Op de website van Netflix log je in met jouw e-mailadres en wachtwoord. Na het invoeren krijg je de melding: “We kunnen geen account met dit e-mailadres vinden. Probeer het opnieuw of maak een nieuw account”. Vreemd, want je hebt een correct e-mailadres en wachtwoord ingevoerd. Dan maar een nieuw wachtwoord aanvragen. E-mailadres onbekend. Je neemt telefonisch contact op met de helpdesk van Netflix en het blijkt dat er aan jouw account een nieuw e-mailadres is gekoppeld.
Zonder dat je hier misschien bewust van was, zijn jouw accountgegevens uitgelekt. Dit kan vervelende gevolgen hebben. Je hebt zelf geen toegang meer tot je account en iemand anders zit misschien via jouw account lekker te binge-watchen.
Waar we in de vorige blog stil stonden bij hetgeen een aanvaller zoal met jouw account kan doen, behandelen we in deze blog een manier waarop accountgegevens uitlekken, namelijk wanneer je account onderdeel is van een (grootschalig) datalek bij de dienst in kwestie.
Een datalek bij een gebruikte dienst of leverancier kan op verschillende manieren ontstaan. Hackers kunnen actief de systemen van een dienst zijn binnengedrongen. Zo kunnen ze gegevens downloaden of naar zichzelf doorsturen. Of gegevens worden doorgestuurd door malware die de systemen heeft geïnfecteerd, nadat deze door een medewerker (per ongeluk) is binnengehaald.
Soms ontstaat een lek ook door slordigheid aan de kant van de aanbieder van een dienst. Deze heeft bijvoorbeeld per ongeluk een bestand beschikbaar gemaakt dat via het internet eenvoudig te downloaden is. Of neem het voorbeeld van jeugdzorg uit 2019, waar door het laten verlopen van een domeinnaam zeer gevoelige dossiers naar onbekende ontvangers werden verstuurd.
Maar ook slechte beveiliging, onjuist ingeregelde toegangscontrole en malafide werknemers kunnen ervoor zorgen dat informatie onbedoeld vrijkomt. We zouden hier een compleet blog over kunnen schrijven. Als eindgebruiker kun je hier echter niet veel aan doen, anders dan geen gebruik maken van een dienst. Je bent altijd afhankelijk van de wijze waarop de dienstverlener omgaat met jouw informatie en hoe deze de eigen systemen heeft beveiligd. Ook kun je maar tot op zekere hoogte nagaan of maatregelen afdoende zijn.
Veilig opgeslagen wachtwoorden
Inloggegevens, of specifieker wachtwoorden, worden vrijwel nooit (bewust) leesbaar opgeslagen. Hier zal altijd een vorm van cryptografische hashing op moeten zijn toegepast. Na het toepassen van zo’n hashfunctie (ook wel 'hashen' genoemd) is niet meer te achterhalen wat het originele wachtwoord was. Door bij het inloggen het ingevoerde wachtwoord opnieuw te ‘hashen’ en deze te vergelijken met de opgeslagen hash, kan worden bepaald of het juiste wachtwoord is opgegeven. Een ander kenmerk van een goede hashfunctie is dat de kans dat een ander wachtwoord hetzelfde resultaat oplevert na hashing (een zogenaamde ‘collision’) bijzonder klein is.
Het hashen van wachtwoorden is de reden dat een bedrijf of dienst jouw niet kan vertellen wat je huidige wachtwoord is, wanneer je deze kwijt bent. Kunnen ze dat wel? Dan is het zaak om snel een andere aanbieder te zoeken.
Of je wachtwoord alsnog te achterhalen is voor aanvallers, hangt er grotendeels vanaf of de cryptografische hashing juist wordt uitgevoerd met een modern en veilig algoritme. Ook hier heb je, als eindgebruiker, vaak geen weet van en geen invloed op. Ga er echter maar van uit dat, met voldoende tijd en middelen, er een moment komt dat je wachtwoord af te leiden is uit de wachtwoordhash.
De uitgelekte databases aan gebruikersnamen en (al dan niet versleutelde) wachtwoorden worden rustig onder cybercriminelen verhandeld. De kopers kunnen proberen met jouw inloggegevens in te loggen op de dienst waaruit de gegevens lekte, maar ook op andere diensten en systemen. Dit wordt ‘credential stuffing’ genoemd.
Dat het om een lucratieve en succesvolle business gaat, blijkt wel uit een onderzoek van Digital Shadows. Op het darkweb vonden ze 15 miljard inloggegevens, afkomstig van 100.000 hacks. Van deze 15 miljard waren er 5 miljard inloggegevens uniek, waarbij een gemiddelde verkoopprijs van € 13,62 wordt gehanteerd voor “gewone inloggegevens”, terwijl inloggegevens bij financiële instellingen voor gemiddeld € 62,59 worden verkocht. Maar daar blijft het niet bij. Ook toegang tot belangrijke bedrijfssystemen van (grote en minder grote) organisaties worden op grote schaal aangeboden, waarbij datasets worden aangeboden voor een prijs variërend van € 441,- euro tot € 106.000,- met een gemiddelde van € 2.770,-.
