Faillissementen en datalekken, NCIX als voorbeeld

Ongeveer een week geleden maakte de wereld kennis met een groot datalek van de Canadese software- en hardware retailer NCIX. Na een faillissement werd een server inclusief gevoelige gegevens te koop aangeboden. Mag dit? Wat zijn de gevolgen? Hoe had het voorkomen kunnen worden? In dit artikel gaan wij dieper in op de ontdekkingen van Travis Doering en de impact er van.

Wat is er gebeurd?

Toen het bedrijf in december 2017 faillissement aanvroeg, konden de rekeningen niet meer betaald worden. Een van deze rekeningen was een achterstallige huur van 150.000 dollar. Een geheimzinnige man die zichzelf Jeff noemt stelt de huisbaas te mogen helpen het openstaande bedrag terug te verdienen door de hardware te verkopen, en zou in ruil daarvoor toegang tot de broncode en database op de systemen krijgen. Hij bood de hardware op Craigslist aan, en trok daarmee de aandacht van onderzoeksjournalist Travis Doering. De databases bleken een immense hoeveelheid onversleutelde persoons- en bedrijfsgegevens te bevatten, wat in de verkeerde handen enorme schade aan zou kunnen richten aan iedereen die ooit klant of medewerker van NCIX geweest. En dat zijn nogal wat mensen.

Wat is er op straat komen te liggen?

Volgens Doering bevatten de databases de volgende informatie:

• Plain text namen, gebruikersnamen, wachtwoorden, en adressen van de vermoedelijke voormalige systeemadministrator
• Credentials, facturen, foto’s van ID’s van klanten, rekeningen, en persoonlijke informatie van honderden voormalige medewerkers
• 13 jaar aan financiële documentatie, werkbriefjes met SIN-nummers en gegevens van de oprichter van NCIX, met persoonlijke documenten en afbeeldingen van zijn familie vermengd met tal van privéfoto’s van high-end escorts
• Duizend records van partners die wachtwoorden in plain text, adressen, namen en enkele financiële gegevens vermelden
• Vragen aan de klantenservice van NCIX, inclusief volledige berichten en contactinformatie
• Volledige creditcard-betalingsgegevens in plain text voor 258.000 gebruikers
• 385.000 namen van klanten, serienummers met aankoopdatum, adressen, bedrijfsnamen, e-mailadressen, telefoonnummers, IP-adressen en MD5-hashwachtwoorden
• 3.848.000 records van januari 2007 tot en met juli 2010 met namen, bedrijfsnamen, gekochte items met serienummers, adressen, telefoonnummers en betalingsgegevens. In een recentere versie van het bestand stonden ook emailadressen
• Interne mails en broncode
• Intellectueel eigendom van NCIX’s ondernemingen in productie en andere vertrouwelijke documenten

Wat nu?

Al deze data werd door Jeff te koop aangeboden. Voor slechts 15.000 dollar kon Travis toegang krijgen tot persoonsgegevens (en in het bijzonder betaalgegevens) van honderdduizenden mensen en waardevol intellectueel eigendom van NCIX. Helaas is het kwaad al geschied op het moment dat de onderzoeksjournalist op de data stuit; er zijn al meerdere kopers en Jeff stuurt eenieder, voor de juiste prijs, graag een kopietje.

Met de gelekte gegevens kunnen onder andere bankrekeningen misbruikt worden, identiteitsfraude gepleegd worden, mensen afgeperst worden en persoonsgegevens bij data-aggregatiebedrijven terecht komen. Het laatste lijkt niet helemaal in het rijtje thuis te horen, maar niets in minder waar. Met een hoop samenhangend profiel over een persoon is hem of haar goed reclame aan te bieden, of zelfs à la 2016 VS verkiezingen het gedrag te beïnvloeden. Op deze manier kan een datalek voor sommige partijen veel geld waard zijn.

Als zich onder de getroffenen Europese inwoners bevinden, dan kan de situatie voor de betrokkenen een nare wending krijgen. Het lek valt dan namelijk onder de nieuwe privacywet AVG/GDPR, waarbij de nalatigheid een flinke boete kan opleveren. Daarnaast zullen Canadese en Amerikaanse firma’s, instanties en personen ook een graantje willen meepikken en de rechtbank in duiken.

Hoe had het voorkomen kunnen worden?

Het meest schrijnende aan de situatie is dat hij eigenlijk vrij simpel voorkomen had kunnen worden. Zodra NCIX failliet ging, werd er een curator ingesteld om alles af te handelen en eventuele assets te verkopen. De curator had moeten zorgen dat hardware werd gewist of simpelweg had vernietigd.

Dit artikel is gebaseerd op de bevindingen en het verslag op Privacy Fly.
(note 01-2023, PrivacyFly bestaat niet meer)

Discussie

Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL. Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Image credit: @Daanmooij via Unsplash