Grote datalekken vaak het gevolg van scraping in plaats van hacken

Gepubliceerd op 18/12/2023 19:00 in Tech

Datalekken met de gegevens van miljoenen mensen zijn vaak het werk van criminelen die gebruik maken van scraping in plaats van geavanceerde hacktechnieken. Dit geldt ook voor het recente datalek bij luchtvaartmaatschappij KLM. Bij scraping worden privégegevens op grote schaal geautomatiseerd verzameld en misbruikt.

Een bekend voorbeeld van scraping is het Cambridge Analytica-schandaal, waarbij een databedrijf persoonsgegevens van 50 miljoen Facebook-gebruikers wist te bemachtigen. Deze gegevens werden vervolgens gebruikt voor gepersonaliseerde advertenties in politieke campagnes. Maar recentere scraping-lekken waren nog groter. Criminelen wisten de gegevens van maar liefst 500 miljoen LinkedIn-gebruikers en 533 miljoen Facebook-gebruikers te verzamelen. In het geval van Facebook maakten kwaadwillenden misbruik van een functie om nieuwe vrienden te vinden, waarmee op basis van telefoonnummers Facebook-profielen konden worden achterhaald.

Deze functie was oorspronkelijk bedoeld om vrienden te vinden op basis van het adresboek van je telefoon, niet andersom. Beveiligingsonderzoeker Matthijs Koot legt uit dat door geautomatiseerd alle telefoonnummers in te voeren en de resultaten op te slaan, een omgekeerde lijst van telefoonnummers kon worden gemaakt. Uiteindelijk werden 533 miljoen Facebook-gebruikers getroffen en kreeg moederbedrijf Meta een boete van 265 miljoen euro van de EU.

Privacy-toezichthouders buiten de Europese Unie, waaronder die van het Verenigd Koninkrijk, Noorwegen en Zwitserland, hebben deze zomer gewaarschuwd dat socialemediabedrijven en andere websites hun gebruikers moeten beschermen tegen scraping. Volgens Koot komt het gebrek aan bescherming mede doordat sociale media weinig prikkels hebben om data af te schermen, aangezien het openbaar maken van informatie hun businessmodel is. Daarnaast kan een beperkt security-budget een probleem vormen, waardoor de beveiliging onvoldoende getest wordt.

Het is onbekend hoe vaak scraping precies voorkomt, aangezien niet alle incidenten aan het licht komen. Meestal wordt dit pas bekend wanneer de gegevens verspreid worden via hackersfora, zoals bij de lekken bij Facebook en LinkedIn het geval was. Koot benadrukt dat achter dergelijke lekken professionele hackers of organisaties zitten, gezien het feit dat ze erin slagen om onopgemerkt de gegevens van honderden miljoenen gebruikers te bemachtigen zonder dat de detectiesystemen van grote techbedrijven afgaan.

Criminelen kunnen deze gegevens vervolgens verkopen aan anderen, wat erg nuttig is voor oplichters. Door meerdere datalekken te combineren, kan er een compleet beeld van iemand worden gecreëerd, wat gebruikt kan worden voor oplichting of het opstellen van phishing-e-mails. Dit wordt extra problematisch wanneer het slachtoffer een prominente persoon is, zoals een politicus. Het gemak waarmee in lekken de telefoonnummers van een aantal politici te vinden zijn, baart Koot zorgen.

Het is duidelijk dat grote datalekken voortkomen uit scraping en niet zozeer uit geavanceerde hacktechnieken. Het is daarom essentieel dat socialemediabedrijven en andere websites hun gebruikers beter beschermen tegen scraping. Bovendien moeten zij rekening houden met de mogelijke gevolgen van dergelijke lekken, met name voor prominente personen zoals politici.