Dat criminelen niet stilzitten, blijkt ook uit hetzelfde onderzoek. Een nieuw opkomend fenomeen is de ‘account takeover-as-a-service”. Inloggegevens kopen is dan niet meer noodzakelijk, je kan ook inloggegevens huren voor een bepaalde periode.
Datalekken komen ook in Nederland veelvuldig voor. RTL-nieuws maakte op 15 april 2021 bekend dat miljoenen wachtwoorden en privégegevens op straat liggen door een hack bij webshop Allekabels.nl. Voor zover bekend is dit het grootste datalek met wachtwoorden van Nederland.
Accountgegevens kunnen ook bemachtigd worden door het uitvoeren van een aanval op een (online) account of dienst. De (cloud)dienst is immers vaak vanaf de gehele wereld toegankelijk, en het uitproberen van een gebruikersnaam en wachtwoord is zo gedaan. Er zijn meerdere methoden voor een aanvaller om dit te doen. Brute-force aanvallen, woordenboekaanvallen en social engineering zijn de meest gebruikte varianten.
In de blog “Het wachtwoordbeleid verklaard“ hebben we de brute-force aanval, ook wel een brute-kracht aanval genoemd, besproken. In het kort komt het er op neer dat kwaadwillende geautomatiseerde hulpmiddelen gebruiken om simpelweg alle mogelijke wachtwoorden te proberen, totdat ze de juiste te pakken hebben.
Bij woordenboekaanvallen (dictionary attack) gebruiken kwaadwillenden eveneens geautomatiseerde hulpmiddelen om elk woord in een woordenboek met veelgebruikte (standaard)wachtwoorden op een website in te voeren tot ze het juiste wachtwoord te pakken hebben. Deze methode is gerichter dan de brute-force variant.
Zowel een brute-force als woordenboekaanval hebben voor een aanvaller vaak als nadeel dat de toegang wordt ontzegd na meerdere verschillende pogingen. Deze aanvallen worden dan ook vooral losgelaten op (gestolen) datasets die we eerder bespraken. De beperking van het aantal pogingen per minuut is dan niet aanwezig, en de aanvaller kan rustig zoveel computers op het probleem loslaten als deze wil. Dat is ook nodig, want voor ieder te proberen wachtwoord moet nog steeds de hash berekend worden met het juiste algoritme. Speciale wachtwoord hash algoritmen zijn mede om die reden bewust langzamer gemaakt.
Sneller zijn in dat geval het uitvoeren van aanvallen met behulp van zogenaamde rainbowtables. Daarbij zijn password hashes voorberekend voor een woordenboek met veelgebruikte hashfuncties. Het is dan gewoon een kwestie van opzoeken of de hash in de gelekte database ook voorkomt in de rainbowtable.
Een ontwikkelaar van een systeem of applicatie kan een dergelijke aanval onmogelijk maken door het toepassen van extra maatregelen bij het opslaan van de wachtwoorden. Echter beschikken niet alle (verouderde) systemen over deze noodzakelijke maatregelen, waardoor een uitgelekte dataset veel kwetsbaarder is. Neem het recente voorbeeld bij serverkast.com. Daarbij was een deel van de wachtwoorden met een (relatief) veilig algoritme ‘gehashed’, maar waren de wachtwoorden van oude (inactieve) accounts nog opgeslagen met de onveilige MD5 hash functie. De zwakte van MD5 kwam al in 1996 aan het licht en in 2004 werd het algoritme voor het eerst binnen een uur gekraakt op een supercomputer. Een jaar later met behulp van een normale laptop.
Een andere manier, waarbij het automatisch blokkeren van een account wordt omzeild, is om niet al te veel pogingen te wagen op eenzelfde account, maar juist selectief een aantal standaardwachtwoorden op een groot aantal accounts los te laten. Vaak hoeft een aanvaller maar één account te kraken, om bijvoorbeeld een organisatie binnen te komen. In een dergelijke ‘password spray’ worden er per account net te weinig pogingen per uur uitgevoerd om te worden geblokkeerd.
Tot slot is er de mogelijkheid van de social engineering aanval. Hiermee wordt bedoeld dat kwaadwillenden informatie benutten over een doelwit om zodoende een wachtwoord te raden. Vaak wordt er gebruik gemaakt van openbare bronnen, zoals informatie die op social media beschikbaar is. Geboortedata, namen van huisdieren, geliefden of idolen zijn favoriet.
Er zijn nog vele andere manieren waarop jouw accountgegevens kunnen uitlekken. Sommige van technische aard, waarbij je verbinding actief wordt afgeluisterd terwijl andere aanvallen op de mens gericht zijn, zogenaamde social engineering. Ook slordigheden aan de kant van de gebruiker, zoals een post-it op de monitor of het ‘delen’ van de eigen accountgegevens, zijn vaak een oorzaak.
Zoals we al aangaven heb je zelf (helaas) vaak weinig invloed op de mate waarin het bedrijf waar je een account hebt, veilig met je gegevens omgaat. Wat je kunt doen om de impact van het uitlekken van accountgegevens te beperken en hoe je er überhaupt achter komt dat je account onderdeel was van een datalek zijn zaken die we in een volgende blog zullen behandelen.