Monster is wederom het slachtoffer van een phishing attack. Dit is de tweede keer na de eerdere aanval op Monster in augustus 2007.
In een bericht op haar site meldt Monster het volgende:
We recently learned our database was illegally accessed and certain contact and account data were taken, including Monster user IDs and passwords, email addresses, names, phone numbers, and some basic demographic data.
Na de aanval eind 2007 had Monster enorme kosten gemaakt om de beveiliging te verbeteren:
For the nine months ended September 30, 2008 and 2007, we recorded $0.5 million and $5.7 million, respectively, related to the breach.
Je vraagt je toch af wat er met die $ 6,2 miljoen is gedaan nu het wederom is gebeurd? Is de nieuwe Monster site net zo lek als de oude?
Het bericht op de Monster site over deze nieuwe aanval is zeer feitelijk van toon. Op geen enkel punt komt Monster zelfs maar in de buurt van een excuus. Dat is ongetwijfeld op het advies van juristen om claims te voorkomen. Maar straalt daardoor buitengewoon weinig betrokkenheid uit bij wat er wederom is gebeurd.
Verder zijn er de nodige boilerplate teksten; zoals deze:
The protection of your data is a high priority for Monster. Our newly redesigned Web site has, and will continue to add, safety and security features to protect your information and we want you to feel confident using it.
Het is ongetwijfeld een hoge priotiteit; maar ik vraag me zo langzamerhand af of Monster in staat is mijn data afdoende te beveiligen. En twijfelt Monster daar ook over, gezien de volgende uitspraak:
We continue to devote significant resources to ensure Monster has appropriate security controls in place to protect our infrastructure, and while no company can completely prevent unauthorized access to data, Monster believes that by reaching out to job seekers, the company can help users better defend themselves against similar attacks.
Moet ik nu mezelf gaan verdedigen tegen phishing attacks als ik me bij Monster aanmeld? Wat krijgen we nou? Dan kan ik me toch beter helemaal niet aanmelden; of in ieder geval geen profiel en CV achterlaten.
Marc Drees
says:@Jolande:
Interessante informatie… Had ik nog niet opgemerkt. Ik zal eens kijken of dit niet veel bredere repercussies heeft…
Jolande de Ruyter
says:In vervolg op mijn eerdere posting wilde ik trouwens ook nog melden dat Het College Bescherming Persoonsgegevens (CBP) een richtlijn heeft opgesteld die bepaalt dat het transport van persoonlijke gegevens beschermd moet worden via SSL. Het is dus gewoon verplicht!
Lees hier de publicatie: https://www.diginotar.nl/Actueel/tabid/264/articleType/ArticleView/articleId/17/Default.aspx
Paul van Brouwershaven
says:Je indekken tegen een phishing aanval kan op dit moment het best door gebruik te maken van een Extended Validation SSL Certificaat.
Eén van de belangrijkste eigenschappen van een Extended Validation SSL Certificaat is dat deze de adresbalk van bijvoorbeeld de Internet Explorer 7 browser groen laat kleuren en de naam van de eigenaar van de website zal weergeven.
Omdat de identiteit van de eigenaar is gevalideerd door middel van de zeer strenge Extended Validation richtlijnen is het voor een Phishing site niet mogelijk deze ‘groene balk’ op de phishing site weer te geven.
Thomas
says:Ik ben met Marc eens dat je weinig tegen Phishing kan ondernemen als bedrijf afgezien van goede informatie voorzien aan je gebruikers.
Het is allereerst aan de gebruiker om zorgvuldig om te gaan met het wachtwoord en gebruikersnaam. Het blijkt maar weer hoe e-savvy de recruitment community is. Waar we allemaal weten dat we goed moeten na denken over op welke URLs we onze wachtwoorden achterlaten lukt het een recruiter om zijn gegevens te laten stelen.
Marc Drees
says:@Jolande:
Monster geeft aan dat het om een phishing attack gaat. Dus SSL of https halen daar volgens mij heel weinig bij uit. Als gebruikers login informatie aan derden afgeven is daar heel weinig aan te doen; anders dan gebruikers informeren. Je hebt als site de morele plicht mensen die veel informatie bij je achterlaten te beschermen tegen de trucs van anderen om die informatie te benaderen en misbruiken.
Er zijn in mijn optiek twee manieren; maximale informatie richting gebruikers (ter voorkoming van ongewenste toegang) en scannen op abnormale gebruikerspatronen (vroege detectie ongewenste toegang).
En in beide onderdelen lijkt Monster dus nog niet geslaagd.
Jolande de Ruyter
says:Een SSL certificaat beveiligt de technische verbinding tussen de PC van de bezoeker en de website. Het certificaat zorgt voor de encryptie van de verbinding. Een SSL servercertificaat is noodzakelijk voor elke website waarbij privacygevoelige gegevens worden uitgewisseld”
Dus als Hackers data onderscheppen die via SSL versleuteld is, dan is dit onleesbaar en (niet meteen) bruikbaar. Wellicht zijn er hackers die ook versleutelde bestanden uiteindelijk leesbaar kunnen maken, maar het kost veel tijd enhet is de vraag of het lukt.
En wat mij dan opvalt bij Monsterboard:
Inderdaad: gegevens van kandidaten worden niet beveiligd met SSL: Fijn dus voor hackers: alle data is meteen te gebruiken.
Bij werkgevers is de alleen betaling beveiligd; dit is niet geregeld door Monsterboard zelf, maar (volgens mij door) Bibit.
I k zie bij Monsterboard/inschrijven kandidaten geen slotje in de URL; ook zie in geen “https” staan (de “s”staat voor security). Dus hier is absoluut geen sprake van een beveiligde verbinding!.
ik ben geen internetexpert, maar ik vraag me wel af waarom Monster zoiets simpels achterwege laat. In vergelijking met al dat geld dat ze hebben uitgegeven, is zo’n certificaat maar een fooitje.