Account gehackt na een lek? Check “gotcha.pw”

De laatste jaren worden meer en meer websites gehackt met alle desastreuse gevolgen van dien. Veel gebruikers hebben echter een “dat overkomt mij toch niet” -mentaliteit. Hierdoor beseffen ze niet dat hun gegevens, net zoals die van miljoenen andere gebruikers, misschien nu al op het internet te raadplegen zijn.

Via een online zoekmachine check je zelf of je paswoord gelekt is na enkele bekende hacks. Maar het spreekt voor zich dat je ook voor toekomstige risico’s best vandaag aan de slag gaat om je gegevens te beschermen.

Snel lezen?

Klik dan door op de inhoudstabel:

  1. Dit zegt: Have I Been Pwned
  2. Dit zegt: Gotcha
  3. Waar komen deze gehackte gegevens vandaan?
  4. Wat is het gevaar van een datalek?
  5. Hoe kan ik mezelf beschermen tegen datalekken?

Have I Been Pwned

Haveibeenpwned.com” is een website, gelanceerd door beveiligingsspecialist Troy Hunt, waarop je als surfer zelf kan testen of je e-mailadres en wachtwoord achterhaald zijn uit één van de opgespoorde databanken met gehackte gegevens. De verzameling telt al enkele miljarden gebruikersaccounts en is vrij te raadplegen op het internet.

Hunt, Regional Director bij Microsoft, maakt het via deze website mogelijk om je username of e-mailadres in te vullen en onmiddellijk te zien of jouw gegevens tot de gehackte data behoren. Wanneer er een “red alert” tevoorschijn komt met de melding: “Oh no – pwned!”, is het raadzaam om je inloggegevens onmiddellijk te veranderen op de desbetreffende website alsook op andere websites waar je dit wachtwoord gebruikt.

Misschien een kleine fun fact? De term “pwned” komt oorspronkelijk uit de gamingwereld waarbij in het spel Warcraft een Map Designer een spelfout schreef in het woord “owned”. Wanneer de computer een speler versloeg in het spel, kwam de melding “you have been pwned”. Al snel kwam er een eigen betekenis aan vast te hangen, namelijk het “gedomineerd worden” of “verslagen worden door een computer of externe kracht”.

GotchaGotcha password

Onlangs benadrukte krant De Tijd in een artikel dat er ook via Gotcha.pw wel een miljoen Belgische wachtwoorden te raadplegen zijn. Het is een vergelijkbare lijst van wachtwoorden die tussen 2004 en 2017 lek zijn geraakt. Na eerdere commotie in Nederland waar de databank al eerder online werd geplaatst en de gegevens van miljoenen Nederlanders te kijk zette, heeft maker Dogberry nu dus ook de Belgische persoonsgegevens online gezet.

Dogberry wordt wel eens bestempeld als hacker maar hij heeft zelf geen accounts gehackt. Hij wil net aan de alarmbel trekken en surfers bewust maken van het gevaar dat ze mogelijk lopen. Het is ook daarom dat hij enkel de eerste karakters van het wachtwoord toont en de rest verborgen houdt. Wij vinden het vooral hallucinant om te zien dat er een heel aantal e-mailadressen van overheidsinstanties alsook banken in de databank zijn opgenomen. Je kan nagaan of jouw gegevens in de zoekmachine terug te vinden zijn via https://gotcha.pw/

 

Waar komen deze gehackte gegevens vandaan?

De logingegevens die Dogberry in zijn zoekmachine verzamelde, zwierven al enige tijd rond op het internet. Grote spelers worden immers al jaren geteisterd door hackers die uit zijn op het bemachtigen van miljoenen gebruikersgegevens. Zo werd Dropbox in 2012 gehackt en maakten cybercriminelen gebruikersnamen én wachtwoorden van 69 miljoen gebruikers buit. De grootte van de hack kwam echter pas in 2016 aan het licht, vier jaar na de feiten.

Zo werd ook LinkedIn gehackt in 2012 en werd er destijds bekend gemaakt dat 6 miljoen onversleutelde e-mailadressen en wachtwoorden werden gelekt. Helaas was er veel meer aan de hand. Zo ontdekte Motherboard, dat in 2012 niet 6 miljoen maar 117 miljoen gegevens gestolen werden. Dit werd later ook officieel door LinkedIn bevestigd.

In februari 2018 werd zelfs applicatie MyFitnessPal gehackt waarbij data zoals e-mailadressen, wachtwoorden en gebruikersnamen van 150 miljoen gebruikers gelekt werden wat dit het grootste datalek van 2018 maakt (tot nu toe).

