Keepnet Labs bevestigt dat 5 miljard e-mailadressen en wachtwoorden zijn verzameld uit eerdere datalekken

Een database met vijf miljard records vol gebruikersnamen en wachtwoorden was blootgesteld aan internet en werd niet beschermd door enige vorm van authenticatie. Zoals te verwachten viel, trok het incident meer dan een paar krantenkoppen, vooral de afgelopen dagen, maar helaas deed het het om de verkeerde redenen.

De kwetsbare Elasticsearch-database werd ontdekt door beveiligingsonderzoeker Bob Diachenko, die niet alleen verrast was door de grootte van de database, maar ook door de manier waarop de informatie erin is gestructureerd. Een kort onderzoek koppelde de blootgestelde gegevens aan een in het VK gevestigd cyberbeveiligingsbedrijf genaamd Keepnet Labs, dat vorige week een verklaring publiceerde in een poging om te verduidelijken wat er mis ging en waarom.

Het klinkt erger dan het is

Een van de belangrijkste accenten in de verklaring van het beveiligingsbedrijf is dat de database geen klantgegevens van Keepnet Labs bevat. Keepnet Labs is een bedreigingsintelligentiebedrijf dat inloggegevens verzamelt die zijn gelekt tijdens datalekken, en als het de gegevens van sommige van zijn klanten vindt, stelt het hen op de hoogte en adviseert het hen over de acties die zij moeten ondernemen.

De Elasticsearch-database stond vol met gebruikersnamen en wachtwoorden die waren uitgelekt tijdens verschillende cyberbeveiligingsincidenten die zich tussen 2012 en 2019 hebben voorgedaan. Naast de inloggegevens bevatte elk record de bron van het lek, het jaar van de inbreuk en de methode voor wachtwoordopslag.

Volgens de verklaring heeft Keepnet Labs de database wel gebruikt om zijn dreigingsinformatie te verstrekken, maar was hij niet verantwoordelijk voor het onderhoud ervan. Dit was het werk van een aannemer die sinds februari 2018 bij het beveiligingsbedrijf werkte. Tijdens het uitvoeren van gepland onderhoud zette een medewerker van de aannemer kort de firewall uit om het proces te versnellen en de gegevens onbedoeld openbaar te maken. Na ongeveer tien minuten was de firewall weer ingeschakeld, maar tegen die tijd was de database al geïndexeerd door BinaryEdge, en daarom wist Diachenko hem te vinden.

Kortom, het lek was niet zo erg als het aanvankelijk leek. Alle gebruikersnamen en wachtwoorden waren vóór het incident gelekt en hoewel ze beschikbaar waren in een enkele, goed gestructureerde database, was het volgens Keepnet vrijwel onmogelijk om er een betekenisvol deel van te downloaden terwijl het nog zichtbaar was. Het bedrijf zegt dat het zijn lessen heeft geleerd en voorzorgsmaatregelen heeft genomen om ervoor te zorgen dat dit niet opnieuw gebeurt. Helaas nam Keepnet Labs in de onmiddellijke nasleep van het incident nog een reeks voorzorgsmaatregelen waardoor het niet in het beste licht kwam.

De openbaarmaking verliep niet bepaald soepel

Bob Diachenko deed de ontdekking al in maart, en nadat hij zijn rapport had gepubliceerd, hebben meer dan een paar cybersecurity-nieuwsuitzendingen en blogs het lek gedekt. Keepnet Labs was van mening dat veel van hen tijdens hun verslaggeving misleidende verklaringen aflegden, daarom werden enkele verslaggevers benaderd en werd hen gevraagd hun artikelen te bewerken.

De populaire beveiligingsblogger Graham Cluley ontving ook een e-mail van Keepnet, en hoewel hij niet dacht dat zijn weergave van de feiten op een of andere manier verkeerd was, was hij meer dan bereid om het beveiligingsbedrijf de kans te geven zijn kant van het verhaal te vertellen. In plaats van een officiële verklaring of een kans om met een woordvoerder te spreken, ontving hij echter een e-mail van de advocaten van Keepnet die hem vertelden dat als hij zijn artikel niet zou herzien en de naam van het bedrijf niet zou verwijderen, hij te maken zou krijgen met juridische stappen tegen hem.

Er is absoluut niets mis mee dat Keepnet Labs zijn reputatie verdedigt als het denkt dat het is beschadigd door slechte rapportage. Gedurende bijna drie volle maanden gaf het bedrijf echter geen officiële verklaring af om het record recht te zetten en weigerde het samen te werken met de verslaggevers om alle feiten nauwkeurig te presenteren. Dit kan een nog grotere impact hebben op de reputatie van Keepnet dan de vermeende verkeerde voorstelling van zaken op sommige websites.