Door grootschalige hack 1,2 miljard inloggegevens wereldwijd bekend

Het Nationaal Cyber Security Centrum (NCSC) heeft van Hold Security de beschikking gekregen over de domeinnamen en e-mailadressen met een .nl-extensie. Hold Security gaf eerder via mediaberichten aan een dataset met 1,2 miljard inloggegevens wereldwijd verkregen te hebben, afkomstig van 420.000 kwetsbare websites. Vanuit haar coördinerende rol en CERT-taak heeft het NCSC direct na ontvangst van de gegevens actie ondernomen en licht samen met partners getroffen partijen in.

Het NCSC heeft bij Hold Security vanuit privacy-oogpunt alleen de voor de response acties benodigde en specifiek voor Nederland relevante gegevens opgevraagd. Het NCSC heeft van Hold Security een tweetal datasets ontvangen. Een dataset van circa 5600 – mogelijk nog – kwetsbare websites binnen het .nl domein en een dataset van circa 1,3 miljoen emailadressen die eindigen op .nl.

De gegevens in de totale dataset die bij Hold Security berust, bevatten combinaties van inlognamen, meestal bestaand uit e-mailadressen, en wachtwoorden. Het gaat hierbij om de wachtwoorden die mensen hebben gebruikt om in te loggen op de getroffen websites. Daarbij geldt, dat de wachtwoorden niet noodzakelijkerwijs gekoppeld zijn aan mailaccounts. NCSC heeft niet de beschikking over de wachtwoorden.

Gezamenlijk met de responsepartners van het NCSC worden betrokken partijen geïnformeerd over de mogelijk kwetsbare websites. Zo informeert partner SIDN, Stichting Internet Domeinregistratie Nederland, via de .nl-registrars de houders van de kwetsbare .nl-websites. Gelijktijdig informeert de Informatiebeveiligingsdienst voor gemeenten (IBD) betrokken gemeenten, SURFnet de aangesloten onderwijs- en onderzoeksinstellingen en het ministerie van Defensie de aan hen gelieerde organisaties.

(Bron Google - 2014)

5600 mogelijk nog kwetsbare Nederlandse websites binnen het .nl domein en een dataset van circa 1,3 miljoen e-mailadressen die eindigen op .nl heeft NCSC in handen gekregen

Het NCSC informeert getroffen partijen binnen de Rijksoverheid en de vitale sectoren. Het NCSC heeft de  impact voor de Rijksoverheid gecontroleerd aan de hand van bij het NCSC bekende gegevens. De impact wordt op basis van deze gegevens als beperkt ingeschat. De veiligheid van de websites die de rijksoverheid beheert met kritieke voorzieningen in het contact met burgers (bijvoorbeeld de Belastingdienst en DigiD) zijn niet in het geding zijn geweest. Op basis van de huidige analyse ,wordt ook de impact op vitale sectoren als beperkt ingeschat.

Daarnaast zijn ook de Internet Service Providers in stelling gebracht om de eigenaren van betrokken mailadressen met een .nl-extensie actief te bereiken. Zo wordt het overgrote deel van de betrokken gebruikers bereikt. Mensen in het bezit van een e-mailadres eindigend op .nl die geen bericht van hun provider ontvangen kunnen er over het algemeen van uitgaan dat hun e-mailadres geen onderdeel is van deze dataset. Op deze manier kunnen alle partijen die voorkomen in de dataset zelf gepaste actie ondernemen.

Tips voor veilige omgang met inloggegevens

Diefstal van inloggegevens komt helaas regelmatig voor. Naar aanleiding van dit specifieke incident, heeft het NCSC een aantal adviezen aangepast voor zowel gebruikers, als beheerders van websites om diefstal en misbruik van gegevens te voorkomen.

Gebruikers vinden aanvullende informatie in de factsheet 'Uw gegevens in de dataset van Hold? Dit moet u in ieder geval doen!’. Tips over veilig internetten staan in de ‘10 vuistregels voor veilig internetten’, daarin staan onder andere tips over veilig wachtwoordgebruik. Het is altijd verstandig om regelmatig wachtwoorden te wijzigen en verschillende inlognaam/wachtwoord-combinaties te hanteren voor het inloggen bij digitale diensten.

Voor beheerders van websites heeft NCSC de whitepaper  ́ICT Beveiligingsrichtlijnen voor Webapplicaties’ en de factsheet ‘Help! Mijn website is kwetsbaar voor SQL injectie’ gepubliceerd. Deze documenten beschrijven een breed scala aan beveiligingsmaatregelen, onder andere om SQL-injectie te voorkomen en te zorgen voor veilige uitwisseling en opslag van (gebruikers)gegevens. In het dossier van Hold Security staat alle informatie.