42 miljoen Telegram-gebruikersrecords zijn gepost op een ondergronds forum

Helaas is het niet ongebruikelijk dat informatie wordt onthuld zonder enige tekenen van een datalek. In de loop der jaren hebben we talloze incidenten gezien waarbij databases zijn verbonden met internet en de informatie daarin toegankelijk wordt zonder enige vorm van authenticatie. Je zou zelfs kunnen zeggen dat de meeste lekken waarover we lezen het gevolg zijn van verkeerd geconfigureerde databases en niet van cybercriminelen. Sommige blootstellingen zijn ernstiger dan andere, en helaas zullen we vandaag praten over een lek dat zeer ernstige gevolgen kan hebben voor de betrokken mensen.

Meer dan 40 miljoen Telegram-gebruikers hebben hun gegevens laten zien

De ontdekking werd gedaan door een team van onderzoekers uit Comparitech onder leiding van Bob Diachenko, die verantwoordelijk is voor een flink aantal vergelijkbare rapporten. Op 21 maart vonden ze een Elasticsearch-cluster die overal ter wereld toegankelijk was zonder wachtwoord. Het was gepost door een groep cybercriminelen die zichzelf 'jachtsysteem' noemden, en de onderzoekers waren geïnteresseerd om te zien wat de oplichters hadden blootgelegd. Bij het openen van de database vonden ze maar liefst 42 miljoen records, die elk van een ander individu zijn. Alle getroffen mensen zijn blijkbaar in Iran gevestigd en ze hebben allemaal een versie van de Telegram-berichtentoepassing gebruikt. De blootgestelde gegevens omvatten gebruikersnamen, account-ID's, telefoonnummers en hashes en geheime sleutels.

Het Elasticsearch-cluster werd voor het eerst geïndexeerd door de Binary Edge-zoekmachine op 15 maart en werd verwijderd kort nadat Diachenko een misbruikrapport had ingediend bij de hostingprovider. Het bleef iets meer dan tien dagen online, maar helaas leek het erop dat de gegevens in verkeerde handen zouden vallen. Volgens het rapport van Comparitech is "ten minste één" kopie van de informatie op een hackforum geplaatst. Er zijn dus veel mensen getroffen en we weten met absolute zekerheid dat de gegevens kunnen worden misbruikt. Waar moeten slachtoffers op letten?

Iraanse Telegram-gebruikers kunnen bijzonder kwetsbaar zijn

Om te begrijpen hoe ernstig het lek is, moeten we eerst weten wat Telegram is en hoe het over de hele wereld wordt gebruikt. Telegram is een open source instant messaging-applicatie die end-to-end encryptie belooft van alle communicatie die erdoorheen loopt. Privacybewuste mensen in veel landen gebruiken het om ervoor te zorgen dat niemand door hun chats kan snuffelen. Vreemd genoeg is Iran niet een van die landen. Officieel niet.

In 2018 werd de app in het Midden-Oosten verboden omdat de visie van een veilig privé-communicatiekanaal niet samenviel met het censuurregime van de regering. We moeten erop wijzen dat de originele Telegram-app, degene die is verboden, niet de bron is van de gelekte gegevens.

Na het verbod van de regering begonnen mensen in Iran gebruik te maken van uitlopers van derden van de communicatiedienst. Een woordvoerder van Telegram vertelde Comparitech dat de gestolen gegevens afkomstig waren van een of meer van deze applicaties.

Betrokken gebruikers moeten er rekening mee houden dat het lek geen onmiddellijke bedreiging vormt voor hun accounts. Criminelen kunnen niet inloggen op de accounts van mensen met de hashes en geheime sleutels in de database. Ze kunnen echter een sim-swapping-aanval uitvoeren tegen hoogwaardige doelen, wat verdere criminele activiteiten mogelijk kan maken.

Nog zorgwekkender is echter dat het lek de Iraanse burgers blootlegt die manieren vinden om de Telegram-service te gebruiken, ondanks het feit dat ze dit niet mogen doen. Aangezien we het hebben over een land dat vaak wordt bekritiseerd vanwege het negeren van de mensenrechten, is dit geen goed nieuws.