Sinds december 2013 houdt de website Have I Been Pwned? (HIBP) een database van datalekken bij. Gebruikers kunnen op de site bekijken of hun e-mailadres of andere gegevens zijn buitgemaakt bij een datalek. Ook kunnen ze hun e-mail registreren, om gewaarschuwd te worden wanneer deze opduikt in een nieuw datalek. Afgelopen maandag registreerde de website haar duizendste incident.
De dubieuze eer van het duizendste datalek gaat naar Edmunds, een online platform voor handel in nieuwe en tweedehands auto's. Bij dit lek zijn de gegevens van bijna 178 gebruikers buitgemaakt. Het gaat hierbij onder andere om e-mailadressen en wachtwoorden, telefoonnummers en IP-adressen. Opvallend is dat dit datalek op naam staat van Shinyhunters, een groep cybercriminelen die sinds 2019 actief is en eerder dit jaar met het stelen van gebruikersgegevens van (voormalig) Odido-klanten verantwoordelijk was voor het grootste datalek van Nederlandse internetgebruikers.
Directe aanleiding voor het oprichten van de website was een datalek bij Adobe in oktober 2013. Bij dit lek maakten de aanvallers de gegevens van maar liefst 153 miljoen gebruikers buit. De hoeveelheid gebruikers van wie de gegevens buitgemaakt werden illustreerde een belangrijk probleem: het kan zeer moeilijk zijn voor de gemiddelde internetgebruiker om op de hoogte te blijven van de veiligheid van hun accounts. HIBP is ontworpen om in een oogopslag te kunnen zien of de gegevens rond een specifiek e-mailadres op straat liggen.
In een blogpost over het duizendste datalek stipt HIBP-oprichter Troy Hunt een belangrijk probleem aan: bedrijven zijn steeds langzamer in het melden van datalekken. Hierdoor kunnen kwaadwillenden vrij hun gang gaan met gestolen gegevens, en duurt het langer voordat slachtoffers gepaste maatregelen kunnen nemen. Hoewel de Europese Unie met de Algemene Verordening Gegevensbescherming (AVG) en een aantal Amerikaanse staten wel verantwoordelijkheden hiervoor bij getroffen bedrijven leggen, lijken deze bedrijven steeds creatiever te worden in het ontwijken van deze verantwoordelijkheden.
Het belang van op de hoogte blijven rondom datalekken en het snel informeren van slachtoffers blijkt uit de casus van de diefstal van gegevens van klanten van de Van der Valk hotelketen vorig jaar. Gegevens uit deze inbraak werden gebruikt om individuele klanten van de hotels op te lichten. Doordat informatie over bestaande reserveringen gebruikt kon worden om de poging tot oplichting meer overtuigend te laten lijken, werden meerdere mensen slachtoffer. De slachtoffers wisten op dat moment niet dat er een datalek bij Van der Valk had plaatsgevonden waarbij hun gegevens waren buitgemaakt.
De waarde van HIBP is terug te zien in het feit dat veel organisaties met verantwoordelijkheden omtrent de cyberveiligheid, waaronder de Nederlandse politie, rechtstreeks naar de site verwijzen. Het stelt gebruikers in staat om snel te zien of hun gegevens gecompromitteerd zijn, en waar nodig stappen te ondernemen om hun accounts te beveiligen. De site richt zich primair op datalekken bij Amerikaanse organisaties, maar vrijwel elke Nederlandse internetgebruiker is actief op een of meer Amerikaanse websites.
Als een emailadres opduikt in een bij IHBP geregistreerd datalek is dat niet het einde van de wereld. Gebruikers kunnen stappen ondernemen om de schade te beperken, zoals het gebruik van tweefactor-authenticatie, het regelmatig bijwerken van wachtwoorden en het gebruiken van een uniek wachtwoord op elke website. Door gezond verstand te gebruiken en alert te blijven, houdt u het risico van schade door een datalek klein. De database en updates van HIBP helpen hierbij.