Losgeld voor je data

Door de hack van relatiesite Ashley Madison worden zowel de klanten als het bedrijf zelf aan de schandpaal genageld. Afpersing met gestolen data is dé criminele trend van dit moment.

Illustratie Arjen Born

Life is short, have an affair. Dat is het motto van de Canadese relatiesite Ashley Madison. Het gedroomde avontuurtje van bijna 40 miljoen gebruikers veranderde echter in een nachtmerrie toen hackers vorige week een bestand met tien gigabyte aan persoonlijke gegevens publiceerden.

Sindsdien gaat geen dag voorbij of er rolt een nieuw Ashley Madison-schandaal van de pers: beroemde vreemdgangers worden ontmaskerd, enkele wanhopige klanten maakten een einde aan hun leven, gebruikers worden gechanteerd.

In een tweede ‘datadump’ publiceerden de hackers nog eens twintig gigabyte aan gestolen bedrijfsinformatie, waaronder de mailwisselingen van topman Noel Biderman van Avid Life Media, de moedermaatschappij van de gehackte relatiedienst. Vrijdag werd bekend dat Biderman opstapt.

Afpersing: makkelijk verdienen

De hack is opgeëist door een groep die zegt morele bezwaren te hebben tegen een dienst die vreemdgaan promoot. Maar neem die dekmantel maar met een korreltje zout. Zoals het er nu naar uitziet werd het bedrijf afgeperst, waarschijnlijk met hulp van binnenuit. Ashley Madison looft een beloning uit van een half miljoen Canadese dollar (330.000 euro) om de daders te vinden.

De Ashley Madison-hack past in een patroon van recente inbraken waarbij bedrijven – en individuen – gegijzeld worden door hackers. Deze vorm van chantage is een snelgroeiende alternatieve bron van inkomsten voor cybercriminelen. Veiligheidsbedrijven bestempelen deze bedrijfshacks als dé trend onder computerinbrekers, met als doel zo veel mogelijk gevoelige data te verzamelen.

In het geval van consumenten gaat het meestal om details over je liefdesleven, compromitterende films en foto’s of seksuele interesses – vandaar dat pornosites en relatiediensten regelmatig doelwit zijn. In het zakenleven gaat het om bedrijfsgeheimen: mailwisselingen, toekomstige plannen of broncodes van software.

Bedrijven zouden volgens schattingen van onderzoeksbureau Gartner bereid zijn 5 dollar losgeld te betalen voor elke 100 dollar schade die publicatie zou kunnen veroorzaken. Dat is interessant voor criminelen. Zeker nu een andere inkomstenbron – de handel in gestolen creditcards – minder lucratief wordt omdat banken en creditcardmaatschappijen er beter in slagen fraude te voorkomen. Verdachte betalingen worden sneller herkend (en geblokkeerd) en ook de VS schakelt over op betaalpassen met een beveiligde chip.

Een berucht geval van datakidnapping trof filmmaatschappij Sony Pictures, dat met het lek werd gechanteerd om de gewraakte komedie The Interview niet uit te brengen. Er zou ook geld geëist zijn. De hackers gijzelden niet alleen alle bedrijfscomputers maar stalen ook onuitgebrachte films, mailboxen en (medische) personeelsdossiers.

Alle data werd gedumpt en dat zorgde voor een explosie aan negatief nieuws over de Sony-top. Nog altijd is niet duidelijk of de daders ‘gewone’ cybercriminelen waren of dat Noord-Korea ook een rol speelde. In The Interview wordt de spot gedreven met leider Kim Jong-un.

Een andere opzienbarende computerinbraak vond deze zomer plaats bij Hacking Team, een Italiaans bedrijf dat afluistersoftware verkoopt, onder meer aan discutabele regimes. De daders waren vermoedelijk activisten die probeerden het bedrijf kapot te maken door publicatie van alle gegevens die ze hadden buitgemaakt.

Nog dichter bij de Ashley Madison-hack is de inbraak bij Adult FriendFinder, ook een datingdienst waar veel mensen met een vaste relatie staan ingeschreven. De daders dumpten een bestand met gegevens van 3,9 miljoen klanten: hun mailadressen, fysieke adressen, geboortedatums en seksuele voorkeur.

De media als wapen

Seks- en pornosites zijn een dankbaar doelwit voor afpersing. Succes gegarandeerd wegens grote mediabelangstelling. Vroeger werd je in het midden van het dorp te kijk gezet en bespot, tegenwoordig duiken kranten, tv-programma’s en nieuwssites enthousiast op dit soort onderwerpen. Afpersers zijn blij met al die media-aandacht.

Daarnaast dringt de vraag zich op of je mag spitten in gestolen gegevens. Dat gebeurde ook bij de Wikileaks-documenten en de onthullingen van Edward Snowden over de afluisterpraktijken van de veiligheidsdiensten. In die gevallen kun je stellen dat publicaties een publiek doel dienden. Bij de ontmaskering van potentiële vreemdgangers wordt dat doel al een stuk minder evident.

