Slachtoffers van datadiefstal maken zich vaak de meeste zorgen om de ontvreemding van hun creditcardgegevens, maar ze zouden zich veel drukker moeten maken over het bekend worden van hun adresgegevens. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky.
'Is onze privacy nog wel te beschermen?', vraagt de 26-jarige onderzoeker zich af. Hij is zelf een Playstation-fanaat en behoort dus mogelijk tot de slachtoffers van datadiefstal bij Sony's Playstation en Online Entertainment Network.
Schouwenburg had zich al voor deze inbraak afgevraagd hoe hij zijn adresgegevens kon beschermen, en is niet blij met het bekendraken ervan bij cybercriminelen. 'Adresgegevens maken gerichte aanvallen veel gemakkelijker, omdat criminelen bijvoorbeeld vanuit een geparkeerde auto kunnen proberen het thuisnetwerk af te luisteren.'
Over de diefstal van zijn creditcardgegevens maakt de onderzoeker zich weinig zorgen: 'Ik kan de kosten van aankopen die ik niet heb gedaan terugeisen bij mijn creditcardmaatschappij, en ook kan ik eenvoudig een nieuwe creditcard aanvragen. Maar ik verhuis niet zo gemakkelijk.'
Verkoop voor marketingdoeleinden
De beveiligingsonderzoeker, die in Amerika woont, windt zich op over de mogelijkheid in dat land om adresgegevens voor marketingdoeleinden door te verkopen. 'De Wet Bescherming Persoonsgegevens verbiedt dat in Nederland, maar in Amerika bestaat zo'n wet niet. Daar is het bijvoorbeeld mogelijk om bij een marketingorganisatie zelfs de salarisgegevens van de bewoners van een bepaalde locatie op te vragen.' Schouwenberg is het daar volstrekt mee oneens. 'De bescherming van locatiegegevens zou dezelfde prioriteit moeten hebben als die van creditcardgegevens.'
Social engineering
De datadiefstal bij Sony is zeker niet de eerste in de geschiedenis. Zo werd in april 2011 een grootschalige diefstal van e-mailadressen en namen bekend bij het het Amerikaanse e-mailmarketingbedrijf Epsilon. Die diefstal verhoogt het spamrisico aanzienlijk.
'Je kunt voor een bedrag onder de tien dollar één miljoen mailadressen kopen, maar dan heb je wel ongeverifieerde adressen', zei beveiligingsexpert Rik Ferguson van Trend Micro toen. 'De bij Epsilon gestolen e-mailadressen zijn echter geverifieerd. Bovendien zijn ze afkomstig van klanten die hebben aangegeven graag e-mail te ontvangen van de betreffende leveranciers.'
Kwaadwillenden die de gestolen data in handen krijgen, kunnen daardoor zeer gerichte oplichtingsmails componeren. Wanneer dezelfde klant in meerdere bedrijfsdatabases voorkomt, neemt dat risico alleen maar toe. Ferguson. 'Social engineering-aanvallen kunnen op die manier veel betrouwbaarder overkomen.'