De Algemene Verordening Gegevensbescherming, Europese privacy regelgeving, verplicht organisaties om direct een melding te maken bij het desbetreffende nationale orgaan zodra zij een ernstig datalek ontdekken. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Wat verstaan we eigenlijk onder een datalek? De AP geeft de volgende definitie van een datalek:”toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan.”
De AP publiceert elk half jaar een totaaloverzicht van alle gemelde datalekken in Nederland. In de eerste helft van 2019 zijn 11.906 meldingen gedaan (Autoriteit persoonsgegevens, 2020). Dit zijn datalekken die zijn gemeld door Nederlandse organisatie. Maar datalekken zijn vaak grensoverschrijdend. Het internet is wereldwijd te raadplegen en het aanmaken van accounts en het delen van persoonsgegevens om gebruik te maken van een online dienst is meer regel dan uitzondering. Hoe staat het er in 2020 eigenlijk voor met datalekken? In dit artikel sommen we 10 grote datalekken op uit de eerste helft van 2020.
1. Key Ring (14 miljoen records)
Op 2 april 2020 werd ontdekt dat Key Ring, een digitale wallet app, de Web services S3bucket van Amazon verkeerd had geconfigureerd. Dit resulteerde in een blootstelling van 14 miljoen gegevens van gebruikers van de applicatie. Informatie over gebruikers zoals rijbewijs, ID-kaart, NRA club lidmaatschap en betalingsgegevens werden zichtbaar (Logmeonce, 2020).
2. Telegram (42 miljoen records)
Een externe versie van de populaire berichten-app Telegram lekte online informatie van 42 miljoen records vanwege een verkeerd geconfigureerde cloud. De gelekte informatie bestond uit account-ID’s, telefoonnummers, namen en hashes samen met geheime sleutels (Logmeonce, 2020) van telegramgebruikers.
3. Facebook (267 miljoen records)
21 April 2020: Meer dan 267 miljoen facebook profielen zijn aangeboden op het dark web voor 600 dollar per stuk. Rapporten linken deze profielen terug naar het datalek dat gevonden is in december. Onderzoekers zijn er nog steeds niet zeker van hoe deze data is gelekt maar ze hebben geconstateerd dat 16,8 miljoen van deze facebook profielen op dit moment meer data bevat dan in eerste instantie was gelekt (IdentityForce, 2020).
4. Zoom (500,000 records)
De credentials van meer dan 500.000 Zoom teleconferentie accounts zijn op het dark web te koop aangeboden voor 02.0 dollar. Emailadressen, wachtwoorden, personal meeting URLs, en host keys zijn verzameld door een stuffing aanval (IdentityForce, 2020).
5. Transavia (80000 records)
Op 25 februari 2020 meldde Transavia dat 80000 passagiersdata was gelekt als gevolg van een cyberaanval. De gelekte data bevatte passagiers volledige namen, geboortedatum, bagagereservatie en of ze assistentie nodig hebben op het vliegveld zelf (Logmeonce, 2020) .
6. Decathlon (123 miljoen records)
Sportgigant Decathlon heet op 25 februari 2020 gemeld dat door een verkeerde configuratie gebruikersdata blootgelegd is. Het ging om data van Decathlon UK en Spanje. De gelekte informatie bestond uit klant en werknemer informatie, mogelijk werknemers gebruikersnamen, niet encrypted wachtwoorden, social security nummers, volledige namen, adressen, mobiele telefoonnummers, e-mailadressen en geboortedatums (Logmeonce, 2020).
7. CAM4 (10,88 miljard records).
De persoonsgegevens van miljoenen gebruikers van de erotische webcamsite CAM4 stonden online, doordat een Elasticsearch cluster niet juist geconfigureerd was. Op de database stonden in totaal 10,88 miljard gegevens, waaronder ruim 900.000 Nederlandse e-mailadressen. 16 maart 2020 werden de eerste data-gegevens gedateerd.
De onderzoekers die het lek vonden, schrijven op SafetyDetectives dat de eerste database-gegevens dateerden van 16 maart jongstleden en dat de server dagelijks groeide tot ruim 7TB aan data. De data was niet beveiligd en bestond uit gegevens als voor- en achternamen, email-adressen, land, ip-adressen, geslacht en seksuele voorkeur. Ook waren er chatgesprekken te zien tussen gebruikers, gehashte wachtwoorden en informatie over betalingen. Deze betalingsinformatie bestond uit welke type creditcard er werd gebruikt, hoeveel er was betaald en met welke valuta was betaald (Privacynieuws, 2020).
8. Donorregister (6 miljoen records)
Bij het registeren van donoren in het donorregister zijn twee externe harde schijven zoekgeraakt. Op deze harde schijven stonden persoonsgegevens van 6 miljoen personen. De harde schijven bevatte voor- en achternaam van donoren, het geslacht, de geboortedatum, adresgegevens, donorkeuze, handtekening en het burgerservicenummer (privacynieuws, 2020).
9. MGM resorts (10,6 miljoen records)
Op 20 februari 2020 zijn 10,6 miljoen gegevens van gasten die verbleven in MGM resorts gepost op een hacking forum. De data dump bevat adressen, telefoonnummers, e-mailadressen en geboortedatums van voormalig gasten (Identityforce, 2020)
10. Estée Lauder (440 miljoen records).
Een onbeveiligde database van make up bedrijf Eséee Lauder toonde 440 miljoen klantgegevens. De klantgegevens die zichtbaar waren bestonden uit adressen, IP-adressen, poorten, pathways en opslaginformatie (Identityforce, 2020).
De bovenstaande 10 datalekken geven aan hoe grootschalig een datalek kan zijn. Daarnaast wil ik benoemen dat deze datalekken zeker geen volledig beeld geven van alle datalekken die in 2020 hebben gespeeld. Dat zijn er namelijk vele malen meer. Om geen makkelijke prooi te worden voor cybercriminelen is het van belang om niet altijd hetzelfde wachtwoord te gebruiken. Gebruik je altijd hetzelfde wachtwoord voor al je applicaties, systemen en software? Dan hoeft er maar één datalek te ontstaan waar jouw gegevens worden gelekt, en je inloggegevens van alle applicaties en systemen die je gebruikt, kunnen makkelijk achterhaald worden. Probeer ten alle tijden gebruik te maken van een sterk en origineel wachtwoord.
Bronnen: