Helaas hoor je het te vaak de laatste tijd. Hackers en hackersgroepen publiceren databases en persoonlijke informatie van klanten als zogenaamd bewijs van een geslaagde hack. Het doelwit zijn vaak grote organisaties met diverse online diensten, maar helaas is de klant vaak de dupe van het resultaat. Je gegevens liggen op straat…
Vandaag nog is de website van de Bundespolizei gehackt waardoor de webserver van de politie dus volledig te downloaden is met alle informatie die eveneens op deze webserver te vinden is. Zo blijkt ook de politie niet veilig voor kwaadwillende hackers. Nimbuzz is onlangs doelwit geworden van een hack door hackersgroep 'AnonymousIRC'. Zij zijn gelieerd aan de inmiddels befaamde hackersgroep 'Anonymous' die, met hun zogenaamde Operation Payback, verantwoordelijk zijn voor gerichte aanvallen op websites als Amazon, PayPal, Mastercard en Visa als tegenoffensief voor het willen afsluiten van de WikiLeaks website.
Nimbuzz heeft naar eigen zeggen geen informatie van productieservers verloren, maar de hackers zijn wel in staat geweest om de broncode en diverse interne mail communicatie te bemachtigen. Verder kwamen de hackers er voor of na het doornemen van deze informatie achter dat Nimbuzz onderhandeld met overheden die geen voip-diensten toestaan op hun netwerken, om toch de software toe te staan met alleen de chatfunctie. Achteraf wordt er geclaimd door de hackers dat juist deze onderhandelingen de reden zijn geweest voor de aanval.
Met de broncode kan wellicht niet zo heel veel worden gedaan buiten de software na te bouwen of wellicht door te verkopen aan concurrerende partijen van Nimbuzz. Welke interne communicatie allemaal is bemachtigd door de hackersgroep zal waarschijnlijk niet direct aan het licht komen, maar ongetwijfeld is dit privacy gevoelige informatie van zowel het bedrijf als haar klanten.
Een niet direct aanwijsbaar risico voor iedereen met een iDevice van Apple is een andere recente hack die verantwoordelijk is voor het jailbreaken van apparaten zoals de iPad, iPhone en iPod touch op de nieuwste firmware versie van Apple iOS. Uiteraard zijn een heleboel gebruikers hier erg blij mee, want dit geeft hen de vrijheid van het installeren van eigen software en games. Toch is de 'gemakkelijke' manier waarop deze hack wordt aangeboden en toegepast juist het gevaar voor onwetende gebruikers en mensen die niet nadrukkelijk hun toestel willen laten aantasten. Door het bezoeken van een website kan het iOS zonder tussenkomst van een computer worden opengebroken en voorzien worden van software van derden. Dit gebeurt onder water door een pdf-exploit die dus letterlijk op iedere iOS apparaat aanwezig is. Helaas kan een verborgen link naar deze website er in theorie voor zorgen dat een onoplettende gebruiker zijn toestel blootstelt aan gevaren die hij of zij met een legitieme firmware geen zorgen voor hoeft te maken.
Soms is het doel van een hack dus heel duidelijk en in andere gevallen is deze op zijn zachtst gezegd dubieus te noemen. Of wij deze hackers en hackersgroepen nu dankbaar moeten zijn voor het blootstellen van de mogelijke risico’s en zij dus de online Robin Hoods zijn van de 21ste eeuw valt maar te bezien. Er wordt te vaak persoonlijke informatie van gedupeerde klanten gelekt wat het zogenaamde doel/motivatie van de aanval helemaal niet kon zijn. Het aantonen had voldoende geweest en het misbruik van de kennis en informatie die uit de hack voorkomen zijn door derden weer te misbruiken.
Hackers bedankt…
Er zit inmiddels tè veel voorspelbaarheid in die hackingen om van een particulier initiatief te kunnen spreken.
Het opvallende is voornamelijk dat er nog steeds veel bedrijven en overheden een goed Information Security Management System (ISMS) niet serieus nemen.
Nog steeds speelt de instelling “het overkomt ons toch niet, dus kost het alleen maar geld” teveel mee, waardoor er geen goed beleid komt of teveel versnippert raakt. Het hoger management zou hier veel meer aandacht aan moeten besteden, al is het om de goede naam van het bedrijf te beschermen.