Lessen van lekken: dit zijn de grootste data breaches van 2019

Marjon van den Ende
Vorig jaar was wereldwijd een zeer zorgwekkend jaar als het gaat om datalekken, exploits en backdoor-hacks. Regelmatig kopten de kranten dat gestolen persoons- of bankgegevens op straat lagen. The Midyear Quickview Data Breach Report 2019 publiceerde dat er ruim 4 miljard meldingen bekend zijn over onrechtmatig verkregen gevoelige informatie. Een toename van maar liefst 54 procent ten opzicht van het jaar daarvoor. Een record!

Groeiende trends zijn chain-aanvallen; één groot of middelgroot bedrijf dat ongemerkt hacksoftware toelevert naar soms wel honderden kleinere bedrijven. Partners, leveranciers, klanten en alles daartussenin. Ook ransomware is nog steeds een ongekend populair middel om bedrijven te chanteren om grote sommen losgeld te betalen. De meest spraakmakende hacks zijn veelal geldgedreven. Tegelijkertijd had een grondiger cyberbeleid het gros van de lekken tegen kunnen gaan.

1. Fortnite

Het jaar 2019 begon met de mededeling dat meer dan 200 miljoen gamers wereldwijd het slachtoffer waren van een datalek als gevolg van meerdere kwetsbaarheden in online platform Fortnite. Op 16 januari van dat jaar verklaarde Epic Games, ontwikkelaar van Fortnite, dat hackers door een fout in het inlogsysteem zichzelf in staat stelden spelers na te bootsen en zogenaamde V-bucks achterover te drukken. Deze in-game valuta werd gereproduceerd via gestolen creditcard gegevens of debetkaarten die op persoonlijke accounts stonden geregistreerd.

Securityonderzoekers van Check Point vonden een onbeveiligde url van meer dan tien jaar geleden. De url leidde naar registratiepagina voor Unreal Tournament, een titel die Epic Games voor het eerst ontwikkelde in 1998. De pagina, die sindsdien is gedeactiveerd, stond voor die tijd open voor een cross-site scriptingaanval.

Epic Games heeft het probleem erkend en het lek is gedicht, maar blijft sindsdien druk met een rechtszaak die is aangespannen door getroffen gebruikers. Slachtoffers pleiten dat ze niet tijdig zijn geïnformeerd. Het lek werd immers al in november 2018 ontdekt, maar dat maakte Epic Games destijds niet wereldkundig.

Fortnite erkent dat getroffen Fortnite-gebruikers aantoonbaar verlies hebben geleden door frauduleuze kosten. Epic Games geeft echter geen garantie dat de genomen veiligheidsmaatregelen genoeg bescherming bieden en legt een deel van de verantwoordelijkheid bij de gebruikers zelf. 'Gebruik een sterk wachtwoord en deel je account gegevens niet met anderen.’

2. Evite.com

Het Amerikaanse Invitatieplatform Evite.com verzorgt een 'vlekkeloos' uitnodigingstraject. Maar een security incident in april 2019 deed anders vermoeden. Er was sprake van een verstoring in de beveiliging, waardoor ongeautoriseerde toegang tot het systeem mogelijk werd. Bij nader onderzoek zei Evite dat de inbreuk leidde tot aantasting van persoonlijke gegevens van gebruikers, waaronder namen, inlogdata als wachtwoorden, geboortedata, telefoonnummers en adressen. De gestolen database werd gedumpt op illegale online markten met een verkoopprijs van .2419 Bitcoin, ofwel $ 1.916.

Later verklaarde Evite dat de inbreuk een inactief gegevensopslagbestand betrof. Het bestand had weliswaar betrekking op Evitegebruikersaccounts, maar zou uitsluitend gegevens van voor 2013 bevatten. 'Direct nadat Evite op de hoogte was van het lek’, verklaarde het bedrijf, ‘zijn er stappen gezet om de aard en de omvang van het probleem vast te stellen.’ Er werd geconstateerd dat er geen persoonsnummers of betalingsinformatie was achterhaald, omdat het eerste niet wordt gevraagd en het laatste niet wordt opgeslagen.

Naast de 'stappen' die Evite nam om het lek te dichten, adviseerde het zijn gebruikers om wachtwoorden te wijzigen, accounts zelf te controleren op verdachte activiteiten, niet op bedenkelijke koppelingen te klikken en voorzichtig om te springen met het delen van persoonlijke informatie.

3. Facebook

Facebookgebruikers lijken al gewend te raken aan het voortdurende risico van gegevensblootstelling. Dit als gevolg van een alsmaar groter aantal apps en programma’s dat toegang heeft tot onvoorstelbaar veel persoonlijke informatie.

Lang niet alle 'derde' partijen – die profiteren van een samenwerking met Facebook - slaan gebruikersgegevens op beveiligde servers op, wat kan leiden tot enorme datalekken. Zo bleek in april 2019, toen het UpGuard Cyber Riskteam meldde dat digitaal mediabedrijf Cultura Colectiva meer dan 540 miljoen persoonlijke records van gebruikers had achtergelaten op een openbaar toegankelijke server.

Rond diezelfde periode werd ook een ander – hetzij kleinere – datalek ontdekt. Nóg zorgwekkender dan zijn voorganger. Een op Facebook geïntegreerde app, genaamd 'At the Pool', ontblootte de wachtwoorden van meer dan 22.000 gebruikers via een back-up in een Amazon S3-bucket, waarin de wachtwoorden werden opgeslagen als platte tekst. Aangezien veel gebruikers de neiging hadden om steeds dezelfde wachtwoorden te gebruiken voor diverse apps, konden kwaadwillende entiteiten kinderlijk gemakkelijk toegang krijgen tot tienduizenden Facebook-accounts.

Facebook stelde dat het betreffende platform werd verwijderd en het risico tot gegevensverlies adequaat probeerde te verlagen. Onder andere door een uniek cijfer aan elk Facebook-ID te koppelen, waardoor het moeilijk wordt om de betreffende gebruiker te vinden. Later in het jaar bleek dat ook deze gegevens makkelijk te kraken waren door schamele beveiliging op een server die niet door Facebook zelf werd beheerd. Komt bekend voor. Zelfs nog in de herfst van 2019 werd er een datalek ontdekt dat privéinformatie van 29 miljoen gebruikers blootlegde.

Het bedrijf heeft in de loop der jaren te maken gehad met tal van privacykwesties, waaronder het Cambridge Analytica-schandaal, dat leidde tot een schikking van $ 5 miljard.

4. De Nederlandse Gezondheidszorg

De cyberbeveiliging van ziekenhuizen in Nederland laat ruimte over voor verbetering. Deze ruimte is groot genoeg om onvoldoende beschermd te zijn voor aanvallen van hackers, wat mogelijk kan leiden tot datalekken. Gevoelige informatie uit patiëntendossiers sijpelden langs de naden van 28 door Cybersprint onderzochte Nederlandse ziekenhuizen. Elke instantie toonde een zekere mate van kwetsbaarheden in hun cyberbeveiliging. In sommige gevallen was de situatie dusdanig kritiek te noemen dat een stante pede interventie genoodzaakt bleek om rampspoed te vermijden. Zo bleken babycams bijzonder vatbaar voor kraken, aangezien deze eerder wel dan niet op fabrieksinstellingen gebruikt werden.

In één van de kleinere gevallen was 25 procent van de software verouderd. Daarnaast hadden vijf van de tien grootste ziekenhuizen niet al hun software geüpdatet, wat het uitermate makkelijk maakt voor cybercriminelen om in het systeem te sluipen. Wat opvalt is dat de onderzochte kleinere ziekenhuizen beduidend beter scoorden en geen verouderde software gebruikten.

Bijna een derde van het totaalaantal Nederlandse datalekken vond in 2019 in de gezondheidszorg plaats. Bijna 30 procent van de 21.000 meldingen was afkomstig uit deze sector. De meeste meldingen werden naar aanleiding van een hack- of phishingaanval gedaan.

Een aanmerkelijke factor voor het aantal datalekken waar hacking of andere vormen van cybercrime aan ten grondslag liggen, zit in het gebrek aan bewustwording. Er is veelal onvoldoende kennis over cybersecurity.

Het treffen van geschikte maatregelen om het risico op datalekken te voorkomen klinkt voor deskundige cybersecuritypartijen als uitermate logisch. Echter, het updaten van software, verouderde netwerken vervangen door veilige en nieuwe exemplaren en het faciliteren van gesegmenteerde computernetwerken en –systemen, klinken voor de gezondheidssector eerder provocerend.

Bij beveiligingsincidenten is het meest makkelijke en laagdrempelige devies van de Autoriteit Persoonsgegevens (AP) kort maar krachtig: 'gebruik beveiligde instellingen voor smart- of IoT apparaten!’. De kraan dichtdraaien is een oplossing. Punt is dat je vervolgens staat te dweilen. Staat die kraan überhaupt nooit open, dan ben je in elk opzicht beter af. Op naar een beter 2020!