Datalekken zonder hacken: KLM-lek staat niet op zichzelf
Wie denkt aan datalekken met de gegevens van honderden miljoenen mensen, denkt misschien aan vernuftige hackers de geavanceerde beveiliging weten te omzeilen. Maar een aantal recente gigantische datalekken had niets te maken met het kraken van beveiliging. Dat geldt ook voor het lek waarmee KLM vanochtend bleek te kampen.
Wat de aanvallers in zo'n geval wél doen, is het scrapen van privégegevens. Informatie die eigenlijk alleen op kleine schaal toegankelijk hoort te zijn, wordt dan op grote schaal geautomatiseerd binnengehaald, gebundeld en vervolgens misbruikt.
Het meest bekende voorbeeld van scraping is het Cambridge Analytica-schandaal, waarbij een databedrijf gevoelige persoonsgegevens van 50 miljoen Facebook-gebruikers wist binnen te sluizen. Dat bedrijf gebruikte de gegevens vervolgens om vernuftige gepersonaliseerde advertenties voor politieke campagnes te tonen.
Maar recentere scraping-lekken waren nog veel groter. Zo wisten criminelen de gegevens van 500 miljoen LinkedIn-klanten en 533 miljoen Facebook-gebruikers binnen te hengelen. Kwaadwillenden misbruikten in het geval van Facebook een functie om nieuwe vrienden te vinden. "Daarmee kun je op basis van iemands telefoonnummer zijn Facebook-profiel vinden", zegt beveiligingsonderzoeker Matthijs Koot.
Die functie was bedoeld om op basis van het adresboek van je telefoon je vrienden te vinden op Facebook, en niet andersom. Het was dus niet de bedoeling om van een bepaalde telefoon een telefoonnummer te kunnen vinden. "Maar als je gewoon geautomatiseerd alle telefoonnummers invoert en het resultaat opslaat, kun je omgekeerd een lijst aanleggen met welk telefoonnummer bij iemand hoort", zegt Koot. Het lek trof uiteindelijk 533 miljoen Facebook-gebruikers; moederbedrijf Meta kreeg een EU-boete van 265 miljoen euro.
Waarschuwing
Een groep privacy-toezichthouders van buiten de Europese Unie, waaronder die van het Verenigd Koninkrijk, Noorwegen en Zwitserland, kwamen deze zomer met een gemeenschappelijke waarschuwing: socialemediabedrijven en andere websites moeten hun gebruikers beschermen tegen scraping.
Dat dat nu niet altijd gebeurt, komt ook door de beperkte prikkel voor sociale media om data af te sluiten, zegt Koot. "Het businessmodel van sociale media is nu juist het openbaar maken van informatie."
In andere gevallen kan een beperkt security-budget volgens Koot een probleem zijn. "Daardoor is de beveiliging dan niet genoeg getest."
Hackersfora
Hoe vaak scraping voorkomt, is onbekend; niet alle voorvallen hoeven aan het licht te komen. Dat gebeurt doorgaans pas als de gegevens worden verspreid via bijvoorbeeld hackersfora, zoals het geval was bij de lekken bij Facebook en LinkedIn.
"Achter dat soort lekken zitten professionele hackers of organisaties", zegt Koot. Dat blijkt volgens hem uit het feit dat ze erin zijn geslaagd om ongemerkt de data van honderden miljoenen gebruikers binnen te halen, zonder dat de detectiesystemen van de techgiganten alarm sloegen.
Criminelen kunnen dit soort gegevens vervolgens aan anderen verkopen. "Deze lekken zijn heel nuttig voor oplichters", zegt Koot. "Zeker als je meerdere datalekken combineert, kun je een puzzel leggen en heel veel over iemand te weten komen."
Hoe meer je van iemand weet, hoe geloofwaardiger je iemand kunt oplichten: bijvoorbeeld door je voor te doen als iemands zoon of dochter en om geld te vragen, zoals in de praktijk gebeurt. Maar ook phishing-mailtjes kunnen zo nauwkeurig worden opgesteld.
Extra problematisch is het als je een prominente Nederlander bent, bijvoorbeeld een politicus. Koot: "Als je dan met een paar muisklikken iemands telefoonnummer kunt vinden in een lek, zoals met meerdere politici het geval is, vind ik dat wel problematisch."
