De grootste datalekken van 2019
Van Facebook tot MyFitnessPal, van fotografiewebsites tot datingapps, zowat iedereen die het internet gebruikt is er al slachtoffer van geworden. Met wat geluk bleef dat allemaal zonder gevolgen, maar we raden je hoe dan ook aan om een passwoordmanager te downloaden en te gebruiken (zie elders in deze Clickx). Doe je dat niet, zorg er dan tenminste voor dat je wachtwoorden complex genoeg zijn en overweeg een apart wachtwoord voor elke site, zo wordt het bij een datalek moeilijker voor cybercriminelen om je paswoord op andere sites te gebruiken.
Wil je weten of je getroffen bent door een datalek, neem dan zeker eens een kijkje op HaveIBeenPwned, een website waarop je aan de hand van je e-mailadres kan zien of je ooit het slachtoffer bent geworden van een lek. De kans dat je minstens één online account hebt die ooit zijn gegevens gelekt heeft, is vrij tot zeer groot.
Januari 2019: Fortnite
Lang moesten we niet wachten op het eerste datalek van 2019. Op 16 januari raakte immers bekend dat de populaire game Fortnite een ouder, onbeveiligde webpagina online had staan die hun gebruikers blootstelde aan misbruik. Met de toegankelijke informatie konden accounts gehackt worden, in-game audio opgenomen worden en de zogenaamde V-Bucks uitgegeven worden zonder dat daar een wachtwoord voor nodig was. Het ging om 200 miljoen accounts. Ontwikkelaar Epic Games kon het lek gelukkig snel dichten.
Januari 2019: The Collection #1
Het grootste datalek dat ooit al ontdekt werd, bestaat uit zo’n 773 miljoen mailadressen en 21 miljoen wachtwoorden die al sinds midden december voor het grijpen stonden. Deze berg van persoonlijke data kreeg de naam Collection #1 mee. Ze werd ontdekt door de cybersecurity-onderzoeker Troy Hunt die eveneens de service Have I Been Pwned onderhoudt. Hunt heeft de ontdekte gegevens de benaming Collection #1 gegeven, aangezien de gegevens niet van een enkele bron kwamen. Bij de meeste datalekken is er een bepaalde website of service betrokken, maar in dit geval gaat het om een dataverzameling van duizenden verschillen bronnen. Die gegevens werden daarna samengevoegd en midden december online beschikbaar gesteld op een populair forum.
Januari 2019: The Collection #2
Nog voor de maand om was, verscheen er informatie over een nog groter lek. Het ging om een database met maar liefst 2,2 miljard accountnamen en wachtwoorden. De verzameling werd meer dan 1.000 keer gedownload via een torrent. De hacker die het bestand online plaatste, voegde aan de torrent ook een readme-bestand toe waarin hij mensen aanzette het zoveel mogelijk te delen. De data kan hierdoor niet doorverkocht worden, maar werd wel wijdverspreid. Net zoals bij Collection #1 gaat het hier om gegevens uit verschillende bronnen. Zo zijn er deels gegevens uit bestaande lekken bij Dropbox, Yahoo en LinkedIn te vinden, maar ook nieuwe, kleinere websites zijn nu het slachtoffer geworden van deze aanval.
Februari 2019: Foto- en datingwebsites
In februari raakte bekend dat fotowebsite 500px het slachtoffer was geworden van een hack. Enkele dagen later bleek echter dat het niet om 15 miljoen accounts ging, maar dat het lek een pak groter was dan gedacht en dat er een hele hoop websites bij betrokken waren, waaronder websites zoals MyFitnessPal, De Engelse Witte Gids en datingwebsite CoffeeMeetsBagel. Volgens de aankondiging gebeurden de hacks al in juli 2018, maar kwamen ze dus maar na 7 maanden aan het licht.
April 2019: Facebook
Facebook kan gebruikt worden om in te loggen op een enorme hoeveelheid applicaties en helaas wordt er niet altijd even veilig omgegaan met die gegevens door derde partijen. In april raakte bekend dat UpGuard Cyber Risk, een digitaal bedrijf uit Mexico, meer dan 540 miljoen accounts had opgeslagen op een publieke server. Het ging om identificatienummers, accountnamen, likes en comments. Ongeveer op hetzelfde moment raakte bekend dat Facebook-applicatie “At the Pool” de wachtwoorden van 22.000 gebruikers in gewone tekst had opgeslagen. Mensen met slechte bedoelingen hadden dus makkelijk Facebook-accounts kunnen overnemen met deze informatie.
