8 minute read
ONDERNEMEN
from VoetVak+ editie 03/04, 2020
by bdu9
Door: Corné Ter Maten
Wat begon met een e-mail van een Netbeauty klant die gehackt dacht te zijn, leidt tot de schokkende ontdekking dat de logins van duizenden beautybedrijven open en bloot op het internet staan. Wat vooral zorgwekkend is, is dat het niet alleen gaat om de logins van salons en praktijken, maar ook om privé-accounts en om de wachtwoorden van grote, bekende partijen, zoals brancheorganisaties en zelfs zorgverzekeraars.
Advertisement
Duizenden wachtwoorden beautybedrijven gehackt
Hoe ernstig dit is en welke stappen je nu moet ondernemen, lees je in dit artikel. Hoe het allemaal heeft kunnen gebeuren? Even terug naar het begin…
‘Help mijn PC is gehackt!’ In september mailde een van onze klanten: ‘Help, mijn PC is gehackt!’, met de vraag of we direct het wachtwoord van haar mail en website konden wijzigen. Na doorvragen bleek dat onze klant een e-mail had gekregen waarin de ‘hacker’ aangaf haar wachtwoord bemachtigd te hebben. Na snel even Googlen, blijkt dit vaker te gebeuren. Vaak gaat dat zo: Vanuit het niets ontvang je een e-mail van een onbekend persoon die zegt je gehackt te hebben. Om dit dreigement kracht bij te zetten, wordt een van je wachtwoorden genoemd. Dit is een wachtwoord dat je daadwerkelijk gebruikt hebt. In hetzelfde bericht wordt vervolgens gedreigd met de verspreiding van gevoelige gegevens, tenzij er met Bitcoins een bedrag betaald wordt. Aan de reactie van onze klant te merken, is dit een aardig effectieve methode. Vooral omdat er een echt wachtwoord genoemd wordt. Hoe zit dit precies?
Database met logins Als jou dit overkomt, is je computer in werkelijkheid vaak helemaal (nog) niet gehackt. In plaats daarvan heb je ooit een account aangemaakt voor een website of app
waarvan de database met logins gehackt is. Deze gestolen logins worden vervolgens gebundeld en in de onderwereld doorverkocht. Soms komt hier zelfs helemaal geen hacken aan te pas, omdat de beheerder van een website simpelweg te lui is geweest om de database met logins überhaupt te beveiligen. Op zich is dat al erg genoeg, maar het wordt erger…
Diensten die jij en ik dagelijks gebruiken Dat je wachtwoord achterhaald kan worden wanneer je jezelf registreert op een schimmige website, of wanneer je vergeet uit te loggen in een buitenlands internetcafé, dat weten we allemaal wel. Maar zolang je geen gekke dingen doet, hoef je je nergens zorgen om te maken. Toch? Fout. Met het voorval van onze klant nog vers in het geheugen, kwam ik onlangs een Facebookbericht van KRONCRV tegen over een website genaamd DEHASHED; een zoekmachine voor gestolen inloggegevens. Uit dit bericht bleek dat ook de voorzichtige internetter reden heeft om zich zorgen te maken. De afgelopen jaren zijn namelijk zelfs de bekendste bedrijven gehackt. Waaronder aanbieders van diensten die jij en ik dagelijks gebruiken. “Je inloggegevens worden door hackers gejat van sites zoals LinkedIn, Adobe, Facebook, MyFitnessPal of verschillende fora.” - Pointer (KRO-NCRV) Op zoek naar een verklaring voor het voorval met onze klant, moest ik hier snel meer van weten. Dus nam ik de proef op de som. Voor zo’n drie euro maakte ik een account aan bij DEHASHED, om te zien hoe het met de uiterlijke verzorgingsbranche gesteld is. Het resultaat? Vrij schokkend, om heel eerlijk te zijn.
