Slachtoffers van datadiefstal maken zich vaak de meeste zorgen om de ontvreemding van hun creditcardgegevens, maar ze zouden zich veel drukker moeten maken over het bekend worden van hun adresgegevens. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky.
'Is onze privacy nog wel te beschermen?', vraagt de 26-jarige onderzoeker zich af. Hij is zelf een Playstation-fanaat en behoort dus mogelijk tot de slachtoffers van datadiefstal bij Sony's Playstation en Online Entertainment Network.
Schouwenburg had zich al voor deze inbraak afgevraagd hoe hij zijn adresgegevens kon beschermen, en is niet blij met het bekendraken ervan bij cybercriminelen. 'Adresgegevens maken gerichte aanvallen veel gemakkelijker, omdat criminelen bijvoorbeeld vanuit een geparkeerde auto kunnen proberen het thuisnetwerk af te luisteren.'
Over de diefstal van zijn creditcardgegevens maakt de onderzoeker zich weinig zorgen: 'Ik kan de kosten van aankopen die ik niet heb gedaan terugeisen bij mijn creditcardmaatschappij, en ook kan ik eenvoudig een nieuwe creditcard aanvragen. Maar ik verhuis niet zo gemakkelijk.'
Verkoop voor marketingdoeleinden
De beveiligingsonderzoeker, die in Amerika woont, windt zich op over de mogelijkheid in dat land om adresgegevens voor marketingdoeleinden door te verkopen. 'De Wet Bescherming Persoonsgegevens verbiedt dat in Nederland, maar in Amerika bestaat zo'n wet niet. Daar is het bijvoorbeeld mogelijk om bij een marketingorganisatie zelfs de salarisgegevens van de bewoners van een bepaalde locatie op te vragen.' Schouwenberg is het daar volstrekt mee oneens. 'De bescherming van locatiegegevens zou dezelfde prioriteit moeten hebben als die van creditcardgegevens.'
Social engineering
De datadiefstal bij Sony is zeker niet de eerste in de geschiedenis. Zo werd in april 2011 een grootschalige diefstal van e-mailadressen en namen bekend bij het het Amerikaanse e-mailmarketingbedrijf Epsilon. Die diefstal verhoogt het spamrisico aanzienlijk.
'Je kunt voor een bedrag onder de tien dollar één miljoen mailadressen kopen, maar dan heb je wel ongeverifieerde adressen', zei beveiligingsexpert Rik Ferguson van Trend Micro toen. 'De bij Epsilon gestolen e-mailadressen zijn echter geverifieerd. Bovendien zijn ze afkomstig van klanten die hebben aangegeven graag e-mail te ontvangen van de betreffende leveranciers.'
Kwaadwillenden die de gestolen data in handen krijgen, kunnen daardoor zeer gerichte oplichtingsmails componeren. Wanneer dezelfde klant in meerdere bedrijfsdatabases voorkomt, neemt dat risico alleen maar toe. Ferguson. 'Social engineering-aanvallen kunnen op die manier veel betrouwbaarder overkomen.'
Een *senior* onderzoeker van 26 jaar?!? Die gast komt net kijken, moet nog veel leren en neem ik niet serieus.
Iedereen die toegang heeft tot de papieren telefoongids kan, mits mijn naam bekend is (…) mijn adres opzoeken.
@Henk, 13.01: Ik denk dat dat betrekkelijk is. Als Schouwenberg zo op zijn elfde al is begonnen met hacken en cracken, dan is hij toch al een respectabel aantal jaren actief. Daarbij ben je boven de dertig, vijfendertig een dinosaurus in IT-land (ben zelf 56!). Hij is jong genoeg om niet gehinderd te worden door oude paradigma’s en oud genoeg om de nodige ervaring op te hebben gedaan.
Henk
Wat een onzin commentaar je weet toch niet hoe oud hij was toen hij begon met werken. Hij kan zomaar al 8 jaar werk ervaring hebben
In de management business is 8 jaar ervaring senior. Dus geen rare claim.
Kaspersky found 143 addresses in your computer. These addresses were removed automatically to prevent people or programs to use them in an illegal way.