ISP Today over het Universiteit Berkeley onderzoek naar account kapingen

Account hijacking is een verschijnsel dat veel voorkomt. Dagelijks kun je op social media meldingen voorbij zien komen van accounts die opeens onzin of bagger uitspuwen, terwijl ze normaal nette en brave berichten produceren. Buiten social media zijn accountkapingen natuurlijk ook aan de orde van de dag. Het is de manier om netwerken van binnenuit te kunnen platleggen.

De exacte omvang van het probleem is minder bekend. Mogelijk dat recent, door Google mogelijk gemaakt, onderzoek van de universiteit van Berkeley daar iets meer duidelijkheid in schept. “Data breaches, phishing, or malware? Understanding the risks of stolen credentials” bestrijkt de periode 03-2016 tot 03-2017. In 14 pagina’s wordt uiteengezet hoe via blackmarkets, pastebin en dergelijke gezocht is naar username/wachtwoord combinaties. Ook kregen de onderzoekers de beschikking over keyloggers en phishingkits, inclusief de vangst daarvan. Het afgelopen weekend is online al de nodige aandacht aan dit onderzoek besteed. Bijna iedereen heeft ook een andere samenvatting of beschrijving gegeven van dat onderzoek. Dat kan omdat het veel aanknopingspunten heeft.

ISP Today heeft uiteraard het onderzoek nog voor het weekend doorgenomen en de communicatie daarom heen. Bij dat laatste struikelden we over de quote van de zoekgigant op het eigen blog dat 15% van de users ervaring heeft dat het eigen e-mail of social media account ooit is gekaapt. Dat cijfers stamt uit 2014 en is dus van ruim voor de tros aan Yahoo lekken bekend werd gemaakt. Aangezien 100% van Yahoo is gehackt moet die 15% nu dus een stuk hoger zijn (Tenzij miljoenen niet doorhebben dat er nog een Yahoo account is).

Bijna 2 miljard

Alles bij elkaar kregen de onderzoekers de beschikking over meer dan 1,92 miljard username/wachtwoord combinaties. Die waren niet allemaal bruikbaar, een deel van de wachtwoorden was encrypted en reversing maar plaintext bleek onmogelijk. Daardoor is de hack van bijvoorbeeld Adobe minder kwalijk dan die van Yahoo, waar de plaintext score 100% was. Elders is redelijk snel hierover heen gestapt. ISP Today is van mening dat deze opsomming zeer belangrijk is, omdat het zo duidelijk laat zien wat de nut van encryptie, hashing enzovoorts is. Alles bij elkaar was 76% wel lees- en bruikbaar.

Op basis van al die data is gekeken naar Gmail accounts. Tussen de 7-25% van de gestolen wachtwoorden zou bruikbaar kunnen zijn om een Gmail account te kunnen overnemen en van daar weer andere accounts, zoals social media, maar ook serieuzere zaken zoals beheeraccounts. Iedereen die zich met onderzoek bezighoudt zal de kriebels krijgen van deze zeer ruime bandbreedte. Het is ook opvallend dat daarvoor geen enkele verklaring wordt gegeven.

Lessons Learned

Zowel de onderzoekers als Google komen – los van elkaar dus – tot een aantal adviezen. Over het gebruik van makkelijke wachtwoorden stappen we achteloos heen. Veel interessanter is dat de bepalen met welk device en vanaf welke plek wordt ingelogd (of: gepoogd in te loggen) een van de best toepasbare methodes is ellende te voorkomen. Google hangt er nog een cijfer aan: de bevindingen hebben er toe bijgedragen dat 67 miljoen Gmail accounts op tijd kon worden beschermd. Of dat betekent dat daarop werd gepoogd in te loggen vanuit een boevenland of een verdachte IP reeks is niet verteld.

Het nut van verantwoord omgaan met inloggegevens door dienstenaanbieders toont dit onderzoek zeker aan. Het is nog net geen pleidooi voor 2FA, maar het is wel lastig na het lezen van deze bevindingen dat te blijven afdoen als overkill. Misschien is dit dan ook de aanleiding dat nog eens bij je klanten onder de aandacht te brengen.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.