6min Security

Datalekken zetten geen records meer, maar er zijn meer slachtoffers dan ooit

Datalekken zetten geen records meer, maar er zijn meer slachtoffers dan ooit

De grootste datalekken aller tijden vonden bijna allemaal plaats in 2018-2020. Sindsdien heeft geen enkel lek de top twintig weten te bereiken. Wereldwijde regelgeving en de toenemende dreiging van cybercriminelen sporen organisaties aan om verder leed te beperken. Broodnodig, omdat er meer slachtoffers dan ooit tevoren zijn.

NinjaOne-onderzoekers stelden onlangs een top twintig op van de grootste datalekken aller tijden. Zestien daarvan stammen uit de periode 2018-2020. Enkel twee reusachtige lekken van Yahoo (2013, 2014), één van Equifax (2017) en van Friend Finder Networks (2016) zijn ouder, terwijl er sinds 2020 geen nieuwe incidenten aan deze lijst zijn toegevoegd.

Yahoo staat met stip op één, dat tien jaar geleden 3 miljard records lekte. Het bedrijf verloor talloze privégegevens van gebruikers waaronder e-mailadressen, wachtwoorden, geboortedatums en telefoonnummers. Hoewel het Yahoo-datalek plaatsvond in 2013 (met een tweede incident in 2014), maakte het bedrijf pas in oktober 2017 bekend hoeveel data er buitgemaakt was. Die hoeveelheid is dan ook uitzonderlijk, zelfs tien jaar later: First American Corporation staat op nummer twee (uit 2019) met minder dan eenderde van dat aantal records met 885 miljoen.

Het grootste incident ooit kwam Yahoo duur te staan: een massaclaim leidde tot een uitbetaling van 117,5 miljoen dollar en de SEC legde een boete van 35 miljoen dollar op omdat Yahoo het lek had verzwegen.

Bedrijven uit allerlei sectoren geraakt

Records zijn een nuttige graadmeter voor de ernst van een datalek, aangezien het gaat om persoonlijke data waar een kwaadwillende mee uit de voeten kan. Pure gigabytes en terabytes zijn immers weinig waard als alle data versleuteld is: het gaat bij de NinjaOne-lijst daarom juist om concrete informatie.

Onder meer Facebook, marktonderzoeker Exactis en telecombedrijf Airtel staan verder in de top tien van historisch grote datalekken. Geen enkele sector is veilig, blijkt uit de lijst van slachtoffers. Ondanks dat het in alle gevallen ging om het lekken van privégegevens, verschilde de manier waarop de data gecompromitteerd was aanzienlijk. Zo liet securityonderzoeker Brian Krebs in 2019 de verzekeringsmaatschappij First American Corporation weten dat een gigantische hoeveelheid gevoelige data met wat URL-sleutelwerk te bemachtigen was. Rijbewijzen, hypotheekgegevens en Social Security-nummers waren allemaal onbeveiligd. Bij hotelketen Marriott zouden hackers met Chinese staatssteun de servers hebben geïnfiltreerd en onversleutelde paspoortnummers hebben bemachtigd.

Het is duidelijk dat elke organisatie van formaat kwetsbaar kan zijn voor een groot datalek. Toch vragen we ons af waarom er een aanzienlijke klontering in 2018-2020 plaatsvond. Je zou mogen verwachten dat de huidige explosieve toename van ransomware alleen maar voor meer en grotere lekken zorgt. Onderzoek uitgevoerd door MIT-professor Dr. Stuart Madnick in opdracht van Apple onderstreept het feit dat het verlies van data om de haverklap voorkomt. Ook is de data vervolgens eenvoudig te verhandelen, mocht het niet een securityonderzoeker maar een cybercrimineel zijn die een lek ontdekt.

Meer slachtoffers, meer data, belangrijkere doelwitten

Het aantal datalekken is tussen 2013 en 2022 verdriedubbeld, zo blijkt uit het MIT-onderzoek. 98 procent van alle organisaties hebben te maken met een vendor die een datalek heeft meegemaakt. In afgelopen jaren hebben we dan ook zeer ernstige kwetsbaarheden langs zien komen met een impact op talloze organisaties, waaronder Log4Shell en dit jaar MOVEit. Daarbij valt er niet één organisatie aan te stippen die door een dergelijke kwetsbaarheid miljarden records prijs heeft gegeven, maar is de optelsom net zo zorgwekkend als voorheen. Ook richten criminelen zich tegenwoordig veelal op kritieke infrastructuur, zoals ziekenhuizen, banken en onderwijsinstellingen. Het verlies van records vanuit dergelijke instanties kan wellicht nog veel meer schade aanrichten, bijvoorbeeld door zeer geloofwaardige phishing-mails mogelijk te maken. Aangezien 80 procent van alle cyber-aanvallen via phishing mogelijk worden gemaakt, dient deze aanvalsmethode nooit onderschat te worden.

