Het aantal jaarlijkse incidenten met inloggegevens verdubbelde tussen 2016 en 2020 bijna. In dezelfde periode daalde de totale hoeveelheid gelekte data met 46 procent.
Dit blijkt uit het nieuwste Credential Stuffing Report. De gemiddelde omvang van een datalek man ook af. Van 63 miljoen records in 2016 tot 17 miljoen vorig jaar.
Met name Credential stuffing is een groot probleem. Grote hoeveelheden gecompromitteerde gebruikersnamen en wachtwoorden worden daarmee misbruikt De FBI waarschuwde in een Private Industry Notification vorig jaar al dat de dreiging tussen 2017 en 2020 verantwoordelijk was voor het grootste aantal veiligheidsincidenten tegen de Amerikaanse financiële sector (41 procent).
Wachtwoorden
Een van de belangrijkste bevindingen van het rapport is dat slechte opslag van wachtwoorden een voortdurend probleem blijft. In de afgelopen drie jaar was de opslag in platte tekst verantwoordelijk voor het grootste aantal gelekte inloggegevens (42,6 procent). Op de tweede plek staat met 20 procent van de gelekte gegevens het wachtwoord-hash-algoritme SHA-1. Dat bewaart wachtwoorden ‘unsalted’. Dat is zonder een unieke waarde die aan het einde van het wachtwoord kan worden toegevoegd om een andere hash-waarde te creëren.
Dat dit geen garantie biedt, is te zien aan de derde plek. Dit is het ‘salted’ bcrypt-algoritme met 16,7 procent. Het bekritiseerde hash-algoritme MD5 was verantwoordelijk voor slechts een klein deel van de gelekte inloggegevens. Ook deze hashes waren salted (0,4 procent). MD5 wordt al decennia lang als een zwakke en slechte methode beschouwd, salted of niet.
Het onderzoek wijst ook op toename van ‘fuzzing’-technieken om het succesvolle misbruik van legitimatiegegevens te optimaliseren. Fuzzing is het proces van het vinden van beveiligingsproblemen in input-parsing code door de parser herhaaldelijk te testen met aangepaste invoer. De meeste fuzzing-aanvallen vonden plaats voordat de gecompromitteerde inloggegevens openbaar werden gemaakt. Dat suggereert dat dit meer voorkomt bij ervaren aanvallers.
Detecteren gelekte data
In het voorgaande rapport, toen nog ‘2018 Credential Spill Report, stond dat het gemiddeld vijftien maanden duurde voordat een datalek openbaar werd. Dit is nu ongeveer elf maanden. Wel waren er enkele incidenten waarbij de detectietijd drie jaar of langer was. De mediane tijd om incidenten op te sporen is 120 dagen. Bovendien staan lekkages vaak al op het dark web voordat organisaties een inbreuk melden.
De aankondiging van een lekkage valt meestal samen met verschijnen van inloggegevens op Dark Web-forums. Voor het 2021 Credentials Stuffing Report keek men vooral naar de cruciale periode tussen de diefstal van inloggegevens en het plaatsen ervan op het Dark Web. Onderzoekers voerden een historische analyse uit met een steekproef van bijna 9 miljard inloggegevens van duizenden afzonderlijke datalekken. Dit heet ook wel ‘Collection X’. De inloggegevens stonden begin januari 2019 op Dark Web-forums.
Het onderzoek keek naar vier bedrijven (twee banken, een retailer en een voeding/dranken-producent. zij vertegenwoordigen 72 miljard login-transacties in 21 maanden. Met Shape Security-technologie konden onderzoekers gestolen inloggegevens ’traceren’ door middel van diefstal, verkoop en gebruik.
In 12 maanden tijd gebruikten aanvallers 2,9 miljard verschillende inloggegevens voor zowel legitieme transacties als aanvallen op de vier websites. Bijna een derde (900 miljoen) van de inloggegevens is gecompromitteerd.
Stelen van inloggegevens kwam het vaakst voor bij legitieme menselijke transacties bij de banken. Dit was respectievelijk 35 procent en 25 procent van de gevallen. De retailer kreeg 10 procent van de aanvallen 5 procent zich richtte op de voedingsmiddelenproducent.
Lees ook:
- Nederlandse digitale veiligheidsbelangen kwetsbaar voor andere landen
- Impact Identity & Access management (IAM) op de business
