De berichtgeving over de diefstal van ruim een miljard inloggegevens door een Russische bende, moet niet te serieus genomen worden. Dat zegt althans cybersecurity- en informatierechtonderzoeker Axel Arnbak van de Universiteit van Amsterdam in Het Financieele Dagblad.
Vorige week werd wereldwijd bekend gemaakt dat Russische hackers 1,2 miljard inlognamen en wachtwoorden zouden hebben gestolen. “Dat werd gemeld door Hold Security, een Amerikaanse firma waar ik nog nooit van had gehoord”, zegt Arnbak in Het Financieele Dagblad. De details van de inbraak zijn volgens de Nederlandse onderzoeker niet vrijgegeven en ook niet gedeeld met het internationale netwerk van Crisis Emergency and Response Teams. Hij wijst er ook op dat Hold Security meteen een abonnement aanbood om te onderzoeken of een website op de lijst van gehackte accounts staat. De eerste twee maanden is dat gratis, maar daarna kost het 120 dollar per maand om ‘beschermd’ te blijven. Volgens Arnbak had de aanval dan ook meer weg van een goede marketingcampagne van Hold Security.
Hold Security liet weten dat het de beheerders van de getroffen websites de tijd wilde geven om beveiligingsmaatregelen door te voeren, voordat de lijst met pagina’s bekendgemaakt werd. Tot op heden heeft nog geen enkele website melding gemaakt van de Russische hack. Dit gebeurde wel ten tijde van de Heartbleed-aanval, toen grote websites als Soundcloud, Yahoo! en OkCupid hun gebruikers opriepen de inloggegevens te wijzigen.
Wat Hold Security wordt verweten is dat het aan de berichtgeving marketing voor een dure dienstverlening koppelt. Wie wil weten of hij getroffen is, moet een volledig registratieproces doorlopen waarbij alle inlogcodes en gecodeerde wachtwoorden worden overgedragen aan Hold Security. De nieuwe klant kan niet eens zien of deze eerder getroffen is door de vermeende hack, tenzij de volledige registratie doorlopen wordt.