Een top-vijf van de meest spraakmakende security-lekken in 2014

cybertop

 

 

Het topje van de ijsberg – Afgelopen jaar groeide het aantal gerichte cyber-aanvallen en data-lekken fors en er is niets dat erop wijst dat dat dit jaar minder zal zijn. In 2013 nam het aantal gerichte aanvalscampagnes met 91 procent toe. Het aantal succesvolle inbreuken steeg met 62 procent en meer dan een half miljard identiteiten werden gecompromitteerd, en vele miljoenen euro’s en dollar gestolen. Hoewel nationale en internationale cybercrime-bestrijders elkaar steeds beter weten te vinden en er vaker in slagen om aanvallers op te sporen en onschadelijk te maken blijven de georganiseerde bendes hen meestal net steeds een stapje voor.

 

 

Hieronder een top-vijf van spraakmakende incidenten van de afgelopen negen maanden van 2014, maar de lijst zou moeiteloos een stuk langer gemaakt kunnen wordende lijst. Het is – helaas – slechts het topje van de spreekwoordelijke ijsberg.

Ebay

In de maanden februari en maart slaagden hackers er in om de persoonlijke gegevens van 233 miljoen gebruikers te compromitteren. Het ging om onder meer gebruikersnamen, wachtwoorden, telefoonnummers en naw-gegevens. eBay adviseerde gebruikers om hun wachtwoorden te veranderen en benadrukte dat er geen transactiegegevens waren gestolen omdat die separaat en versleuteld worden opgeslagen. De hack werd geclaimd door de Syrian Electronic Army.

* Evernote en Feedly

Het is niet zeker of de aanvallen op Feedly en Evernote verband met elkaar houden, maar ze vonden een dag na elkaar plaats en  beide bedrijven onderhouden nauwe banden met elkaar. Evernote werd op 10 juni platgelegd met een DDoS aanval, maar was na enkele uren weer in de lucht. Een dag later werd Feedly getroffen en de gevolgen waren daar eens stuk ernstiger, twee opeenvolgende DDos-aanvallen zorgden ervoor dat de nieuwsdienst pas op 14 juni weer operationeel was. De daders probeerden Feedly losgeld te laten betalen in ruil voor het staken van de aanvallen.

* Domino’s Pizza

De hackersgroep Rex Mundi gijzelde eind juni Domino’s Pizza met de dreiging om de persoonlijke gegevens van 600.000 Belgische en Franse klanten openbaar te maken, tenzij het bedrijf over de brug zou komen met een losgeld van 30.000 euro. Domino’s weigerde in te gaan op de bedreigingen en liet klanten weten, dat hun financiële- en bankgegevens niet waren gestolen. Het Twitter-account van Rex Mundi werd geblokkeerd en de data zijn sindsdien nergens opgedoken, maar het is niet duidelijk of er al dan niet toch losgeld is betaald.

* Heartbleed

In  juli hebben Chinese hackers het in april ontdekte Heartbleed-lek gebruikt voor de eerste grootscheepse aanval. Ze stalen de gegevens van 4,5 miljoen patiënten van Community Health Systems, met 206 ziekenhuizen in 29 Amerikaanse staten de grootste exploitant van ziekenhuizen in de VS. De hackers hadden toegang tot de burgerservicenummers, adressen, telefoonnummers en geboortedata van de patiënten. De vermoedelijke daders zijn berucht voor het stelen van intellectueel eigendom van zorginstellingen en zouden de gegevens hebben misbruikt om in te loggen op het interne netwerk van Community Health Systems.

* Shellshock

Ook niet-Windows gebruikers zijn niet langer veilig. Op 26 september werd een beveiligingskwetsbaarheid in Bash – een shell voor POSIX-systemen die draaien op Linux, OS X of Unix – ontdekt. ‘Shellshock’, zoals de  kwetsbaarheid is gedoopt haalde de hoogst mogelijke NCSC- en CVSS-score, wat inhoudt dat er zeer eenvoudig misbruik te maken is van de kwetsbaarheid en de potentiële schade ervan als zeer groot wordt ingeschat. Hackers kunnen een geïnfecteerde computer geheel overnemen en ‘meekijken’ met de argeloze gebruiker. Volgens schattingen is de kwetsbaarheid op rond 500 miljoen systemen wereldwijd aanwezig. Kort na de ontdekking is er een beveiligingsupdate voor Linux uitgebracht, die het lek deels dicht, maar nog geen definitieve oplossing biedt. Ook Apple heeft bekend gemaakt te werken aan een update, maar wanneer die beschikbaar komt was op het moment van schrijven nog onbekend.