De Volkskrant, 12-08-2014, van verslaggever Michael Persson 15 aug.2014

Schimmig bedrijf zaait paniek over hackende Russen

'Grootste datadiefstal' lijkt marketingstunt


Tussentitel: Hold Security creŽert angst. Dit riekt naar maffia-praktijken - Matthijs Koot - expert op het gebied van internetveiligheid

Het bedrijfje dat vorige week waarschuwde voor Russische hackers houdt er zelf dubieuze manieren op na. Is The New York Times in een marketingtruc getrapt? .

Het belangrijkste nieuws, een week na het alarmerende bericht over Russen die een miljard gebruikersnamen en wachtwoorden zouden hebben buitgemaakt, is dat verder nog niemand alarm heeft geslagen.

Zo is bij het ministerie van Veiligheid en Justitie geen enkele melding binnengekomen dat er databases zijn gekraakt. Internationale zusterorganisaties hebben evenmin iets gehoord. Het lijkt er vooralsnog op dat er geen grote bedrijven zijn geraakt door de 'grootste datadiefstal aller tijden'.

Want zo noemt het Amerikaanse internetbedrijf Hold Security het zelf nog steeds op zijn website. Met veel uitroeptekens. 'Breaking news! Meer dan ťťn miljard gegevens gestolen van duizenden websites! U bent gehackt!'

Het nieuws werd vorige week dinsdag gebracht door The New York Times. Russen, hackers, grote getallen: al gauw zong het overal rond, zeker op tv en internet (al moet gezegd dat de meeste Nederlandse kranten het nieuws klein of helemaal niet brachten).

Hold Security bleek criminele marktplaatsen op het verborgen Tor-netwerk te hebben afgestruind en daar een bende te zijn tegengekomen die de afgelopen jaren miljoenen gegevens bij elkaar zou hebben gekocht en gestolen. In totaal zouden 420 duizend websites gecompromitteerd zijn.

Verschillende experts plaatsten al snel kanttekeningen. Hold Security hield het allemaal erg vaag. Het wilde niet zeggen welke bedrijven bestolen waren. Het wilde niet zeggen wat voor gegevens de dieven precies hadden bemachtigd, bijvoorbeeld hoe oud de wachtwoorden waren (een Hyves-wachtwoord uit 2006 levert criminelen niet veel op) en of die versleuteld waren (dan zijn ze onleesbaar).

Bovendien moeten bedrijven Hold Security 120 dollar per jaar betalen om erachter te komen of ze ook slachtoffer zijn. Voor particulieren is het abonnement de eerste zestig dagen gratis. 'Er is nog steeds heel weinig duidelijk', zegt internetveiligheidsexpert Martijn Grooten van Virus Bulletin. 'Zulke grote aantallen zijn wel mogelijk, maar dat wisten we eigenlijk al. Het is de vraag wat de criminelen ermee doen.'

Volgens Hold Security zelf worden de gestolen gegevens vooral gebruikt voor spam - ongevraagde reclamemailtjes. Dat is een relatief onschuldig misbruik. Met fraude en identiteitsdiefstal is veel meer te verdienen; dat de criminelen dat niet doen, betekent dat de wachtwoorden en e-mailadressen niet heel bruikbaar zijn.

Is dit een marketingstunt geweest? Nicole Perlroth van The New York Times, auteur van het stuk, reageert fel. 'In cybersecurity heeft elk bedrijf publicitaire redenen om naar buiten te treden. Maar ik ben blij dat ze het hebben gedaan, want de dreiging is reŽel. Ik heb wachtwoorden van mijzelf gezien in die database, en die waren niet oud. En spam is wel degelijk schadelijk. Ondanks alle kritiek heeft niemand ons van fouten kunnen betichten.'

Grooten zet vooral vraagtekens bij de manier waarop Hold Security met de data is omgegaan. 'Het zijn gestolen gegevens, die Hold Security op zijn beurt heeft gestolen om er geld mee te verdienen. Dat is dubieus.'

Matthijs Koot, gerenommeerd IT-beveiligingsspecialist, is nog stelliger. 'Hold Security creŽert angst en biedt een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar maffiapraktijken.'

Hold Security, een in Milwaukee gevestigd bedrijf van de OekraÔner Alex Holden, blijkt een wat schimmig bedrijf. De foto van het managementteam blijkt gewoon een stockfoto, te koop bij een online fotowinkel onder de titel 'CEO met zijn team'. De foto staat bij tientallen bedrijfjes wereldwijd op de website.

Grooten en Koot vinden het vooral twijfelachtig dat mensen hun wachtwoord moeten intikken om erachter te komen of dat wachtwoord ook in de database van de hackers voorkomt. 'Dat is typisch iets wat je nooit moet vragen. Ook al zal het wachtwoord worden versleuteld: nooit je wachtwoord intikken op een andere site.'


Naar  Amerika, leugens  , Amerika lijst  , Politiek lijst , Politiek & Media overzicht  , of site home .
 

[an error occurred while processing this directive]