Ferrari meldt datalek met persoonsgegevens van klanten

Een hacker heeft persoonsgegevens zoals namen en adressen van Ferrari-klanten gestolen. Het bedrijf zegt te worden afgeperst, maar geen losgeld te gaan betalen. Volgens de autofabrikant hebben de hackers geen informatie over bestellingen gestolen.

Bij de aanval zijn persoonsgegevens als namen, adressen, e-mailadressen en telefoonnummers gestolen, zegt het bedrijf in een e-mail aan klanten. Betalingsgegevens zoals bankrekeningnummers zijn niet buitgemaakt. De aanvallers hebben ook geen bestellingsinformatie gestolen. Ze weten dus op basis van de buitgemaakte gegevens bijvoorbeeld niet wie welke Ferrari heeft gekocht.

Het is niet duidelijk of de hacker andere informatie heeft gestolen, zoals bedrijfsgeheimen. Ferrari zegt alleen dat de hackers toegang hadden tot 'een beperkt aantal systemen'. De Italiaanse autofabrikant werd door de hackers ingelicht over de aanval, waarbij om losgeld werd gevraagd. Ferrari zegt als beleid te hebben hier niet op in te gaan, 'omdat hackers zo verder kunnen gaan met meer hacks en het niets verandert aan de gestolen data'.

De autofabrikant zegt samen met externe beveiligingsonderzoekers de aanval te onderzoeken om zo toekomstige aanvallen te kunnen voorkomen en zegt het lek bij relevante autoriteiten te hebben gemeld. Het bedrijf zegt dat de aanval verder geen gevolgen heeft voor de bedrijfsvoering.

Door Hayte Hugo

Redacteur

Feedback • 21-03-2023 10:01
63 • submitter: H1MSELF1SH

21-03-2023 • 10:01

63 Linkedin Whatsapp

Submitter: H1MSELF1SH

Lees meer

Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten
Datalek moederbedrijf Vans en The North Face omvat gegevens 35,5 miljoen klanten Nieuws van 22 januari 2024
Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij
Vattenfall meldt datalek met 30.000 klanten met archief bij externe partij Nieuws van 12 april 2023
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken Nieuws van 28 maart 2023
Auto-onderdelenwebshop Autodoc waarschuwt klanten voor datalek
Auto-onderdelenwebshop Autodoc waarschuwt klanten voor datalek Nieuws van 23 augustus 2022
Ferrari wil dat 60 procent van zijn auto's hybride of elektrisch is tegen 2026
Ferrari wil dat 60 procent van zijn auto's hybride of elektrisch is tegen 2026 Nieuws van 16 juni 2022
Ferrari gaat eerste volledig elektrische auto in 2025 presenteren
Ferrari gaat eerste volledig elektrische auto in 2025 presenteren Nieuws van 16 april 2021
Gegevens van onbekend aantal Porsche-kopers is gestolen van usb-stick
Gegevens van onbekend aantal Porsche-kopers is gestolen van usb-stick Nieuws van 5 juni 2020
Hacker achterhaalt plaintext-wachtwoorden uit tweedehandscomputers van Tesla's
Hacker achterhaalt plaintext-wachtwoorden uit tweedehandscomputers van Tesla's Nieuws van 4 mei 2020
Gegevens 20.000 autokopers waren in te zien door lek bij kredietverstrekker
Gegevens 20.000 autokopers waren in te zien door lek bij kredietverstrekker Nieuws van 29 augustus 2017
Meer producten en artikelen
Privacy Ferrari Auto Criminaliteit Crimineel Cybercrime Datalek Hack Hackers

IT-banen

Meer vacatures

Reacties (63)

-Moderatie-faq
63
63
23
0
0
21
Wijzig sortering
sys64738
21 maart 2023 10:09
Das vrij waardevolle data. Welvarende mensen en in een flink aantal gevallen ook nog celebs. Daar kun je vrij veel kanten mee op.

Snap wel dat ze geen losgeld willen betalen. Waarom zou je een crimineel vertrouwen. En het lost ook niks op want als ze over een week meer geld nodig (denken te) hebben, kunnen ze hetzelfde geintje nog een keer uithalen.

Of gaan we in een wereld leven waar criminele organisaties ook aan hun reputatie moeten denken? Ja, ze stelen wel van je maar deze zijn wel te vertrouwen verder :Y)
Jhonna
@sys6473821 maart 2023 10:14
Dit is al vaker aangehaald hier, maar in de criminele wereld is er enorm veel concurrentie net zoals je dat in de winkelstraat bij jou om de hoek hebt. Het is een rare vergelijking maar zo is het wel; als de groep zich niet aan hun standpunt houdt dan is het klaar. Media springt erop en toekomstige slachtoffers van de groep gaan ze nooit meer betalen en zodus valt het hele scheme van de groep in elkaar (het draait nog altijd om geld).

