Vorig jaar doken overal gehackte celebrity's op na Celebgate, de naam die de media gaf aan de aanval die volgens Celebuzz iCloud-accounts van tegen de 600 vooraanstaande personen trof. De inhoud betrof onder andere pikante persoonlijke foto's van gehackte beroemdheden die vervolgens op de tabloidsite 4chan werden geplaatst en weldra wijdverspreid waren op internet.
Dit jaar was Ashley Madison een opvallend doelwit van sociale hacks. Deze datingsite profileert zich als service die is gespecialiseerd in buitenechtelijke affaires. Het ledenbestand werd gestolen en online gepubliceerd, waardoor de media onmiddellijk probeerden beroemde mensen te vinden onder de klanten. De hack van Ashley Madison trof echter niet alleen beroemdheden. Bedrijven in heel Amerika vrezen dat medewerkers die bij de site zijn aangemeld, kwetsbaar kunnen zijn voor spear-phishinghacks of andere vormen van cyberblackmail.
Privélevens hacken
Het lot van de gehackte celebrity's blijkt niet alleen een probleem te zijn voor beroemdheden. In het internettijdperk kan iedereen bekend worden, op de minst wenselijke manier, als foto's of andere strikt persoonlijke content gehackt en online gezet wordt. Zulke incidenten leren ons belangrijke lessen over cyberveiligheid.
De meeste technische details van de Celebgate-hack zijn nog niet openbaar gemaakt. (Dit heeft een zeer goede reden, want deze gegevens zouden anders een draaiboek kunnen worden voor toekomstige hackers.) Eén opmerkelijk detail is dat foto's en andere gegevens die waren opgeslagen op iPhones, automatisch worden gekopieerd naar iCloud, de cloudopslagservice van Apple. Android en andere mobiele besturingssystemen slaan ook kopieën op in een cloudservice. Dat heeft een goede reden, omdat gebruikers er dan op al hun apparaten toegang toe hebben. Maar het geeft wel een mogelijke kwetsbaarheid aan waarvan alle mobiele gebruikers moeten weten.
De hack is misschien zoiets simpels geweest als het raden van de wachtwoorden van de beroemdheden. Apple, die in het algemeen een goede reputatie heeft op het gebied van veiligheid, heeft vervolgens de beveiliging voor vergeten wachtwoorden verbeterd. Het zou ook zo kunnen zijn dat er social engineering aan te pas is gekomen, dus dat iemand is misleid om zijn of haar wachtwoord vrij te geven.
Beroemdheden zijn niet de enige potentiële slachtoffers
De hack van Ashley Madison is in technisch opzicht vergelijkbaar met hacks van websites van winkels. Alleen de gevolgen zijn anders, en deze reiken tot ver buiten Ashley Madison zelf. Hacks van winkels zijn meestal gericht op het stelen van creditcardgegevens, wat zo goed als goud is voor cybercriminelen. De Ashley Madison-hackers daarentegen probeerden bewust mensen in verlegenheid te brengen. De hackers plaatsten daarom de e-mailadressen van miljoenen klanten van Ashley Madison online.
Hoewel de lijst vele e-mailadressen van beroemdheden bevatte, heeft Ashley Madison deze adressen niet gecontroleerd of bevestigd en lijken er maar weinig of geen echt te zijn. Tot op heden is Josh Duggar (van de realityshow 19 Kids and Counting) de bekendste celebrity die zijn betrokkenheid bij het schandaal heeft toegegeven, maar hij is zeker niet de enige die de gevolgen heeft gevoeld. Maar zoals Infoworld rapporteert, betekent het uitblijven van bevestiging van gehackte beroemdheden niet dat de hack geen serieuze zorgen heeft, niet alleen voor mensen die wel met hun echte e-mailadres op de lijst staan, maar ook voor bedrijven en organisaties waarvan de medewerkers zijn geregistreerd op de site en die nu mogelijk kwetsbaar zijn voor social engineering en geavanceerde chantage.
Social engineering en menselijke kwetsbaarheid
'Social engineering' is de term die experts op het gebied van cyberveiligheid gebruiken voor aanvallen die zijn gericht op de menselijke factor. Een vaak voorkomend voorbeeld is 'spear phishing', waarbij een cybercrimineel (meestal een die zich voorgeeft als een vriend of collega) een e-mail stuurt met links naar een schadelijke website of gevaarlijk bestand. Het nietsvermoedende slachtoffer klikt op de koppeling, waardoor malware zijn of haar toestel kan infecteren en privégegevens kan verzamelen.
Wat voor organisaties zorgelijk is, is dat een werknemer wiens e-mail op de Ashley Madison-lijst stond, nu kwetsbaar is voor spear-phishing-e-mails die zogenaamd afkomstig zijn van advocaten of particuliere detectives. In dit scenario hoeven aanvallers niet van alles te verzinnen om op een vriendelijke, persoonlijke manier hun slachtoffers te lokken. De angst en wanhoop die het slachtoffer voelt om te worden ontmaskerd, kan voldoende zijn om ze op een koppeling te laten klikken, waardoor de aanvallers kunnen inbreken en op zoek kunnen gaan naar wachtwoorden of andere gegevens, die vervolgens kunnen worden misbruikt.
In het tijdperk van mobiliteit is het mogelijk elk apparaat met een internetverbinding te hacken. Sterke wachtwoorden helpen daar echt tegen.
Pas op voor social engineering en klik niet zomaar op onverwachte of ongewone links in e-mails. Het is een tijd waarin celebrity's worden gehackt, maar je hoeft niet rijk en beroemd te zijn om slachtoffer te worden.
Andere nuttige artikelen en links met betrekking tot beveiligingsdreigingen van mobiele apparaten