Het Verizon datalek is bijzonder en leerzaam

Waarschijnlijk is het bericht inmiddels wel doorgesijpeld dat van 14 miljoen Verizon klanten de data is gelekt. Een fors datalek, dat op ogenschijnlijk stupide wijze tot stand gekomen is. Een derde partij doet iets voor Verizon, krijgt daarvoor echte klantdata en zet dat voor iedereen zichtbaar en vindbaar op AWS.

Vervelend voor alle klanten in die batch, 14 miljoen volgens de persoon die het ontdekte, “slechts” 6 miljoen volgens Verizon (les 1 uit het handboek reageren op een datalek: altijd downplayen van de omvang). Lastig is vooral dat er 6000 pincodes in de batch waren opgenomen. Daarmee kunnen de klant en zijn contactpersoon op de servicedesk zich identificeren.

Dubbele impact

Die laatste moet je even op je laten inwerken. Wat we hier namelijk hebben is een voorbeeld van een datalek waarmee beide partijen van een zakelijke relatie (aanbieder en klant) kunnen worden

benadeeld. De klant kan worden opgebeld door iemand die zich voordoet als een Verizon medewerker. Omdat de pin wordt gebruikt ruikt die klant geen onraad. Erg handig voor criminelen die op zoek zijn naar gegevens om ID fraude mee te plegen bijvoorbeeld.

Exact datzelfde kan mede door die pin ook omgekeerd. De Verizon desk kan worden gebeld door iemand die zich voordoet als klant en bijvoorbeeld een opdracht noteren voor de levering van een dozijn iPhones, of het resetten van wachtwoorden. De schade die hierdoor ontstaat kan nooit de klant worden verhaald – Verizon ging immers in zee met een domme derde partij en die partij veroorzaakt de schade.

Hoewel de onderste steen hier nog niet boven is en Verizon zeer waarschijnlijk iets dichter op de bal zit dan het recent overgenomen Yahoo (understatement!) zullen we over deze zaak vast nog veel meer gaan horen.

Leerzaam

We gaan er meer van horen, omdat deze zaak een goede wake up call hoort te zijn voor iedereen die met datalekken te maken kan krijgen. Default denken de meeste daarbij nog steeds aan klanten die gedupeerd raken en een leverancier die voor de schade mag opdraaien. In dit geval is het bijzondere dat de leverancier zelf ook gedupeerd kan raken. Dat moet de vraag zijn die iedereen na het lezen van dit artikel moet hebben: zijn er in mijn bedrijf situaties mogelijk waarbij wij als hoster, provider, IT leverancier ook zelf direct de dupe kunnen worden van een datalek.