post

Datalekken zijn sinds enkele jaren vrijwel dagelijkse kost en een hot topic. Wikileaks is er wereldberoemd mee geworden en afhankelijk van het type lek en de manier waarop de data verkregen is wordt er zowel gesproken van crimineel gedrag als van heldendaden. Helaas voor veel bedrijven en consumenten blijven datalekken niet voorbehouden aan overheden. Ook jij en ik kunnen er slachtoffer van zijn of worden.

Wees niet bang. Ik ga niet het zoveelste angst zaaiende verhaal houden over het belang van IT security. In plaats daarvan neem ik je een stukje mee terug in de tijd, naar de avond dat ik Troy Hunt mocht ontmoeten. Ik hoor je al denken: wie is dat? Nou, dat is de eigenaar en bedenker van de website haveibeenpwnd.com. Daarnaast is Troy MVP op het gebied van online security en cloud development. Los van de interessante inhoud van zijn presentatie moet ik je eerst vertellen dat het echt een super coole Australiër is die als geen ander weet hoe je een presentatie geeft. Hij speelt met het publiek, weet super goed om te gaan met feedback uit de zaal en kent bovendien zijn materiaal tot in de puntjes. Bij elke opmerking of vraag weet hij uit voorgaande presentaties tot op de slide nauwkeurig informatie te vinden die zijn antwoord versterkt. Hij switcht daarbij tussen filmpjes, webpagina’s en slides zonder er bij na te hoeven denken. Het zijn demo’s waar iedereen wel wat van kan leren!

Oké, maar waar ging zijn presentatie dan over? De titel luidt: “Billions of Breached Records by Troy Hunt”. Troy doet al jaren onderzoek naar datalekken. Een datalek is een (on)bewuste vrijgave van vertrouwelijke of privé informatie naar een onveilige locatie. Denk hierbij aan gestolen databases met wachtwoorden en creditcard-informatie die bijvoorbeeld op het eerder genoemde Wikileaks wordt gepubliceerd. Na al die jaren van onderzoeken heeft Troy enorm veel geleerd en dat wil hij graag delen met de wereld. Hij weet op een hele leuke manier allerlei fouten aan te wijzen die de onveiligheid van data aangeven en hoe bedrijven, maar ook de pers daarmee omgaan. Troy zoekt naar datalekken en meldt zich bij de slachtoffers om advies te geven en zijn hulp aan te bieden. Daarbij download hij zelf ook de gelekte data om die vervolgens te analyseren en te indexeren. Zo kun je als gebruiker je e-mail adres of gebruikersnaam op de website van haveibeenpwnd.com invullen om na te gaan of jouw data óók gestolen is. Als extraatje valideert hij de data ook. Door middel van allerlei foefjes schrijft hij slachtoffers aan om na te gaan of de gestolen data ook daadwerkelijk bij de persoon hoort en klopt. Hij gaat dus na of het een legitieme hack is en geen valse melding. Een voorbeeld wat hij gaf was: je stuurt een e-mail naar iemand waarvan de data gestolen is. Je geeft deze persoon de laatste vier cijfers van zijn/haar gestolen creditcardnummer en het slachtoffer moet antwoorden met de eerste 4 cijfers van het creditcard nummer. Op deze manier kan Troy zonder de daadwerkelijke uitwisseling van het creditcardnummer heel goed nagaan of de data daadwerkelijk bij de persoon hoort. Is dit geen inbreuk op de privacy van deze personen? Nee, want de data waar Troy mee werkt staat al zonder toestemming publiekelijk op internet gedeeld, dus het slachtoffer dient de creditcard sowieso te vervangen.

De ontkenningsfase

Naar aanleiding van bovenstaande voorbeeld deelt Troy tijdens zijn presentatie tal van ervaringen die hij heeft opgedaan tijdens zijn onderzoekswerk. Zo kwam hij bedrijven op het spoor die ontkenden dat ze onveilig zijn of (on)bewust allerlei persoonlijke gegevens publiekelijk delen via hun website. Vervolgens werden er soms zeer opmerkelijke verklaringen afgelegd over de vermeende beveiliging van de omgeving. Zo ontdekte hij een website waar je met wat simpel klikwerk en het raden van een e-mailadres de namen en huisadressen van klanten op je scherm kunt toveren. De verklaring van het achterliggende bedrijf was dat ze hun website met een SSL-certificaat beveiligd hebben en dat de data dus niet door anderen te lezen is.

Uiteraard niet het goede antwoord, maar wat kun je als bedrijf dan wel doen als je, uiteraard niet bewust, gegevens lekt of hebt gelekt? Troy geeft hier het advies: zet, net als Tesla, een onderdeel op je website waar mensen zich kunnen melden als ze een datalek van jou constateren of vermoeden. Over het algemeen weten bedrijven namelijk helemaal niet dat er data gestolen is of gestolen kan worden. De beste manier om er vervolgens mee om te gaan is om te bekennen, sorry te zeggen en uiteraard passende verbetermaatregelen te nemen. Uit analyse van eerdere datalekken blijkt dat bedrijven op deze manier te werk gaan nauwelijks last hebben van de betreffende datalekken, denk bijvoorbeeld aan imagoschade

Meer weten?
Wil je een opgenomen sessie van Troy bekijken? Neem dan vooral eens een kijkje op de pagina waar hij er een aantal deelt:
https://www.troyhunt.com/recorded-talks/

Benieuwd of jij ook gehackt bent? Vul dan je inlognaam of e-mail adres in op:
https:// haveibeenpwnd.com/

Leave a comment