De impact van datalekken in 2024

Datadiefstallen: maken ze nog uit? Iedere paar maanden lijkt er wel een grote datalek aan het licht te komen.

Pas op 9 augustus ontving ik een e-mail van ‘;–have i been pwned? Het ging alleen om mijn e-mailadres, dus het leek niet de ergste datalek ooit te zijn. Wat me echter verraste, was dat er geen hack had plaatsgevonden; de kwaadwillenden hadden simpelweg data verzameld uit 'openbare bronnen'.

Iedereen kan naar haveibeenpwned.com gaan om te controleren of zijn of haar e-mailadres is gelekt. Deze website is opgezet door Troy Hunt, een informatiebeveiligingsprofessional waarvan ik al jaren zijn blog volg. Het biedt gratis meldingen aan wanneer jouw e-mailadres in een lek is beland.

Als je jouw e-mailadres langer dan een jaar hebt en het op verschillende plaatsen gebruikt, is de kans groot dat het al is gelekt. Mijn hoofd-e-mailadres is in 29 datalekken betrokken geweest.

Een indrukwekkende lijst: ik en 153 miljoen anderen hebben in 2013 via Adobe een lek meegemaakt (toen Troy deze tool lanceerde) en ik sloot mij in juni 2024 aan bij 79 miljoen anderen toen Advance Auto Parts slachtoffer werd van een datalek. Het is eigenlijk gelekt bij vrijwel elke grote datalek in de afgelopen twintig jaar!

Maar is het echt belangrijk?

Ja en nee. Hier is waarom.

Het is al openbaar

Als je een melding krijgt dat jouw gegevens zijn onthuld bij een datalek, zou ik me daar niet te druk om maken. Toen ik onlangs een e-mail ontving over SOCRadar, registreerde ik het nauwelijks.

Jouw gegevens zijn al openbaar.

Ik ben in de veertig, gebruik al sinds mijn jonge jaren het internet en heb dus mijn informatie op honderden (of duizenden) websites opgeslagen.

Sommige persoonlijke gegevens zijn al minstens 28 tot 29 keer eerder gelekt.

Je ontvangt veel spam

Verwacht een overvloed aan spam-sms'jes, telefoontjes en e-mails. Gelukkig zijn inboxen tegenwoordig slim genoeg om het meeste slechte spul te filteren. Je moet echter nog steeds alert zijn op phishing-pogingen en vrijwel alles wat officieel lijkt negeren.

Ik gebruik graag een “geclassificeerd” e-mailadres dat alleen voor belangrijke (financiële) accounts wordt gebruikt. Maar als jouw gegevens door een bank worden gelekt, is dat vertrouwelijke e-mailadres nu ook waardeloos. Daarnaast heb ik een junk-e-mailadres dat ik nooit voor onbelangrijke dingen controleer.

Dit is bekend als beveiliging door obscuriteit en biedt een extra laag van bescherming (maar dit is niet de primaire beveiliging; daarvoor gebruiken we twee-factor-authenticatie).

Voor telefoongesprekken en sms'jes negeer ik onbekende bellers en bekijk ik kort voicemails als ze een bericht achterlaten (ik luister nooit naar de berichten). Soms is het een bezorger die verdwaald is of iemand uit de buurt die ons wil bereiken, maar dat komt zeldzaam voor.

Ik heb nooit gratis ID-monitoring gehad

Altijd wanneer er een datalek is, biedt het bedrijf gratis monitoring voor identiteitsdiefstal aan van een of andere dienst. Ik heb me daar nog nooit voor aangemeld.

Ik denk niet dat ik het nodig heb en wil ook niet dat nog een bedrijf mijn informatie heeft. Daarnaast vind ik het stiekem een manier om mensen naar de dienst te lokken en ze daarna te laten betalen zodra de gratis periode voorbij is.

Ik gebruik mijn eigen doe-het-zelf-systeem voor bescherming tegen identiteitsdiefstal en maak me geen zorgen over het opzeggen van de dienst. (Misschien heb je die opzegging helemaal niet nodig; ik heb me nog nooit aangemeld, dus ik weet het niet.)

Ik bevries ook mijn kredietrapporten, zodat ik me geen zorgen hoef te maken dat iemand met mijn informatie een kredietlijn kan openen. Totdat ik het weer ontdooi, kan niemand dat.

Ik ben ervan overtuigd dat ik voldoende bescherming heb om te voorkomen dat er iets ernstigs gebeurt door deze datalekken.

Ik ben niet zo dapper als de voormalige CEO van LifeLock, Todd Davis. Als onderdeel van een marketingstunt zette hij zijn sociale zekerheidsnummer op billboards en vrachtwagens om te laten zien hoe effectief LifeLock kon zijn. Hij ontdekte echter ook dat zijn identiteit 13 keer was gestolen in drie jaar. Oeps.

Het is ernstig, maar ook te gewoon

Ik weet dat ik nonchalant ben over datalekken. Ze zijn ernstige zaken, maar in de meeste gevallen, gezien de beperkte aansprakelijkheid en het feit dat het al heel lang gebeurt, zal het je waarschijnlijk niet raken. Het is niets om wakker over te liggen.

Als je jezelf beschermt, en onze gids voor doe-het-zelf-bescherming tegen identiteitsdiefstal biedt veel eenvoudige en gratis stappen, zal de impact minimaal zijn.

Als je het slachtoffer wordt van identiteitsdiefstal, is de dader waarschijnlijk iemand die je kent. Dit maakt het melden veel ingewikkelder, vooral als het een familielid is.

Maar als het toch gebeurt, adviseren experts je om: - Het te melden bij de Federal Trade Commission via IdentityTheft.gov en/of te bellen naar 1.877.438.4338 - Fraude-alerts en bevriezingen op jouw kredietrapporten te zetten (Experian, Equifax, TransUnion) - Contact op te nemen met al jouw financiële instellingen (creditcards, banken, etc.)

IdentityTheft.gov biedt deze pagina met aanbevelingen voor slachtoffers.

Ben jij het slachtoffer geweest van een van deze datalekken? (Hoe vaak? Meer of minder dan 29!?)