Amerikaanse media noemen de Ashley Madison-hack the gift that keeps on giving. Telkens rollen er nieuwe onthullingen uit de gestolen databestanden. Maar of die ook allemaal echt waar zijn? Iemand die staat ingeschreven bij Ashley Madison hoeft niet daadwerkelijk vreemd te gaan. Veel (verstandige) internetters gebruiken gefingeerde namen als ze lid worden van zo’n site. Bovendien kan de hacker ook gegevens veranderen en zo extra schade berokkenen. De validiteit van de gelekte data is niet altijd duidelijk, zeker omdat getroffen bedrijven (zoals Sony Pictures) zelf nepbestanden verspreiden om verwarring te zaaien.

Ashley Madison liet de website ashleymadisonleakeddata.com uit de lucht halen omdat die de gestolen data verspreidde. Maar Ashley Madison zette zelf ook zijn klanten onder druk: alleen tegen betaling kon je je gegevens definitief laten wissen – en dat gebeurde nog niet eens goed.

Nu proberen meer partijen een slaatje uit te slaan uit de hack. Ashley Madison-klanten worden bedreigd door afpersers die per mail een beloning eisen voor het stilhouden van hun lidmaatschap. Daarnaast is er Trustify. Dat zijn online privédetectives die voor 67 dollar per uur zoeken in de database. Het gelekte bestand is namelijk te ‘ruw’ om zelf door te spitten.

De mensen die inbraken bij Ashley Madison zeggen het verderfelijke karakter van de site aan de kaak te willen stellen. Met name in het puriteinse Amerika hadden veel reacties over de hack een hoog ‘boontje komt om zijn loontje’-gehalte.

Maar het was nota bene de Amerikaanse sekssector die in de jaren negentig als eerste bedrijfstak winst wist te maken op internet. Stiekem werd opeens makkelijk: niet meer achter het gordijntje van de videotheek porno zoeken of seksblaadjes laten bezorgen in discrete verpakking.

Discretie op internet is een farce, blijkt uit alle hacks die het nieuws halen. Toch hebben veel consumenten een overmatig vertrouwen in technologie. Verblind door het gebruiksgemak van gelikte webdiensten laten we ons makkelijk wijsmaken dat een dienst veilig is, terwijl je dat als gebruiker niet kunt controleren.

In de val trappen

We zijn getraind te letten op phishing mails en spam, we schermen onze pincode af. Toch trappen we met open ogen in de val om onze meest persoonlijke gegevens af te staan. Je wilt stiekem vreemdgaan dus je registreert je op een site, met je eigen naam en creditcard. Gesust door een foto van een blonde dame die het ssst!-gebaar maakt.

De Ashley Madison-hack is een wake up call, zeggen sommige veiligheidsexperts. Vergeet het maar. Een opzienbarende hack heeft hetzelfde effect als een ambulance op de snelweg: zodra je de zwaailichten ziet, rijd je even voorzichtig. En als de ambulance uit beeld is, geef je gewoon weer gas.

Een beetje wantrouwen tegen het web kan echter geen kwaad. En dat geldt niet alleen voor relatiesites. Ook e-mail kan gebruikt worden voor afpersing.

Simpele remedie: alleen mails tikken met de gedachte dat buitenstaanders ze mee kunnen lezen. Mailboxen zijn doelwit nummer één bij datakidnapping van bedrijven.

Hacks van binnenuit

Gedupeerde klanten van Ashley Madison spannen een rechtszaak aan omdat de relatiesite slecht beveiligd zou zijn. Dat kan kloppen; in de uitgelekte mails waarschuwt een voormalig technische directeur voor kwetsbaarheden bij de dienst en diens concurrenten.

Bij overheidsinstanties, financiële instellingen en medische bedrijven worden regelmatig controles uitgevoerd of de veiligheid wel op orde is. Bij consumentendiensten is dat minder gebruikelijk. Volgens een PWC-rapport over digitale veiligheid daalden IT-budgetten – waaronder de beveiligingsbudgetten vallen – in die sector met 15 procent.

De verantwoordelijke managers zijn vaak blind voor dataveiligheid. Saillant detail: volgens PWC zorgen hacks van binnenuit, door (voormalige) medewerkers, voor grotere problemen dan hacks van buitenaf.

Vorige week bepaalde een Amerikaanse rechter dat de Federal Trade Commission hotelketen Wyndham mag aanklagen voor onverantwoordelijk slechte databeveiliging. Daardoor stalen hackers in 2009 creditcardgegevens van 600.000 klanten en werd voor 10 miljoen dollar aan frauduleuze betalingen gedaan. Of het tot een boete komt is nog niet zeker.

In Nederland geldt een meldplicht voor het rapporteren van datalekken waarbij persoonsgegevens gestolen worden. Weliswaar is het kwaad dan al geschied, maar de gedwongen onthulling (op verzwijgen van een lek staat 810.000 euro boete) dwingt bedrijven wel betere veiligheidsmaatregelen te nemen en zo reputatieschade te voorkomen.

Niemand wil immers aan de digitale schandpaal genageld worden.