16 miljoen persoonsgegevens zijn ontvreemd bij Netlog, al komt die hack pas vijf jaar later naar boven. ‘De hack is netjes in de doofpot gestopt en geheim gehouden, zoals bijna elke hack en datalek de laatste twee decennia’, stelt security specialist Jan Guldentops. GDPR is volgens hem hierbij een gamechanger. ‘Al zijn er nog schaamlapjes.’
De databank van het sociale netwerk Netlog, dat nadien overging in de populaire datingsite Twoo, is enkele jaren geleden gekraakt, zo berichtte Computable een week geleden.
Oude cultuur
Waarschijnlijk gaat het om een van de grootste hacks uit de Belgische internetgeschiedenis. Alleen weten we dat lang niet zeker. Veel hacks bleven de voorbije jaren onder de radar. ‘De Netlog hack is er nog ééntje uit de oude security cultuur zoals die decennialang heerste’, oppert Jan Guldentops, security specialist bij BA. ‘Met een zekere omerta praatte niemand over zijn problemen en stak men het hoofd in het zand. Men gaf slechts toe als het algemeen bekend werd dat men een probleem had.’
Deloitte
Als mooiste voorbeeld haalt Guldentops het audit/security-bedrijf Deloitte aan. ‘Dat bedrijf werd vorig jaar zwaar gehackt. Maar het zweeg zedig en gaf pas spaarzaam details toen de krant The Guardian het uitbracht’, illustreert hij. ‘Er is dus de laatste jaren heel veel gebeurd waar we geen weet van hebben.’ Ook de hack bij Netlog omschrijft Guldentops als ‘netjes in de doofpot gestopt en geheim gehouden, zoals bijna elke hack en datalek de laatste twee decennia’. ‘Met de komst van GDPR hebben ze dan het zekere voor het onzekere genomen en het gemeld.’
GDPR
Volgens Guldentops is GDPR hierin alvast een gamechanger. ‘Omdat je vandaag de dag je kop niet meer in het zand kan steken zonder risico’, stelt hij. ‘Vanaf het moment dat er persoonsgegevens bij betrokken zijn en er is een risico, dan ben je het verplicht om te melden aan de gegevensbeschermingsautoriteit en het data subject zelf, zeg maar het lijdend voorwerp van het verhaal.’ Doe je dit niet dan riskeer je aanzienlijke boetes. ‘En vooral ook burgerrechtelijke vervolgingen in de rechtbank die potentieel, en afhankelijk van de schade die het subject heeft opgelopen, hoog kunnen oplopen.’
Schaamlapje
Toch is er nog belangrijke randvoorwaarde. ‘Zo kan je natuurlijk enkel een data breach melden als je weet dat je een breach hebt. Ook achter dit schaamlapje gaan bedrijven zich nog decennia wegsteken’, voorspelt Guldentops. Ook bij Netlog kwam de breach, naar eigen zeggen, pas na een latere beveiligingscontrole aan het licht.
Daders?
Wat betreft de Netlog-breach met 16 miljoen ontvreemde persoonsgegevens, blijven nog twee belangrijke vragen over. Wisten ze bij Netlog om te beginnen wie de daders waren? ‘We kunnen op dit ogenblik niet speculeren over wie verantwoordelijk is of waarom dit gebeurd is’, zo beantwoordt Lien Louwagie, hoofd communicatie bij Massive Media, deze vraag van Computable. ‘We weten wel dat er geen reden is om aan te nemen dat de gecompromitteerde gegevens ooit publiek gemaakt werden, en dat we de bevoegde autoriteiten op de hoogte hebben gebracht’, stelt ze.
Encryptie?
Tweede belangrijke vraag: waren de betreffende persoonsdata geëncrypteerd, en zo ja: hoe en wanneer? De hack met de databank gebeurde in november 2012, maar de doorgedreven encryptie lijkt pas erna te zijn gebeurd, zo blijkt. Louwagie: ‘Massive Media implementeerde een reeks veiligheidsmaatregelen, zowel om aanvallers te dwarsbomen als om gebruikersgegevens in onze systemen te beschermen’, antwoordt Louwagie. ‘Midden 2013 werden bijvoorbeeld alle wachtwoorden cryptografisch hashed en salted om deze gegevens te beschermen.
