Nog eens 140.000 gebruikersaccounts werden getoond in de gegevensinbreuk van Nintendo in april

In de nasleep van een datalek moeten bedrijven bepalen hoeveel gebruikers zijn getroffen en de modus operandi van de aanvallers bekendmaken. Op die manier hebben mensen een duidelijk begrip van de omvang van de inbreuk en het niveau van verfijning van de hackers. Het lijkt een eenvoudige klus, vooral voor grote, multinationale organisaties, maar zoals Nintendo-gebruikers kunnen getuigen, blijkt het soms een stuk moeilijker te zijn dan het in eerste instantie lijkt.

De inbreuk van Nintendo was groter dan aanvankelijk werd verwacht

Het begon allemaal begin april toen een groot aantal gebruikers klaagde dat ze niet konden inloggen op hun Nintendo-accounts. Sommigen merkten zelfs onbekende kosten op voor de betalingsmethode die in hun profiel was opgeslagen, maar ondanks alle klachten zei het videogamebedrijf aanvankelijk niets. Zoals BitDefender destijds opmerkte, gaf het Japanse ondersteuningsaccount van Nintendo op Twitter uiteindelijk toe dat er misschien iets mis was, maar de officiële aankondiging werd met een paar weken uitgesteld.

Op 24 april verscheen er een melding van een datalek op de ondersteuningspagina van Nintendo Japan, waarin stond dat er een aanval was geweest op de Nintendo Network ID (NNID) -accounts van 160 duizend gebruikers. Via de NNID-accounts kregen de hackers toegang tot de bijnamen van de gebruikers, geboortedata, e-mailadressen en woonlanden. Ze gebruikten ook de NNID-accounts om in te loggen op de belangrijkste Nintendo-profielen, waar ook de namen van de eigenaren beschikbaar waren.

Nintendo wees er snel op dat de cybercriminelen geen toegang kregen tot creditcardgegevens, maar ze wezen er wel op dat sommige ongeautoriseerde aankopen werden gedaan in de officiële winkel van Nintendo met behulp van betalingsmethoden die waren opgeslagen in besmette accounts.

Kort na de aankondiging van de inbreuk, scheidde Nintendo de NNID-accounts van de belangrijkste Nintendo-profielen, reset het wachtwoord van de betrokken gebruikers en begon het de ongeautoriseerde transacties terug te betalen.

Helaas was dit niet het einde. De klachten gingen door en na een onderzoek kwam Nintendo tot de conclusie dat er mogelijk nog eens 140 duizend accounts waren aangetast, wat het totaal op ongeveer 300 duizend brengt.

De openbaarmaking van Nintendo is niet perfect

Mensen moeten niet boos zijn over de herziening van de figuur. Het onderzoeken van een datalek is geen gemakkelijke taak en soms wordt het hele plaatje pas weken of zelfs maanden later duidelijk. Als het echter om gedetailleerde openbaarmaking gaat, moeten de dingen vanaf het begin zo duidelijk mogelijk zijn, en in het geval van Nintendo zien we dit niet.

Ten eerste, hoewel de inbreuk mensen van over de hele wereld heeft getroffen, is de melding niet beschikbaar op alle wereldwijde websites van Nintendo. