Waarom een LinkedIn hack extra gevaarlijk is

Waarom een LinkedIn hack extra gevaarlijk is
hacken Linkedin

Bij hacken denk je al snel aan de mailbox van Hillary Clinton, Edward Snowden of zelfs het Twitter account van Kees van der Staaij. Bijzonder grote hacks, of hacks van belangrijke personen geven namelijk meer publiciteit dan gemiddeld.

Maar hacks kunnen ook veel dichter bij huis hun tol eisen. Soms beginnen die dan zelfs bij een grote hack. Neem bijvoorbeeld de hack bij Linkedin, waar in 2012 inloggegevens van 164 miljoen e-mailadressen en wachtwoorden werden buitgemaakt. De gegevens van deze hack zijn pas in 2016 beschikbaar gekomen op het dark web. De wachtwoorden die in deze datasets stonden waren vrijwel allemaal binnen een paar dagen ontcijferd. Dit is een heel mooi punt om te beginnen met social engineering.

Niet belangrijk maar 2 keer ge-pwned

Een snelle zoektocht op ‘have I been pwned?’ leert me dat ook mijn inloggegevens tussen die 164 miljoen LinkedIn accounts hebben gestaan. Nu heb ik andere e-mailadressen op het account heb staan dan in 2012 en ook een ander wachtwoord ingesteld. Maar of dat voor iedereen geldt durf ik te betwijfelen. Mensen zijn wat dat betreft gewoontedieren. Een ander risico dat gewoontedieren automatisch met zich meebrengen is het feit dat ze wachtwoorden vaak op meerdere plekken gebruiken. De kans is groot dat een deel van die toegangsgegevens niet alleen werkten voor LinkedIn, maar ook om het e-mailadres waarop het account was aangemaakt in te komen.

Met hetzelfde e-mailadres als dat in de LinkedIn hack naar voren kwam blijk ik trouwens nog een gehackt account te hebben. Dit ging om een tumblr account dat ik blijkbaar ooit eens heb aangemaakt. Ik heb best veel accounts bij diensten die ik ooit eens heb geprobeerd of die ik vroeger vaak gebruikte en in de loop der jaren ben vergeten. Daar moet ik dus ook eens naar gaan kijken.

Waarom juist een LinkedIn hack gevaarlijk is voor je organisatie

Zeker de hack op LinkedIn behelst ook voor organisaties een behoorlijk risico. Juist omdat je daar contact met zakelijke relaties hebt. Steeds vaker gebruik ik LinkedIn als een soort chatplatform voor mensen buiten de organisatie. Getuige de productontwikkeling van het messaging systeem ben ik daar niet bepaald de enige in.

Social engineering

Persoonlijke berichten die je op LinkedIn ontvangt hebben automatisch een bepaald vertrouwen. Het voelt niet veel anders dan wanneer je een app of e-mail van iemand die je kent ontvangt. Daarom zal de kans dat je op een link klikt automatisch toenemen via zo’n portal. Het is dus eenvoudig in te zetten voor social engineering. Op die manier wordt jouw LinkedIn account een startpunt om dieper in jouw bedrijfsnetwerk of dat van je zakelijke relaties te komen. Als ze diep genoeg in het netwerk zitten kunnen ze vervolgens ransomware inzetten of nog beter: je CFO vragen even 40 miljoen over te maken.

0 Reacties

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*