De grootste datahacks van 2018
In de loop van 2018 was er elke week wel weer een nieuwtje over een bedrijf dat zijn klanten moest laten weten dat hun persoonlijke gegevens waren gecompromitteerd.
Er zijn verschillende redenen voor datalekken, van geplande cyberhacks en aanvallen tot kwetsbaarheden in bedrijfssoftware en databases en het verkeerd omgaan met gegevens. Dit alles maakt duidelijk dat mensen steeds voorzichtiger moeten zijn met hun online activiteiten.
Hieronder zetten we de grootste datahacks van 2018 op een rij. Lees verder en bereid je voor om zowel geschokt als verbaasd te zijn - maar niet op een goede manier.
Op het moment dat dit verhaal uitkwam, kon Facebook de extra aandacht echt wel gebruiken. Het lag al onder vuur vanwege de processen en de omgang met privégegevens van gebruikers en toen werd bekend dat een aanval op het netwerk de persoonlijke gegevens van miljoenen gebruikers in gevaar had gebracht.
Gedurende de 14 maanden tussen juli 2017 en september 2018 werden van 50 miljoen Facebook-gebruikers hun zeer gevoelige gegevens afgeschraapt door hackers. De hackers slaagden erin om de kwetsbaarheden in de code van Facebook uit te buiten en gebruik te maken van 'toegangstokens' waarmee ze volledige toegang kregen tot de accounts van gebruikers. Er waren drie softwarebugs die deze aanval mogelijk maakten; twee werden geïntroduceerd om de privacy van Facebook-gebruikers te verbeteren. AWKWARD. De derde was een tool waarmee gebruikers verjaardagsvideo's konden uploaden.
De gegevens omvatten contactgegevens, recente zoekopdrachten (oh god!), locatie en relatiestatus. Mark Zuckerberg en Sheryl Sandberg behoorden tot de slachtoffers van de inbraak in hun accounts. Gezien de aard van de integraties en gekoppelde accounts met Facebook, konden de cybercriminelen, toen ze eenmaal binnen waren, ook toegang krijgen tot apps als Instagram en Spotify - en vermoedelijk je PJ en Duncan afspeellijst ontdekken.
Google+
Google+ heeft meerdere aanvallen te verduren gehad door een softwarefout tussen 2015 en november 2018. Een beveiligingsfout zorgde ervoor dat third-party ontwikkelaars drie jaar lang toegang hadden tot de profielgegevens van gebruikers, voordat deze geruisloos werd gepatcht. DRIE JAAR!
Ja, dat lees je goed - Google besloot het probleem op te lossen, zonder de wereld te laten weten dat er een gapende wond van drie jaar zat in zijn beveiligingstak.
Behalve dat hun eigen gegevens werden gestolen, konden de ontwikkelaars ook de gegevens van hun vrienden opvragen als een gebruiker toestemming had gegeven om zijn profiel via de app in te zien. Deze informatie omvatte namen, geboortedata, e-mailadressen, werkgevers en functietitels.
Ontmaskerd door een vernietigend rapport van Wall Street Journal, kondigde de techgigant aan dat het platform in april 2019 voorgoed zou worden gesloten na het schandaal dat in totaal 52,5 miljoen gebruikers trof - meer dan het aantal mensen dat het waarschijnlijk gebruikte.
Cambridge Analytica
Natuurlijk konden we geen round-up maken zonder Cambridge Analytica erbij te betrekken. Hoewel dit vorig jaar aan het licht kwam, begon het eigenlijk al in 2015, toen *** een persoonlijkheidsvoorspellingsapp ontwikkelde met de naam 'thisisyourdigitallife'.
Deze app werd geïnstalleerd door 270.000 gebruikers, maar Facebook had in 2015 een erg laks beleid voor het delen van gegevens en de app kon informatie scrapen over vrienden en connecties van degenen die de app hadden geïnstalleerd - alle 87 miljoen.
Het was niet noodzakelijkerwijs de aard van de gegevens die werden buitgemaakt die de meeste zorgen baarde, maar de manier waarop ze werden gebruikt zorgde voor opschudding. De gebruikersinformatie werd doorgegeven aan derden, waaronder het data-analysebedrijf Cambridge Analytica - dit waren in feite de mensen die verantwoordelijk waren voor het maken van zeer gerichte advertenties op basis van stemgedrag voor, je raadt het al, de presidentiële campagne van Donald Trump.
MyFitnessPal
In februari 2018 slaagde een onbevoegde derde erin om toegang te krijgen tot MyFitnessPal, een fitness- en dieettracker-app van Under Armour, en te zien hoe weinig we eigenlijk hardliepen. Deze hack bleef ongeveer een maand onopgemerkt.
In totaal werden 150 miljoen accounts gehackt, waaronder informatie zoals gebruikersnamen, e-mailadressen en versleutelde wachtwoorden. Under Armour zag zijn aandelen met 4% dalen zodra de pers het verhaal in handen kreeg.
In tegenstelling tot hun tegenhangers in de sociale media, begonnen MyFitnessPal en Under Armour hun gebruikersdatabase proactief te laten weten wat er was gebeurd. Een soort vooruitgang dus.
