuperDre
@Yordi-14 juli 2020 23:14
Nope,in principe valt het daar gewoon onder. Er is ook niets legaal aan deze verkoop.
TheProf82
14 juli 2020 17:18
2900 dollar voor zoveel data. Bizar.
Het.Draakje
@TheProf8214 juli 2020 17:23
1 en/of 2 is waar.

1) Men zal het waarschijnlijk meerdere keren hopen te verkopen.
2) Het verzamelen was niet veel werk. Als het een uurtje kost dan is 2.500 euro een mooi tarief.
TheProf82
@Het.Draakje14 juli 2020 17:35
Beide zijn waar. Maar als je kijkt wat je kunt verdienen met zo'n dataset is het vreemd. Denk aan bijvoorbeeld phishing via SMS. Daar trappen zoveel mensen in...en met zo'n dataset lopen de miljoentjes wel binnen :). Goede investering...maar zwaar crimineel :-).
nXXt
@TheProf8214 juli 2020 18:00
Niet per se. Het geeft aan dat er verschillende specialismen zijn met verschillende vormen van risico. Als je wil gaan lopen phishen en via die weg de data wil omzetten in keiharde knaken, moet je ook werken met katvangers of constructies via Western Union. In potentie speel je jezelf dan veel meer in de kijker en het vereist andere expertise en natuurlijk investering in tijd en geld.

Het onrechtmatig verkrijgen van een dataset is gemakkelijker vanuit de schaduwen te doen. Als je die set dan (eventueel meermaals) kunt doorverkopen om je vervolgens op de volgende dataset te gaan richten, dan is dat best een interessant businessmodel.

Wat dat betreft houdt men zich redelijk aan de reguliere bedrijfseconomische regels.
SunnieNL
@TheProf8214 juli 2020 18:10
Zelfs voor targeted marketing is zo'n dataset miljoenen waard. Hoeft niet eens crimineel te zijn.
Stuur de hele set een aanbieding en je weet zeker dat er een miljoen mensen happen.
En als je een unsubscripe onderaan de mail zet ben je best OK bezig

(overigens kun je als crimineel die opt-out ook weer mooi gebruiken ter verificatie van de data. En ik gok er even op dat er ook emailadressen in stonden.. kan bijna niet anders)

[Reactie gewijzigd door SunnieNL op 14 juli 2020 18:10]

vickypollard
@SunnieNL14 juli 2020 19:59
Upload ook nog eens naar Facebook en Google voor extra $ met wat retargeting.
r_acker
@bbob15 juli 2020 00:33
De aanname die je doet dat Tweakers iets plaatst zonder de feiten te checken, is dat geverifieerd? Of plaats je een mening die dus geen ander doel kent dan onrust stoken? ;)
CH4OS
@bbob15 juli 2020 09:48
Het staat je vrij zelf de lijst te kopen en zelf de verificatie te doen, als je er zo mee zit? Daar zul je dan uiteindelijk (op Tweakers.net althans) ook goede moderaties voor krijgen en de waardering van vele Tweakers. ;)

[Reactie gewijzigd door CH4OS op 15 juli 2020 09:49]

MR501
@TheProf8214 juli 2020 17:23
Zou het bijna zelf willen kopen ;)
svennd
14 juli 2020 17:22
2500€ het is bijna om mee te lachen, hoeveel schade zou die hack gekost hebben voor mgm?
Odie
14 juli 2020 17:35
Zeg maar: iedereen die ooit eens op The Strip is geweest in de afgelopen 10 jaar, waaronder yours truly. Lekker dan...
theMob
14 juli 2020 17:37
Mijn huisarts draaide bijna mijn arm op mijn rug om me te bewegen 'nu eindelijk' toestemming te geven mijn medische data digitaal te laten uitwisselen door de zorgverleners, want ik had al drie keer het bij de apotheek uitgedeelde briefje niet ondertekend teruggestuurd. Nee, hij wist zeker dat de data absoluut veilig waren, daar hoefde ik me echt geen zorgen over te maken. _/-\o_
Cyclonic
14 juli 2020 17:58
Nou lekker in 2018 bij New York hotel op de strip geweest, die is ook van MGM. Dit jaar zaten we in de Wynn maar ging heel Vegas dicht door Corona bij Dag 1 bij aankomst, niet veel geluk dus in Vegas :+
SuperDre
14 juli 2020 17:44
Ze bieden het aan als 142 entries, wil nog niet zeggen dus dat het ook 142 miljoen unieke personen zijn.
Naast dus als je de tekst in de image leest gaat het ook over MGM Grand Hotels wat dus weer iets anders is dan MGM Resorts. Vraag natuurlijk is wel, is het ook legit, kan goed zijn dat die gewoon een dummy bestand heeft en zo extra hoopt te incasseren..
Admiral Freebee
@bbob14 juli 2020 19:57
Het is een valide punt om in vraag te stellen of het aantal wel klopt. Dat zou ook in het artikel mogen staan. Ik vermoed dat het daadwerkelijk kopen van de data een te grijze zone is en wellicht ook niet binnen het budget past.

Het is dan wel jammer dat je volgende zin het over riooljournalistiek heeft. Daarmee doe je naar mijn mening afbraak aan het nuttige deel van je reactie.
passantr
@bbob15 juli 2020 07:58
Zo te zien woon je in Amerika, dus het is je vergeven dat je niet weet wat riooljournalistiek betekent of dat je het niet op de juiste manier gebruikt.

Matige of slechte journalistiek zou een accuratere bewoording geweest zijn, denk ik.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee