Datalekken, we horen er steeds vaker over in het nieuws. Maar wat zijn ze eigenlijk en waarom zouden ze jou kunnen raken? Als jij denkt dat jouw gegevens veilig zijn, denk dan nog eens na. De kans is groot dat jouw gegevens al een keer zijn gelekt…
Wat Zijn Grote Datalekken?
Laten we beginnen met de basis.
Een datalek treedt op wanneer vertrouwelijke informatie, zoals persoonlijke gegevens of bedrijfsinformatie, onbedoeld wordt blootgesteld aan onbevoegde personen. Het is een probleem met grote gevolgen.
Dit kan gebeuren als gevolg van een hack, een zwakke beveiliging of zelfs menselijke fouten. Maar wanneer spreken we eigenlijk van een “groot” datalek? Dit is meestal het geval wanneer duizenden, zo niet miljoenen, records worden gecompromitteerd.
Snel overzicht
| Bedrijf | Jaar | Aantal Records |
|---|---|---|
| 7k7k | 2011 | 9,1 miljoen |
| 126 | 2012 | 6,4 miljoen |
| 000webhost | 2015 | 15 miljoen |
| 17 | 2016 | 4 miljoen |
| 2fast4u | 2017 | 17.706 |
| Grote Collectie 2018 | 2018 | 80 miljoen |
| 500px | 2018 | 15 miljoen |
| 8fit | 2018 | 15 miljoen |
| 123RF | 2020 | 8 miljoen |
| Adult FriendFinder | 2016 | 170 miljoen |
| Ajarn | 2021 | 266.399 |
| Atmeltomo | 2021 | 580.177 |
| bigbasket | 2020 | 20 miljoen |
| BlackBerry Fans | 2022 | 174.168 |
| BookCrossing | 2012 | 1,6 miljoen |
| Duolingo | 2023 | 2,6 miljoen |
| Dymocks | 2023 | 836.120 |
| Eye4Fraud | 2023 | 16 miljoen |
Grote datalekken
Het 7k7k Datalek
In ongeveer 2011 werd beweerd dat de Chinese gamewebsite 7k7k een datalek had dat 9,1 miljoen abonnees trof1. Dat is ruim de helft van de Nederlandse bevolking als je het zou moeten vergelijken.
Hoewel er bewijs is dat de gegevens legitiem zijn, is dit datalek als “niet geverifieerd” gemarkeerd vanwege de moeilijkheid om Chinese lekken te verifiëren. De gelekte gegevens omvatten gebruikersnamen, e-mailadressen en wachtwoorden in platte tekst.
Het ‘126’ Datalek
In 2012 werd beweerd dat de Chinese e-mailservice 126 getroffen werd door een datalek dat 6,4 miljoen abonnees trof2.
Hoewel er bewijs is dat de gegevens legitiem zijn, wordt dit datalek als “niet geverifieerd” beschouwd vanwege de moeilijkheid om het Chinees datalek definitief te verifiëren.
De gelekte gegevens bevatten e-mailadressen en wachtwoorden in platte tekst.
000webhost Datalek
In maart 2015 kwam 000webhost3, een gratis webhostingprovider, in het nieuws vanwege een ernstig datalek. Bijna 15 miljoen klantgegevens werden blootgesteld.
Dit lek omvatte namen, e-mailadressen en wachtwoorden in platte tekst (Je kon alles dus zo meelezen). Wat dit datalek extra zorgwekkend maakte, was het feit dat de data al verkocht en verhandeld werd voordat 000webhost er in oktober 2015 van op de hoogte werd gesteld.
Het ’17’ Datalek
In april 2016 verscheen klantgegevens van de streaming-app genaamd “174” te koop op een Tor marktplaats.
De gelekte gegevens bevatten meer dan 4 miljoen unieke e-mailadressen, samen met IP-adressen, gebruikersnamen en wachtwoorden die waren opgeslagen als niet beveiligde MD5-hashes (unsalted).
Het 2fast4u Datalek
In december 2017 ontdekte het Belgische motorforum 2fast4u5 een datalek in hun systeem.
Het datalek van het vBulletin-berichtenbord trof meer dan 17.000 individuele gebruikers en lekte e-mailadressen, gebruikersnamen en met MD5 gehashte wachtwoorden uit.
