Onthutsende vondst van meer dan 1,4 miljard gehackte identiteitsgegevens op het Dark Web. Wat zijn de gevolgen?

Onlangs werd op het dark web een interactieve database gevonden die supersnelle zoekopdrachten en het snel importeren van data van nieuwe hacks mogelijk maakt. Deze database werd recent nog bijgewerkt: de laatste reeks gegevens werd pas op 29 november ingevoerd. Het totale aantal gegevens (waaronder gebruikersnaam en wachtwoorden) komt maar liefst op het onstellende aantal van 1.400.553.869.

Wat opvalt, is dat het een ‘gebruikersdatabase’ betreft, die duidelijk ontworpen is om aangewend te worden. Deze bevat niet alleen zoekfuncties maar ook importeermogelijkheden die, om het nog gemakkelijker te maken, zelfs uitgelegd worden in een README-bestand.

Als klap op de vuurpijl wordt er ook een lijst met de bronnen van de hack vermeld, bijvoorbeeld inputbreach/linkedin110M_1 865M. Maar liefst vier van dergelijke LinkedIn-inputbestanden met in totaal 256 inputs staan vermeld.

Alsof dit nog niet verontrustend genoeg is, staan de gegevens gestructureerd in een alfabetische mappenstructuur die gefragmenteerd is in 1981 stukjes, waardoor het snel zoeken mogelijk is. De ontdekker van deze verontrustende vondst, Julio Casal van het bedrijf 4iQ, schreef dat het zoeken naar ‘admin, ‘administrator’ en ‘root’ in enkele seconden 226.631 wachtwoorden van admin-gebruikers opleverde.

De mate van verfijning die cybercriminelen naar het dark web brengen, is niet meer te overzien. Niet alleen worden gestolen gegevens samengevoegd en gecategoriseerd, maar ze worden ook op een dusdanige manier verwerkt dat zelfs dark web-beginnelingen gemakkelijk gerichte gegevens kunnen zoeken en verkrijgen. Een marketeer kan bijvoorbeeld een mailinglijst huren gericht op specifieke demografische gegevens.

Organisaties en individuen die de afgelopen jaren getroffen zijn door een van de vele hacks en die geen actie hebben ondernomen om hun wachtwoorden te wijzigen of hun kredietkaarten te annuleren, lopen duidelijk gevaar.

Er huizen al immens veel gegevens op het Dark Web, en nu worden ze ook nog overzichtelijk opgeslagen in een gigantische databank die gemakkelijk kan worden doorzocht door criminelen.

De 1,4 miljard gegevens bevatten ongetwijfeld dubbele namen. Als je het slachtoffer was van de Equifax, Target of Anthem hack, is je informatie hoogstwaarschijnlijk aanwezig en kan het opgevraagd. Als je nu wél actie onderneemt, dan krijg je gelukkig meteen een nieuwe kredietkaart. Maar hoe zit het met de medische dossiers, die niet veranderd kunnen worden?

Deze samengevoegde schat aan gestolen data herinnert er ons ook aan dat we niet kunnen vertrouwen op statische wachtwoorden. Gemak wint het vaak van veiligheid. Gebruikers kiezen vaak hetzelfde wachtwoord voor meerdere accounts. Het Data Breach Investigations Report 2017 van Verizon stelt dat 81% van de hacking-gerelateerde overtredingen gestolen en/of zwakke wachtwoorden gebruikte, en dat deze voor iedereen op het dark web gemakkelijk beschikbaar zijn.

Cybersecurity begint bij je eigen identiteit, en het beschermen van persoonlijke gegevens staat voorop. Er zijn veilige manieren om een identiteit te verifiëren en personen die toegang hebben tot gevoelige gegevens te authenticeren. Technologiebedrijven zijn zich terdege ervan bewust dat er een evenwicht moet zijn tussen gemak, bruikbaarheid en veiligheid. De industrie heeft de afgelopen jaren een lange weg afgelegd en biedt een verscheidenheid aan handige authenticatieoplossingen, die net niet vereisen dat gebruikers complexe wachtwoorden moeten onthouden. In plaats daarvan maken ze gebruik van geïntegreerde technologieën in smartphones en andere mobiele apparaten zoals gezichtsherkenning, vingerafdrukken en adaptieve authenticatie. Multifactorauthenticatie maakt integraal deel uit van een op risico gebaseerde benadering van cyberbeveiliging. Hopelijk is de samengestelde hack van 1,4 miljard identificatiegegevens uiteindelijk de laatste spijker in de wachtwoord-doodskist.

Michael Magrath, director Regulations & Standards, VASCO Data Security