Dus waarom zou je een crimineel vertrouwen gaat verder dan de gedachte "het is een crimineel". Krebsonsecurity heeft hier mooie artikelen van hoe een ransomware bende werkt, dan zie je in dat dat een heel bedrijf is als het ware met HR diensten, payroll, CEO's, marketing, recruiters,.. net zoals een bedrijf bij jou in de winkelstraat.
Polydeukes
@Jhonna21 maart 2023 10:51
En toch blijjkt uit de cijfers dat betalen geen garanties geeft. Door wél te betalen stimuleer je alleen maar, dus als het even kan: bijt door de zure appel en betaal niet.
Jhonna
@Polydeukes21 maart 2023 11:59
Welke cijfers? Naar mijn weten is er nog niet bewust gelekt door iemand dat betaald heeft aan bekendere ransomwarebendes.
Polydeukes
@Jhonna21 maart 2023 12:05
Alstublieft https://www.bleepingcompu...er-paying-the-ransom/amp/
JayPe
@Polydeukes21 maart 2023 14:13
Ik vind deze regel nogal slecht vertaald:
'omdat hackers zo verder kunnen gaan met meer hacks en het niets verandert aan de gestolen data'.
Uit de e-mail:
We were recently contacted by a threat actor with a ransom demand related to such customer data. As a policy, Ferrari will not be held to ransom as paying such demands continues to fund criminal activity and enables threat actors to perpetuate their attacks. Moreover, it does not fundamentally change the data exposure.
Niet alleen helpt betalen niet perse, maar het gaat ook om het financieren van deze criminele activiteit. Ik mis die opmerking in het bericht hierboven, maar toch ook wel essentieel in de beredenering, in mijn optiek: Of het nu helpt of niet: Betalen is óók de aanvaller van financiële middelen voorzien: voor eigen gewin of het voortzetten van de criminele activiteit (misdaad lonend maken).
Coolstart
@Polydeukes22 maart 2023 09:46
Door niet te betalen liggen de gegevens van al uw klanten op straat. Voor gerenommeerde merken een ramp. Je kan niet altijd zomaar door die zure appel bijten. Al weet ik niet wat Ferrari bedoelt met ‘beperkte systemen’ Hun CRM? :)

Hackers zijn criminelen maar IT systemen met met tientallen zwakheden zijn ook crimineel.

Stad Antwerpen is ook gehackt. Gegevens van een miljoen inwoners lag op straat als ze niet betaalden.

Als ze niet betalen dan vind ik dat ze als straf het 3x dat bedrag aan het klanten of inwoners moeten terugbetalen als straf en tegemoetkoming. Anders zijn de klanten gewoon de dupe.

In Antwerpen was het heel duidelijk dat ze IT veiligheid niet belangrijk vonden. Ze hebben betaald maar dat is ondertussen een publiek geheim.

[Reactie gewijzigd door Coolstart op 22 maart 2023 09:46]

AdoptieMoeder
@Coolstart22 maart 2023 10:27
Hackers zijn criminelen maar IT systemen met met tientallen zwakheden zijn ook crimineel.
Maar er is toch helemaal niet bekend of het IT systeem van Ferarri tientallen zwakheden had? Je kan je nog zo goed beschermen tegen aanvallen maar dat geeft nooit 100% garantie dat je nooit gehackt kunt worden. De bescherming tegen dit soort zaken loopt uiteindelijk altijd achter de nieuwe hack technieken aan. Altijd zo geweest, zal altijd zo blijven. Niet voor niks dat een lijst als OWASP elk jaar wordt geupdate.
Als ze niet betalen dan vind ik dat ze als straf het 3x dat bedrag aan het klanten of inwoners
Beetje raar om vanuit dat gedachte goed gelijk te zeggen dat Ferarri hun klanten een schadevergoeding van 3x het bedrag moet betalen als ze de hackers niet betalen als "straf" terwijl hun IT systeem wellicht wel voldeed aan de beveiligingsstandaarden en eisen. Wie zegt dat hun IT systemen niet dusdanig beschermt zijn maar dat hackers gewoon een nieuwe backdoor hebben gevonden. En is betalen aan hackers wel het juiste antwoord? Zoals Ferarri zelf al zegt op die manier subsideer je de volgende hack bij het volgende bedrijf.
GoBieN-Be
@Jhonna21 maart 2023 10:19
Maar die criminele groepen verdwijnen ook plots, hun reputatie is dan niet meer belangrijk en hun buitgemaakte gegevens worden dan gewoon door verkocht aan anderen.
Je gelooft ze toch niet op hun woord dat ze effectief de data verwijderen van hun systemen.
Waterbeesje
@GoBieN-Be21 maart 2023 10:47
Het gaat ook om de hele industrie an sich.
Als alle groepen zich and de regels van het vak houden (ja ook deze industrie heeft ongeschreven regels) weet de wereld dat ze er na betalen ook echt vanaf zijn.

