Het aantal gehackte websites is exceptioneel hoog, met alle gevolgen van dien. Veel gebruikers hebben echter een “dat loopt wel los” -gedachte. Echter zou het zomaar nu al mogelijk kunnen zijn dat al uw gegevens nu al op het internet te raadplegen zijn. Via een online zoekmachine check je zelf of je wachtwoord of gebruikersnaam voorkomt in een databank met gelekte gegevens. Deze website is al een goede start om awareness te creëren.
Have I Been Pwned?
“Haveibeenpwned.com” is een website, gelanceerd door beveiligingsspecialist Troy Hunt, waarop je als surfer zelf kan testen of je e-mailadres en wachtwoord achterhaald zijn uit één van de opgespoorde databanken met gehackte gegevens. De verzameling telt al enkele miljarden gebruikersaccounts en is vrij te raadplegen op het internet.
Haveibeenpwned.com maakt het via deze website mogelijk om een username, e-mailadres of wachtwoord in te vullen en onmiddellijk te zien of jouw gegevens tot de gehackte data behoren. Wanneer er een “red alert” tevoorschijn komt met de melding: “Oh no – pwned!”, is het raadzaam om je inloggegevens onmiddellijk te veranderen op de desbetreffende website alsook op andere websites waar je dit wachtwoord gebruikt.
Misschien een kleine fun fact? De term “pwned” komt oorspronkelijk uit de gamingwereld waarbij in het spel Warcraft een Map Designer een spelfout schreef in het woord “owned”. Wanneer de computer een speler versloeg in het spel, kwam de melding “you have been pwned”. Al snel kwam er een eigen betekenis aan vast te hangen, namelijk het “gedomineerd worden” of “verslagen worden door een computer of externe kracht”.
Waar komen deze gehackte gegevens vandaan?
De logingegevens die in de online databank zijn verzameld, zwerven al enige tijd rond op het internet. Websites en webapplicaties worden al jaren geteisterd door hackers die uit zijn op het bemachtigen van gebruikersgegevens voor criminele doeleinden. Zo werd Dropbox in 2012 gehackt en maakten cybercriminelen gebruikersnamen én wachtwoorden van 69 miljoen gebruikers buit. De grootte van de hack kwam echter pas in 2016 aan het licht, vier jaar na de feiten.
Zo werd ook LinkedIn gehackt in 2012 en werd er destijds bekend gemaakt dat 6 miljoen onversleutelde (!) e-mailadressen en wachtwoorden werden gelekt. Helaas was er veel meer aan de hand. Zo ontdekte Motherboard dat in 2012 niet 6 miljoen maar 117 miljoen gegevens gestolen werden. Dit werd later ook officieel door LinkedIn bevestigd.
In februari 2018 werd zelfs applicatie MyFitnessPal gehackt waarbij data zoals e-mailadressen, wachtwoorden en gebruikersnamen van 150 miljoen gebruikers gelekt werden wat dit het grootste datalek van 2018 maakt (tot nu toe). Ook giganten zoals Ebay, Adobe en Uber werden al gehackt.
Wat is het gevaar van een datalek?
Je denkt nu misschien dat het niet zo’n drama is dat de gegevens van je oude e-mailadres of je slechts zelden gebruikte Twitter-account gelekt werden. Maar dat is het wel degelijk! Hackers bieden zulke info namelijk vaak aan op het “dark web”, de onderwereld van het internet, waardoor persoonsgegevens van miljoenen mensen voor het grijpen liggen. Vaak gebruiken surfers ook nog eens hetzelfde wachtwoord voor verschillende toepassingen waardoor de hacker toegang heeft tot een gigantische hoeveelheid van data. Beter vermijden dan genezen dus.
Ben je ondernemer? Dan heeft jouw organisatie verantwoordelijkheden als verwerkingsverantwoordelijke van persoonsgegevens. Je bedrijf is niet alleen verantwoordelijk voor eigen data maar ook voor de data die verzameld en verwerkt wordt van (potentiële) klanten, leveranciers en medewerkers. Om de persoonsgegevens van Europese betrokkenen te beschermen is de GDPR van kracht. Eén van de plichten die je dient te vervullen, is de meldplicht datalekken. Deze meldplicht houdt in dat je een datalek in bepaalde gevallen binnen de 72 uur moet melden bij de Gegevensbeschermingsautoriteit. Dit is verplicht wanneer er een gevaar is dat het lek aan persoonsgegevens een risico met zich mee brengt voor de vrijheden en de rechten van natuurlijke personen. Gebruik je een externe app of tool om gegevens van je klanten te delen met je collega’s en wordt deze dienst gehackt? Dan blijft jouw bedrijf verantwoordelijk en moet je dit lek ook zelf melden. Afhankelijk van de ernst is dit aan de Gegevensbeschermingsautoriteit en/of de betrokkene.
Hoe kan ik mijn organisatie beschermen tegen datalekken?
Eerst en vooral wil ik je adviseren om gebruik te maken van sterke wachtwoorden, en deze geregeld te veranderen om zo de kans op diefstal te verkleinen. Gebruik bij voorkeur voor ieder account een uniek wachtwoord. Zo voorkom je dat met één hack ook andere accountgegevens kunnen buitgemaakt worden.
ON-IT heeft enkele tools en checklists opgesteld die je organisatie beter beschermen tegen hacks en\of datalekken. .
Vele softwarediensten bieden Two Factor Authentication (2FA) aan, encrypten (versleutelen) standaard alle opgeslagen data en voorzien een geautomatiseerd update-, patch-, en monitoringbeleid. Via 2FA krijg je pas toegang tot je account na het doorlopen van twee stappen: de eerste keer door je pincode of wachtwoord in te geven en de tweede keer door bijvoorbeeld een code aan te vragen via een mobiele app zoals Google Authenticator. Bij encryptie bestaat de kans dat een buitgemaakte databank onleesbaar is doordat de gegevens zijn veranderd in random tekst. Door middel van een strikt update-, patch en monitoringbeleid worden apparaten zeer snel bijgewerkt waardoor het risico op cybercrime afneemt.
Kwam jouw domeinnaam, e-mailadres of wachtwoord gelukkig heelhuids uit de opzoeking op de website haveibeenpwned.com en wil je dit graag zo houden? Of is het nodig om de informatieveiligheid in je organisatie dringend aan te scherpen?
Nodig ON-IT een keer uit om de mogelijkheden te bespreken.