De trend begint inmiddels duidelijk te worden: meer slachtoffers, meer data, en kleinere doelwitten. Binnen specifieke sectoren kan dat beeld ietwat anders zijn. Zo is er binnen de Amerikaanse gezondheidszorg een afname van 15 procent in het aantal lekken, maar een toename van 31 procent in het aantal slachtoffers. Met kritieke infrastructuur als doelwit kan niemand gelukkig zijn met een afname in het aantal grote lekken, aangezien de ontwrichtende werking voor de samenleving groter is als ziekenhuizen en banken getroffen worden dan een paar grote softwarepartijen of social media-platforms. CISO bij adviesbureau Presidio Dan Lohrmann spreekt over een “nieuw normaal” waarin de samenleving te maken heeft met lichaamsschade by a thousand cuts in plaats van een enkel catastrofaal “Cyber Pearl Harbor”-incident.

Er is wel goed nieuws

Ondanks dat het MIT-rapport de meeste organisaties te kwetsbaar voor datalekken acht, is er licht aan het einde van de tunnel. Immers beschikken grote technologieplatformen over zo min mogelijk onversleutelde gebruikersdata. End-to-end encryptie (die dus ook data in transit beschermt) wordt steeds meer geadopteerd door de techreuzen van deze wereld. Het onderzoek benoemt onder andere Google en Meta, maar ook Microsoft en AWS beloven steeds meer opties te bieden die data zo veilig mogelijk verpakt.

Ook zijn organisaties steeds beter voorbereid, mogelijk omdat men er alles aan hoopt te doen om niet de volgende Yahoo te zijn. Weliswaar is men ook in Nederland te zelfverzekerd over de eigen cyberveiligheid, maar de adoptie van zaken als zero-trust maakt het risico op een datalek steeds kleiner.

Ook is er in 2018-2020 en daarna veel aan wetgeving gesleuteld. Aangezien het even duurt voordat het effect van zulke wetgeving zichtbaar is, mogen we wetten als de Europese GDPR en de New York SHIELD Act wel degelijk zien als hulpmiddelen tegen datalekken. Brazilië heeft in 2020 de LGPD ingevoerd, naar het model van de GDPR, terwijl er ook in China dankzij de Personal Information Protection Law scherpere regels op papier staan.

Concreter is de Cyber Resilience Act, dat de verantwoordelijkheid voor datalekken een stuk duidelijker dan voorheen aanstipt. Zowel software als hardware moet veilig zijn en voorzien worden van security-updates. Grote lekken dienen dus voorkomen te worden door apparatuur en veelgebruikte applicaties zoveel mogelijk dicht te timmeren. Wel zal goed patchbeheer nog altijd nodig blijven om datalekken terug te dringen. Wat dat betreft hoopt NinjaOne een steentje bij te dragen met cloud-gebaseerde patchmanagement.

De top vijf datalekken aller tijden volgens NinjaOne, incl. jaartal en aantal gelekte records:

  1. Yahoo (2013) – 3 miljard – oorspronkelijk stelde dit techbedrijf dat het om 1 miljard records zou gaan, waarna in oktober 2017 bleek dat het drie keer zoveel privégegevens had gecompromitteerd, waaronder e-mailadressen, wachtwoorden en telefoonnummers.
  2. First American Corporation (2019) – 885 miljoen – tekortkomend securitybeleid maakte de servers van deze financiële dienstverlener kwetsbaar, waardoor o.a. transactiegegevens en paspoortnummers in te zien waren.
  3. Facebook (2019) – 540 miljoen – third-party appdevelopers hadden records op een AWS-cloudserver staan waardoor accounts, posts en reacties op straat belandden.
  4. Marriott International (2018) – 500 miljoen – deze hotelketen zou door een Chinese staatsactor zijn aangevallen, waarbij paspoortinformatie en versleutelde creditcardgegevens uit de reserveringen-database bemachtigd werden.
  5. Yahoo (2014) – 500 miljoen – opnieuw Yahoo, maar deze keer een aanval die ook antwoorden op security-vragen buitmaakte.