Bijna alle bekende beauty-partijen zijn gehackt Ingelogd op de zoekmachine zocht ik alle branchegerelateerde bedrijven en organisaties op die in me opkwamen. Vooraf e-mailadressen of gebruikersnamen opzoeken was niet eens nodig. Zoeken kan onder andere op IP-adres, e-mailadres, gebruikersnaam, bedrijfsnaam, naam, telefoonnummer, kenteken en adres. In een klein uurtje tijd, vond ik tientallen wachtwoorden van brancheverenigingen, vakbonden, opleiders, leveranciers, groothandels, webshops en zelfs van zorgverzekeraars! Dat is geen grap. Specifieke namen zal ik niet noemen, maar het gemak waarmee ik login na login vond is schokkend te noemen. De populairste wachtwoorden? Namen van kinderen, partners en zelfs de eigen naam. Al dan niet gevolgd door een jaartal of een datum.
Ook persoonlijke accounts gekraakt Bovengenoemde partijen zijn verantwoordelijk voor de veiligheid van de vele persoonsgegevens die ze verwerken. Dat maakt het des te erger. Maar privé kunnen we er ook iets van – bleek toen ik vervolgens de namen en e-mailadressen van privépersonen invoerde. Grote kans dat jouw gegevens er ook tussen staan. En dat is best wel iets om je zorgen om te maken.
Wachtwoordmanagers bieden uitkomst. Een wachtwoordmanager is een soort digitale kluis, waarin je al je wachtwoorden en gebruikersnamen veilig kunt opslaan.
Criminelen kunnen een profiel samenstellen Even voor de duidelijkheid: de wachtwoorden die ik vond zijn (meestal) niet van computers of e-mailadressen, maar van accounts die ergens aangemaakt zijn. Zeg een account voor een datingsite of een forum. Kwaadwillenden komen met zo’n wachtwoord ook meestal niet direct in je e-mail of computer, maar kunnen op basis van die ene login vaak een gedetailleerd profiel van je samenstellen. Daar komt niet eens ingewikkeld hack-werk aan te pas.
Zo gaat een crimineel te werk (waar ‘hij’ staat, mag je natuurlijk ook ‘zij’ lezen): 1. Hij kiest een slachtoffer: een persoon of organisatie. 2. Hij zoekt op naam, bedrijfsnaam of e-mailadres en vindt een wachtwoord. 3. Hij zoekt vervolgens op dit wachtwoord om te zien of er meer accounts met hetzelfde wachtwoord zijn. Of hij gaat gewoon naar Google en typt iemands (bedrijfs) naam in. Zo vindt hij allerlei websites en profielen waar hij het zojuist gevonden wachtwoord kan proberen. 4. Gebruikt het slachtoffer overal hetzelfde wachtwoord?
Jackpot! 5. Werkt een wachtwoord toch niet in één keer, dan zoekt hij een lijn in de wachtwoorden van het slachtoffer. Heeft hij maar één wachtwoord, dan probeert hij het met !, 123, of een jaartal erachter.
6. Elke keer dat hij toegang krijgt tot een account, bemachtigt hij meer informatie. Denk aan gevoelige gegevens of logins van andere accounts met nóg meer informatie. 7. Dit herhaalt hij totdat hij voldoende gegevens heeft om zijn doel te bereiken. Een kind kan de was doen. En er is nog meer mogelijk. Wil je bijvoorbeeld meer accounts zien van een bepaalde locatie, zoals een huis of een bedrijf? Dan zoek je op het IP-adres. The sky is the limit.
Wat betekent dit? Er zijn natuurlijk talloze manieren om hier misbruik van te maken. Stel je voor dat iemand je in naam van een energiemaatschappij opbelt, je daarbij aanspreekt met je achternaam en direct je huidige energietarief noemt. Vervolgens krijg je een goedkoper contract voorgesteld waarvoor wel nog wat ‘extra informatie’ nodig is. Zonder te weten dat je gesprekspartner al in vijf van je accounts heeft rondgeneusd, verstrek je hem zo de ontbrekende puzzelstukjes die hij nodig heeft om je bankrekening leeg te trekken. Soms is zelfs die moeite niet eens nodig. Stel dat iemand de login van je privé e-mail bemachtigt. Dan is het einde zoek. Grote kans dat je per e-mail weleens een kopie van een paspoort of rijbewijs hebt verzonden. Of dat letterlijk elke keer dat je ergens op ‘Wachtwoord vergeten’ klikt, dit nieuwe wachtwoord op dat e-mailadres binnenkomt. Zo kan iemand je complete identiteit overnemen. Volgens een rapport van Europol (2013), heeft maar liefst 8% van de internetgebruikers in de Europese Unie dan ook al te maken gehad met identiteitsfraude.