Mei 2019: Canva en Flipboard
Canva, de applicatie waarmee je makkelijk grafische projecten kan ondernemen, werd in mei het slachtoffer van een cyberaanval. Daarbij werd de informatie van 139 miljoen gebruikers bemachtigd. Het ging over namen, e-mailadressen, landen, beveiligde paswoorden en gedeeltelijke kredietkaartinformatie. Flipboard, een app waarmee je de beste content van op het net kan bekijken, werd het slachtoffer van een heel gelijkaardige hack. Het ging om 145 miljoen accounts.
Juli 2019: Capital One
Clickx-lezers zullen van dit datalek weinig last hebben, maar het is toch even het vermelden waard omwille van de financiële impact ervan. Een hacker wist zich immers toegang te verschaffen tot de database van Capital One, een van de grootste banken in de Verenigde Staten. De vrouw sloeg erin om 80.000 accountnummers, 140.000 Amerikaanse social securitynummers, meer dan 1 miljoen Canadese social securitynummers én miljoenen kredietkaartapplicaties te bemachtigen. De hacker deed dit over een periode van 14 jaar en kostte de bank naar schatting meer dan 300 miljoen dollar.
Augustus 2019: Adecco
Dichter bij huis dan, lekten er 2000 vingerafdrukken die opgeslagen waren in een database van Adecco. In een blog melden twee onderzoekers bij vpnMentor, een Israëlisch securitybedrijf, dat ze een lek van biometrische data gevonden hebben. Die data is afkomstig van een Koreaanse aanbieder van biometrische beveiliging, Biostar 2. Biostar 2 biedt software aan derden aan waarmee biometrische data zoals vingerafdrukken, gezichtsscans of irisscans kunnen gemaakt en opgevraagd worden. In totaal ging het om een database van 23 gigabyte die gelekt werd. Of er misbruik van de gegevens werd gemaakt, was niet duidelijk.
September 2019: Datalek bij ziekenhuis in Den Haag
Niet alle datalekken hoeven betrekking te hebben op miljoenen accounts om aandacht te krijgen. In het HagaZiekenhuis in Den Haag gebeurde een wel heel speciaal datalek. Een personeelslid gebruikte er gedetailleerde lijsten met namen, geboortedata en andere kwalen van patienten als boodschappenlijstje. De medewerker ging er rustig mee winkelen, maar vergat nadien om de lijsten uit het winkelkarretje mee te nemen, waarop een andere klant ze vond. Zo kwamen de gegevens bij de politie terecht. In juli kreeg het ziekenhuis al eens een boete van 460.000 euro omdat het losjes om had gesprongen met de patiëntgegevens van bekende Nederlanders.
Oktober 2019: Walibi
Jan van Kempen, een ethisch hacker merkte in oktober een datalek op bij Walibi Holland. Een fout in de website toonde hoeveel kaartjes het pretpark dagelijks online verkoopt, waaronder entreebewijzen en tickets waarmee je niet in de rij hoeft te staan. Vrij gevoelige informatie, zou je zeggen. Van Kampen meldde dit lek aan Walibi, en een woordvoerder van het pretpark meldt dat ‘ernaar gekeken wordt’. Daar houdt het verhaal echter niet op, want volgens Walibi is er sprake van afpersing omdat de titel van de e-mail die van Kempen stuurde “Datalek ruilen voor kaartjes?” was. De directeur van Walibi, Mascha van Till-Taminiau, meldde in een mail aan Van Kampen het volgende: “Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.” Het misverstand werd nadien opgeklaard.
Het laatste kwartaal van dit jaar zullen daar ongetwijfeld nog een hele hoop datalekken bijkomen. We raden iedereen dan ook aan om voorzichtig om te springen met hun data. Laat je kredietkaart bijvoorbeeld niet zomaar gelinkt aan een account als dat niet nodig is. Het kan dan misschien wel makkelijker zijn, maar als de gegevens in slechte handen terechtkomen, kan je plots een hele hoop problemen hebben.
