In dit artikel hebben we een opsomming gemaakt (met korte toelichting per incident) van het jaar 2023. Welke dingen vielen op? Maar vooral, waar kunnen we van leren?
MOVEit, DarkBeam, 23andMe. Zegt dit je iets, of wellicht helemaal niets? Dit waren 3 van de 10 grootste digitale beveiligingsincidenten van 2023. In dit artikel hebben we een opsomming gemaakt (met korte toelichting per incident) van het jaar 2023. Welke dingen vielen op? Maar vooral, waar kunnen we van leren?
Kwaadwillenden ontwikkelden zich tegen een achtergrond van aanhoudende macro-economische en geopolitieke onzekerheden en gebruikten alle middelen en creativiteit die ze tot hun beschikking hadden om zich een weg te banen langs de verdediging van bedrijven. Voor consumenten was het weer een jaar waarin ze angstig de krantenkoppen lazen om te zien of hun persoonlijke gegevens waren aangetast.
Volgens het Data Breach Investigations Report (DBIR) van Verizon zijn externe partijen verantwoordelijk voor de overgrote meerderheid (83%) van de inbreuken en is financieel gewin verantwoordelijk voor bijna alle inbreuken (95%). Daarom zijn de meeste incidenten in deze lijst te wijten aan ransomware of afpersers van gegevensdiefstal. Maar dat is niet altijd het geval. Soms kan de oorzaak een menselijke vergissing zijn, of een kwaadwillend persoon van binnenuit. En soms hebben de aanvallen een buitenproportionele impact, zelfs als het aantal slachtoffers relatief klein is.
Dus, in willekeurige volgorde, hier is onze keuze van de 10 grootste aanvallen van 2023.
1) MOVEit
Deze aanval, die is terug te leiden naar de aan Lace Tempest (Storm0950) gelieerde Clop ransomware, had alle kenmerken van de eerdere campagnes van de groep tegen Accellion FTA (2020) en GoAnywhere MFT (2023). De werkwijze is eenvoudig: gebruik een zero-day kwetsbaarheid in een populair softwareproduct om toegang te krijgen tot klantomgevingen en haal vervolgens zoveel mogelijk gegevens uit het netwerk, om losgeld voor te vragen. Het is nog onduidelijk hoeveel gegevens er precies zijn buitgemaakt en hoeveel slachtoffers er zijn. Maar sommige schattingen wijzen op meer dan 2600 organisaties en meer dan 83 miljoen individuen. Het feit dat veel van deze organisaties zelf leveranciers of dienstverleners van anderen waren, heeft de indirecte impact alleen maar groter gemaakt.
2) De Britse verkiezingscommissie
De onafhankelijke Britse toezichthouder voor partij- en verkiezingsfinanciering onthulde in augustus dat kwaadwillenden persoonlijke informatie hadden gestolen over naar schatting 40 miljoen kiezers in het kiesregister. De organisatie beweerde dat een "complexe" cyberaanval verantwoordelijk was, maar sindsdien zijn er berichten dat de beveiliging slecht was. De organisatie is niet geslaagd voor een Cyber Essentials basisbeveiligingsaudit. Een niet gepatchte Microsoft Exchange server kan de schuldige zijn geweest, hoewel het onduidelijk is waarom de commissie er 10 maanden over deed om het publiek op de hoogte te stellen. De commissie beweerde ook dat dreigingsactoren haar netwerk mogelijk al sinds augustus 2021 aan het onderzoeken waren.
3) De politie van Noord-Ierland (PSNI)
Dit is een incident dat in de categorie valt van zowel een inbreuk met voorkennis, als een inbreuk met een relatief klein aantal slachtoffers die een buitenmaatse impact kunnen hebben. De PSNI kondigde in augustus aan dat een medewerker per ongeluk gevoelige interne gegevens op de WhatDoTheyKnow website had geplaatst als reactie op een Freedom of Information (FOI) verzoek. De informatie bevatte de namen, rang en afdeling van ongeveer 10.000 officieren en burgerpersoneel, waaronder mensen die werkzaam zijn bij surveillance en inlichtingen. Hoewel de informatie slechts twee uur beschikbaar was voordat ze werd verwijderd, was dat genoeg tijd voor de informatie om te circuleren onder Ierse republikeinse dissidenten, die de informatie verder verspreidden. Twee mannen werden op borgtocht vrijgelaten nadat ze gearresteerd waren op grond van terroristische misdrijven.
4) DarkBeam
Bij het grootste datalek van het jaar werden 3,8 miljard bestanden blootgelegd door het digitale risicoplatform DarkBeam nadat het een Elasticsearch en Kibana datavisualisatie-interface verkeerd had geconfigureerd. Een beveiligingsonderzoeker merkte het privacyfoutje op en bracht het bedrijf op de hoogte, dat het probleem snel corrigeerde. Het is echter onduidelijk hoe lang de gegevens al waren blootgesteld en of iemand met kwade bedoelingen er al eerder toegang tot had gehad. Ironisch genoeg bevatte de buit e-mails en wachtwoorden van zowel eerder gemelde, als niet gemelde datalekken. Het is weer een voorbeeld van de noodzaak om systemen voortdurend te controleren op verkeerde configuratie.
