De ‘enorme datadiefstal’ van begin deze maand begint steeds meer vragen op te roepen. In totaal zouden er 1,2 miljard combinaties van gebruikersnamen en wachtwoorden zijn buitgemaakt. Een gegevensroof van in totaal 4,5 miljard accountgegevens, gekoppeld aan 500 miljoen unieke e-mailadressen. De hack leek enorm -ook nu we steeds grootschaliger hacks in dit ‘genre’ zien- maar het is niet eens de schaal die vragen oproept. Het vreemde is hetgeen waarvoor de buitgemaakte gegevens nu gebruikt worden én de manier waarop Holden Security, het bedrijf dat de onthulling deed, nu met de kennis van de hack om gaat.
Vraag nummer één is “Welke gegevens zijn er van mij bekend?”, maar het antwoord daarop is niet zo eenvoudig. Er zijn gegevens buitgemaakt, maar eigenlijk blijft het onduidelijk welke diensten het slachtoffer zijn geworden. Het gegeven dat er “Fortune 500 companies” het doelwit zouden zijn geweest zegt niemand veel, en welke (internet)diensten van deze bedrijven betreft het dan? Sinds de onthulling in de New York Times begin deze maand zijn we nog nietveel meer te weten gekomen.
Daar komt bij dat het bedrijf dat met de hack naar buiten kwam direct inspeelt op de paniek van deze ‘megahack’. Beveiligingsexpert Bruce Schneider wijst er op zijn blog op dat Holden Security wel erg graag uw betaling tegemoet ziet om te kunnen vertellen of je slachtoffer van de gegevensdiefstal bent. Niet geheel ongebruikelijk, maar het bedrag en de ‘enthousiaste’ manier waarop doet toch menig wenkbrauw omhoog gaan.
Omdat we niet goed weten wat er nu buit is gemaakt, blijft het onduidelijk wat je nu te weten komt als je Holden, je gegevens geeft om controleren of jouw gegevens ook bij de hack zitten. Als je het bedrijf geld betaalt om te weten wat er nu in de CyberVor hack is buitgemaakt, wil je wellicht eerst wel eens weten of dat je geld waard kan zijn. Vooralsnog weet je in ieder geval slechts zeker dat een bedrijf dat zegt de hand op 1,2 miljard gegevens te hebben gelegd om jouw wachtwoord vraagt.
“We will never ask for your password. Please enter your password” says firm that revealed "billion password" breach http://t.co/gfPJv6heYK
— Graham Cluley (@gcluley) August 6, 2014
De verantwoordelijke criminelen lijken er op hun beurt genoegen mee te nemen Twitter-accounts te hacken om een beetje rond te spammen. Vervelend, maar niet erg opwindend voor iets dat een ‘megahack’ moet zijn. Het kan natuurlijk zijn dat er op de achtergrond veel meer aan de hand is, maar dat is het punt: zolang Holden Security niet meer vertelt over de hack lijkt het vooral op een voor hen goed getimede promotiestunt. Ondanks ‘endorsements‘ blijft het toch een schimmige bedenkelijke zaak, rond een bedrijf waar tot nu toe eigenlijk nog niemand echt van gehoord had.
Het ANP meldt daarbovenop ook nog eens dat er bij het Nationaal Cyber Security Centrum (NCSC) geen nadere informatie binnen gekomen is over de vermeende diefstal door de Russische hackersbende. Axel Arnbak, ‘cybersecurity’ en informatierecht expert van de Universiteit van Amsterdam uit grote twijfels over de vermeende diefstal, “Het lijkt op een storm in een glas water”, zo weet ANP.