Als de helft er een loopje met neemt, weet de wereld dat de industrie onbetrouwbaar is een verslag niemand meer aan welke groep dan ook. Daarmee snijdt de groep welke de regels aan zijn laars lapt niet alleen zichzelf maar ook alle anderen in de vingers (leg dat maar eens uit op een underground feestje, die lui kennen elkaar via via vaak wel)

Dat een groep verdwijnt zegt ook niet zo veel, ze heffen zich op als het te heet onder de voeten wordt of als er onenigheid ontstaat. Dan is het net een Hydra, er komen er gewoon weer twee die het gat opvullen. Die liften dan mee op de naam van de industrie.
kodak
@Waterbeesje21 maart 2023 15:28
Dat gaat alleen op als je kan aantonen dat er betrouwbaarheid is. Dat valt niet aan te tonen.

Slachtoffers en klanten zijn vooral afhankelijk van onwetendheid en onzekerheid om te beweren dat er reputatie is. Geen professionele adviseur zal bewijzen dat betalen verder het lekken voorkomt. Want die hebben daar geen controle over en zijn geen waarzeggers. Hooguit is het betalen dan een hoop dat criminelen die je overduidelijk net bewezen hebben juist onbetrouwbaar en egoïstisch te zijn dan maar hun zin gegeven kan worden om te tonen dat criminaliteit loont. Als je niet betaalt staat dus vooral je bedrijfsnaam er een keer duidelijk bij om het slachtoffer extra duidelijk slachtoffer te laten zijn. Je kan er beter vanuit gaan dat gegevens hoe dan ook zo veel mogelijk omgezet worden in geld en eerlijk zijn dat je echt geen controle hebt over wat criminelen doen.
Benjamin-
@Waterbeesje21 maart 2023 14:07
Het hele idee is dat hackers onbekend zijn/wanen.
Deze mensen boeit het niet wat ze andere aan doen, moreel gezien interesseert ze dat allemaal niets. Dus wat maakt het dat je denkt dat het ze wel interesseert wat de 'industrie' er van vindt?

In het algemeen moeten mensen eerlijk worden gehouden. In het algemeen doet wetgeving, en de gevolgen daarvan, voldoende om mensen op het rechte pad te houden.
Wanneer mensen toch een crimineel leven kiezen, kan dat publiekelijk of anoniem. Met publiekelijk bedoel ik dat er mensen zijn die weten wie jij bent en wat je doet. Justitie krijgt ze misschien niet te pakken door gebrek aan bewijs, maar iedereen weet het. Denk bijvoorbeeld aan iets zoals 1% motorclubs.
Die mensen worden vaak alsnog aan regels gehouden, zo vinden ze bepaalde dingen kunnen, zeker wanneer dit richting andere criminelen is, maar onschuldige, voornamelijk vrouwen en kinderen, mogen niet geraakt worden, wordt dit toch gedaan, dan verdwijnen die mensen weer vaak.

Maar hier hebben we het over mensen die geheel anoniem zijn. Dus die andere hackers mogen dit wel niet oke vinden, maar als ze niet weten wie diegene is, dan komen ze geen milimeter verder.
Jogai
@sys6473821 maart 2023 10:14
Het schijnt wel zo te zijn dat ze hun reputatie hoog houden, met de redenering, "anders betaald niemand ooit meer".
Polydeukes
@Jogai21 maart 2023 10:49
Uit onderzoek blijkt vaak genoeg dat gestolen gegevens later alsnog opduiken, dus de conclusie "internetcriminelen/hackers zijn niet te vertrouwen" is met bewijs onderbouwd.

En door wél te betalen hou je het businessmodel in stand. Advies is daarom: wees goed voorbereid (zero-trust-architecture, offline back-up/restore in place, awareness, etc) en betaal liever niet.

https://www.gartner.com/e...e-should-your-company-pay
https://ransomware.org/why-should-we-pay-the-ransom/
https://www.digitaltrustc...bij-een-ransomware-aanval
kodak
@Jogai21 maart 2023 12:48
Heb je ooit een betalende slachtoffer of voorstander van betalen meegemaakt die kon bewijzen dat criminelen niets gelekt hebben? Eerder valt er niet zomaar aan te tonen waar de gegevens vandaan komen. En dat is precies waar die criminelen en voorstanders gebruik van maken: wel de voordelen van het betalen willen, maar ook de voordelen van gebrek aan bewijs. Het slachtoffer kan na betalen dan stellen dat ze hun best gedaan hebben en de schuld afschuiven op de criminelen. De criminelen beginnen gewoon een nieuwe groep en hebben volgens de voorstanders en betalers weer een suggestief voldoende betrouwbaarheid om het betalen goed te praten.
Jogai
@kodak21 maart 2023 14:19
Oh, verder ben ik geen voorstander van betalen. Heb het niet bij de hand gehad, maar heb wel verhalen gezien dat die groepen zeker wel proberen om reputatie hoog te houden. Blijkbaar valt dit wel tegen aan ook de reactie van @Polydeukes te zien.
keranoz
@sys6473821 maart 2023 10:16
Het is al heel lang gebasseerd op reputatie, vanaf het begin al.

Als iedereen weet dat het geen zin heeft om te betalen omdat de criminelen toch doen wat ze willen met je data, dan betaald niemand wat.
Polydeukes
@keranoz21 maart 2023 10:52
Omdenken: als niemand betaalt, valt er niks te halen en houdt het vanzelf op.
dakka
@Polydeukes21 maart 2023 10:58
Niet echt, want dan zijn er altijd nog de non-profit criminelen, personen of organisaties die het "4 teh lulz" doen, ideologisch oogpunt, of vanuit opdracht doen.
Polydeukes
@dakka21 maart 2023 12:02
Maar die eisen geen losgeld.
Stijnvi
@Polydeukes21 maart 2023 12:05
Als niemand betaalt dan verkopen ze de gestolen data gewoon aan andere criminelen.
Die betalen namelijk wel.
Dus door niet te betalen verdwijnt het business model niet ineens.
Het enige wat niet betalen doet is ervoor zorgen dat je als bedrijf minder geld kwijt bent en tegelijk garanderen dat de gestolen data bij andere criminelen terecht komt.
Aldy
@Polydeukes21 maart 2023 15:24
Vind ook dat er niets betaald moet worden, maar het houdt door niet te betalen niet vanzelf op. De buitgemaakte gegevens kunnen ze altijd nog doorverkopen.
Mathijs Kok
@Polydeukes21 maart 2023 18:40
Omdenken: als niemand betaalt, valt er niks te halen en houdt het vanzelf op.
Aan de andere kant, de promoters van coins blijven maar roepen dat alle transacties totaal transparant zijn....
litebyte
@sys6473821 maart 2023 11:05
Nu niet. Maar was als de hack een productieproces in gevaar had gebracht (met vele miljoenen aan schade) dan was er hoogstwaarschijnlijk anders gereageerd door Ferrari.
Vayra
@sys6473821 maart 2023 11:52
Inb4 een review systeem voor afpersers.
DonJunior
21 maart 2023 10:08
Dit klantenbestand is natuurlijk wel een goudmijn voor phishing criminelen.
Als er ergens geld zit is het bij deze Ferrari klanten..
J_van_Ekris
@DonJunior21 maart 2023 10:47
Of voor fysieke criminelen. Als er een Ferrari in de garage staat, zal er in huis ook wel het nodige staan/hangen. Nu zijn bepaalde buurten natuurlijk van nature wat talrijker met dat soort huizen dan andere, maar dit zou ook wel eens een boodschappenlijstje voor wat zware criminelen kunnen zijn.
Dennisdn
@J_van_Ekris21 maart 2023 14:53
2 jaar geleden zijn álle gegevens van álle autobezitters in Nederland al uitgelekt, inclusief andres, kenteken en VIN-nummer waarmee alle opties op de auto zijn te achterhalen. Er zijn op het darknet zelfs zoekmachines gebouwd om heel snel een boodschappenlijstje te maken in welke straten welke onderdelen te vinden zijn.