5) Indiase Raad voor Medisch Onderzoek (ICMR)
Nog een mega lek, dit keer een van de grootste van India, werd in oktober onthuld nadat een dreigingsactor persoonlijke gegevens van 815 miljoen inwoners te koop had aangeboden. Het lijkt erop dat de gegevens waren ge-exfiltreerd uit de COVID-testdatabase van de ICMR en dat ze naam, leeftijd, geslacht, adres, paspoortnummer en Aadhaar (identificatienummer van de overheid) bevatten. Dat is vooral schadelijk omdat het cybercriminelen alles kan geven wat ze nodig hebben om een reeks aanvallen op identiteitsfraude uit te voeren. Aadhaar kan in India worden gebruikt als digitale ID en voor het betalen van rekeningen en Know Your Customer controles.
6) 23andMe
Een dreigingsactor beweerde maar liefst 20 miljoen gegevens te hebben gestolen van een in de VS gevestigd genetica- en onderzoeksbedrijf. Het lijkt erop dat ze eerst klassieke credential stuffing technieken gebruikten om toegang te krijgen tot gebruikersaccounts. In feite met behulp van eerder geschonden gegevens die deze gebruikers hadden gerecycled op 23andMe. Voor gebruikers die hadden gekozen voor de DNA-verwantenservice op de site, kon de dreigingsactor vervolgens toegang krijgen tot veel meer gegevenspunten van potentiële verwanten en deze verzamelen. Onder de informatie in de datadump waren profielfoto, geslacht, geboortejaar, locatie en genetische voorouderresultaten.
7) DDoS-aanvallen met snelle reset
Nog een ongebruikelijk geval, dit betreft een zero-day kwetsbaarheid in het HTTP/2 protocol die in oktober werd onthuld en die kwaadwillenden in staat stelde om een aantal van de grootste DDoS-aanvallen ooit te lanceren. Google omschreef dat deze een piek bereikten van 398 miljoen verzoeken per seconde (rps), tegenover een eerdere hoogste snelheid van 46 miljoen rps. Het goede nieuws is dat internetgiganten zoals Google en Cloudflare de bug hebben gepatcht, maar bedrijven die hun eigen internetaanwezigheid beheren werden aangespoord om dit onmiddellijk te doen.
8) T-Mobile
De Amerikaanse telco heeft de afgelopen jaren veel beveiligingsproblemen gehad, maar de beveiligingsschending die in januari werd onthuld is een van de grootste tot nu toe. Het betrof 37 miljoen klanten, waarbij adressen van klanten, telefoonnummers en geboortedata werden gestolen door een bedreigende actor. Een tweede incident dat in april werd onthuld, had gevolgen voor slechts 800 klanten, maar omvatte veel meer datapunten, waaronder PIN-codes voor T-Mobile-accounts, burgerservicenummers, ID-gegevens van de overheid, geboortedata en interne codes die het bedrijf gebruikt om klantenaccounts te onderhouden.
9) MGM International/Cesars
Twee van de grootste namen in Las Vegas werden binnen enkele dagen na elkaar getroffen door dezelfde ALPHV/BlackCat ransomware die bekend staat als Scattered Spider. In het geval van MGM slaagden ze erin om toegang tot het netwerk te krijgen via wat LinkedIn-onderzoek en vervolgens een voice phishing (vishing)-aanval waarbij ze zich voordeden als de IT-afdeling en om hun referenties vroegen. Toch eiste de compromittering een grote financiële tol van het bedrijf. Het bedrijf werd gedwongen om belangrijke IT-systemen uit te schakelen, waardoor gokautomaten, restaurantbeheersystemen en zelfs kamersleutelkaarten dagenlang werden verstoord. Het bedrijf schatte de kosten op $100 miljoen. De kosten voor Cesars zijn onduidelijk, hoewel het bedrijf toegaf de afpersers $15 miljoen te hebben betaald.
10) Het Pentagon lekt
Het laatste incident is een waarschuwing voor het Amerikaanse leger en elke grote organisatie die zich zorgen maakt over kwaadwillende insiders. Een 21-jarig lid van de inlichtingenvleugel van de Massachusetts Air National Guard, Jack Teixeira, lekte zeer gevoelige militaire documenten om op te scheppen in zijn Discord gemeenschap. Deze werden vervolgens gedeeld op andere platforms en opnieuw gepost door Russen die de oorlog in Oekraïne volgden. Ze gaven Rusland een schat aan militaire informatie voor de oorlog in Oekraïne en ondermijnden de relatie van Amerika met zijn bondgenoten. Ongelooflijk genoeg was Teixeira in staat om topgeheime documenten uit te printen en mee naar huis te nemen om ze te fotograferen en vervolgens te uploaden.
Laten we hopen dat deze verhalen nuttige lessen opleveren. Op naar een veiliger 2024.