Net geen acht miljard ‘records’. Dat is het totale hoeveelheid data dat in de eerste negen maanden van dit jaar op straat belandde. Voor het volledige jaar 2019 gokt Risk Based Security op zowat 8,5 miljard records. Het aantal lekken neemt ook almaar sneller toe: vergeleken met het derde kwartaal van 2018 waren er een derde meer, waarbij het totaal aantal gegevens dat werd buitgemaakt, meer dan verdubbelde. Vooral retail, ziekenhuizen en openbare instellingen blijken slordig om te gaan met gegevens.
Darkweb en iot-apparatuur
De waarschijnlijk grootste ‘data breach’ van dit jaar werd ontdekt door darkweb-onderzoekers Vinny Troia en Bob Diachenko. Zij kwamen een onbeveiligde server tegen waar meer dan vier teraybyte aan persoonlijke informatie was opgeslagen, goed voor 1,2 miljard records. Op de server stonden honderden miljoenen e-mailadressen, meer dan vijftig miljoen telefoonnummers, sociale media-profielen en diens meer. Wachtwoorden, kredietkaartnummers en andere gevoelige data werden niet gevonden. Wie de gegevens had verzameld of hoe, is nooit duidelijk geworden. Nadat de onderzoekers de server aangaven bij de FBI, werd deze plotseling offline gehaald.
Een andere opmerkelijke lek dit jaar vond plaats bij Orvibo, een producent van iot- en smart home-apparatuur. Daar lagen twee miljard records van een miljoen verschillende klanten op straat, inclusief wachtwoorden, mailadressen, geolocatie-data, ip-adressen en namen. Met de gegevens was het mogelijk om accounts te kapen en de controle over de ‘slimme’ apparaten die via Orvibo worden beheerd over te nemen.
Telecom, verzekeraar en marketing
Nog een stevige lek kreeg het Amerikaanse TrueDialog te verwerken, een Amerikaanse zakelijke telecomprovider die sms-diensten aanbiedt voor bedrijven en onderwijsinstellingen. Een 604 gigabyte grote database van het Texaanse bedrijf werd onbeveiligd aangetroffen op Azure. Er zaten onder meer namen en mailadressen in, maar ook de inhoud van sms’jes, de tijd en plaats waar deze werden verzonden en de bijhorende telefoonnummers.
In de zomer van dit jaar was er een datalek bij First American Financial Corporation, een verzekeraar die gespecialiseerd is in vastgoed. Volgens security-researcher Brian Krebs zijn er daarbij 885 miljoen documenten gelekt over hypotheken en vastgoedtransacties die teruggaan tot 2003. Ook bankrekeningnummers, belastinggegevens, gegevens over overschrijvingen en beelden van rijbewijzen lagen voor het grijpen voor iedereen die over een webbrowser beschikte.
Vinny Troia en Bob Diachenko (zij weer) konden in april dit jaar een MondoDB-database blootleggen die 150 gigabyte aan marketingdata bevatte van het bedrijf Validations.io, gespecialiseerd in emailmarketing. De database bevatte onder meer telefoonnummers, emailadressen, adressen en gegevens over het geslacht. Zodra de onderzoekers het bedrijf op de hoogte brachten, werd de server offline gehaald.
Reacties
Het zal mij niets verbazen als er inmiddels bedrijven zijn die naar dit soort lekken zoeken en die buitgemaakte gegevens verhandelen aan de hoogste bieders. Immers zijn dit soort gegevens prima te verhandelen en leveren ze genoeg op om bepaalde morele standaarden wat losser te hanteren.