Computerwetenschappers hebben een nieuwe methode ontwikkeld om datalekken op te sporen. Met deze methode kunnen ze achterhalen of websites gehackt zijn door de activiteit van bijbehorende emailadressen te meten.

Datalekken komen overal voor

Voorafgaand aan het ontwikkelen van de methode deden de wetenschappers een onderzoek van anderhalf jaar. In die periode kwamen ze erachter dat bijna 1 procent van de 2300 geteste websites getroffen was door datalekken. Het bereik en de doelgroep van de getroffen bedrijven maakten hierin geen verschil.

“Niemand staat hierboven, zelfs grote bedrijven en natiestaten niet. Datalekken komen overal voor en de vraag is eigenlijk alleen wanneer,” zegt Alex C. Snoeren. Hij is hoofdonderzoeker en professor computerwetenschappen aan de University of California San Diego.

Tientallen miljoenen websites in gevaar

“1 procent is op het eerste oog geen schrikbarend aantal, maar aangezien er meer dan een miljard websites online staan betekent dit toch dat tientallen miljoenen websites gevaar lopen,” stelt collega-onderzoeker Joe DeBlasio.

Daarnaast ontdekten ze dat populaire websites net zo vaak gehackt werden als impopulaire. Dus uit de top 1000 van veel bezochte websites worden er ongeveer 10 gehackt per jaar. “En 1 procent van de grote webshops is dan toch wél een schrikbarend aantal,” stelt DeBlasio.

Tripwire

De nieuwe methode, genaamd Tripwire, werd in november gepresenteerd tijdens de ACM Internet Measurement Conference in Londen. Het achterliggende concept is relatief eenvoudig: een bot maakt automatisch email-accounts aan en registreert ze op websites met hetzelfde wachtwoord.

Wanneer externe partijen vervolgens inloggen op deze mailadressen kan er getraceerd worden welke websites gehackt zijn. Op die manier wordt het inzichtelijk gemaakt hoe datalekken kunnen plaatsvinden.

Controlegroep

De onderzoekers hadden een controlegroep opgezet om er zeker van te zijn dat de datalekken op de websites plaatsvonden. Het kon natuurlijk ook liggen aan de beveiliging van de email-provider of hun eigen cybersecurity.

Deze controlegroep bestond uit meer dan 100.000 email-accounts van dezelfde provider, maar de onderzoekers registreerden deze mailadressen niet bij de websites. Het resultaat was dat er op geen van deze email-accounts werd ingebroken.

Bevindingen

De onderzoekers concludeerden dat 19 websites gehackt waren, inclusief de website van een bekende Amerikaanse startup met meer dan 45 miljoen actieve klanten. De desbetreffende bedrijven werden natuurlijk meteen op de hoogte gesteld van de datalekken, maar geen van deze bedrijven koos ervoor om hun klanten op de hoogte te brengen.

“Ik was verbaasd dat geen enkel bedrijf actie ondernam naar hun klanten toe”, vertelt Snoeren. “Maar de bedrijven deden niet vrijwillig mee aan het onderzoek, en we hebben ze blootgesteld aan grote financiële en juridische risico’s.” De onderzoekers besloten om die reden geen namen te noemen.

Een interessant gegeven is dat er weinig gehackte email-accounts werden gebruikt voor het verzenden van spam. Vermoedelijk werden de meeste mailadressen gehackt om gevoelige informatie te stelen, zoals bank- en creditcardgegevens.

Beveiliging

Om erachter te komen welke rol wachtwoorden spelen in deze kwestie, gingen de onderzoekers nog een stap verder. Ze creëerden twee accounts per website, waarbij het ene mailadres beveiligd was met een sterk wachtwoord en het andere met een zwakkere.

Als beide accounts werden gehackt, maakte de website waarschijnlijk geen gebruik van algoritmes om wachtwoorden te versleutelen. Wanneer er alleen op het zwakkere account werd ingebroken, zou dit wel het geval moeten zijn. Helaas bleek het vaak om een slechte beveiliging te gaan, waarbij wachtwoorden werden opgeslagen in tekst.

Advies voor internetgebruikers

De computerwetenschappers hebben enkele adviezen voor internetgebruikers: gebruik niet één wachtwoord voor meerdere websites, en vraag jezelf af hoeveel je online over jezelf wilt delen.

Snoeren: “Websites vragen vaak om veel te veel informatie, en waarom zouden ze moeten weten wat de meisjesnaam van je moeder is?” DeBlasio is nog sceptischer: “De harde waarheid is dat je informatie gestolen gaat worden, en wanneer dat gebeurd is zullen ze het je niet vertellen.”

Het team is niet van plan om verder te gaan met Tripwire. “We hopen dat we een impact hebben gemaakt op bedrijven, en dat ze er zelf mee aan de slag gaan. “Met behulp van elke grote email-provider kan je deze methode toepassen.”