Van Facebook tot MyFitnessPal, van fotografiewebsites tot datingapps, zowat iedereen die het internet gebruikt is er al slachtoffer van geworden. Met wat geluk bleef dat allemaal zonder gevolgen, maar we raden je hoe dan ook aan om een passwoordmanager te downloaden en te gebruiken (zie elders in deze Clickx). Doe je dat niet, zorg er dan tenminste voor dat je wachtwoorden complex genoeg zijn en overweeg een apart wachtwoord voor elke site, zo wordt het bij een datalek moeilijker voor cybercriminelen om je paswoord op andere sites te gebruiken.
Wil je weten of je getroffen bent door een datalek, neem dan zeker eens een kijkje op HaveIBeenPwned, een website waarop je aan de hand van je e-mailadres kan zien of je ooit het slachtoffer bent geworden van een lek. De kans dat je minstens één online account hebt die ooit zijn gegevens gelekt heeft, is vrij tot zeer groot.
Januari 2019: Fortnite
Lang moesten we niet wachten op het eerste datalek van 2019. Op 16 januari raakte immers bekend dat de populaire game Fortnite een ouder, onbeveiligde webpagina online had staan die hun gebruikers blootstelde aan misbruik. Met de toegankelijke informatie konden accounts gehackt worden, in-game audio opgenomen worden en de zogenaamde V-Bucks uitgegeven worden zonder dat daar een wachtwoord voor nodig was. Het ging om 200 miljoen accounts. Ontwikkelaar Epic Games kon het lek gelukkig snel dichten.
Januari 2019: The Collection #1
Het grootste datalek dat ooit al ontdekt werd, bestaat uit zo’n 773 miljoen mailadressen en 21 miljoen wachtwoorden die al sinds midden december voor het grijpen stonden. Deze berg van persoonlijke data kreeg de naam Collection #1 mee. Ze werd ontdekt door de cybersecurity-onderzoeker Troy Hunt die eveneens de service Have I Been Pwned onderhoudt. Hunt heeft de ontdekte gegevens de benaming Collection #1 gegeven, aangezien de gegevens niet van een enkele bron kwamen. Bij de meeste datalekken is er een bepaalde website of service betrokken, maar in dit geval gaat het om een dataverzameling van duizenden verschillen bronnen. Die gegevens werden daarna samengevoegd en midden december online beschikbaar gesteld op een populair forum.
Januari 2019: The Collection #2
Nog voor de maand om was, verscheen er informatie over een nog groter lek. Het ging om een database met maar liefst 2,2 miljard accountnamen en wachtwoorden. De verzameling werd meer dan 1.000 keer gedownload via een torrent. De hacker die het bestand online plaatste, voegde aan de torrent ook een readme-bestand toe waarin hij mensen aanzette het zoveel mogelijk te delen. De data kan hierdoor niet doorverkocht worden, maar werd wel wijdverspreid. Net zoals bij Collection #1 gaat het hier om gegevens uit verschillende bronnen. Zo zijn er deels gegevens uit bestaande lekken bij Dropbox, Yahoo en LinkedIn te vinden, maar ook nieuwe, kleinere websites zijn nu het slachtoffer geworden van deze aanval.
Februari 2019: Foto- en datingwebsites
In februari raakte bekend dat fotowebsite 500px het slachtoffer was geworden van een hack. Enkele dagen later bleek echter dat het niet om 15 miljoen accounts ging, maar dat het lek een pak groter was dan gedacht en dat er een hele hoop websites bij betrokken waren, waaronder websites zoals MyFitnessPal, De Engelse Witte Gids en datingwebsite CoffeeMeetsBagel. Volgens de aankondiging gebeurden de hacks al in juli 2018, maar kwamen ze dus maar na 7 maanden aan het licht.
April 2019: Facebook
Facebook kan gebruikt worden om in te loggen op een enorme hoeveelheid applicaties en helaas wordt er niet altijd even veilig omgegaan met die gegevens door derde partijen. In april raakte bekend dat UpGuard Cyber Risk, een digitaal bedrijf uit Mexico, meer dan 540 miljoen accounts had opgeslagen op een publieke server. Het ging om identificatienummers, accountnamen, likes en comments. Ongeveer op hetzelfde moment raakte bekend dat Facebook-applicatie “At the Pool” de wachtwoorden van 22.000 gebruikers in gewone tekst had opgeslagen. Mensen met slechte bedoelingen hadden dus makkelijk Facebook-accounts kunnen overnemen met deze informatie.
