4 manieren om bedrijfsgegevens te lekken

Een aantal verhalen over hoe eenvoudig het is om per ongeluk gevoelige informatie in het publieke domein te lekken.

Als u foto’s op Instagram plaatst van kaartjes voor een concert zonder eerst de barcode te verbergen, kan het zijn dat iemand anders uw favoriete band gaat bekijken. Hetzelfde kan gebeuren als u de barcode wel verbergt, maar hier de verkeerde tool voor gebruikt.

Dat gezegd hebbende, het onthouden om de barcode op de juiste manier te verbergen voordat u met uw kaartjes begint te pronken is nog niet zo moeilijk. Het is iets heel anders als u een foto online zet zonder dat u zich ervan bewust bent dat er een toegangskaartje of een post-it met een wachtwoord op te zien zijn. Hieronder volgen verschillende gevallen van mensen die vertrouwelijke gegevens online zetten zonder dat ze het door hadden.

1. Foto’s online zetten met een wachtwoord op de achtergrond

Foto’s en video’s die op kantoor en in andere faciliteiten worden genomen onthullen veel vaker dan u denkt wachtwoorden en andere geheimen. Bij het maken van Snapchats van collega’s letten er maar weinig mensen op de achtergrond, en de gevolgen daarvan kunnen beschamend of zelfs gevaarlijk zijn.

Militaire (of het gebrek aan) intelligentie

In 2012 was het de British Royal Air Force die een modderfiguur sloeg. Samen met een fotorapportage over Prins William, die destijds in een RAF-eenheid diende, werden er inloggegevens voor MilFLIP (military flight information publications) publiek gemaakt. Op de muur achter de Hertog van Cambridge was een stukje papier met daarop een gebruikersnaam en wachtwoord te zien.

Kort na de publicatie van de foto’s op de officiële website van de koninklijke familie, werden de afbeeldingen vervangen door bewerkte versies, en de gelekte inloggegevens werden gewijzigd. Of die daarna opnieuw op een briefje aan de muur kwamen te hangen is onduidelijk.

MilFLIP-inloggegevens als interieurdesign. Source

Het Prins William-incident is verre van uniek. Minder bekend militair personeel heeft ook geheimen online gedeeld, zowel met als zonder hulp van de pers. Eén officier publiceerde bijvoorbeeld een selfie op een sociaal netwerk waarin op de achtergrond geheime informatie te zien was. De militair kwam er genadig vanaf met “heropvoeding en training”.

Live lek

In 2015 werd de Franse televisieomroep TV5Monde slachtoffer van een cyberaanval. Onbekende individuen hackten en ontsierden de website en Facebook-pagina van het bedrijf en de uitzendingen werden gedurende meerdere uren onderbroken.

De daaropvolgende gebeurtenissen maakten van het hele verhaal een klucht. Een werknemer van TV5Monde gaf een interview over de aanval — met op de achtergrond de wachtwoorden voor de social media-profielen van het bedrijf. In de afbeeldingen is de tekst lastig te lezen, maar enthousiastelingen waren in staat om het wachtwoord voor het YouTube-account van TV5Monde te achterhalen.

Toevallig was dit tevens een lesje in hoe u géén wachtwoord moet maken: het wachtwoord in kwestie bleek “lemotdepassedeyoutube” te zijn, wat Frans is voor “youtubewachtwoord”. Gelukkig bleven de YouTube-pagina en andere accounts van het bedrijf ongedeerd. Het verhaal van wachtwoorden die op de achtergrond zichtbaar waren, biedt echter stof tot nadenken met betrekking tot de initiële cyberaanval.

TV5Monde-werknemer geeft interview met wachtwoorden op de achtergrond. Source

Een vergelijkbaar incident vond plaats vlak voor de Super Bowl XLVIII in 2014, toen de internet wifi-inloggegevens van het stadion in de lens van een tv-cameraman te zien waren. Ironisch genoeg kwamen deze beelden van het commandocentrum dat verantwoordelijk was voor de veiligheid van het evenement.

Wifi-inloggegevens weergegeven op een scherm in het commandocentrum van het stadion. Source

 2. Met gebruik van fitness-trackers

Apparaten die u gebruikt om uw gezondheid in de gaten te houden kunnen ook zomaar iemand anders in staat stellen om <em>u</em> in de gaten te houden en zelfs vertrouwelijke gegevens te bemachtigen zoals een creditcard-pincode door uw handbewegingen. Eerlijk is eerlijk, dat laatste scenario is ietwat onrealistisch.

