5 recente inbreuken op de gegevens die mogelijk uw gegevens in gevaar hebben gebracht
Datalekken maken deel uit van het meubilair van onze digitale levens. Er gaat amper een dag voorbij zonder dat een ander bedrijf uw gegevens lekt. En hoewel deze evenementen steeds gewoner worden, veranderde er ook in 2018 iets anders.
De implementatie van de algemene gegevensbeschermingsverordening van de EU (GDPR) betekent dat bedrijven zich nu verplichten om inbreuken binnen 72 uur te melden. Het kan moeilijk zijn om alle nieuwste hacks bij te houden, dus hebben we enkele van de meest opmerkelijke schendingen van het jaar afgerond.
1. Onder pantser
Betreffende gebruikers: 150 miljoen
Blootgestelde gegevens: Gebruikersnamen, e-mailadressen en gehashte wachtwoorden
Voor veel mensen over de hele wereld is de app voor het volgen van het dieet en sporten MyFitnessPal (MFP) een dagelijkse metgezel tijdens hun fitnessreis. Dus het was een kleine verrassing toen het sportkledingbedrijf Under Armour MFP aanschafte als onderdeel van hun digitale aanbod. In maart 2018 bracht Under Armour (UA) een verklaring uit dat MyFitnessPal was gecompromitteerd, met de gebruikersnamen, e-mailadressen en gehashte wachtwoorden van de 150 miljoen gebruikers van de app die werden blootgesteld.
Het bedrijf reageerde snel. Binnen vier dagen na kennis te hebben genomen van de inbreuk, heeft MyFitnessPal een e-mailupdate gestuurd naar alle gebruikers en een FAQ-website samengesteld. Ze adviseerden dat alle gebruikers hun wachtwoord onmiddellijk zouden veranderen en dat ze dat enigszins vaag zouden blijven doen, “verbeteringen aanbrengen in [hun] systemen om ongeoorloofde toegang tot gebruikersinformatie te detecteren en te voorkomen.”
Op het eerste gezicht lijkt het erop dat Under Armor het goed deed bij zijn gebruikers. Hoewel sommige wachtwoorden zijn gehasht met behulp van bcrypt-een proces om uw wachtwoord te transformeren in een onleesbare reeks tekens Elke beveiligde website doet dit met uw wachtwoord Elke beveiligde website doet dit met uw wachtwoord Hebt u zich ooit afgevraagd hoe websites uw wachtwoord beschermen tegen gegevens inbreuken? Lees meer: de anderen hadden niet zoveel geluk. Hoewel ze de cijfers niet openbaarden, werd een deel van de substantiële gebruikersbasis van MFP alleen beschermd met SHA-1, algemeen beschouwd als de zwakste vorm van hashing.
Hoewel het lek vroeg in het jaar gebeurde, vanaf september 2018, waren er geen verdere updates over de oorzaak van de overtreding of hoe UA toekomstige aanvallen wilde voorkomen. Het bedrijf heeft ook niet gespecificeerd of zij SHA-1 hashing zullen blijven gebruiken.
2. British Airways
Betreffende gebruikers: Onbekend
Blootgestelde gegevens: Persoonlijke en financiële gegevens van de klant
Toen de zomer begin september ten einde liep, zei de grootste Britse luchtvaartmaatschappij, British Airways (BA), dat ze dringend onderzoek deden naar de diefstal van klantinformatie. Op hun website met incidentinformatie zei het bedrijf dat de diefstal is getroffen “klanten die boekingen of wijzigingen in hun boekingen maakten [...] tussen 22:58 BST 21 augustus 2018 en 21:45 BST 5 september 2018.” De gestolen gegevens omvatten namen, e-mailadres, factuuradres en bankkaartgegevens.
Als je een van de ongelukkige slachtoffers van de aanval was, heeft BA beloofd dat je niet uit eigen zak zult komen als een direct gevolg van de diefstal. Het is echter vermeldenswaard dat ze niet hebben gezegd wat ze a beschouwen “direct resultaat.” In de dagen na de bekendmaking meldde The Register dat een extern betalingscript mogelijk de schuld was van de aanval. Het beveiligingsbedrijf RiskIQ zei dat de aanval waarschijnlijk werd uitgevoerd door een groep die bekend stond als Magecart, die eerder in 2018 verantwoordelijk was voor een zeer vergelijkbare aanval op Ticketmaster..
