Zoals u wellicht in de media heeft vernomen is de clouddienst Dropbox in 2012 gehacked, Hackers hebben hierbij de gehele database met (inlog)gegevens buitgemaakt van alle, lees 67 miljoen, gebruikers.
De database, welke voor een grove €1.400 werd verkocht op het duistere gedeelte van het internet, is publiekelijk beschikbaar gesteld.

Wat staat er exact in deze database?

De database die publiekelijk beschikbaar is gesteld bevat de volgende gegevens:

• Gebruikersnaam in de vorm van een mailadres
• Het bijbehorende wachtwoord in versleutelde vorm

“Het wachtwoord is toch versleuteld en het is toch al in 2012 gebeurd? Welk risico loop ik dan met mijn organisatie?”

De database is recent pas gepubliceerd, dus nu is pas bekend welke gebruikersgegevens er in zitten.

Daarnaast is voor een deel van de wachtwoorden een minder sterke vorm van versleuteling gebruikt. Door de voortschrijdende techniek kan de versleuteling makkelijker en sneller gekraakt worden. Hierdoor kunnen wachtwoorden beschikbaar komen en misbruikt worden in combinatie met de gekozen inloggegevens (e-mailadres).

Studies tonen aan dat een groot gedeelte van de internetgebruikers vasthoudt aan een aantal standaard wachtwoorden die soms jaren lang gebruikt worden voor meerdere toepassingen.

Hier zijn twee risico’s aan de orde:

1. Een ander account wordt gehackt (bijvoorbeeld recentelijk LinkedIn, zie ook het voorbeeld hieronder) en hackers proberen met die inloggegevens in Dropbox te komen omdat men wellicht dezelfde inlognaam en wachtwoord gebruikt.
2. Het wachtwoord van Dropbox wordt gekraakt waardoor hackers met dat wachtwoord ook andere accounts (sociale media of bedrijfsaccounts) kunnen misbruiken.

Voorbeeld uit het recente verleden

Een goed voorbeeld hiervan is de hack op Mark Zuckerberg, zijn account stond in een gehackte database en de hackers hebben moeite gedaan om dit wachtwoord te kraken. Zijn wachtwoord werd door OneMine gevonden in de database van gelekte LinkedIn-gegevens die onlangs te koop is gezet door een andere hacker. Nadat de hackers zijn wachtwoord hadden bemachtigd hebben zij ditzelfde wachtwoord getest op andere websites. Hierdoor is het de hackers gelukt om in te loggen op meerdere accounts van Mark Zuckerberg.

Welke acties moet mijn organisatie nemen?

Neem contact op met de medewerkers waarvan hun e-mailadres in de Dropbox lijst van de hack voorkomt. Adviseer hen wachtwoorden te wijzigen en ten minste de zakelijke informatie die mogelijk ook persoonsgegevens kunnen bevatten te verwijderen uit Dropbox.

Laat een bericht plaatsen op het intranet van jouw organisatie en geef aan dat het niet toegestaan is om Dropbox te gebruiken voor zakelijke documenten en zeker niet voor persoonsgegevens. Dit laatste op grond van de bepalingen in de Wet bescherming persoonsgegevens omdat Dropbox een buitenlandse Clouddienst is.

Goede raad

Zorg ervoor dat je verstandig met je wachtwoorden omgaat. Wijzig je wachtwoord eens in de zoveel tijd. Zorg ervoor dat je wachtwoorden niet te vaak hergebruikt en kies vooral sterke wachtwoorden of een zin als wachtwoord (Passphrase).

“Beschouw je wachtwoord als je tandenborstel; vervang hem om de paar maanden en leen hem aan niemand uit!”

Meer weten?
Niels Vervuurt – Consultant LBVD
M 06 – 39 30 44 45
E nvervuurt@lbvd.nl