Maar gegevenslekken over de locaties van geheime faciliteiten zijn helaas wel echt mogelijk. De fitness-app Strava, die meer dan 10 miljoen gebruikers heeft, houdt bijvoorbeeld de routes die joggers rennen op een openbare kaart bij. Door de app zijn er zo ook militaire bases aan het licht gekomen.

Hoewel de app kan worden ingesteld om routes voor nieuwsgierige ogen te verbergen, lijken niet alle geüniformeerde gebruikers even bedreven in dit soort technische details.

Bewegingen van een militair op een Amerikaanse militaire basis in Afghanistan, weergegeven door de Strava-heatmap. Source

Vanwege de dreiging van nieuwe lekken, besloot het Pentagon in 2018 simpelweg om het gebruik van fitness-trackers onder uitgezonden Amerikaanse soldaten te verbieden. Voor mensen die hun dagen niet op Amerikaanse legerbases doorbrengen kan dit misschien wat overdreven klinken, maar we raden alsnog aan om even de tijd te nemen om de privacyinstellingen in uw fitness-app goed in te stellen.

3. Uitzenden van metadata

Het is makkelijk om te vergeten (of om überhaupt niet te weten) dat geheimen soms verborgen kunnen zijn in de informatie over bestanden, oftewel metadata. Vooral foto’s bevatten vaak de coördinaten van de plek waar ze genomen zijn.

In 2007 was er sprake van Amerikaanse soldaten (we lijken hier een patroon te zien) die foto’s van helikopters online plaatsten toen ze aankwamen bij een basis in Irak. De metadata van de afbeeldingen bevatte de exacte coördinaten van de locatie. Volgens één versie van de gebeurtenissen werd deze informatie vervolgens gebruikt voor een vijandelijke aanval die de Verenigde Staten vier helikopters kostte.

4. Te veel delen op social media

Je kunt achter tal van geheimen komen door naar de vrienden van iemand te kijken. Als er plotseling verkopers uit een bepaalde regio beginnen te verschijnen in de vriendenlijst van een bedrijfsleider, kunnen concurrenten de conclusie trekken dat die organisatie op zoek is naar nieuwe markten, en besluiten hierop in te spelen.

In 2011 voerde Computerworld –journaliste Sharon Machlis een experiment uit om informatie van LinkedIn te verkrijgen. In slechts 20 minuten zoeken op de website, ontdekte ze het nummer van moderators van Apple’s online forums, de opzet van de HR-infrastructuur van het bedrijf, en meer.

De auteur gaf toe dat ze geen handelsgeheimen vond, maar Apple gaat er prat op dat ze privacy veel serieuzer nemen dan het gemiddelde bedrijf. Ondertussen kon iedereen zomaar zien aan welke cloud-diensten het bedrijf HP werkte via de taken van een vicepresident van het bedrijf, die ook op LinkedIn stonden vermeld.

Hoe voorkomt u het per ongeluk lekken van informatie

Werknemers kunnen zonder het te weten allerlei informatie over uw bedrijf delen. Om ervoor te zorgen dat uw geheimen niet algemeen bekend worden, moet u strikte regels opstellen voor het online publiceren van informatie en al uw collega’s aan het volgende herinneren:

  • Zorg er bij het maken van foto’s en video’s voor social media voor dat er niets op de achtergrond te zien is wat daar niet thuishoort. Hetzelfde geldt voor iemand die u of uw kantoor fotografeert of filmt. Journalisten geven er niets om, maar u kunt behoorlijk in de problemen komen als uw wachtwoorden zomaar op het internet belanden. Laat fotoshoots plaatsvinden op plekken die hier speciaal voor ontworpen zijn. Als u niet zo’n plek hebt, controleer dan in ieder geval vooraf de muren en bureaus.
  • Wees u ook bewust van wat anderen op de achtergrondu kunnen zien tijdens videoconferenties, zelfs als die met collega’s of partners zijn.
  • Verberg gevoelige persoonlijke en zakelijke contacten op sociale netwerken. Onthoud dat concurrenten, scammers en andere kwaadwillende mensen die tegen u kunnen gebruiken.
  • Verwijder voordat u een bestand publiceert de metadata ervan. Op een Windows-computer kunt u dit doen in de bestandseigenschappen; voor smartphones bestaan er speciale apps. Uw lezers hoeven niet te weten waar een foto is gemaakt of op wiens computer een document is gecreëerd.
  • Bedenk voor u begint op te scheppen of uw successen op het werk misschien handelsgeheimen bevatten. Het is op zijn minst niet erg verstandig om uw triomfen in detail te beschrijven.

Werknemers moeten goed begrijpen welke informatie vertrouwelijk is en hoe daarmee moet worden omgegaan. Ons Automated Security Awareness Platform biedt een speciale cursus over dit onderwerp.

Tips