Iets meer dan een jaar vóór de aanval bevond BA zich ook in het midden van een massale stroomstoring bij de computer. Het falen bracht de IT-systemen van het bedrijf tot stilstand, richtte alle vliegtuigen op en treft duizenden passagiers. Ondanks de krantenkoppen over de hele wereld, heeft BA weinig gezegd over de oorzaak van de ongekende stroomuitval.
3. TypeForm
Betreffende gebruikers: Onbekend
Blootgestelde gegevens: Enquêtegegevens inclusief persoonlijk identificeerbare informatie
Als u de afgelopen jaren een online enquête heeft ingevuld, hebt u waarschijnlijk de website voor het verzamelen van gegevens Typeform gebruikt. Hun enquêtes zijn populair bij bedrijven omdat ze eenvoudig in te stellen en gebruiksvriendelijk zijn. De klanten van Typeform zijn bedrijven, geen eindgebruikers. Dus toen het bedrijf in juni 2018 een inbreuk ontdekte, waarschuwden ze hun klanten.
De site voor incidentreacties van Typeform ontbeert details en richt zich op hoe bedrijven klanten over de openbaarmaking moeten vertellen. Het enige wat we van de overtreding van Typeform weten, is dat het het gevolg was van ongeautoriseerde toegang tot een gedeeltelijke back-up van 3 mei 2018. Hoewel het niet duidelijk is hoe ver terug die gegevens zich uitstrekken. Aangezien Typeform ervoor heeft gekozen om geen gedetailleerde uitsplitsing te geven, is het totale aantal getroffen ook onduidelijk.
De lijst met organisaties die bij de inbreuk betrokken zijn, is echter vrij uitgebreid. Britse retailers Fortnum & Mason, en John Lewis waren onder de getroffen, samen met de Australische bakkerijketen Bakers Delight. Andere bekende slachtoffers zijn Airtasker, Rencore, PostShift, Revolut, Middlesex University Student's Union, Monzo, de Tasmaanse verkiezingscommissie, Travelodge en de Britse liberaal-democraten..
4. Exactis
Betreffende gebruikers: 340 miljoen
Blootgestelde gegevens: Alles denkbaar, minus sociale voorzieningen en creditcardnummers
In onze moderne economie ruilen wij onze gegevens in voor gratis producten en online diensten. Er is echter een groeiende beweging tegen dit soort gegevensverzameling. Ze verwijzen minachtend naar de praktijk als Surveillance Capitalism. Dit sentiment is nog populairder geworden in de nasleep van de Equifax-hack uit 2017 Equihax: een van de meest calamitische inbreuken aller tijden Equihax: een van de meest calamitische inbreuken aller tijden De schending van Equifax is de gevaarlijkste en beschamende inbreuk op de beveiliging van altijd. Maar weet jij alle feiten? Ben je getroffen? Wat kun je eraan doen? Ontdek hier. Lees meer en Facebook Cambridge Analytica Scandal Facebook richt zich op Cambridge Analytica Scandal Facebook adressen van Cambridge Analytica Scandal Facebook is verwikkeld in wat bekend staat als het Cambridge Analytica-schandaal. Na een paar dagen stil te zijn geweest, heeft Mark Zuckerberg nu de opgeworpen problemen behandeld. Lees verder . Je was waarschijnlijk verrast dat Equifax gedetailleerde informatie over jou achter je rug verzamelde. Helaas zal je niet te geschrokken zijn om te horen dat ze niet de enige zijn.
In juni gebruikte beveiligingsonderzoeker Vinny Troia de computerzoekmachine Shodan om een database met 340 miljoen records te vinden. De database werd onbeveiligd gelaten op een publiek beschikbare server door het marketingbedrijf Exactis. Terwijl de 145,5 miljoen records van de Equifax-hack breed worden verspreid, heeft de Exactis-database die op 340 miljoen records overschaduwd. In tegenstelling tot de geaggregeerde Equifax-gegevens, werd de Exactis-database echter gevonden door een beveiligingsonderzoeker. Er is momenteel geen bewijs dat het kwaadwillig is benaderd.
Exatis is een datamakelaar die onze persoonlijke informatie verhandelt, en dat is hoe ze in het bezit kwamen van bijna 214 miljoen individuen en 110 miljoen bedrijfsgegevens. Volgens WIRED waren de records inbegrepen “meer dan 400 variabelen over een breed scala van specifieke kenmerken: of de persoon rookt, zijn religie, of ze honden of katten hebben en interesses zo divers als duiken en plus-size kleding.”
