Het gebruik van één wachtwoord voor alles is onverstandig, maar ook gevaarlijk. We onderzoeken het geval van Mark, een jonge designer.
Mark is een gewone kerel. Hij heeft e-mail, Facebook, Instagram, Amazon, eBay, Steam, en Battle.net accounts, en niet te vergeten voor tientallen andere online winkels en forums toegewijd aan zijn favoriete video game. De accounts zijn allemaal gelinkt aan zijn e-mail.
Op een dag blijkt dat de klantendatabase van een van de online winkels waar Mark een account heeft, een datalek heeft (het blijkt dat deze niet-geëncrypteerd op een open toegankelijke server stond). Er zijn geen creditcardgegevens gestolen, maar wel e-mailadressen, namen en wachtwoorden. Op het eerste gezicht is er geen reden tot paniek. Zulke datalekken komen voor, en dit is slechts een kleine online winkel – kun je het een nederige winkelier verwijten geen expert op het gebied van cyberveiligheid te zijn?
Maar de cybercriminelen die de database hebben geplunderd, besluiten om hun geluk te wagen – misschien is er iemand in de lijst die hetzelfde wachtwoord gebruikt voor zijn of haar e-mailaccount? En zo maken ze buit: Mark gebruikt overal hetzelfde wachtwoord, waardoor hij de cybercriminelen rechtstreeks toegang geeft tot zijn e-mail. Daar vinden zij niet alleen foto’s die Mark naar Lucy heeft gestuurd, maar ook berichten van Amazon, eBay, en andere bedrijven. Mark zal toch niet ook hetzelfde wachtwoord gebruiken voor deze accounts? Ze proberen in te loggen in zijn Amazonaccount en voilà: hetzelfde wachtwoord.
Met een creditcard gelinkt aan zijn Amazonaccount, kopen de cybercriminelen snel een paar iPhone X. Daarna is Facebook aan de beurt, waar de aanvallers Marks vrienden om geld vragen: ‘Hey, ik moet echt wat geld lenen. Morgen krijg ik uitbetaald, dus dan kan ik jullie meteen terugbetalen, beloofd.’ Sommige mensen die het bericht ontvangen zijn echte vrienden van Mark en sturen het geld – naar de bankrekening van de cybercriminelen natuurlijk.
Maar ze zijn nog niet klaar. De indringers veranderen de wachtwoorden voor alle accounts waar ze toegang tot hebben, dus alle accounts in Marks geval.
Een van zijn Facebookvrienden voelt wat nattigheid en besluit Mark te bellen om te controleren of het echt Mark is die om geld vraagt. Verschrikt rent Mark naar zijn computer om zijn Facebookwachtwoord te veranderen. Maar de cybercriminelen waren hem voor, en Mark heeft geen toegang meer. Hij probeert zijn wachtwoord terug te krijgen en vraagt Facebook om een link via zijn e-mail – maar ook hier kan hij niet in, om dezelfde reden.
Mark realiseert zich dat hij goed gehackt is. Hij belt zijn bank, blokkeert zijn creditcards, probeert wanhopig zijn wachtwoord te veranderen voor de weinige services die nog niet weggekaapt zijn en belt zijn vrienden om te vertellen dat hij niet om geld heeft gevraagd. Hij verontschuldigt zich aan diegenen die al geld hebben overgemaakt naar de oplichters en belooft hen het bedrag terug te betalen.
En tot slot zweert Mark nooit meer hetzelfde wachtwoord te gebruiken voor verschillende services, en hij schakelt authenticatie op basis van twee factoren in, daar waar mogelijk.