Datalek: Hello Kitty, you vote?

We merken dat de meldplicht datalekken nog niet echt leeft. Dat zou wel moeten, het gaat per 1 januari namelijk een behoorlijke impact hebben op het bedrijfsleven. Misschien gaat het wat meer leven met recente en grote praktijkvoorbeelden.

Datalek Hello Kitty

datalekken, gebruikersgegevens3,3 miljoen gebruikersgegevens op straat. 3,3 miljoen. Het gaat hier om een datalek de database van een Hello Kitty-liefhebbers, dus je mag aannemen dat het merendeel kinderen is. Namen, geboortedata, geslacht, e-mailadres, wachtwoordhashes, wachtwoord-hints en de antwoorden daarop. Alles ligt op straat. Dit datalek is gemeld door een beveiligingsonderzoeker aan CSO (website) en lijkt voort te komen uit een verkeerd geconfigureerde database (MongoDB). Inmiddels is het lek gedicht, Sanrio (de beheerder van de site) heeft wel informatie gedeeld, maar pas na openbaarmaking van het lek. De gevolgen voor Sanrio kunnen dus nog fors zijn. Dit zal echter volgen op uitkomst van het onderzoek naar de oorzaak van de configuratiefout. Had dit voorkomen kunnen worden of heeft Sanrio er alles aan gedaan?

Hack VTech

Begin november is speelgoedfabrikant VTech gehackt waarbij 6,4 miljoen gebruikersgegevens  van kinderen op straat datalek, gebruikersgegevenszijn beland.  Bij dit datalek  zijn naam, geslacht en geboortedatum op straat komen te liggen. Daarnaast zijn van zo’n 5 miljoen volwassenen de gegevens openbaar gemaakt. Dat zijn dus 11 miljoen uit 1 database.  11 miljoen. Bij deze gebruikersgegevens  zijn ook versleutelde wachtwoorden, mailadressen en IP-adressen buit gemaakt. Ook zouden chatlogs en foto’s buit gemaakt zijn. De hacker heeft overigens alleen geprobeerd hoe gemakkelijk de gegevens te bemachtigen waren en heeft hier geen kwade bedoelingen mee. VTech claimt overigens dat alle foto’s en audiologs versleuteld zijn. De chatlogs zijn dit niet. VTech heeft dit datalek  24 november ontdekt en uitvoerig onderzoek gedaan en maatregelen getroffen. Omdat het hier om een bewuste hack ging waar VTech de nodige, maar onvoldoende, tegenmaatregelen heeft genomen, zullen de gevolgen van dit datalek  voor VTech wellicht nog meevallen.

Datalek Kiezersbestand

Ook bij dit datalek gaat het om een configuratiefout van een database. De namen, adressen datalek, gebruikersgegevensen telefoonnummers van 191 miljoen Amerikaanse geregistreerde kiezers zijn vrij toegankelijk voor iedereen die het IP-adres kent. 191 miljoen. Het stemgedrag (wel of niet gestemd), geboortedatum, e-mailadressen, het is allemaal inzichtelijk. Dit datalek lijkt bij het bedrijf NationBuilder vandaan te komen. Zij helpen veel politieke partijen bij hun verkiezingscampagnes met websites, inzamelingsacties en e-mailcampagnes. Het bedrijf zelf ontkent verantwoordelijk te zijn en legt de oorzaak bij een tot nu toe onbekende cliënt. Verder onderzoek zal moeten uitwijzen wie verantwoordelijk is voor het openlijk toegankelijk zijn van de gebruikersgegevens. Als hieruit blijkt dat de schuld voor dit datalek toch bij NationBuilder ligt kan dit ze erg duur komen te staan omdat ze momenteel schuld ontkennen.

Kleiner bedrijf, grotere gevolgen datalek

Is de meldplicht datalekken nog steeds iets abstracts? Deze voorbeelden geven op grotere schaal aan wat er kan gebeuren bij een datalek. De gevolgen voor een kleiner bedrijf met een datalek kunnen groter zijn. Groter, omdat de relatieve impact op de financiën van een klein bedrijf groter is. Zorg dus dat de beveiliging op orde is, de systemen op een juiste wijze geconfigureerd zijn en je als bedrijf er alles aan doet om een datalek te voorkomen. Dat maakt de gevolgen, als er dan toch een datalek geweest is, een stuk kleiner.

Als MKBer kun je nu eenmaal minder financiële klappen verwerken dan als grote multinational. Door aandacht te geven aan het configureren van je database en dit ook te laten testen kun je veelal voorkomen dat de schuld bij jezelf ligt. Heb je daarnaast een deugdelijke beveiliging dan zijn veel problemen al in de kiem gesmoord voor ze ontstaan. Wil je dat wij hier bij assisteren door bijvoorbeeld je omgeving onder de loep te nemen? Neem dan contact met ons op voor meer informatie. Een kop koffie kan nooit kwaad.

Jeroen Kuper

Dit artikel is geschreven door: op 29 december 2015