British Airways
Op21 augustus 2018 bracht een 'geraffineerde' cyberhack de kaartgegevens van 380.000 personen in gevaar die boekingen maakten of wijzigden via de website en app van de luchtvaartmaatschappij. De hack was al 15 dagen aan de gang voordat hij werd opgemerkt - terwijl financiële gegevens werden gestolen, waren paspoort- en reisgegevens veilig.
BA was erg geheimzinnig over de technische details van het datalek, maar cyberbeveiligingsdeskundigen hebben commentaar gegeven op mogelijke methoden.
Er is gesuggereerd dat er een stuk kwaadaardige code op de website was geplaatst, waarmee klantgegevens werden onttrokken. Dit is een bekend probleem voor websites die code van derden insluiten voor diensten als betalingsautorisatie of advertenties.
British Airways nam proactief contact op met zijn klanten en plaatste paginagrote advertenties in de nationale kranten om zich te verontschuldigen voor het incident en bood volledige compensatie voor het gestolen geld en de financiële problemen.
T-Mobile
In augustus 2018 kreeg een groep hackers van over de hele wereld toegang tot de servers van T-Mobile via een API, waarbij persoonlijke gegevens van de accounts van klanten werden gestolen, zoals naam, telefoonnummers, adresgegevens en accountgegevens.
Het bedrijf wees er snel op dat er wel factuurgegevens waren opgenomen, maar dat er geen financiële gegevens waren gecompromitteerd.
T-Mobile besloot de aanval te bagatelliseren en meldde dat slechts 3% van het klantenbestand was getroffen. Dat is maar een klein aantal toch? Niet echt een groot probleem?
Welnu, het klantenbestand van T-Mobile is ongeveer 77 miljoen gebruikers - 3% daarvan is ongeveer 2 miljoen accounts.
Dus het is nogal wat.
Beveiligingsonderzoekers hebben een aantal kwetsbaarheden gevonden in platformen van T-Mobile, waaronder een subdomein dat werd gebruikt door personeel dat toegang gaf tot klantgegevens zonder wachtwoorden en een ander subdomein dat klantgegevens blootlegde, waaronder factuur- en handsetgegevens. Het mobiele netwerk is ook bekritiseerd voor het delen van klantgegevens met derden.
Timehop
De genieën bij Timehop besloten om hun cloud-computeromgeving niet te beschermen met multi-factor authenticatie, waardoor er tussen december 2017 en juli 2018 toegang werd verkregen tot 21 miljoen namen, e-mailadressen en telefoonnummers.
De aanval werd opgemerkt op4 juli 2018 en de app werd vervolgens twee uur later afgesloten, maar niet voordat miljoenen accounts waren geschonden.
De hacker wist in december 2017 toegang te krijgen tot het cloud-computerplatform van het bedrijf met behulp van gecompromitteerde beheergegevens. Ze doorzochten vervolgens een paar dagen lang alle gegevens in die maand, en nogmaals in maart en juni. Toen ze er zeker van waren dat het lek niet was ontdekt, lanceerden de hackers snel de aanval in juli.
Timehop onthulde de inbreuk in een blogpost van het bedrijf, een week nadat het was gebeurd, en deactiveerde de 'sleutels' die worden gebruikt in de app die de sociale mediaherinneringen van gebruikers leest en aflevert, zodat gebruikers de app opnieuw moeten authenticeren.
Timehop heeft nu het licht gezien (of de terugslag) en heeft besloten om multi-factor authenticatie te implementeren om de toegangscontrole in zijn cloudomgeving te beveiligen.
Marriott Starwood Hotels
Hoewel de horecaketen de inbreuk op10 september 2018 ontdekte via een interne beveiligingstool, hadden cybercriminelen schokkend genoeg al tussen 2014 en 2018 toegang tot de reserveringsdatabase, waar ze gasteninformatie konden bekijken en kopiëren voordat ze deze versleutelden en stalen.
De informatie omvatte telefoonnummers, e-mailadressen, paspoortnummers, reserveringsdata, beloningsinformatie en kaartbetalingsgegevens van gasten in het Verenigd Koninkrijk, de Verenigde Staten en Canada.
De keten onthulde dat de kaartbetalingsgegevens weliswaar waren versleuteld, maar dat ze niet konden uitsluiten dat de sleutels die werden gebruikt om de informatie te ontsleutelen ook waren gestolen, waardoor de gegevens verder in gevaar zouden komen.
Het Marriot meldde het incident aan de ordehandhavers, nam contact op met de gedupeerde klanten en zette een website en gratis hulplijn op om verdere informatie en begeleiding te bieden. Ze bieden de gedupeerden ook een jaarabonnement op een fraudecontroleservice, zodat ze de activiteiten in de gaten kunnen houden.
Het Marriott krijgt te maken met de toorn van de GDPR-uitspraak van de EU en dreigende boetes - ondanks dat het hoofdkantoor zich in de staat bevindt, heeft het bedrijf te maken met een klantenbestand in het Verenigd Koninkrijk en de EU, wat betekent dat het verplicht is om hieraan te voldoen.
