5 Recente datalekken die uw gegevens mogelijk in gevaar hebben gebracht
Advertentie
Datalekken maken deel uit van het meubilair van ons digitale leven. Er gaat nauwelijks een dag voorbij zonder dat een ander bedrijf uw gegevens lekt. En hoewel deze evenementen meer gemeengoed worden, veranderde er ook iets anders in 2018.
De implementatie van de Algemene Verordening Gegevensbescherming (AVG) van de EU houdt in dat bedrijven zich nu verbinden om inbreuken binnen 72 uur te melden. Het kan moeilijk zijn om de nieuwste hacks bij te houden, dus we hebben een aantal van de meest opvallende inbreuken van het jaar afgerond.
1. Onder pantser
Betrokken gebruikers: 150 miljoen
Blootgestelde gegevens: gebruikersnamen, e-mailadressen en gehashte wachtwoorden
Voor veel mensen over de hele wereld is de app MyFitnessPal (MFP) voor het volgen van dieet en lichaamsbeweging een dagelijkse begeleider op hun fitnessreis. Het kwam dus niet als een verrassing toen het sportkledingbedrijf Under Armour MFP overnam als onderdeel van hun digitale aanbod. In maart 2018 heeft Under Armour (UA) een verklaring uitgegeven dat MyFitnessPal is gecompromitteerd, met de gebruikersnamen, e-mailadressen en gehashte wachtwoorden van de 150 miljoen gebruikers van de app.
Het bedrijf heeft snel gehandeld. Binnen vier dagen na het leren over de inbreuk stuurde MyFitnessPal een e-mailupdate naar alle gebruikers en stelde een FAQ-website samen. Ze adviseerden alle gebruikers onmiddellijk hun wachtwoord te wijzigen en dat ze, enigszins vaag, zouden blijven 'verbeteringen aanbrengen aan [hun] systemen om ongeautoriseerde toegang tot gebruikersinformatie te detecteren en te voorkomen.'
Op het eerste gezicht lijkt het alsof Under Armour het goed doet door zijn gebruikers. Hoewel sommige wachtwoorden werden gehasht met behulp van bcrypt - een proces om uw wachtwoord om te zetten in een onleesbare reeks tekens Elke beveiligde website doet dit met uw wachtwoord Elke beveiligde website doet dit met uw wachtwoord Hebt u zich ooit afgevraagd hoe websites uw wachtwoord beschermen tegen gegevens inbreuken? Lees meer - moeders hadden niet zoveel geluk. Hoewel ze de cijfers niet onthulden, werd een deel van het substantiële gebruikersbestand van MFP alleen beschermd met SHA-1, algemeen beschouwd als de zwakste vorm van hashing.
Hoewel het lek vroeg in het jaar plaatsvond, vanaf september 2018, waren er geen verdere updates over de oorzaak van de inbreuk of hoe UA toekomstige aanvallen hoopt te voorkomen. Het bedrijf heeft ook niet gedetailleerd of ze SHA-1-hashing zullen blijven gebruiken.
2. British Airways
Betrokken gebruikers: onbekend
Blootgestelde gegevens: persoonlijke en financiële gegevens van de klant
Toen de zomer begin september ten einde liep, zei de grootste luchtvaartmaatschappij van het Verenigd Koninkrijk, British Airways (BA), dat ze dringend onderzoek deden naar diefstal van klantinformatie. Op hun website met informatie over incidenten zei het bedrijf dat de diefstal van invloed was op "klanten die boekingen hebben gemaakt of hun boekingen hebben gewijzigd [...] tussen 22:58 BST 21 augustus 2018 en 21:45 BST 5 september 2018." De gestolen gegevens omvatten namen, e-mailadres, factuuradres en bankkaartgegevens.
Als je tot de ongelukkige slachtoffers van de aanval behoorde, heeft BA beloofd dat je niet uit eigen zak zult zijn als direct gevolg van de diefstal. Het is echter vermeldenswaard dat ze niet hebben gezegd wat zij als een "direct resultaat" beschouwen. In de dagen na de bekendmaking meldde het register dat een extern betalingsscript mogelijk de schuld was van de aanval. Het beveiligingsbedrijf RiskIQ zei dat de aanval waarschijnlijk werd uitgevoerd door een groep die bekend staat als Magecart, die eerder in 2018 verantwoordelijk waren voor een zeer vergelijkbare aanval op Ticketmaster.