De Grote Collectie van 2018
In februari 2018 werd een enorme collectie van bijna 3.000 vermeende datalekken online ontdekt.
Hoewel sommige gegevens eerder in Have I Been Pwned6 waren gezien, waren 2.844 van de bestanden, bestaande uit meer dan 80 miljoen unieke e-mailadressen, nog niet eerder gezien.
Elk bestand bevatte zowel een e-mailadres als een wachtwoord in platte tekst en werd daarom geladen als een enkel “niet geverifieerd” datalek.
Het 500px Datalek
In het midden van 2018 werd de online fotografie gemeenschap 500px7 getroffen door een datalek.
Het incident onthulde bijna 15 miljoen unieke e-mailadressen, samen met namen, gebruikersnamen, geslachten, geboortedata en wachtwoord hashes (MD5 of bcrypt). De gegevens verschenen later op een darkweb marktplaats en werden breder verspreid.
Het 8fit Datalek
In juli 2018 leed de gezondheids- en fitnessdienst 8fit aan een datalek8.
De gegevens verschenen later te koop op een darkweb marktplaats en omvatten meer dan 15 miljoen unieke e-mailadressen, samen met namen, geslachten, IP-adressen en wachtwoorden opgeslagen als bcrypt-hashes.
123RF Datalek
Een ander verontrustend voorbeeld is het datalek bij 123RF9, een populaire stockfoto website. In maart 2020 werden meer dan 8 miljoen abonnees getroffen door dit lek.
De gestolen gegevens omvatten e-mailadressen, IP-adressen, namen, telefoonnummers en wachtwoorden die als MD5-hash waren opgeslagen.
Deze gegevens werden vervolgens online verkocht. Het lek kwam aan het licht dankzij de inspanningen van de online cybersecurity gemeenschap.
Datalek bij Adult FriendFinder in 2016
In oktober 2016 werd de volwassen entertainment maatschappij Friend Finder Networks getroffen door een massaal datalek. Dit incident trof meerdere online eigendommen van het bedrijf, waarvan de grootste de website Adult FriendFinder was.
Het datalek bracht gebruikersnamen, wachtwoorden opgeslagen als SHA-1 hashes en maar liefst 170 miljoen unieke e-mailadressen aan het licht. Dit incident staat los van het datalek dat Adult FriendFinder al in 201510 heeft getroffen.
- Het Leven als Pentester: Ja, Het Is Echt Zo Leuk!
- Waarom Werken in Cybersecurity Boeiend en Belonend Is (2023)
Het Ajarn Datalek
In september 2021 ontdekte de in Thailand gevestigde website Ajarn11 dat ze het slachtoffer waren geworden van een datalek dat terugging tot december 2018.
Het datalek omvatte 266.399 e-mailadressen, namen, geslachten, telefoonnummers en andere persoonlijke informatie. Ook waren de gehashte wachtwoorden getroffen door het datalek.
Het Atmeltomo Datalek
In april 2021 onderging “Japan’s grootste e-mail vriend-zoeksite,” Atmeltomo12, een datalek dat later te koop werd aangeboden op een populair hackingforum.
Het datalek blootgestelde 580.177 records met unieke e-mailadressen, samen met gebruikersnamen, IP-adressen en niet-gezouten MD5-wachtwoordhashes.
Het bigbasket Datalek
In oktober 2020 werd de Indiase boodschappen platform bigbasket13 getroffen door een datalek dat meer dan 20 miljoen klantgegevens blootlegde.
De gegevens werden oorspronkelijk verkocht voordat ze in april het volgende jaar openbaar werden gelekt.
De gelekte gegevens omvatten e-mailadressen, IP- en fysieke adressen, namen, telefoonnummers, geboortedata en wachtwoorden opgeslagen als Django(SHA-1) hashes.
Het BlackBerry Fans Datalek
In mei 2022 werd de Chinese website voor BlackBerry liefhebbers, BlackBerry Fans, getroffen door een datalek dat 174.168 lid records14 blootlegde.
De getroffen gegevens omvatten gebruikersnamen, e-mail- en IP-adressen, en wachtwoorden die waren opgeslagen als MD5-hashes (salted).
- Wat is een Cyberaanval? Alles Wat Je Moet Weten
- Wat is DFIR? Een Compleet Overzicht (2023)
- Wat Zijn Cybercriminelen?
Het BookCrossing Datalek
In augustus 2022 onthulde de boeken site BookCrossing een datalek dat terugging naar een databaseback-up van november 2012.
Het incident stelde bijna 1,6 miljoen records bloot15, waaronder namen, gebruikersnamen, e-mail- en IP-adressen, geboortedata en wachtwoorden in platte tekst.
Het Duolingo Datalek
In augustus 2023 werden maar liefst 2,6 miljoen gegevensrecords, die waren verkregen door het schrapen van gegevens van Duolingo, breed verspreid op een populair hackersforum.
De gegevens waren verkregen door het kwetsbare API te enumereren16 en waren eerder te koop aangeboden in januari 2023.
Ze bevatten e-mailadressen, namen, de geleerde talen, ervaringspunten (XP) en andere gegevens met betrekking tot de voortgang van het leren op Duolingo.
Hoewel sommige van deze gegevens opzettelijk openbaar zijn, vormt het vermogen om privé-e-mailadressen eraan te koppelen een voortdurend risico voor de privacy van gebruikers.
Het Dymocks Datalek
In september 2023 kondigde de Australische boekhandel Dymocks een datalek aan17. De gegevens dateren van juni 2023 en omvatten 1,2 miljoen records met 836.120 unieke e-mail adressen.
Het datalek onthulde ook namen, geboortedata, geslachten, telefoonnummers en fysieke adressen.
Het Eye4Fraud Datalek
In februari 2023 verscheen data die vermoedelijk was verkregen van de fraude preventie service Eye4Fraud te koop op een populair hackersforum18.
De data besloeg tientallen miljoenen rijen met 16 miljoen unieke e-mailadressen.
De gegevens waren verdeeld over 147 tabellen met een totale omvang van 65 GB en omvatten zowel directe gebruikers van de service als personen die blijkbaar bestellingen hadden geplaatst bij andere diensten die Eye4Fraud hadden geïmplementeerd om hun verkopen te beschermen.
De data bevatte namen en bcrypt-wachtwoord hashes voor gebruikers, en namen, telefoonnummers, fysieke adressen en gedeeltelijke creditcardgegevens (kaarttype en laatste 4 cijfers) voor bestellingen die met de service waren geplaatst.
Conclusie
Deze datalekken benadrukken de voortdurende noodzaak van gegevensbeveiliging en privacybescherming.
Het is van essentieel belang dat organisaties en diensten actieve maatregelen nemen om de gegevens van gebruikers te beschermen en te zorgen voor een snelle reactie op incidenten om verdere schade te beperken.
Heb je zelf maatregelen genomen om je persoonlijke gegevens te beschermen tegen mogelijke datalekken? Wat zijn jouw gedachten over online privacy en gegevensbeveiliging? Deel je inzichten in de reacties, zodat anderen kunnen leren van jouw ervaringen en zichzelf beter kunnen beschermen
Referenties
- Breachdirectory.com – 7K7K Data breach analysis ↩︎
- Cyberinsurance.com– 126 Email service data breach ↩︎
- 000webhost.com – Databreach incident 2015 ↩︎
- Vice.com – Streaming App 17 Databreach ↩︎
- 2fast4u.be – Database lek gevonden ↩︎
- HaveIBeenPwned – Check if you have been compromised – ↩︎
- Petapixel.com – 500px Hacked ↩︎
- 8fit.zendesk.com – 8fit data breach notification ↩︎
- Security.nl – Datalek bij 123RF ↩︎
- Tweakers.net – Gegevens Adultfirendfinder-site komen online ↩︎
- Ajarn.com – Data breach disclosure ↩︎
- socradar.io – Atmeltomo data breach ↩︎
- Bleepingcomputer.com – BigBasket data breach ↩︎
- Firefox.com – Blackberryfans data breach ↩︎
- bookcrossing.com – Data breach discloure ↩︎
- Security.nl – Duolingo bevestigt scraping van profielgegevens ↩︎
- abc.net.au – Dymocks warns customers of data breach ↩︎
- Security.nl – Fraudebeschermingsdienst Eye4Fraud lekt gegevens ↩︎