“Wachtwoordmanager LastPass gehackt”
Wellicht heb jij een aantal maanden geleden al meegekregen dat de bekende wachtwoordmanager LastPass gehackt is. In augustus 2022 heeft namelijk een persoon of organisatie ongeoorloofd toegang verkregen tot een cloudgebaseerde opslagomgeving van LastPass. De wachtwoordmanager gaf in eerste instantie aan dat bij deze hack enkel broncodes en technische informatie was gestolen en dat er geen klantgegevens of wachtwoorden werden buitgemaakt. In een nieuwe update heeft LastPass echter gemeld dat er indirect (via de eerder buitgemaakte gegevens) tóch klantgegevens zijn buitgemaakt. Maar om wat voor soort gegevens gaat het in een datalek dan precies? En hoe kun jij als OSINT-onderzoeker een datalek gebruiken? Dit en meer lees je in deze blog.
Datalekken: wat zijn het precies?
Bij een datalek spreekt men van een situatie waarin er bij een organisatie onbedoeld toegang is verkregen tot persoonsgegevens. Daarnaast kan er ook sprake zijn van vernietiging, wijziging of het vrijkomen van persoonsgegevens. Voor de personen om wiens persoonsgegevens dit gaat kan dit erg vervelend zijn: hun persoonlijke gegevens liggen “op straat” en deze kunnen misbruikt worden. Zo liggen phishing campagnes, oplichting en identiteitsfraude op de loer.
In Nederland is de Autoriteit Persoonsgegevens bij wet als toezichthouder aangesteld om toezicht te houden op de verwerking van persoonsgegevens. Dat betekent in praktijk bijvoorbeeld dat organisaties die een Functionaris voor de gegevensbescherming (FG) hebben deze moeten melden bij de autoriteit. De FG is een persoon die binnen een organisatie toezicht houdt op de toepassing en naleving van de privacywetgeving. Organisaties die te maken hebben met een datalek, moeten dat zo snel mogelijk bij de Autoriteit Persoonsgegevens melden. Zij kunnen voor een datalek een boete opgelegd krijgen.
Datalekken: om wat voor data gaat het?
Bij een datalek kunnen er veel soorten gegevens worden buitgemaakt. Denk hierbij aan identificerende gegevens zoals een naam, adres woonplaats, maar ook aan gegevens over accounts zoals gebruikersnamen en wachtwoorden. Datalekken kunnen daarnaast telefoonnummers, e-mailadressen, IP-adressen, geboortedata, toestelinformatie, locatiegegevens, aankopen en ander persoonlijke gegevens bevatten. Hieronder een voorbeeld van gegevens die zijn voorgekomen in een datalek.
Datalekken: hoe vaak komen die voor?
In 2021 zag de Autoriteit Persoonsgegevens een explosieve toename naar maar liefst bijna 25.000 gemelde datalekken in een jaar tijd. Omdat niet alle datalekken gemeld worden zal dit aantal in praktijk waarschijnlijk veel hoger liggen. Daar komt nog bij dat er ook heel veel niet-Nederlandse organisaties zijn die te maken hebben met datalekken. Denk bijvoorbeeld aan grote sociale mediaplatformen zoals LinkedIn en Twitter. Een hack van LinkedIn uit 2016 resulteerde in maar liefst 164 miljoen gelekte e-mailadressen en wachtwoorden. En recenter nog, in begin 2023, bleken meer dan 200 miljoen Twitter-accounts in een hack op Twitter voor te komen.
Hoe kan ik datalekken gebruiken in een OSINT-onderzoek?
Als je online goed zoekt kun jij als OSINT-onderzoeker datasets van gestolen data vinden. Ook zijn er tal van (shady) websites te vinden die je kunt gebruiken om te zoeken naar gegevens binnen deze datasets. Je zult daarmee persoonlijke gegevens en wachtwoorden van gebruikers kunnen vinden. In deze blog leggen we je niet uit hoe je dat kunt doen. Wij vinden dat ethisch gezien niet verantwoord. Wel leggen we je uit hoe je een gebruikersaccount kunt vinden door aan de hand van een e-mailadres of telefoonnummer te zoeken binnen een datalek.
Stel dat jij een e-mailadres of een telefoonnummer van een subject of verdachte hebt. En stel dat jij wil achterhalen of deze gegevens gekoppeld zijn aan gebruikersaccounts op sociale mediaplatformen, fitness apps, hotels of internetfora. Dan kun je bijvoorbeeld de website Haveibeenpwned.com gebruiken. Deze website houdt namelijk al jarenlang datelekken bij en waarschuwt jou als jouw gegevens in een datalek voorkomen. Als je op deze website een telefoonnummer of e-mailadres intypt, krijg je te zien of deze gegevens voorkomen in een paste (een dump van gegevens) en/of een data breach (een incident waarbij persoonsgegevens zijn buitgemaakt). Komen de gegevens voor? Dan weet je in ieder geval dat deze gegevens (zeer waarschijnlijk) aan een bepaald platform gekoppeld zijn of zijn geweest. En nou juist dát kan heel handig zijn: je weet nu immers waar je jouw onderzoek verder op kunt richten!
Let op: hou je aan de vigerende wet- en regelgeving!
Het gebruiken van een datalek kan juridisch gezien in jouw onderzoek niet zijn toegestaan. Raadpleeg dus altijd een officier van justitie, jurist of teamleider indien je data uit een datalek wilt gebruiken. Los van het juridische aspect kan het gebruiken van data waarvan je weet dat deze uit een hack is voortgekomen ook ethisch gezien een drempel vormen. Neem dit zeker mee in jouw overwegingen om data al dan niet te gebruiken.
Meer weten?
In deze blog hebben wij een uitleg gegeven over hoe je een datalekken kunt gebruiken in een OSINT-onderzoek. Heb je aanvullingen op deze blog, dan horen wij dat uiteraard graag. Neem in dat geval contact met ons op. Wil je liever leren hoe je verschillende OSINT-technieken in praktijk kunt toepassen? Kijk dan eens naar onze OSINT-trainingen.
1 Comment