Vorige maand werd bekend dat er tijdens een hack op LinkedIn miljoenen gegevens van gebruikers waren gestolen. Inmiddels zijn er veel meer hacks geweest, krijgen gebruikers LinkedIn-spam, en wordt hen aan alle kanten aangeraden om wachtwoorden te veranderen. Hoe zit dat precies? We zetten onder elkaar wat er precies bekend is over de grote hack op LinkedIn en wat je ertegen kunt doen.

Het gaat in dit geval om de grote hack op LinkedIn die in 2012 al aan het licht kwam. Destijds was het al groot nieuws: 6 miljoen (onversleutelde) emailadressen en wachtwoorden werden gestolen, indertijd aan gigantisch aantal.

Nu, 4 jaar later, blijkt er veel meer data te zijn buitgemaakt. Dat kwam voor het eerst naar buiten bij Motherboard, dat berichtte dat er maar liefst 117 miljoen gegevens waren buitgemaakt. Inmiddels heeft LinkedIn de hack bevestigd.

Wat weten de hackers?

Er is nog veel onduidelijk over de hack, zoals wie er achter de aanval zit. Op dit moment weten we in ieder geval dat er 167 miljoen accounts zijn gestolen. Daarvan zijn bij 117 miljoen accounts zowel het email als het wachtwoord bekend.
 

Omdat de hack zo lang onopgemerkt bleef, is het maar raden wat de hackers allemaal weten

Of er andere informatie is bemachtigd, is dus nog niet duidelijk. Het wordt ook door LinkedIn zelf niet uitgesloten, zeker ook omdat de grote diefstal ruim 4 jaar onopgemerkt is gebleven. Echter: De hackers bieden alleen de wachtwoorden en gebruikersnamen aan en geen andere informatie, dus lijkt het niet logisch dat er andere gegevens bij zouden zitten.

De hackers hebben de informatie doorverkocht. Dat gebeurde op het dark web, een ontraceerbaar deel van het internet waar veel illegale marktplaatsen te vinden zijn. Daar werden alle gegevens voor 5 bitcoin verkocht, omgerekend zo'n € 2,500,-.

Opvallend is dat LinkedIn de gegevens niet erg goed beveiligde. Zo waren de wachtwoorden versleuteld met een SHA1-algoritme (wat makkelijk te kraken is), en er werd geen salt toegevoegd aan de wachtwoorden (met een 'salt' wordt een opgeslagen wachtwoord langer gemaakt zodat het moeilijker te kraken is met een brute force-aanval).

De data kwam onder andere terecht bij een zoekmachine voor gestolen data, LeakedSource. Dat zei ruim 90% van de wachtwoorden binnen 72 uur gekraakt te hebben.

Meer hacks in de toekomst?

Er is een kans dat ook andere diensten gehackt waren

Opvallend is dat de hack op LinkedIn niet de enige is die er de afgelopen tijd heeft plaatsgevonden. Ook het voornamelijk Amerikaanse MySpace bleek gehackt, waarbij meer dan 300 miljoen gebruikersnamen en wachtwoorden werden buitgemaakt. Ook het blogplatform Tumblr bleek geraakt.

Opvallend is dat het gaat om relatief oude gegevens. MySpace was al een paar jaar geleden over zijn hoogtepunt heen, en de gegevens van Tumblr zijn ook al oud.

Sommige beveiligingsonderzoekers denken dan ook dat er in de toekomst nog meer hacks aan zitten te komen. Hoog tijd om dus nog twieven naar je gegevens te kijken!
 

De gevolgen

Dat er zoveel gegevens op straat liggen, is ernstig. Toch is het goed dat er al snel bekend werd dat de gegevens te koop stonden. Daardoor kunnen we nu op tijd onze wachtwoorden veranderen, al is dat ook wel wat aan de late kant.

De Fraudehelpdes waarschuwt voor phishing-berichten

Inmiddels hebben andere diensten zoals Netflix een waarschuwing gestuurd naar mensen van wie hetzelde emailadres bij de LinkedIn-hack werd gestolen.

