Hoe weet je dat je account- of persoonlijke gegevens op straat zijn komen te liggen? Internet nieuws sites zijn natuurlijk een goede bron. Daarnaast zou je het kunnen herkennen aan mogelijke pogingen tot misbruik van die gegevens maar dat is erg onhandig.
Have I Been Pwned
Er is nu ook een alternatief, je kunt ZELF checken of je accountgegevens onderdeel uitmaken van een datalek. Voorbeelden daarvan hebben we de afgelopen jaren gezien bij Adobe, Linkedin, DropBox en MySpace. De service “Have I been pwned”, zie: https://haveibeenpwned.com/ maakt het mogelijk jouw gegevens te checken tegen deze (grote) datalekken. De service is een initiatief van veiligheidsonderzoeker Troy Hunt ( troyhunt.com ) die gegevens uit datalekken verzameld en vervolgens verifieert of de gegevens van de inbreuk echt zijn. Hij gaat daarbij zeer zorgvuldig te werk en zorgt er onder andere voor dat de privacy van individuen goed wordt beschermd.
Verificatie
Een verificatie van gegevens voert hij uit door identiteitsgegevens uit een datalek te cross-checken tegen gegevens van geregistreerde personen of organisaties bij HaveIBeenPwned. De geregistreerde accounteigenaren ontvangen een email als hun gegevens in een datalek verschijnen met de vraag of ze kunnen bevestigen of ze de bron van het lek hebben gebruikt (de site) en of de gegevens die zijn aangetroffen correct zijn. Als de steekproef overeenkomt met de benodigde zekerheid om vast te stellen of het een echte inbreuk betreft (niet een nieuwe verpakking van eerder gelekte gegevens) dan wordt de data in het systeem geladen en voor iedereen beschikbaar om te controleren.
Lange termijn
Door je e-mailadressen te registreren kun je dus ook actief geïnformeerd worden over een potentiële inbreuk op jouw account en heb je de mogelijkheid om snel te handelen door het wachtwoord van je gelekte account te wijzigen. Dit voorkomt misbruik van jouw gegevens en zorgt er ook voor dat je bewust kunt worden van de mogelijke impact die de gelekte gegevens hebben op jouw persoon.
Denk daarbij aan:
- Staan mijn adresgegevens in die site?
- Staat mijn telefoonnummer vermeld?
- Zijn er gegevens van collega’s, klanten of leveranciers van mij opgeslagen?
- Staan er andere gevoelig gegevens opgeslagen?
Dat is zeer belangrijk om te weten ter voorbereiding op de effecten op lange termijn. De gegevens die gelekt zijn worden over het algemeen verhandelt op het DarkNet, een onderwereld op het Internet waar je toegang toe kunt krijgen via een TOR browser. Dat laat zien dat alle persoonlijke data die verhandeld wordt geld waard is en wel voor het kunnen versturen van SPAM en phishing e-mails (zie onze poster herken onveilige email).
Phone scam
Een andere vorm van misbruik waarvoor deze gegevens gebruikt worden is telefonische oplichting. Misschien heeft u het wel eens gehoord of gezien op TV, u wordt uit het niets opgebeld door iemand die zich voordoet als een medewerker van Microsoft. Dat is natuurlijk niet zo (Microsoft belt haar klanten niet voor dit soort dingen) maar het verhaal wordt heel overtuigend gebracht. Deze “scammers” hebben daarbij zeer veel aan de persoonlijke informatie die in de data lekken worden gevonden. Dat biedt aanknopingspunten over “wie je bent” en “wat je zoal doet”. Daarmee wordt je kwetsbaar omdat ze die informatie verwerken in een uitgebreid technisch verhaal en daarmee voor de onzekere persoon als zeer overtuigend en waarheidsgetrouw kan overkomen. Het doel voor de “scammers” is natuurlijk geld. Een bekende manier van werken is het verzoek om een meekijkverbinding te starten, allerlei PC instellingen die worden gewijzigd en malware die wordt geïnstalleerd en aan het eind het verzoek of je even je creditcard gegevens wilt invullen in een email of formulier zodat de kosten van de support call (meestal €400 tot €500) nog even geïnd kunnen worden. Bij mensen die op dit moment afhaken wordt vaak de PC installatie onbruikbaar gemaakt, voor zo ver dat al niet het geval is met alle malware die vooraf is geïnstalleerd.
Wees je daarvan bewust en houdt je gegevens veilig. Ondanks dat je in het geval van een datalek er helemaal niets aan kunt doen, kan je wel alert zijn op de mogelijke gevolgen.
