Na vele jaren doorgebracht te hebben ontdekken en onderzoeken datalekGreg Pollock geeft toe dat toen hij een andere open database vol met wachtwoorden vond en Burgerservicenummer“Ik deed het met een beetje vermoeidheid.” Maar Pollock, onderzoeksdirecteur bij het cyberbeveiligingsbedrijf UpGuard, zei dat hij en zijn collega’s in januari een open, publiek toegankelijke online database ontdekten die zo’n grote hoeveelheid gevoelige persoonlijke gegevens van Amerikanen leek te bevatten dat de vermoeidheid wegebde en dat ze onmiddellijk actie ondernamen om de bevindingen te valideren.
Dat UpGuard-onderzoekers tonen dit aan dat niet alle records unieke en geldige informatie vertegenwoordigen, maar de ruwe totalen die ze in de blootstelling van januari vonden, omvatten ongeveer 3 miljard e-mailadressen en wachtwoorden en ongeveer 2,7 miljard records met burgerservicenummers. Het is onduidelijk wie de database heeft gemaakt, maar het lijkt erop dat deze persoonlijke gegevens bevat die waarschijnlijk zijn verzameld uit verschillende historische datalekken – waaronder misschien een schat aan 2024 schending van de antecedentenonderzoek van de National Public Records. Datamakelaars en cybercriminelen combineren en hercombineren vaak oude datasets, maar de schaal en het potentiële volume van burgerservicenummers (zelfs als slechts een fractie daarvan reëel is) is verbluffend.
“Elke week is er een nieuwe ontdekking die op papier geweldig lijkt, maar misschien niet zo nieuw,” zei Pollock. “Dus ik was verrast toen ik me begon te verdiepen in de specifieke gevallen hier om de gegevens te valideren. In sommige gevallen liepen de identiteiten in deze datalekken gevaar omdat ze aan het licht waren gebracht, maar nog niet waren uitgebuit.”
De gegevens worden gehost door de Duitse cloudprovider Hetzner. Omdat Pollock geen database-eigenaar kon identificeren waarmee hij contact kon opnemen, bracht hij Hetzner op 16 januari op de hoogte. Het bedrijf zei op zijn beurt dat het zijn klanten op de hoogte bracht, die vervolgens de gegevens op 21 januari verwijderden.
Hetzner heeft vóór publicatie geen commentaar gegeven aan WIRED.
De onderzoekers hebben niet de volledige dataset gedownload voor analyse vanwege de omvang en gevoeligheid ervan. In plaats daarvan werkten ze met een steekproef van 2,8 miljoen records – slechts een klein deel van de totale dataset. Door gegevenstrends te analyseren, waaronder de populariteit van bepaalde culturele verwijzingen in wachtwoorden, kwamen ze tot de conclusie dat de meeste gegevens waarschijnlijk rond 2015 uit de Verenigde Staten kwamen. Wachtwoorden die verwijzen naar One Direction, Fall Out Boy en Taylor Swift waren bijvoorbeeld heel gebruikelijk. Ondertussen beginnen verwijzingen naar Blackpink, Katseye en Btsarmy net op te duiken.
Oude gegevens zijn om twee redenen nog steeds waardevol. Ten eerste hergebruiken mensen vaak dezelfde e-mailadressen en wachtwoorden, of varianten van wachtwoorden, op verschillende websites en diensten. Dit betekent dat cybercriminelen in de loop van de tijd dezelfde inloggegevens voor dezelfde mensen kunnen blijven proberen. De tweede reden is dat de burgerservicenummers van mensen vaak in verband worden gebracht met hun meest gevoelige en risicovolle gegevens, maar vrijwel nooit gedurende hun hele leven veranderen. Als gevolg hiervan is een geldig burgerservicenummer een van de kroonjuwelen van identiteitsdiefstal voor aanvallers.
In een steekproef van gegevens die de onderzoekers hebben beoordeeld, zei Pollock dat één op de vier burgerservicenummers geldig en legitiem leek. De steekproef is te klein om te extrapoleren naar de gehele dataset, maar een kwart van alle records met BSN’s zou 675 miljoen bedragen. Een fractie van dat aantal vertegenwoordigt nog steeds enkele zeer belangrijke cijfers van de sociale zekerheid.
Om deze gegevens te verifiëren, hebben UpGuard-onderzoekers contact opgenomen met verschillende mensen wier gegevens in het schatlek verschenen. Pollock benadrukte dat een van de meest zorgwekkende bevindingen uit gesprekken met deze personen was dat niet al hun identiteiten waren gestolen of gehackt. Met andere woorden: er bevindt zich informatie in de database die nog niet door cybercriminelen is uitgebuit – en potentiële slachtoffers weten misschien niet noodzakelijkerwijs dat hun informatie is openbaar gemaakt.