Er is hier echter een zilveren voering. Ondanks de fenomenale hoeveelheid identificeerbare gegevens bevatten ze, in tegenstelling tot Equifax, geen financiële informatie. Als blijkt dat een kwaadwillende partij wel toegang tot de database heeft gekregen, zijn er voldoende mogelijkheden voor social engineering. Hoe u uzelf kunt beschermen tegen deze 8 Aanvallen tegen sociale technologie Hoe u uzelf kunt beschermen tegen deze 8 Aanvallen tegen sociale technologie Welke technieken voor social engineering zou een hacker gebruiken? en hoe zou je jezelf tegen hen beschermen? Laten we een paar van de meest voorkomende aanvalsmethoden eens bekijken. Lees verder .
5. Timehop
Betreffende gebruikers: 21 miljoen
Blootgestelde gegevens: Namen, e-mailadressen, geboortedata, geslacht, landcodes en telefoonnummers
Onze collectieve nostalgie naar vervlogen jaren is big business geworden. Geen enkel bedrijf heeft meer kunnen profiteren van deze liefde voor het verleden dan Timehop. De Timehop-app maakt verbinding met je sociale netwerken en keert terug naar je oude berichten om je te herinneren aan wat je aan het doen was op deze dag in het verleden. In juli 2018 kondigde Timehop aan dat het een netwerkintrusie op Onafhankelijkheidsdag had onderbroken.
Ondanks het stoppen van de aanval in iets meer dan twee uur, kon de indringer veel gegevens verzamelen. Helaas omvatte dit namen, e-mailadressen, geboortedata, geslacht en in sommige gevallen telefoonnummers van de 21 miljoen gebruikers van de app. Ze konden echter voorkomen dat de aanvaller toegang zou krijgen tot berichten op sociale media en privéberichten.
De aanvaller slaagde er wel in om opgeslagen OAuth2-sleutels te openen die toegang verlenen tot de verbonden sociale netwerken van een gebruiker. Voordat hij de inbreuk bekendmaakte, werkte Timehop met de sociale netwerken om deze sleutels te deactiveren, waardoor gebruikers gedwongen werden om opnieuw verbonden accounts opnieuw te verifiëren..
In tegenstelling tot veel van hun tijdgenoten, was hun incident-website duidelijk gepresenteerd. De aanval werd zowel in technische als in duidelijke bewoordingen verklaard. Ze leverden zelfs een gemakkelijk verteerbare tabel van de combinaties van toegang tot gegevens en hoeveel mensen werden getroffen. Dit zal natuurlijk net zo weinig troost bieden aan de 21 miljoen slachtoffers van de nostalgische app.
Bescherm uzelf tegen de volgende gegevensbreuk
Diensten die we ooit als veilig beschouwden, worden in rap tempo ontrafeld, mede dankzij hun slechte beveiligingspraktijken. Je kunt je zelfs afvragen of ergens op internet veilig is. Vooral gezien hoe vaak het verzamelen van gegevens uw persoonlijke gegevens heeft blootgelegd. Als u bang bent dat er iets mis is, moet u controleren of uw online accounts zijn gehackt.
De verantwoordelijkheid om u te beschermen komt aan de voeten van de getroffen bedrijven. Er zijn echter manieren om uw cyberhygiëne te verbeteren Verbeter uw cyberhygiëne in 5 eenvoudige stappen Verbeter uw cyberhygiëne in 5 eenvoudige stappen In de digitale wereld is 'cyberhygiëne' net zo belangrijk als persoonlijke hygiëne in de echte wereld. Regelmatige systeemcontroles zijn nodig, samen met nieuwe, veiligere online gewoonten. Maar hoe kunt u deze veranderingen aanbrengen? Lees Meer dat je verdediging zal versterken. Wachtwoorden zijn een van onze grootste hoofdpijn, maar er is goed nieuws. U hoeft misschien niet al te lang te wachten voordat we beginnen met het zien van spannende wachtwoordalternatieven No More Leaks? 3 opwindende wachtwoorden Alternatieven die binnenkort beschikbaar zijn Geen mankementen meer? 3 spannende wachtwoord-alternatieven die binnenkort verkrijgbaar zijn Wachtwoordbeveiliging kan een eindeloze strijd lijken. Gelukkig werken sommigen aan beveiligingsmethoden die wachtwoorden kunnen vervangen. Meer lezen raakt de mainstream.
Image Credit: stevanovicigor / DepositPhotos
Meer informatie over: Security Breach.