Meer dan 1 miljoen online accounts van 17 bekende bedrijven zijn het slachtoffer geworden van hackpogingen. Opvallend is dat daarbij gebruik gemaakt van een reeks eerder gestolen wachtwoorden. Dergelijke lijsten zijn overigens gewoon te vinden op het internet, zegt de New Yorkse topambtenaar voor rechtshandhaving woensdag.
Bij de zogenaamde “credential stuffing attack” probeert een cybercrimineel herhaaldelijk om toegang te krijgen tot iemands account door gebruik te maken van gebruikersnamen en wachtwoorden die eerder openbaar werden gemaakt. Gebruikersnamen en wachtwoorden worden soms gepost of verkocht op het dark web of hackingfora nadat ze bij cyberaanvallen zijn gestolen.
Volgens procureur-generaal Letitia James maken hackers misbruik van het feit dat mensen geneigd zijn wachtwoorden op meerdere sites te hergebruiken. Net die mogelijkheid maakt gestolen wachtwoorden zo aantrekkelijk voor hackers. Bij een “credential-stuffing”-aanval kan de hacker dan honderdduizenden of zelfs miljoenen inlogpogingen doen met behulp van gespecialiseerde software op verschillende sites.
James zei dat er momenteel meer dan 15 miljard gestolen inloggegevens in omloop zijn, waardoor de persoonlijke informatie van die gebruikers gevaar loopt. Verder zei ze dat haar kantoor samenwerkt met de 17 bedrijven die slachtoffer werden van de aanvallen om hun cyberbeveiliging te helpen verbeteren, hun klanten te beschermen en verder te begrijpen hoe de aanvallen plaatsvonden.
17 bekende bedrijven
Het bureau van de procureur-generaal hield maandenlang online fora over de speciale cyberaanval in de gaten. Het vond duizenden berichten met inloggegevens van klanten die de hackers gebruikten om hun aanvallen mee te testen. Uit deze berichten hebben de overheidsfunctionarissen de gelekte inloggegevens van de accounts van 17 bekende online detailhandelaars, restaurantketens en voedselbezorgingsdiensten samengesteld.
Hoe je je gegevens beter kan beschermen, lees je op safeonweb.be.
(lb)