[Reactie gewijzigd door Dennisdn op 21 maart 2023 14:53]

Tintel
@DonJunior21 maart 2023 13:40
Wel een klein bestandje denk ik... :9
Anonymoussaurus
21 maart 2023 10:07
Ferrari heeft ook een persbericht naar buiten gebracht: https://www.ferrari.com/e...cyber-incident-in-ferrari
Anoniem: 1837468
21 maart 2023 10:20
Ferrari zegt als beleid te hebben hier niet op in te gaan, 'omdat hackers zo verder kunnen gaan met meer hacks en het niets verandert aan de gestolen data'.
Als nu alle bedrijven dit beleid gaan voeren, dan zal het voor kwaadwillenden ook niet meer lonen om data te stelen.
Blokker_1999
@Anoniem: 183746821 maart 2023 11:18
Net zoals als niemand op spam links klikt het ook niet meer loont om spam te sturen ... we zien hoe goed dat dat werkt...
Stijnvi
@Anoniem: 183746821 maart 2023 12:07
Als bedrijven niet betalen dan verkopen de hackers de gestolen data gewoon weer aan andere criminelen die het gebruiken voor phishing.
Het idee dat hackers zullen stoppen als bedrijven niet betalen klopt dus van geen kanten.
litebyte
@Anoniem: 183746821 maart 2023 12:46
Ze gaan er niet op in, omdat het qua imago dan mogelijk wat schade oploopt, maar inet qua kosten. Stel je voor dat er door een hack auto's niet geproduceerd konden worden, of dat het productieproces op een andere manier Ferrari flinke financiele schade oploopt. Denk je dan werkelijk dat Ferrari zegt, we gaan niet in op de eisen. Dan wordt net als bij elk ander (groot) beursgenoteerd bedrijf een risico en financieele analyse gemaakt om wel of niet erop in te gaan.
davince72
21 maart 2023 15:38
Ze weten dus op basis van de buitgemaakte gegevens bijvoorbeeld niet wie welke Ferrari heeft gekocht.
Dit is toch wel de grap van de dag? Alsof dat wat uitmaakt? Ok was voor criminelen die specifiek model zoeken wel handig geweest.
Shadow771
21 maart 2023 16:58
Ferrari is (voor een deel?) van FIAT. Zijn de system niet aan elkaar gelinkt/gedeeld? Anders kan de hack misschien groter zijn..
RRRobert
21 maart 2023 10:07
Betalingsgegevens zoals bankrekeningnummers zijn niet buitgemaakt.
Dat maakt ook weinig uit als je de auto in kwestie contant hebt afgerekend O-) (wat in dat wereldje waarschijnlijk nog best vaak schijnt te gebeuren)
Cergorach
@RRRobert21 maart 2023 10:14
Even afhankelijk van wat de regels zijn in het betreffende land van aankoop, zal een verkoper voor een dergelijk bedrag ECHT een factuur moeten opstellen met adres gegevens van de klant. Natuurlijk zal dan de vraag zijn of die gegevens ook daadwerkelijk kloppen...
6R15
@RRRobert21 maart 2023 10:30
Dan weet je waarschijnlijk maar weinig af van het Ferarri wereldje. Bij Ferrari loop je niet zomaar binnen om een auto te kopen, ze kijken naar je persona en sommige autos kan je alleen kopen als je al een gerespecteerd klant bent. Daarnaast probeert Ferarri zich enorm te distantiëren van corruptie wat alom aanwezig is in Italië. Dus ik vermoed dat je niet zomaar even chartaal een Ferrari kan kopen.

[Reactie gewijzigd door 6R15 op 21 maart 2023 12:13]

PredCaliber2
@RRRobert21 maart 2023 10:13
''waarschijnlijk nog best vaak schijnt''
Hoop aannames in 1 mini zinnetje dus.
ricardogn
21 maart 2023 10:14
Partnership van BitDefender is dus alleen voor het F1 Team?
D-Ed
@ricardogn21 maart 2023 10:24
Alleen een stickertje met een grote zak geld hè.. Of denk je dat er in een (bv) Aston Martin een Aston Martin motet zit? ;)
GWBoes
@D-Ed21 maart 2023 11:04
In de Aston Martin F1 auto zit een Mercedes motor en dat is tegenwoordig ook de motorleverancier van de straatauto's (op de laatste paar 12 cilinders na dan).
DonJunior
@D-Ed21 maart 2023 11:05
offtopic:
AstonMartin heeft in de straat auto's ook gewoon Mercedes motoren liggen. Die maken zelf geen motoren meer. ;)
warhamstr
21 maart 2023 10:02
O, nee he. Snel m'n wachtwoord veranderen.
Alcmaria
21 maart 2023 10:03
Pff ben echt heel blij dat ze niet weten dat welke Ferrari ik heb gekocht. (en op welke schaal)
Cergorach
@Alcmaria21 maart 2023 10:12
Maar je kan nu dus een bezoekje verwachten van Boris Boef en de Zware Jongens... Wellicht handig om je speelgoed Ferrari voor het raam te zetten, met een briefje erbij "Dit is de enige Ferrari die ik kan betalen!"... ;)
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee