De afgelopen maanden zal het vrijwel niemand zijn ontgaan dat er sprake was van veel nieuwe datalekken. Het waren lekken in zowel Nederland als op wereldwijde platformen. Hierdoor zijn miljoenen mensen getroffen. In dit artikel zetten we de belangrijkste incidenten op een rij. En lichten we vervolgens toe wat de impact kan zijn.
Henri Beek
Door de datalekken kwam gevoelige informatie zomaar op straat te liggen, van e-mailadressen tot bankrekeningnummers. De incidenten op een rij.
Februari 2021 – Allekabels & Ticketcounter
Op 5 februari laat de webwinkel Allekabels.nl weten dat 5000 klanten zijn getroffen door een datalek bij de webwinkel. In april blijkt echter dat het gaat om 3,6 miljoen klanten. Daarbij zijn e-mailadressen, wachtwoorden, NAW-gegevens, telefoonnummers en ook bankrekeningnummers gestolen en te koop worden aangeboden op een forum. Enkele dagen ervoor meldde ook Ticketcounter een datalek van ongeveer 1,7 miljoen records, waarna onder andere betaalgegevens, geboortedata en NAW-gegevens werden aangeboden op het darkweb.
Lees ook: Worstelen met wachtwoorden
Maart 2021– RDC
Bekend wordt dat een database van RDC, een IT-dienstverlener voor autobedrijven, met NAW- en voertuiggegevens te koop staat op het internet. Het gaat hierbij om NAW-gegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata vermeld in 7,3 miljoen records, waarvan 2,5 miljoen e-mailadressen.
April 2021 – Facebook, LinkedIn en Clubhouse
De gegevens van Facebook uit een eerder datalek uit 2019 worden te koop aangeboden, maar zijn enkele uren daarna ook openbaar te vinden. Het gaat hierbij om de namen, locaties, geboortedata en in sommige gevallen ook telefoonnummers en e-mailadressen van 553 miljoen Facebook-gebruikers.
Bij LinkedIn gaat het om data van ongeveer 700 miljoen LinkedIn-gebruikers. Hierbij gaat het niet om gelekte data, maar om data die gescraped is van de publieke profielen. Het gaat om data als namen, functies, geboortedata, e-mailadressen, links naar profielen en andere socialemedia-accounts en de werk- en educatiehistorie. Om over de e-mailadressen en wachtwoorden die al bij LinkedIn enkele jaren geleden ontvreemd waren, maar niet te spreken.
Lees ook: Bescherm jezelf tegen ransomware: 7 tips
Data scrapen
Een dag na het lek bij LinkedIn wordt bekend dat ook van 1,3 miljoen Clubhouse-profielen de publieke data is gescraped. Volgens de directeur van Clubhouse gaat het niet om een datalek, maar gaat het om data die voor ieder bedrijf toegankelijk waren via de API van Clubhouse, waaronder het ID-nummer, de (gebruikers)naam, links naar andere sociale media, volgers en van wie men een uitnodiging tot Clubhouse heeft gekregen.
Technisch gezien betrof het niet in alle gevallen een datalek, zoals de directeur van Clubhouse al aangaf. Soms was er sprake van data die gescraped waren van publieke profielen. Scrapen is een techniek die door organisaties wordt gebruikt om via computersoftware (data van) webpagina’s te kopiëren. Deze data worden dan vaak doorgestuurd naar een zelf opgezette database of RSS-feed om te analyseren. Scrapen is op zichzelf niet verboden, al zijn er platformen zoals LinkedIn die het volgens de eigen algemene voorwaarden niet toestaan.
Tip: Download de gratis whitepaper Cybersecurity
Impact op organisatie
De hier beschreven datalekken kunnen ondanks dat ze niet binnen de eigen organisatie hebben plaatsgevonden, wel degelijk een impact hebben op de security van de eigen organisatie, medewerkers of zelfs de supply chain. Hoe kan dat van invloed zijn op het eigen bedrijf?
Een voorbeeld: stel dat uw inkoopafdeling regelmatig kabels bestelt bij de webwinkel Allekabels. Dan houdt dit in dat de afdeling zeer waarschijnlijk een account heeft aangemaakt met daarin gegevens die nodig zijn om te bestellen, zoals adresgegevens, KvK- en/of BTW-nummer en misschien zelfs het bankrekeningnummer of de creditcardgegevens van het bedrijf. Gebruikersgemak gaat immers voor security? Het is daarom belangrijk dat een bedrijf enkele vragen stelt in een dergelijk scenario wanneer het een risicoanalyse maakt:
- Is de boekhouding ervan op de hoogte dat er mogelijk betalingsgegevens gelekt zijn, zodat de medewerkers extra scherp zijn op afschrijvingen of inkomende facturen?
- Welke gegevens stonden er vermeld over de organisatie in het account?
- Heeft een cybercrimineel hierdoor voldoende informatie om namens de organisatie een nepfactuur te verspreiden onder de eigen klanten of leveranciers?
- Moeten zij proactief worden gewaarschuwd?
- Is de inkoopafdeling voldoende getraind om nepfacturen te herkennen van Allekabels nu cybercriminelen weten dat het bedrijf er klant is?
- Het e-mailadres en het wachtwoord dat de inkoopafdeling gebruikt, zijn openbaar. Wordt deze combinatie ook bij andere leveranciers of webwinkels door inkoop gebruikt? En zo ja, is dit intussen gewijzigd?
- Zijn er medewerkers die mogelijk privé gebruik maken van deze webwinkel en zijn zij ook slachtoffer?
- Hebben zij de login-gegevens aangepast en gebruiken ze ditzelfde wachtwoord niet binnen de organisatie om bijvoorbeeld in te loggen in Office365?
Als op een van deze vragen geen geruststellend antwoord te geven is, dan dient er actie te worden ondernomen. Immers, je wilt door een datalek bij een andere organisatie niet zelf slachtoffer worden.
Laten we nog dieper inzoomen op de impact en de mogelijke gevolgen van indirect slachtoffer worden van een datalek.
Onveilige(re) beveiligingsmaatregelen
Door een datalek kunnen zelfs de beveiligingsmaatregelen gevaar lopen die met de beste bedoelingen zijn genomen. Als er een zakelijk telefoonnummer bekend is van een van de medewerkers van het bedrijf, wordt ditzelfde nummer dan misschien ook niet gebruikt voor het ontvangen van de twee-factor-authenticatie-SMS-berichten om in het CRM in te loggen? Uiteraard is het niet zomaar mogelijk om deze te onderscheppen aan de hand van alleen het telefoonnummer, maar ook daar weten cybercriminelen raad mee. Ze maken namelijk gebruik van sim-swapping.
Sim-swapping: een cybercrimineel belt de telecomprovider en doet zich voor als slachtoffer
Bij sim-swapping belt een cybercrimineel de telecomprovider en doet zich voor als slachtoffer om zo het 06-nummer over te laten zetten naar een simkaart die in zijn of haar bezit is. Het lastige is dat een cybercrimineel wel enkele vragen goed moet beantwoorden om zich te identificeren als slachtoffer. Door de data uit het datalek bij Ticketcounter te combineren met de data uit het datalek bij Facebook, is ook deze maatregel vrij eenvoudig te omzeilen. De antwoorden liggen immers voor het oprapen. De uitkomst is dat alle data opeens wordt omgeleid naar de nieuwe simkaart die is gekoppeld aan het telefoonnummer. Dus ook twee-factor-authenticatiecodes die per SMS worden ontvangen.
Het is derhalve beter om gebruik te maken van authenticatie-apps die op een smart device geïnstalleerd kunnen worden of zelfs hardware-tokens voor de extra beveiligingslaag naast een wachtwoord.
Lees ook: Handreiking cybersecuritymaatregelen
Identiteitsfraude met telefoonnummers
Het openbaar worden van telefoonnummers kan soms ook op andere wijze onverwachts impact hebben op de vertrouwelijkheid en de zogenaamde non-repudiation (onweerlegbaarheid) van data. Er wordt vaak toch vertrouwelijke data via WhatsApp gedeeld waarbij men ervan uitgaat dat de persoon achter het telefoonnummer een persoon is die men kent.
Uiteraard is dit enorm te misbruiken voor identiteitsfraude, maar ook kun je zo gevoelige gegevens ontvangen. Cybercriminelen misbruiken dit helaas maar al te graag, alleen gebeurt het bij hen niet per ongeluk, maar door middel van het hiervoor omschreven sim-swapping. Hierdoor is een nieuwe fase aangebroken in de cybercrime-trend die ook wel ‘vriend-in-nood-fraude’ genoemd wordt. Door het instellen van een pincode op WhatsApp kan dit worden voorkomen.
Zes tips
Een datalek bij een organisatie elders kan voor een bedrijf en zijn medewerkers dat een relatie heeft met deze organisatie, vervelende gevolgen hebben. Zes tips om dit te voorkomen:
- Kom in actie bij de melding van een extern datalek. Ook al betreft het een derde partij of een leverancier, de security van uw supply chain kan mogelijk gecompromitteerd zijn of medewerkers van uw organisatie kunnen slachtoffer zijn van het datalek, hetgeen een negatieve impact kan hebben op uw eigen security.
- Monitor datalekken actief. Als u daar zelf geen middelen voor heeft, kunt u dit eenvoudig regelen via websites als scatteredsecrets.com of haveibeenpwned.com.
- Zorg voor bewustwording bij de medewerkers en dwing af op zakelijke telefoons dat er meerdere beveiligingslagen zijn ingesteld. Dit kan met behulp van software.
- Laat medewerkers gebruik maken van een hardware-token of authenticatie-app in plaats van 2FA via SMS.
- Door het instellen van een pincode in WhatsApp kan eenvoudige toegang tot de berichten van u en uw werknemers in WhatsApp en het eenvoudig overzetten van WhatsApp op een ander toestel voorkomen worden.
- Zorg dat u weet wat er aan data van de organisatie publiekelijk staat, schoon deze op indien niet relevant en ga met medewerkers in gesprek over ‘oversharing’. Less is more.
Datalekken, hacks en breaches zijn nooit helemaal te voorkomen, maar door proactief te handelen en op tijd te reageren, blijft de impact beperkt.
Hoeveel data wordt er onbewust gedeeld?
Als laatste is het ook belangrijk om oog te hebben voor de gevaren die publiek toegankelijke data met zich mee brengen. Zoals aan het begin aangegeven, betrof het niet in alle gevallen een echt datalek, maar data die gescraped is van profielen. Hoeveel data van een organisatie staat (gecontroleerd) online en hoeveel data wordt er extra door medewerkers (onbewust) gedeeld?
Hoewel LinkedIn en Facebook vooral privé aangelegenheden zijn, kan het geen kwaad om met medewerkers hierover in gesprek te gaan en ook hieromtrent awareness te creëren. Immers, de combinatie van publiek toegankelijke gegevens van sociale media en een (betaalde) databank als het Kadaster is voldoende om genoeg gegevens te verkrijgen om een identiteitsbewijs op naam te maken.

Een voorbeeld van een pas die speciaal voor dit artikel is
aangemaakt namens Kermit de Kikker.
Darknet
Onder andere op het darknet zijn documentgenerators te vinden waarmee scans of kopieën kunnen worden gemaakt. Bijvoorbeeld van een salarisstrook, een werkgeversverklaring, maar ook een identiteitsbewijs. Het bijzondere is dat men zelfs kan instellen hoeveel ‘ruis’ er in het plaatje aanwezig moet zijn om het een echte kopie te laten lijken. De kwaliteit van de scans is goed genoeg om deze zelfs te laten drukken op een PVC-pasje met alle gevolgen van dien. Hier en daar zitten er wel enkele schoonheidsfoutjes in en uiteraard zal het documentnummer niet kloppen wanneer deze gecontroleerd wordt. Maar bij bijvoorbeeld het huren van een auto is dit wel iets wat opgeschreven wordt, maar niet iets wat real-time gecontroleerd wordt. Om over het afsluiten van abonnementen online nog maar niet te spreken.
Henri Beek is cybersecurity- en OSINT-specialist bij DataExpert
Volg Security Management op LinkedIn