Iets meer dan een jaar voor de aanval stond BA ook in het middelpunt van een enorme stroomuitval. Het falen bracht de IT-systemen van het bedrijf tot stilstand, waarbij alle vliegtuigen werden geaard en duizenden passagiers werden getroffen. Ondanks het wereldwijd halen van krantenkoppen, heeft BA weinig gezegd over de oorzaak van de ongekende stroomuitval.
3. TypeForm
Betrokken gebruikers: onbekend
Blootgestelde gegevens: onderzoeksgegevens, inclusief persoonlijk identificeerbare informatie
Als u de afgelopen jaren een online enquête hebt ingevuld, hebt u waarschijnlijk de website Typeform voor gegevensverzameling gebruikt. Hun enquêtes zijn populair bij bedrijven omdat ze eenvoudig in te stellen en gebruiksvriendelijk zijn. De klanten van Typeform zijn bedrijven, geen eindgebruikers. Dus toen het bedrijf in juni 2018 een inbreuk ontdekte, waarschuwden ze hun klanten.
De incidentresponssite van Typeform mist details en richt zich op hoe bedrijven klanten over de openbaarmaking moeten informeren. Het enige wat we weten over de inbreuk van Typeform is dat het het gevolg was van ongeautoriseerde toegang tot een gedeeltelijke back-up van 3 mei 2018. Hoewel het niet duidelijk is hoe ver terug die gegevens zich uitstrekken. Omdat Typeform ervoor heeft gekozen geen gedetailleerde uitsplitsing te geven, is het totale aantal ook onduidelijk.
De lijst met organisaties die in de bres zitten, is echter vrij uitgebreid. Britse retailers Fortnum & Mason en John Lewis behoorden tot de getroffenen, samen met de Australische bakkerijketen Bakers Delight. Andere bekende slachtoffers zijn Airtasker, Rencore, PostShift, Revolut, Middlesex University Student's Union, Monzo, de Tasmanian Electoral Commission, Travelodge en de Britse liberale democraten.
4. Exactis
Betrokken gebruikers: 340 miljoen
Blootgestelde gegevens: alles denkbaar, min sociale zekerheid en creditcardnummers
In onze moderne economie ruilen we onze gegevens in ruil voor gratis producten en online services. Er is echter een groeiende beweging tegen dit soort gegevensverzameling. Ze verwijzen minachtend naar de praktijk als Surveillance Capitalism. Dit sentiment is nog populairder geworden in de nasleep van de Equifax-hack Equihax van 2017: een van de meest rampzalige inbreuken aller tijden Equihax: een van de meest rampzalige inbreuken aller tijden De Equifax-inbreuk is de gevaarlijkste en meest beschamende inbreuk op de beveiliging van altijd. Maar ken je alle feiten? Ben je getroffen? Wat kunt u eraan doen? Ontdek het hier. Lees meer en Facebook's Cambridge Analytica Scandal Facebook richt zich op de Cambridge Analytica Scandal Facebook richt zich op de Cambridge Analytica Scandal Facebook is verwikkeld in wat bekend staat als het Cambridge Analytica-schandaal. Na een paar dagen stil te zijn geweest, heeft Mark Zuckerberg nu de problemen aangepakt. Lees verder . Je was waarschijnlijk verrast dat Equifax achter je rug gedetailleerde informatie over jou had verzameld. Helaas zul je niet te geschokt zijn om te horen dat zij niet de enige waren.
In juni gebruikte beveiligingsonderzoeker Vinny Troia de computerzoekmachine Shodan om een database met 340 miljoen records te ontdekken. De database werd onbeveiligd achtergelaten op een openbare server door het marketingbedrijf Exactis. Terwijl de 145, 5 miljoen records van de Equifax-hack wijdverspreid werden ontvangen, overschaduwde de Exactis-database dat met 340 miljoen records. In tegenstelling tot de geaggregeerde Equifax-gegevens werd de Exactis-database echter gevonden door een beveiligingsonderzoeker. Er is momenteel geen bewijs dat er kwaadwillig toegang toe is verkregen.
Exatis is een gegevensbemiddelaar die handelt in onze persoonlijke informatie, waardoor ze in het bezit kwamen van bijna 214 miljoen personen en 110 miljoen zakelijke gegevens. Volgens WIRED bevatten de records "meer dan 400 variabelen over een breed scala van specifieke kenmerken: of de persoon rookt, hun religie, of ze honden of katten hebben, en interesses zo gevarieerd als duiken en grote maten kleding."
