Wat is het 'Zwitserse zakmes' van de cybercrimineel?
De gegevens van honderdduizenden gebruikers van Hookers.nl zijn op straat komen te liggen, bleek vanmorgen uit onderzoek van de NOS. Dat is een gevoelig datalek: als je op een prostitutieforum zit, wil je waarschijnlijk niet dat iedereen dat weet. Maar uniek is het lek niet: fora, webshops en andere websites worden veel vaker geplunderd.
Zo lekten LinkedIn, Dropbox en het inmiddels zelden nog gebruikte sociale netwerk MySpace per ongeluk de gebruikersnamen, e-mailadressen en wachtwoorden van tientallen tot zelfs honderden miljoenen gebruikers.
Die datalekken zwerven over het internet en komen criminelen goed van pas. "Datalekken zijn een Zwitsers zakmes voor hackers", zegt Rolf van Wegberg, cybercrime-onderzoeker bij de TU Delft en TNO.
Spammen en inbreken
Zo zijn lijsten met e-mailadressen interessant voor criminelen die spam willen versturen. Ook voor phishing, het versturen van oplichtings-emailtjes, komen dat soort lijsten goed van pas.
Daarnaast kunnen datalekken worden gebruikt om in te breken op accounts. Veel mensen hergebruiken namelijk vaak dezelfde wachtwoorden. Komt een bepaald wachtwoord voor in een datalek, dan is de kans groot dat ze dat precies dat wachtwoord ergens anders óók gebruiken.
We denken dat een datalek gemiddeld tien keer wordt verkocht.
Criminelen maken daar gebruik van, door datalekken te verzamelen en die door te verkopen aan anderen. Dat wordt steeds populairder, blijkt uit onderzoek door onder andere Van Wegberg, waarvoor 566 verkochte databases werden onderzocht.
"We denken dat zo'n datalek gemiddeld tien keer wordt verkocht", zegt hij. Dat betekent dat de gegevens van getroffen gebruikers dus bij meerdere criminele groeperingen terechtkomen, die er op hun manier misbruik van kunnen maken.
Hoe 'specialer' een datalek is, bijvoorbeeld doordat er één bepaalde groep mensen in voorkomt, hoe meer het opbrengt op de zwarte markt. Voor politie en justitie is het lastig om daar iets tegen te doen. Internetcriminelen kunnen zich overal ter wereld bevinden en het is lastig om hun identiteit te achterhalen, hoewel het soms ook wel lukt.
De plekken waar datalekken worden verhandeld, worden soms aangepakt, maar dat is en kat-en-muisspel: gaat er eentje uit de lucht, dan staat er wel weer een ander op.
Beveiligingsproblemen
De datalekken ontstaan doorgaans doordat kwaadwillende hackers misbruik maken van beveiligingsproblemen om in te breken. Dat was ook zo bij Hookers.nl, dat net als veel andere grote internetfora het programma vBulletin gebruikt. Die forumsoftware bleek vorige week een ernstig lek te hebben, waar driftig misbruik van werd gemaakt.
De Bulgaarse hacker Naiden (niet zijn echte naam) is een van de mensen die het internet afspeurt naar beveiligingslekken om die vervolgens ten gelde te maken. Hij vond het lek in Hookers.nl en verkoopt nu de gegevens van de gebruikers.
Ik verdien hier 2000 tot 5000 euro per maand mee.
"Ik verdien hier 2000 tot 5000 euro per maand mee", zegt Naiden. "Sommige maanden gaat het beter dan andere."
De gevonden lekken verkoopt hij vooral aan mensen die willen inbreken op andermans accounts. Hij beseft dat mensen kunnen worden gehackt door zijn werk, maar voelt zich niet schuldig. "De meeste mensen worden hier nooit slachtoffer van", zegt hij.
Ook relativeert hij de impact van zijn activiteiten. "Er worden dagelijks tienduizenden websites gehackt. Ik ben niet de duivel."
Tegenbeweging
Er is een tegenbeweging. Ethische hackers, waaronder ook uit Nederland, hebben websites opgezet waar mensen kunnen controleren of hun wachtwoorden zijn uitgelekt.
De grootste website is Have I Been Pwned, waar mensen hun e-mailadressen kunnen invoeren om te zien of hun gegevens wel eens zijn uitgelekt. Het Nederlandse Scattered Secrets laat zelfs zien welke wachtwoorden precies zijn uitgelekt.
De uiteindelijke oplossing is het afschaffen van wachtwoorden, denken experts. Immers: wat er niet is, kan niet uitlekken. Maar het duurt nog wel even voor het zover is.