Ook giganten zoals Ebay, Adobe en Uber werden al gehackt.

Wat is het gevaar van een datalek?

Je denkt nu misschien dat het niet zo’n drama is dat de gegevens van je oude e-mailadres of je slechts zelden gebruikte Twitter-account gelekt werden. Maar dat is het wel degelijk! Hackers bieden zulke info namelijk vaak aan op het “dark web”, de onderwereld van het internet, waardoor persoonsgegevens van miljoenen mensen voor het grijpen liggen. Vaak gebruiken surfers ook nog eens hetzelfde wachtwoord voor verschillende toepassingen waardoor de hacker toegang heeft tot een gigantische hoeveelheid van data. Beter vermijden dan genezen dus.

Ben je ondernemer? Dan ben jij als verwerkingsverantwoordelijke verantwoordelijk, niet alleen voor je eigen data maar ook voor de data die je verzamelt en verwerkt van (potentiële) klanten, leveranciers en medewerkers. Om de rechten van betrokkenen beter te beschermen in dit digitale tijdperk werd de Europese GDPR-regelgeving in het leven geroepen. Deze wetgeving gaat in op 25 mei 2018 en stelt ondernemers verantwoordelijk voor de veiligheid van persoonsgegevens. Bovendien bestaat er ook een meldplicht datalekken. Deze meldplicht houdt in dat je een datalek binnen de 72 uur moet melden bij de Privacycommissie. Dit is verplicht wanneer er een gevaar is dat het lek aan persoonsgegevens een risico met zich mee brengt voor de vrijheden en de rechten van natuurlijke personen. Gebruik je bijvoorbeeld Dropbox om gegevens van je klanten te delen met je collega’s en deze dienst wordt opnieuw gehackt? Dan blijf jij als ondernemer nog steeds verantwoordelijk en moet je ook dit lek melden aan de Privacy Commissie én de gebruiker.

Als kmo kan je er best voor zorgen dat de gegevens van je onderneming én je gebruikers optimaal beveiligd zijn. Doe je dit niet? Dan riskeer je vanaf 25 mei 2018 monsterboetes en zal je al snel de naam van onbetrouwbare leverancier krijgen. Dat is dé nachtmerrie van elke ondernemer, toch? 😮

Hoe kan ik mezelf beschermen tegen datalekken?

Er zijn een heel aantal maatregelen die je kan treffen om jezelf en je klanten te beschermen tegen datalekken.

Eerst en vooral raden we je aan om je wachtwoorden streng in te stellen en geregeld bij te werken om zo de kans op diefstal te verkleinen. Gebruik ook bij voorkeur voor elk account een ander wachtwoord. Zo voorkom je dat met één hack al je accounts gelekt kunnen worden.

Hiernaast kan je nog bijkomende maatregelen nemen. Zo kan je bij bepaalde softwarediensten zoals bijvoorbeeld Mailchimp ervoor kiezen om Two Step Verification te activeren. Je zal dan in twee stappen toegang kunnen krijgen tot je account: de eerste keer door je pincode of wachtwoord in te geven en de tweede keer door bijvoorbeeld een code aan te vragen via een mobiele app zoals Google Authenticator.

We raden daarnaast ook aan dat kmo’s investeren in een kwalitatieve cloudoplossing die binnen Europa gehost wordt zoals onze eigen dienst Datasync. Deze cloudoplossing voor kmo’s is een betrouwbaar alternatief voor Dropbox en werd volledig ontwikkeld om in regel te zijn met de GDPR-wetgeving. Bestanden worden steeds gecentraliseerd én geëncrypteerd in de Benelux opgeslagen. Bovendien kan je data gemakkelijk delen met collega’s en apparaten, en dit altijd en overal.

Datasync beveiligt je data optimaal door:

• je data centraal op één plek te bewaren;
• alle data geëncrypteerd te bewaren in een fysiek en softwarematig beveiligd datacenter in de Benelux;
• minimaal 10 versies van je cloud-bestanden bij te houden;
• de mogelijkheid om flexibel samen te werken met collega’s zonder heen en weer te mailen;
• de mogelijkheid om toegangsrechten aan te passen naargelang de noodzaak;
• onafhankelijk beheer en GDPR-compliancy

Kwam jouw domeinnaam heelhuids uit de opzoeking? Of sta je op punt om een noodkreet te slaken? Contacteer onze gecertificeerde DPO’s voor een IT check-up en minimaliseer het risico op datalekken in jouw kmo.

Team Datalink to the rescue

Interessante bron? Deel deze pagina met je netwerk!