Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Datalekken, botnets en encryptie

Oude thema's werpen nieuwe vragen op

'Data is de nieuwe olie'

Dat er in het afgelopen jaar aandacht besteed zou worden aan datalekken, was tot op zekere hoogte te verwachten doordat in Nederland de meldplicht datalekken in werking trad. Deze leverde de Autoriteit Persoonsgegevens in de eerste week van dit jaar twintig meldingen op, eind december was de teller al opgelopen tot bijna 5500. Eind december maakte de AP nog bekend dat de meeste meldingen van lekken afkomstig zijn van de gezondheidssector, maar over de daadwerkelijke omvang van de Nederlandse lekken is verder geen specifieke informatie bekend. Dat was anders bij een reeks aan grote datalekken, waarvan het zakelijke netwerk LinkedIn in mei de spits mocht afbijten. Het was al bekend dat er in 2012 een hack op het bedrijf had plaatsgevonden, waarbij de hashes van 6,5 miljoen wachtwoorden waren buitgemaakt. Dat dit aantal niet helemaal met de werkelijkheid overeenkwam, bleek toen een hacker met de naam ‘Peace’ of 'peace of mind' de wachtwoorden en gebruikersnamen van 117 miljoen LinkedIn-gebruikers te koop aanbood via een online marktplaats. Dit was opmerkelijk, omdat het betekende dat LinkedIn niet op de hoogte was van de omvang van het lek of ervoor gekozen had om de daadwerkelijke aantallen niet te communiceren. Daarnaast bleek dat de gegevens blijkbaar in handen waren van partijen die ze verkochten.

Meer grote lekken

De hacker Peace bleek nog andere databases in zijn bezit te hebben, zo bood hij later de inloggegevens van 65 miljoen Tumblr-gebruikers aan voor iets minder dan tweehonderd euro. Kort daarop vroegen mensen zich af in welk jaar zij ook alweer leefden, toen MySpace bevestigde dat er voor 2013 een hack had plaatsgevonden waarbij de gegevens van 360 miljoen gebruikers waren buitgemaakt. Andere bedrijven hadden ook de discutabele eer in dit rijtje thuis te horen, bijvoorbeeld Dropbox, Adultfriendfinder, VK en last but not least Yahoo. Deze laatste hack spant tot nu toe de kroon met een miljard buitgemaakte gebruikersgegevens. De recent bekendgemaakte hack stond weer los van een ander Yahoo-incident, waarbij 500 miljoen gegevens uitlekten.

Het beveiligingsbedrijf InfoArmor kwam na de hacks met een eigen analyse naar buiten, waarin het dieper inging op de gebeurtenissen rond de hacks en de verkoop van de gegevens. Zo claimde het bedrijf dat de Yahoo-database van een miljard gegevens in totaal drie keer was verkocht voor een prijs van ongeveer 300.000 dollar. Twee van de kopers zouden spamorganisaties zijn geweest; bij de derde koper zou het om een inlichtingendienst gaan.

Los van het feit dat het bij al die hacks om miljoenen accounts gaat, zijn er nog andere overeenkomsten. In veel gevallen bleken de gegevens namelijk uit 2012 of 2013 te stammen en waren zij vaak ondeugdelijk beveiligd. Nu is dat laatste misschien niet het opvallendste detail, maar roept het tijdstip van de hacks toch enkele vragen op.

'Data is de nieuwe olie'

Zo kan men zich afvragen of er een trend is ingezet waarbij er komend jaar grote datalekken uit 2014 bekend zullen worden. Ronald Prins, oprichter van het Nederlandse beveiligingsbedrijf Fox-IT, liet aan Tweakers weten dat hij verwacht dat deze trend inderdaad wordt doorgezet: “Het is zeer waarschijnlijk dat dit soort lekken doorgaan, omdat hackers in een hoger tempo beter worden dan de verdedigende kant.” Mikko Hyppönen, chief research officer van beveiligingsbedrijf F-Secure, verpakte zijn antwoord aan Tweakers in een vergelijking: “Data is de nieuwe olie. En net als olie ons welvaart en problemen bezorgde, zal dat bij data hetzelfde zijn. Als data de nieuwe olie is, moeten wij oppassen voor lekkages.”

Over de verandering van de waarde van gegevens zegt Prins: “Ik zie niet zozeer de link tussen datalekken en identiteitsdiefstal die vaak wordt gelegd. Er zijn verschillende redenen waarom hackers achter gegevens aangaan, bijvoorbeeld om een partij af te persen door te dreigen met publicatie, of gewoon omdat het kan.“ Een oplossing is volgens Prins nog niet in zicht: “Er is inmiddels wel awareness gecreëerd rond beveiliging, maar bedrijven weten vaak niet precies wat zij moeten doen. Een meldplicht datalekken helpt de verdedigende kant bijvoorbeeld in het beter worden, maar alleen met bewustzijn kom je er ook niet. Daar is ook een rol voor de overheid weggelegd, die verdergaat dan het wijzen op pentesting en soortgelijke maatregelen.”

Een ander opvallend aspect bij de lekken van het afgelopen jaar is dat het gaat om grote verzamelingen wachtwoorden en gebruikersnamen. Deze zijn om bovengenoemde redenen interessant, maar e-mailadressen hebben bijvoorbeeld ook waarde voor het versturen van spam. Het lijkt er niet op dat er binnen korte tijd verandering zal komen in de manier waarop wij accounts gebruiken op het internet. Bij vrijwel alle sites gebeurt dit aan de hand van een e-mailadres, gebruikersnaam en een wachtwoord. Er zijn echter bewegingen richting alternatieven waar te nemen. Zo werkt Google al langer aan het geleidelijk laten verdwijnen van wachtwoorden. Tot het zover is, hebben de datalekken er wellicht voor gezorgd dat gebruikers bewuster omgaan met wachtwoorden, door een uniek en sterk wachtwoord per website te gebruiken.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True