Mei 2019: Canva en Flipboard
Canva, de applicatie waarmee je makkelijk grafische projecten kan ondernemen, werd in mei het slachtoffer van een cyberaanval. Daarbij werd de informatie van 139 miljoen gebruikers bemachtigd. Het ging over namen, e-mailadressen, landen, beveiligde paswoorden en gedeeltelijke kredietkaartinformatie. Flipboard, een app waarmee je de beste content van op het net kan bekijken, werd het slachtoffer van een heel gelijkaardige hack. Het ging om 145 miljoen accounts.
Juli 2019: Capital One
Clickx-lezers zullen van dit datalek weinig last hebben, maar het is toch even het vermelden waard omwille van de financiële impact ervan. Een hacker wist zich immers toegang te verschaffen tot de database van Capital One, een van de grootste banken in de Verenigde Staten. De vrouw sloeg erin om 80.000 accountnummers, 140.000 Amerikaanse social securitynummers, meer dan 1 miljoen Canadese social securitynummers én miljoenen kredietkaartapplicaties te bemachtigen. De hacker deed dit over een periode van 14 jaar en kostte de bank naar schatting meer dan 300 miljoen dollar.
Augustus 2019: Adecco
Dichter bij huis dan, lekten er 2000 vingerafdrukken die opgeslagen waren in een database van Adecco. In een blog melden twee onderzoekers bij vpnMentor, een Israëlisch securitybedrijf, dat ze een lek van biometrische data gevonden hebben. Die data is afkomstig van een Koreaanse aanbieder van biometrische beveiliging, Biostar 2. Biostar 2 biedt software aan derden aan waarmee biometrische data zoals vingerafdrukken, gezichtsscans of irisscans kunnen gemaakt en opgevraagd worden. In totaal ging het om een database van 23 gigabyte die gelekt werd. Of er misbruik van de gegevens werd gemaakt, was niet duidelijk.
September 2019: Datalek bij ziekenhuis in Den Haag
Niet alle datalekken hoeven betrekking te hebben op miljoenen accounts om aandacht te krijgen. In het HagaZiekenhuis in Den Haag gebeurde een wel heel speciaal datalek. Een personeelslid gebruikte er gedetailleerde lijsten met namen, geboortedata en andere kwalen van patienten als boodschappenlijstje. De medewerker ging er rustig mee winkelen, maar vergat nadien om de lijsten uit het winkelkarretje mee te nemen, waarop een andere klant ze vond. Zo kwamen de gegevens bij de politie terecht. In juli kreeg het ziekenhuis al eens een boete van 460.000 euro omdat het losjes om had gesprongen met de patiëntgegevens van bekende Nederlanders.
Oktober 2019: Walibi
Jan van Kempen, een ethisch hacker merkte in oktober een datalek op bij Walibi Holland. Een fout in de website toonde hoeveel kaartjes het pretpark dagelijks online verkoopt, waaronder entreebewijzen en tickets waarmee je niet in de rij hoeft te staan. Vrij gevoelige informatie, zou je zeggen. Van Kampen meldde dit lek aan Walibi, en een woordvoerder van het pretpark meldt dat ‘ernaar gekeken wordt’. Daar houdt het verhaal echter niet op, want volgens Walibi is er sprake van afpersing omdat de titel van de e-mail die van Kempen stuurde “Datalek ruilen voor kaartjes?” was. De directeur van Walibi, Mascha van Till-Taminiau, meldde in een mail aan Van Kampen het volgende: “Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.” Het misverstand werd nadien opgeklaard.
Het laatste kwartaal van dit jaar zullen daar ongetwijfeld nog een hele hoop datalekken bijkomen. We raden iedereen dan ook aan om voorzichtig om te springen met hun data. Laat je kredietkaart bijvoorbeeld niet zomaar gelinkt aan een account als dat niet nodig is. Het kan dan misschien wel makkelijker zijn, maar als de gegevens in slechte handen terechtkomen, kan je plots een hele hoop problemen hebben.