5 beangstigende datalekken die de wereld schokten
Juist op tijd voor Halloween kijken we naar de angstaanjagende realiteit van datalekken en belichten we vijf verhalen die niet alleen de cyberwereld beangstigden
De cyberwereld heeft ook veel erge verhalen. Helaas zijn deze, in
tegenstelling tot de verhalen die op Halloween worden verteld, heel echt.
Equifax
In 2017 was Equifax, een van de grootste kredietbeoordelingsbureaus in
de Verenigde Staten, het slachtoffer van een verbazingwekkende datalek (astounding data breach). De lek die
ongeveer 78 dagen duurde, werd veroorzaakt door een kwetsbaarheid in het
webapplicatieframework van Apache Struts, waarvoor wel een patch was uitgegeven
maar die Equifax niet op tijd had toegepast. De aanvallers achter het incident
waren in staat om de hand te leggen op de persoonlijke gegevens van bijna 148
miljoen Amerikanen, 15,2 miljoen Britten en bijna 19.000 Canadezen. De
gegevensverzameling omvatte een breed waaier aan persoonlijk identificeerbare
informatie (PII), waaronder nummers van sociale zekerheid, geboortedata en
adressen… die allemaal konden worden gebruikt om aan identiteitsfraude te doen.
Wat betreft de financiële schade die Equifax heeft geleden, schat het bedrijf
dat het huidige bedrag ongeveer 1,7 miljard dollar is.
Marriott
In 2018 kreeg Marriott International,
een van de grootste hotelketens ter wereld, te maken met een grote datalek in
verband met haar reserveringsdatabase. Marriot schatte aanvankelijk dat maar
liefst 500 miljoen van zijn klanten getroffen konden zijn door het
cyberincident, maar veranderde zijn schatting nadien naar 383 miljoen. De
gastinformatie die tijdens het incident was gecompromitteerd, omvatte een
combinatie van naam, postadres, telefoonnummer, e-mailadres, paspoortnummer,
Starwood Preferred Guest (SPG) -accountinformatie, geboortedatum, geslacht,
aankomst- en vertrekinformatie, reserveringsdatum en communicatie voorkeuren.
In sommige gevallen werden ook de betaalkaartnummers en hun vervaldatum
gecompromitteerd. De gecompromitteerde gegevens kunnen worden gebruikt bij een
breed scala aan aanvallen, waaronder phishing, social engineering-aanvallen,
creditcardfraude en identiteitsfraude. Tot dusver heeft het bedrijf ongeveer 72
miljoen dollar kosten gemaakt door de inbreuk, maar 71 miljoen dollar werd vergoed
door de verzekering. Het kan best dat Marriott nog een flinke som aan boetes
verwacht, aangezien de Britse gegevensbeschermingsautoriteit de hotelketen een
boete van £ 99 miljoen (US $ 123 miljoen) wil geven.
Als een van 's werelds grootste
online marktplaatsen, vooral bekend om zijn verkoop in veilingstijl, heeft eBay
waarschijnlijk weinig introductie nodig. In 2014 maakte het bedrijf bekend dat
het slachtoffer was geworden van een aanval waarbij maar liefst 145 miljoen van
zijn actieve gebruikers getroffen werden. Volgens het bedrijf was de oorsprong
van de aanval terug te brengen op het compromitteren van een klein aantal
inloggegevens van werknemers. De gegevens die bij de inbreuk waren
gecompromitteerd, omvatten persoonlijke informatie van klanten, zoals namen,
e-mailadressen en fysieke adressen, telefoonnummers en geboortedata, alsook
gecodeerde wachtwoorden, die allemaal konden worden gebruikt in verschillende
vormen van cyberaanvallen en pogingen om potentiële slachtoffers te bedriegen.
Target
In 2013 kreeg Target, een van de grootste retailers in de Verenigde
Staten, te maken met een grote datalek die meer dan 41 miljoen
betaalkaartaccounts van klanten trof, alsook contactgegevens van meer dan 60
miljoen klanten. De cybercriminelen achter de aanval hadden toegang tot
klantnamen, telefoonnummers, e-mailadressen, creditcard- en betaalpasnummers met
vervaldatums, versleutelde pincodes en creditcardverificatiecodes. Volgens
Target waren de pincodes versleuteld met de Triple Data Encryption Standard,
waardoor ze moeilijk te kraken waren. Met behulp van de informatie die tijdens
de inbreuk is verzameld, konden de cybercriminelen creditcardfraude en
identiteitsfraude plegen. In de nasleep van het incident bood Target
kredietbewakingsdiensten aan en schikte het een class action-rechtszaak van $
10 miljoen waarin het beloofde tot $ 10.000 te betalen aan klanten. Het moest verder
ook een schikking betalen van 18,5 miljoen dollar.
Friend Finder
In 2016 werd FriendFinder Network, het
dating- en entertainmentbedrijf voor volwassenen, aangevallen waardoor meer dan
412 miljoen gebruikersaccounts (exposing over 412
million user accounts) blootgesteld werden. De enorme
datalek omvatte 339 miljoen accounts van de AdultFriendFinder.com-website en 15
miljoen verwijderde accounts die niet uit de databases waren verwijderd. De
gegevensverzameling bestond uit 20 jaar aan records van de grootste websites
van het bedrijf en omvatte gebruikersnamen, e-mailadressen, wachtwoorden,
gegevens van sitelidmaatschap, browserinformatie, IP-adres dat het laatst werd
gebruikt om in te loggen en zelfs of de gebruiker voor items had betaald . Het
is vermeldenswaard dat de wachtwoorden, die blijkbaar in kleine letters waren
omgezet, ofwel in het duidelijke of gecodeerde als een SHA-1-hash werden
opgeslagen, wat geen afdoende veiligheidsmaatregel is en de meeste wachtwoorden
gemakkelijk en snel gekraakt werden. Hoewel mensen in deze tijd liberaler zijn,
zouden ze er waarschijnlijk niet van houden om voor hun bezoeken of
activiteiten op dergelijke websites te adverteren en dit hoogstwaarschijnlijk
geheim te houden. Helaas zouden de gelekte gegevens het voor Black Hats
mogelijk maken om gemakkelijk deze personen als doelwit te nemen en de gegevens
te gebruiken om hun reputatie te ruïneren, hen te chanteren met de dreiging om
gevoelige informatie te onthullen die ze graag verborgen zouden willen houden,
of de gekraakte wachtwoorden te gebruiken bij verdere aanvallen (credential-stuffing
attacks).
Dit zijn natuurlijk slechts enkele van de enge verhalen die de cyberwereld te bieden heeft. Hoewel ze misschien ongemakkelijk zijn om te lezen, moeten deze cyberincidenten dienen als waarschuwingsverhalen voor zowel consumenten als bedrijven - dat cyberbeveiliging nooit over het hoofd mag gezien worden.