Voorkomen gaat niet Op dit punt zou je misschien het liefst je hele internetabonnement maar opzeggen. Daarin geef ik je geen ongelijk. Helemaal voorkomen dat je gegevens gehackt kunnen worden, gaat alleen niet meer. Al zou je al je profielen verwijderen en jezelf nergens meer registreren, dan nog kan dat hotel waar je vorig jaar geslapen hebt gehackt worden, waarbij ook de klantendatabase met jouw persoonsgegevens buitgemaakt wordt. Je kunt het risico wel kleiner maken, maar je blijft afhankelijk van de beveiliging van organisaties die jouw gegevens bewaren.
Het risico tot een minimum beperken Hoewel helemaal voorkomen dus niet gaat, is het wel degelijk mogelijk om de risico’s van datalekken, hackers en misbruik tot een minimum te beperken. Zo is het in de eerste plaats ten zeerste aan te raden om voor elk profiel een ander wachtwoord te gebruiken. Wanneer iemand een van je logins bemachtigt, blijft de schade dan beperkt.
Gebruik een wachtwoordmanager Omdat we talloze accounts hebben, betekent dit wel dat je een hele hoop verschillende wachtwoorden moet gaan onthouden. Wachtwoordmanagers bieden uitkomst. Een wachtwoordmanager is een soort digitale kluis, waarin je al je wachtwoorden en gebruikersnamen veilig kunt opslaan. Bezoek je een website, dan vult de wachtwoordmanager automatisch je gebruikersnaam en wachtwoord in. Zo hoef je geen enkel wachtwoord meer te onthouden – behalve die van je wachtwoordmanager natuurlijk. Populaire wachtwoordmanagers zijn LastPass en 1Pass word.
Tweestapsverificatie Wil je nog een stap verder gaan, wat aan te raden is, dan kun je waar mogelijk tweestapsverificatie inschakelen. Met tweestapsverificatie wordt er een toegangscode naar een vertrouwd apparaat gestuurd op het moment dat iemand vanaf een nieuw apparaat probeert in te loggen. “Met tweestapsverificatie hebben hackers aan je gebruikersnaam en wachtwoord alleen niet meer genoeg om toegang tot je account of cloud te krijgen.” -
Veiliginternetten.nl Zo kunnen vreemden, zélfs als ze je gebruikersnaam en wachtwoord weten, nog steeds niet op je account(s) inloggen. Helaas is tweestapsverificatie op kleinere websites niet altijd beschikbaar. Maar bij alle grote partijen, zoals Facebook, Google, WhatsApp, Microsoft en Apple, wel. Ook op de websites die Netbeauty voor salons en praktijken bouwt kan tweestapsverificatie ingeschakeld worden.
Creëer bewustzijn De technologische ontwikkelingen zijn de laatste jaren zo snel gegaan, dat niet alleen jij en ik, maar zelfs grote bedrijven, organisaties en overheden ze maar lastig kunnen bijbenen. Om wildwesttaferelen te voorkomen, is het daarom belangrijk om hier bewustzijn voor te creëren. Vraag je branchevereniging, zorgverzekeraar of leverancier eens hoe ze de veiligheid van jouw persoonsgegevens — en die van je klanten — precies waarborgen. Stuur dit artikel naar ze door. En kijk eens op dehashed.com of je eigen logins ertussen staan. 100% veilig wordt het nooit, maar we kunnen op zijn minst unieke, veilige wachtwoorden gebruiken. Eventueel in combinatie met een wachtwoordmanager en waar mogelijk tweestapsverificatie. Zo beperk je het risico tot een minimum.
