Have I Been Pwned heeft een mijlpaal bereikt. De database en zoekmachine voor datalekken heeft het duizendste datalek in haar database opgenomen. De website telt inmiddels 17,5 miljard getroffen accounts. Oprichter Troy Hunt hekelt bedrijven die slachtoffers steeds later inlichten. Zijn vermoeden waarom dat gebeurt is dat bedrijven zo rechtszaken willen voorkomen.
De bekende website werd eind 2013 al opgericht door onderzoeker Troy Hunt. Gebruikers kunnen hun e-mailadres controleren en checken of of zij slachtoffer zijn van een bekend datalek. De grootste datalekken die in de database zijn opgenomen, zijn van Facebook, MySpace, Wattpad, NetEase, Deezer en Twitter.
Bij elk van genoemde diensten wisten aanvallers gegevens van meer dan tweehonderd miljoen accounts te ontvreemden. Bij Facebook ging het zelfs om gegevens van meer dan een half miljard accounts. Naast zulke grote lekken, worden ook allerlei kleinere incidenten mega-lekken worden ook kleinere incidenten opgenomen.
ShinyHunters achter duizendste lek
Het duizendste opgenomen datalek betreft het Amerikaanse autokoop-platform Edmunds. Hackerscollectief ShinyHunters wist daar gegevens van 178.000 mensen te stelen. ShinyHunters is geen onbekende naam in de wereld van cybercriminaliteit. De groep zat onder andere achter de grootschalige aanval op de Nederlandse provider Odido. Daarbij werden waarbij gegevens van meer dan 6,5 miljoen personen en 600.000 bedrijven online gezet.
Na die hack opende de politie een speciaal controlepunt voor gedupeerde Odido-klanten, en ook HIBP werd daarbij aangewezen als verificatieplatform voor gedupeerden. Shinyhunters heeft nog veel meer op haar kerfstok. Zo zijn ze ook verantwoordelijk voor hacks bij onder andere Ticketmaster, Instructure en Pornhub.
Bedrijven wachten te lang met melden
Hunt merkt op dat bedrijven steeds langer de tijd nemen om slachtoffers van een datalek te informeren. Bedrijven doen dat vaak met als genoemde reden dat ze eerst de aard en omvang van de gestolen data willen vaststellen. Hunt hekelt deze houding, omdat het suggereert dat er ook geen vroege waarschuwing kan worden gestuurd totdat de volledige impact duidelijk is. Zo’n berichtje kost weinig tot geen moeite noemt hij in de blogpost.
De HIBP-oprichter vermoedt dat bedrijven de bekendmaking bewust uitstellen om class action rechtszaken te voorkomen. “Dit gaat niet over de klant op de eerste plek zetten, het gaat over het beschermen van de organisatie”, stelt hij. Hij wijst erop dat de verantwoordelijkheid van bedrijven in de eerste plaats bij de aandeelhouders ligt, en die zijn niet blij met rechtszaken.
Gemiddelde kosten per datalek
De gemiddelde kosten van een datalek in de VS zijn inmiddels gestegen naar een recordhoogte van 10,22 miljoen dollar per incident. Er is echter geen vast universeel bedrag te plakken op de financiële schade van een cyberincident. Zo is genoemde cijfer specifiek genoemd voor de Amerikaanse markt, waar claims en wetgeving complexer zijn. Kijken we naar de Benelux, dan ligt het gemiddelde volgens hetzelfde rapport van IBM met 6,24 miljoen dollar een stuk lager. Wereldwijd is dat gemiddelde recent nog licht gedaald naar 4,44 miljoen dollar per incident.
Naast de regio speelt ook de sector een cruciale rol in de uiteindelijke grote van de financiële schade. Sectoren met streng gereguleerde en gevoelige data betalen simpelweg de hoofdprijs. Zo is de gezondheidszorg al vijftien jaar op rij de duurste sector met ruim 7,42 miljoen dollar per lek, op de voet gevolgd door de financiële dienstverlening. De publieke sector blijft met een gemiddelde van 2,86 miljoen dollar per incident een stuk achter.
De financiële impact zit, naast opgelegde boetes, met name in de kosten voor forensisch onderzoek, het op de hoogte brengen van gedupeerden, juridische afwikkeling en verloren business door downtime en reputatieschade. Vooral dat laatste is lastig te bepalen, want hoeveel klanten hebben nu geen dienst bij je afgesloten, terwijl dat anders wel het geval geweest zou zijn? Hoe sneller een organisatie een lek ontdekt en isoleert, hoe groter de kans wordt om zulke schades aanzienlijk te beperken.