Miljarden gelekte telefoonnummers gecombineerd met oud Facebook-lek

Maar liefst 3,8 miljard records met telefoonnummers van gebruikers lekten uit het sociale mediaplatform Clubhouse. De gegevens, die aanvankelijk niet als bijzonder waardevol werden beschouwd door de hacker die de dataset in handen kreeg, werden gratis online gezet en gepubliceerd op een darkwebforum. Dit soort geïsoleerde gegevens zijn inderdaad niet erg waardevol, maar alleen als ze in een vacuüm bestaan. Deze situatie veranderde echter snel.

Na de eerste datadump op het hackforum ging een andere ijverige hacker aan de slag en begon de telefoonnummers van het Clubhouse-datalek te koppelen aan gegevens van een ander enorm lek dat eerder in 2021 plaatsvond.

In april lekte Facebook accountgegevens van iets meer dan een half miljard gebruikersaccounts. De slechte acteur begon deze oudere gegevens te matchen met het nieuwe Clubhouse-lek en plotseling begon de gecombineerde dataset er een stuk aantrekkelijker uit te zien.

Zelfs als geïsoleerde gegevens op zichzelf niet al te veel waard zijn, vormen ze, in combinatie met meer relevante informatie, nieuwe datasets die als persoonlijk identificeerbare informatie kunnen worden beschouwd en die op een aantal manieren kunnen worden misbruikt door bedreigingsactoren.

Beveiligingsexperts waarschuwen dat de nieuw gecombineerde gegevens op een aantal verschillende manieren kunnen worden misbruikt en een veel gevaarlijker hulpmiddel zijn in de handen van bedreigingsactoren in vergelijking met geïsoleerde gegevenslekken.

Wanneer er voldoende gegevens zijn samengevoegd, kan deze worden gebruikt voor zowel accountovernameaanvallen als smishing - de sms-versie van phishing-e-mails. Accounts die met succes worden overgenomen, kunnen worden vrijgemaakt van financieel waardevolle items, zoals coupons en cadeaubonnen.

Afgezien van kleine diefstallen, kunnen kwaadwillenden ook gecompromitteerde accounts exploiteren en deze toegang gebruiken om zelfs een potentiële voet aan de grond te krijgen in het bedrijf waar die persoon werkt.

Hoewel de alleen-telefoongegevensdump gratis op het hackforum is gepubliceerd, liggen de nieuwe gecombineerde gegevens, gecombineerd met de Facebook-lekrecords, nu voor het grijpen voor een flinke $ 100.000. De hacker die de tijd nam om telefoons en Facebook-records te matchen, verkoopt ook kleinere pakketten van de 3,8 miljard records tegen meer laagdrempelige prijzen.