“Ik heb niets te verbergen”, “Wat moeten ze met mijn account”. Zomaar twee uitspraken die op kantoor en in privésituaties nogal eens de revue passeren als het onderwerp ‘privacy’ in combinatie met digitale veiligheid of ‘cybersecurity’ op tafel komt. En dat is nogal eens, gezien de vele digitale incidenten die het nieuws halen.
Dat het iedereen aangaat, wordt met het opnieuw online aanbieden van gelekte persoonsgegevens van 533 miljoen Facebook gebruikers (waaronder 5,6 miljoen Nederlanders) hopelijk duidelijk. Echter waant nog lang niet iedereen zich kwetsbaar. Of specifieker, bagatelliseert men hardop de gevolgen van het uitlekken van account- of persoonsgegevens. Waar de uitspraak waarschijnlijk vaak met een knipoog bedoeld wordt, willen we in deze blogpost toch stilstaan bij de mogelijke gevolgen van het lekken van je accountgegevens.
In deze post kijken we naar accounts in het algemeen. Omdat verschillende accounts toegang bieden tot verschillende diensten, zal de ernst voor jou, en de waarde voor een aanvaller verschillen per type account. Het uitlekken van een enkel account, hoe onbeduidend ook, is echter een goede start om meer gegevens over je en specifieker inloggegevens van je te achterhalen.
Gebruik je niet overal unieke wachtwoorden? Dan zal een hacker met dezelfde accountgegevens proberen ook in andere systemen binnen te komen.
Je e-mailaccount is een extra interessante springplank. In veel gevallen stellen (online) systemen gebruikers in staat om een wachtwoord reset uit te voeren door een e-mail te laten sturen naar een vooraf ingesteld privé e-mailadres. Wanneer een hacker toegang heeft tot deze mailbox, is het eenvoudig om, gebruik makend van de optie om wachtwoorden te resetten, ook in andere systemen waartoe jij toegang hebt in te breken.
De systemen waarin je werkt, geven veelal toegang tot een schat aan gegevens. Over jou, maar ook over anderen. Bijvoorbeeld in de vorm van een contactenlijst. Denk hierbij aan je e-mail en social media accounts. Criminelen verzamelen deze contacten, om vervolgens jouw bekenden te confronteren met SPAM, phishing aanvallen of andere vormen van social engineering.
Ook kunnen aanvallers zich als jou voordoen. Bijvoorbeeld door namens jou berichten naar je contacten sturen. Daarbij kan gevraagd worden geld over te maken. Uiteraard vergezeld van een goed verzonnen en meelijwekkend verhaal. Zo’n verhaal kan zeer overtuigend zijn, wanneer er voldoende persoonlijke informatie in verwerkt zit. En laat de aanvaller nou net beschikken over die informatie, afkomstig uit het gelekte account, aangevuld met informatie die eenvoudig te vinden is op je publieke social media account. In een vorige blogpost stonden we al stil bij de vergaande gevolgen van identiteitsfraude.
Biedt je account toegang tot een online shop en is deze ook gekoppeld aan je bankrekening, creditcard of andere betaalwijze? Dan weerhoudt criminelen weinig om met jouw account aankopen te doen, zeker wanneer er ‘voor het gemak’ geen extra autorisatie-stappen te hoeven worden ondernomen. Een account van een webwinkel ligt voor de hand, maar ook in (online-) games kun je vaak ‘virtuele goederen’ aankopen en verhandelen.
Heb je al virtuele goederen in games in je bezit, dan kunnen deze doorverkocht worden door de hackers. Wellicht heb je nog andere zaken van waarde opgeslagen, zoals bijvoorbeeld softwarelicenties.
Wordt er in je zakelijke e-mail ingebroken? Dan is het zeer waarschijnlijk dat een datalek is ontstaan dat je werkgever dient te melden bij de Autoriteit Persoonsgegevens. De kans dat er gegevens over andere personen in je e-mailverkeer voorkomen is tamelijk groot. Ook andere vormen van vertrouwelijke informatie komen in mailboxen voorbij, waarmee bedrijfsspionage op de loer ligt. Zou je willen dat deze informatie door alles en iedereen ingezien en gelezen kan worden?
Hetzelfde geldt waarschijnlijk voor je privé e-mailadres, genoeg vertrouwelijkheden over jezelf, anderen of je werk.
Veel in het nieuws zijn aanvallen met ransomware op (grote) bedrijven en instellingen. Bij ransomware worden bestanden op je computer ontoegankelijk gemaakt. In ruil voor het betalen van losgeld, worden je bestanden weer ontgrendeld.
Met toegang tot bijvoorbeeld je e-mailaccount is soortgelijke actie mogelijk. Hoeveel zou jij ervoor over hebben om je e-mails terug te krijgen wanneer een crimineel deze heeft verwijderd van jouw account? Niet alleen kunnen er persoonlijke en intieme berichten in je mailbox opgeslagen zijn, ook communicatie met je bank of bijvoorbeeld een advocaat wordt geacht daar veilig opgeslagen te zijn. Wat zou je doen als de crimineel dreigt om die berichten naar buiten te brengen als je niet betaalt?
In een volgende blog kijken we hoe je account kan uitlekken en hoe je erachter kunt komen of je gegevens bij grootschalige datalekken zijn buitgemaakt.
Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement