Een forse inbreuk op gegevensveiligheid
Het lek kwam eerst naar buiten via het Zwitserse portaal 20 Minuten, dat de ernst van de zaak benadrukte. In totaal gaat het om 149,4 miljoen gestolen datasets, waaronder 48 miljoen Gmail-accounts, 17 miljoen Facebook-logins, en miljoenen accounts van platforms zoals Instagram, Netflix en Yahoo. Ook werden 1,4 miljoen .edu-adressen gevonden (meestal adressen van onderwijsinstellingen in de VS).
Het doet denken aan eerdere datalekken, zoals het grote lek van 1,3 miljard gecompromitteerde wachtwoorden afgelopen november en het beveiligingslek bij Booking.com.
Welke platforms zijn erbij betrokken
Naast Gmail en Facebook betroffen de gelekte gegevens ook diensten als Instagram, Netflix, Yahoo, iCloud en OnlyFans. In Zwitserland werden specifieke platformaccounts genoemd, zoals Zalando, Ricardo, Bluewin, MediaMarkt en Ticketcorner. Ook stond de URL van het e-bankingsysteem van Raiffeisenbank in de lijst; de bank zegt echter dat die adressen al jaren niet meer in gebruik zijn en dat hun systemen beschermd zijn met multi-factor-authenticatie.
Wie speelde welke rol
Behalve Jeremiah Fowler, die de server ontdekte, speelde het Zwitserse medium 20 Minuten een belangrijke rol door als eerste over het incident te berichten. De Raiffeisenbank gaf aan dat hun systemen beschermd zijn met moderne beveiligingsmaatregelen zoals multi-factor-authenticatie. Verder is het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) betrokken geweest; dat agentschap gaf eerder adviezen over wachtwoordbeheer.
Gebruikers in Zwitserland worden gezien als de voornaamst getroffen groep, al is het effect op Duitse klanten nog onduidelijk.
Technische achtergrond en risico’s
De oorzaak lijkt een “onbeschermde server” te zijn. Vermoedelijk zijn de gegevens verzameld via schadelijke software op apparaten van gebruikers. Dat roept vragen op over hoe goed mensen hun persoonlijke apparaten en inloggegevens beschermen. Multi-factor-authenticatie wordt aangeraden als extra beveiligingslaag, vooral vanwege de gevaren van “credential stuffing” (waarbij criminelen gestolen inloggegevens op andere sites proberen uit, met geautomatiseerde inlogpogingen).
Aanbevelingen om je gegevens te beschermen
Na dit incident raden experts aan om goede wachtwoordstrategieën toe te passen: gebruik geen hetzelfde wachtwoord op meerdere sites en maak gebruik van wachtwoordmanagers — bijvoorbeeld die geïntegreerd in de mobiele besturingssystemen van Apple en Google, of losse apps. Opmerkelijk is dat het BSI haar eerdere advies om wachtwoorden regelmatig te veranderen heeft ingetrokken.
Twee-factor-authenticatie (2FA) blijft een belangrijke maatregel; gebruikers zouden die waar mogelijk moeten inschakelen. Let op het gebruik van gevoelige gegevens en kies diensten die hoge beveiligingsnormen hanteren.
Het datalek is voor velen een wake-upcall, maar uiteindelijk ligt de verantwoordelijkheid ook bij gebruikers: door actieve maatregelen te nemen kunnen zij hun online veiligheid beter beschermen.