Er is hier echter een zilveren voering. Ondanks de fenomenale hoeveelheid identificeerbare gegevens, in tegenstelling tot Equifax, hadden ze geen financiële informatie. Als echter blijkt dat een kwaadwillende partij toegang heeft gehad tot de database, zijn er tal van mogelijkheden voor social engineering. Hoe bescherm je jezelf tegen deze 8 Social Engineering-aanvallen? Hoe bescherm je jezelf tegen deze 8 Social Engineering-aanvallen Welke social engineering-technieken zou een hacker gebruiken? en hoe zou je jezelf ertegen beschermen? Laten we eens kijken naar enkele van de meest voorkomende aanvalsmethoden. Lees verder .
5. Timehop
Betrokken gebruikers: 21 miljoen
Blootgestelde gegevens: namen, e-mailadressen, geboortedata, geslacht, landcodes en telefoonnummers
Onze jarenlange collectieve heimwee is big business geworden. Geen enkel bedrijf heeft meer van deze liefde uit het verleden kunnen profiteren dan Timehop. De Timehop-app maakt verbinding met uw sociale netwerken en verschijnt opnieuw in uw oude berichten om u te herinneren aan wat u op deze dag in het verleden deed. In juli 2018 kondigde Timehop aan dat het een netwerkinbraak op Independence Day had onderbroken.
Ondanks het stoppen van de aanval in iets meer dan twee uur, kon de indringer veel gegevens opnemen. Helaas omvatte dit namen, e-mailadressen, geboortedata, geslacht en in sommige gevallen telefoonnummers van de 21 miljoen gebruikers van de app. Ze konden echter voorkomen dat de aanvaller toegang kreeg tot berichten op sociale media en privéberichten.
De aanvaller slaagde erin om opgeslagen OAuth2-sleutels te krijgen, die toegang verlenen tot de verbonden sociale netwerken van een gebruiker. Voordat de inbreuk werd bekendgemaakt, werkte Timehop samen met de sociale netwerken om deze sleutels te deactiveren, waardoor gebruikers werden gedwongen om verbonden accounts opnieuw te authenticeren.
In tegenstelling tot veel van hun tijdgenoten werd hun incidentwebsite duidelijk gepresenteerd. De aanval werd zowel technisch als eenvoudig uitgelegd. Ze boden zelfs een gemakkelijk verteerbare tabel van de combinaties van geopende gegevens en hoeveel mensen werden getroffen. Natuurlijk zal dit de 21 miljoen slachtoffers van de nostalgische app net zo weinig comfort bieden.
Bescherm uzelf tegen de volgende datalek
Diensten die we ooit als veilig beschouwden, worden snel ontrafeld, mede dankzij hun slechte beveiligingspraktijken. Je kunt je zelfs afvragen of ergens op internet veilig is. Vooral gezien hoe vaak het verzamelen van gegevens uw persoonlijke informatie heeft blootgelegd. Als u zich zorgen maakt dat er iets mis is, moet u controleren of uw online accounts zijn gehackt.
De verantwoordelijkheid om u te beschermen ligt bij de getroffen bedrijven. Er zijn echter manieren om uw cyberhygiëne te verbeteren Verbeter uw cyberhygiëne in 5 eenvoudige stappen Verbeter uw cyberhygiëne in 5 eenvoudige stappen In de digitale wereld is "cyberhygiëne" even belangrijk als persoonlijke persoonlijke hygiëne. Regelmatige systeemcontroles zijn nodig, samen met nieuwe, veiligere online gewoonten. Maar hoe kunt u deze wijzigingen aanbrengen? Lees meer om uw verdediging te versterken. Wachtwoorden zijn een van onze grootste hoofdpijn, maar er is goed nieuws. Misschien hoef je niet te lang meer te wachten voordat we spannende alternatieven voor je wachtwoord beginnen te zien Geen lekken meer? 3 spannende wachtwoordalternatieven die binnenkort beschikbaar zijn Geen lekken meer? 3 Spannende alternatieven voor wachtwoorden die binnenkort beschikbaar zijn Wachtwoordbeveiliging kan een eindeloze strijd zijn. Gelukkig zijn er sommigen die werken aan beveiligingsmethoden die wachtwoorden kunnen vervangen. Lees meer raak de mainstream.
Image Credit: stevanovicigor / DepositPhotos
