De digitale schandpaal

Door de hack van overspelsite Ashley Madison worden zowel de klanten als het bedrijf zelf aan de schandpaal genageld. Afpersing met gestolen data – data kidnapping of cyber extortion - is dé criminele trend van dit moment. Hoe bescherm je je daartegen?

Illustratie Arjen Born Illustratie Arjen Born

Life is short, have an affair. Dat is het motto van de Canadese overspelsite Ashley Madison. Het gedroomde avontuurtje van bijna 40 miljoen gebruikers veranderde in een nachtmerrie toen hackers vorige week een bestand met tien gigabyte aan persoonlijke gegevens publiceerden.

Sindsdien gaat er geen dag voorbij of er rolt een nieuw Ashley Madison-schandaal van de pers: beroemde vreemdgangers worden ontmaskerd, enkele wanhopige klanten maakten een einde aan hun leven, gebruikers worden gechanteerd door derden.

In een tweede ‘datadump’ publiceerden de hackers nog eens twintig gigabyte aan gestolen bedrijfsinformatie, waaronder de mailwisselingen van topman Noel Biderman van Avid Life Media, de moedermaatschappij van de gehackte relatiedienst. Gisteren werd bekend dat Biderman is opgestapt.

Afpersing: makkelijk verdienen

De hack is opgeëist door een groep die zegt morele bezwaren te hebben tegen een dienst die vreemdgaan promoot. Neem die dekmantel vooral met een korreltje zout. Zoals het er nu uitziet, werd het bedrijf afgeperst, waarschijnlijk met hulp van binnenuit. Ashley Madison looft een beloning uit van een half miljoen Canadese dollars (330.000 euro) om de werkelijke daders te vinden.

De Ashley Madison-hack past in een patroon van recente inbraken waarbij bedrijven - en individuen – gegijzeld worden door hackers. Deze vorm van chantage is een snelgroeiende alternatieve bron van inkomsten voor cybercriminelen. Veiligheidsbedrijven bestempelen dergelijke bedrijfshacks als dé trend onder computerinbrekers, met als doel zoveel mogelijk gevoelige data te verzamelen.

In het geval van consumenten gaat het meestal om details over je liefdesleven, compromitterende films en foto’s of seksuele interesses. Vandaar dat pornosites en relatiediensten regelmatig doelwit zijn. In het zakenleven gaat het om bedrijfsgeheimen: mailwisselingen, toekomstige plannen of de broncode van software.

Bedrijven zouden volgens schattingen van onderzoeksbureau Gartner bereid zijn om 5 dollar losgeld te betalen voor elke 100 dollar schade die publicatie zou kunnen veroorzaken. Dat is interessant voor criminelen. Zeker nu een andere inkomstenbron – de handel in gestolen creditcards – minder lucratief wordt omdat banken en creditcardmaatschappijen er beter in slagen fraude te voorkomen. Verdachte betalingen worden sneller herkend (en geblokkeerd) en ook de VS schakelt over op betaalpassen met een beveiligde chip.

Terwijl financiële instellingen hun databeveiliging serieus nemen, springen veel kleinere bedrijven nog te laks om met hun data. Hun gegevens zijn op zichzelf niet kostbaar, maar publicatie ervan kan onherstelbare (reputatie-)schade aanrichten. Met één druk op de knop ligt alles te grabbel.

Een berucht geval van data kidnapping trof filmmaatschappij Sony Pictures, dat met het lek werd gechanteerd om zo de gewraakte komedie The Interview niet uit te brengen. Er zou ook geld geëist zijn. De hackers gijzelden niet alleen alle bedrijfscomputers maar stalen ook onuitgebrachte films, mailboxen en (medische) personeelsdossiers. Alle data werden gedumpt en dat zorgde voor een explosie aan negatief nieuws over de Sony-top. Nog altijd is niet duidelijk of de daders ‘gewone’ cybercriminelen waren of dat Noord-Korea een rol speelde. In The Interview wordt de spot gedreven met leider Kim Jong-un.

Een andere opzienbarende computerinbraak vond deze zomer plaats bij Hacking Team - een Italiaans bedrijf dat afluistersoftware verkoopt, onder meer aan discutabele regimes. De daders waren vermoedelijk activisten, die probeerden het bedrijf kapot te maken door publicatie van alle gegevens die ze hadden buitgemaakt.

Nog dichter bij de Ashley Madison-hack is de inbraak bij Adult FriendFinder, ook een datingdienst waar veel mensen met een vaste relatie staan ingeschreven. De daders dumpten een bestand met gegevens van 3,9 miljoen klanten: hun mailadressen, fysieke adressen, geboortedata en seksuele voorkeur.

De media als wapen

Seks- en pornosites zijn een dankbaar doelwit voor afpersing. Succes gegarandeerd wegens grote mediabelangstelling. Vroeger werd je in het midden van het dorp te kijk gezet en bespot, tegenwoordig hebben we kranten, tv-programma’s en nieuwssites die met graagte op dit soort onderwerpen duiken. Meestal zijn verhalen over cybercriminaliteit een ver-van- mijn-bedshow. Niet als het gaat om vreemdgaan en persoonlijke drama’s. Het is als journalist moeilijk om terughoudend te blijven met onderwerpen die goed ‘geklikt’ worden. RTL had al meteen uitgezocht hoeveel Nederlanders zich hadden ingeschreven bij overspelsite Ashley Madison. Antwoord: ongeveer 600.

Journalistieke terughoudendheid is op zijn plaats. Afpersers zijn blij met al die media-aandacht. Daarnaast dringt de vraag zich op of je mag spitten in gestolen gegevens. Dat gebeurde ook bij de Wikileaks-documenten of de onthullingen van Edward Snowden over de afluisterpraktijken van de veiligheidsdiensten. In die gevallen kun je stellen dat publicaties een publiek doel dienden. Bij de ontmaskering van potentiële vreemdgangers wordt dat doel al een stuk kwestieuzer.

Amerikaanse media noemen de Ashley Madison-hack the gift that keeps on giving; telkens rollen er nieuwe onthullingen uit de gestolen databestanden.

Of het echt waar is? Iemand die staat ingeschreven bij Ashley Madison hoeft niet daadwerkelijk vreemd te gaan. Veel (verstandige) internetters gebruiken gefingeerde namen als ze lid worden van een site. Bovendien kan de hacker ook gegevens veranderen en zo extra schade berokkenen. De validiteit van de gelekte data is niet altijd duidelijk, zeker omdat getroffen bedrijven (zoals bij Sony Pictures) zelf nepbestanden verspreiden om verwarring te zaaien.

Ashley Madison liet de website ashleymadisonleakeddata.com uit de lucht halen omdat die de gestolen data verspreidde. Maar Ashley Madison zette zelf ook zijn klanten onder druk: alleen tegen betaling kon je je gegevens definitief laten wissen - en dat gebeurde nog niet eens goed.

Nu proberen meer partijen een slaatje te slaan uit de hack. Ashley Madison-klanten worden bedreigd door afpersers die per mail een beloning eisen voor het stilhouden van hun lidmaatschap. Daarnaast is er Trustify. Dat zijn online privédetectives die voor 67 dollar per uur zoeken in de database. Het gelekte bestand is namelijk te ‘ruw’ om zelf door te spitten.

Wat kunnen consumenten doen?

De mensen die inbraken bij Ashley Madison zeggen het verderfelijke karakter van de site aan de kaak te hebben willen stellen. Met name in het puriteinse Amerika hadden veel reacties over de hack een hoog ‘boontje komt om zijn loontje’-gehalte. Maar het was nota bene de Amerikaanse sekssector die in de jaren negentig als eerste bedrijfstak winst wist te maken op internet. Stiekem werd opeens makkelijk: niet langer hoefden geïnteresseerden achter het gordijntje van de videotheek op zoek te gaan naar pornofilms of seksblaadjes thuis te laten bezorgen in discrete verpakking.

Discretie op internet is een farce, blijkt uit alle hacks die het nieuws halen. Toch hebben veel consumenten een overmatig vertrouwen in technologie. Verblind door het gebruiksgemak van gelikte webdiensten laten we ons makkelijk wijsmaken dat een dienst veilig is, terwijl je dat als gebruiker niet kunt controleren.

We zijn getraind om te letten op phishing mails en spam, schermen onze pincode af. Toch trappen we met open ogen in de val om onze persoonlijkste gegevens af te staan. Je wilt stiekem vreemdgaan dus je registreert je op een site, met je eigen naam en creditcard. Gesust door een foto van een blonde dame die het ssst!-gebaar maakt.

De Ashley Madison-hack is een wake up call, zeggen sommige veiligheidsexperts. Vergeet het maar. Een opzienbarende hack heeft hetzelfde effect als een ambulance op de snelweg: zodra je de zwaailichten ziet, rijd je even voorzichtig. En als de ambulance uit beeld is, geef je gewoon weer gas.

Een beetje wantrouwen tegen het web kan echter geen kwaad. En dat geldt niet alleen voor relatiesites. Ook e-mail kan gebruikt worden voor afpersing. Simpele remedie: alleen mails tikken met de gedachte dat buitenstaanders ze mee kunnen lezen. Mailboxen zijn doelwit nummer één bij data kidnapping van bedrijven.

Wat kunnen bedrijven er aan doen?

Gedupeerde klanten van Ashley Madison spannen een rechtszaak aan omdat de relatiesite slecht beveiligd zou zijn. Dat kan kloppen; in de uitgelekte mails waarschuwt een voormalig technisch directeur voor kwetsbaarheden bij de dienst en diens concurrenten.

Bij overheidsinstanties, financiële en medische instellingen worden regelmatig controles uitgevoerd of de veiligheid wel op orde is. Bij consumentendiensten is dat minder gebruikelijk. Volgens een PWC- rapport over digitale veiligheid daalden IT-budgetten, waar de beveiligingsbudgetten onder vallen, in die sector met 15 procent. De verantwoordelijke managers zijn vaak blind voor dataveiligheid. Saillant detail: volgens PWC zorgen hacks van binnenuit, door (voormalige) medewerkers, voor grotere problemen dan hacks van buitenaf.

Vorige week bepaalde een Amerikaans rechter dat de Federal Trade Commission hotelketen Wyndham mag aanklagen voor onverantwoordelijk slechte databeveiliging. Daardoor stalen hackers in 2009 creditcardgegevens van 600.000 klanten en werd voor 10 miljoen dollar aan frauduleuze betalingen gedaan. Of het tot een boete komt, is nog niet zeker.

In Nederland geldt een meldplicht voor datalekken waarbij persoonsgegevens gestolen worden. Weliswaar is het kwaad dan al geschied, maar de gedwongen onthulling (op verzwijgen van een lek staat een boete van 810.000 euro) dwingt bedrijven wel betere veiligheidsmaatregelen te nemen en zo reputatieschade te voorkomen.

Niemand wil immers aan de digitale schandpaal genageld worden.