Daarnaast wordt de gestolen database inmiddels ook al misbruikt voor spam. Zo waarschuwen beveiligingsbedrijven en de Fraudehelpdesk voor phishing-mails die worden verstuurd naar aanleiding van de hack. In die phishing-mails zit ransomware. Mogelijk worden er de komende maanden nog veel meer van zulke mails verstuurd.

Opvallend is overigens dat de hackers in de phishing-berichten niet alleen de naam van de ontvanger zetten, maar ook de namen van bedrijven van slachtoffers. Ze hebben dus wel heel goed gekeken naar de inhoud...

Wat kan ik doen?

De hack op LinkedIn is één van de grootste datalekken aller tijden, en als je het sociale netwerk ooit gebruikte is er een goede kans dat je erdoor getroffen bent. Je kunt dat verifiëren op HaveIBeenPwnd.com, een website die bijhoudt welke websites worden gehackt. Hoe HaveIBeenPwnd werkt en van wie de site is kun je lezen in onze workshop erover.

Verander zo snel mogelijk je wachtwoorden!

Misschien sta je nog wel met een oud emailadres in de database of kun je het om de één of andere reden niet terugvinden op de website. Ook in dat geval is het nog steeds verstandig je wachtwoorden ook op andere sites te veranderen.

Zet voor de zekerheid ook tweestapsverificatie aan. Daarbij krijg je een sms'je als extra beveiligingslaag naast je wachtwoord, zodat een hacker met alleen je gebruikersnaam en wachtwoord niet zomaar je account binnen komt.

Let er overigens ook op dat LinkedIn niet de enige dienst is waar je tweestapsverificatie aan kunt zetten. Dat kan ook bij Gmail, Outlook, Facebook, Twitter, en heel veel meer diensten. Wel zo veilig.

Telecombedrijf Odido laat weten dat mensen geen automatisch recht op compensatie hebben nadat hun gegevens via een datalek afgelopen week op straat zijn gekomen.

In het weekend van 7 en 8 februari vond een cyberaanval plaats op de website van Odido, waarbij criminelen toegang kregen tot een klantcontactsysteem. De criminelen hebben een bestand kunnen downloaden met daarop gegevens van klanten. Het zou om gegevens van mogelijk 6,2 miljoen klanten kunnen gaan.

Onder de gegevens die zijn gestolen, vallen mogelijk de volledige naam, het adres en de klantnummers van klanten. Ook de mobiele nummers, IBAN-rekeningnummers, geboortedata, e-mailadressen en identificatiegegevens (waaronder rijbewijs- en paspoortnummers) kunnen zijn buitgemaakt.

Odido benadrukte kort na het lek dat er geen scans van identiteitsbewijzen zijn gelekt, noch wachtwoorden, factuurgegevens of belgegeven. Mensen kunnen daarbij gebruik blijven maken van de diensten van Odido, maar er wordt wel aangeraden dat klanten alert zijn op vreemde sms'jes of e-mails, zeker als daar links in staan.

Geen automatisch recht op compensatie

Op een speciale pagina met informatie over het datalek heeft Odido inmiddels meer informatie gegeven over het lek en diverse vragen beantwoord. Er staat ook een vraag en antwoord bij over mogelijke compensatie voor klanten wanneer data van de klant is gelekt.

Odido schrijft: "Een datalek geeft niet automatisch recht op compensatie. Onze inspanningen zijn er momenteel op gericht om juist te voorkomen dat klanten op enige manier schade zouden ondervinden als gevolg van dit incident. We hebben klanten proactief geïnformeerd zodat zij extra alert kunnen zijn op eventueel verdachte signalen. Dit is in lijn met het advies van het Centraal Meldpunt Identiteitsfraude (CMI) van de Rijksoverheid."

Het antwoord vervolgt: "Het CMI benadrukt bovendien dat niet automatisch sprake is van identiteitsfraude of dat met de gestolen gegevens identiteitsfraude kan worden gepleegd. Ook meldt het CMI dat met de betrokken gegevens niet zomaar een lening, bankrekening of telefoonabonnement kan worden afgesloten. Ook kan er geen nieuw identiteitsbewijs mee worden aangevraagd. Daarvoor zijn immers extra controles nodig, zoals een echt identiteitsbewijs, je DigiD of de inloggegevens van je bank."

Op de website staat nog een vraag over compensatie, met daarbij nadrukkelijk vermeld dat sommige 'cybersecurity-experts' claimen dat men recht heeft op compensatie. Ook daarop wordt gemeld dat "een datalek geen automatisch recht op compensatie geeft".

De streamingdiensten staan weer vol met nieuwe releases. Geen stress, wij hebben het kaf van het koren gescheiden. Zo weet je precies welke films en series je deze week niet mag missen.

Prometheus | Netflix | 16 februari

Prometheus, regisseur Ridley Scotts Alien-prequel, speelt zich af in de late 21e eeuw. Een team van wetenschappers onder leiding van Dr. Elizabeth Shaw (Noomi Rapace) reist af naar een planeet waar zich mogelijk de stichters van het menselijk ras bevinden. Uiteraard heeft hun uitstapje rampzalige gevolgen. Prometheus heeft nooit zo’n beklemmende, bloedstollende sfeer als Alien, maar is zeker spannend genoeg om je aandacht vast te houden en is bovendien echt een plaatje om naar te kijken.

56 Days (seizoen 1) | Amazon Prime Video | 18 februari

In de gloednieuwe thrillerserie 56 days kruipen Dove Cameron en Avan Jogia in de huid van Ciara Wyse en Oliver Kennedy, twee mensen die een passievolle relatie beginnen nadat ze elkaar in de supermarkt hebben ontmoet. 56 dagen na hun ontmoeting, wordt er een onherkenbaar lichaam ontdekt en vreest de politie dat hun turbulente liefdesverhaal is uitgemond in moord. Hoe dieper ze in de zaak duiken, hoe meer grimmige geheimen worden onthuld.

The Night Agent (seizoen 3) | Netflix | 19 februari

Het derde seizoen van The Night Agent (niet te verwarren met The Night Manager, te zien op Amazon Prime Video) is vanaf deze donderdag te zien op Netflix. The Night Agent is gebaseerd op het gelijknamige boek van Matthew Quirk en volgt FBI-agent Peter Sutherland (Gabriel Basso). Tijdens zijn nachtdienst krijgt hij een telefoontje waarmee hij in een gevaarlijke samenzwering rond een mol in het Witte Huis belandt. Hij stort zich in een jacht op de verrader, terwijl hij voormalig tech-CEO Rose Larkin (Luciane Buchanan) beschermt tegen de mensen die haar oom en tante hebben vermoord.

Once Upon a Time in the West | Netflix | 20 februari

Een van de beste westerns ooit gemaakt, Once Upon a Time in the West, verschijnt deze vrijdag op Netflix. Deze klassieker van regisseur Sergio Leone begint op een treinstation in het stadje Flagstone, waar een mysterieuze man met een mondharmonica (Charles Bronson) heeft afgesproken met de huurling Frank (Henry Fonda). Frank is echter nergens te bekennen en heeft drie handlangers gestuurd die ‘Harmonica’ opwachten. Geen van de drie komt levend uit de confrontatie en Harmonica raakt verwikkeld in de machtsstrijd rondom de meedogenloze opmars van de spoorwegen en outlaws. Once Upon a Time in the West is vanwege zijn trage, sfeervolle stijl en iconische muziek van Ennio Morricone absoluut het kijken waard voor elke filmliefhebber.

The Addams Family | Netflix | 20 februari

The Addams Family is gebaseerd op de strip van Charles Addams en volgt de bizarre titulaire Addams-familie: Gomez, Morticia, hun kinderen Pugsley en Wednesday, Uncle Fester, Grandma Addams, hun butler Lurch en de lopende hand Thing. Deze animatiefilm uit 2019 richt zich vooral op de twee kinderen, terwijl zij zoeken naar een manier om zichzelf te zijn. Gomez bereidt Pugsley voor op de "Sabre Mazurka", een zwaardvechtceremonie die elke Addams moet ondergaan, maar hij bakt er niks van. Ondertussen is Wednesday benieuwd naar de andere meisjes van haar leeftijd en begint ze, tot de schrik van haar moeder, zelfs kleur te dragen. Deze versie van The Addams Family bereikt niet de hoogtes van de live-action verfilming uit de jaren negentig, maar is toch vermakelijk om naar te kijken.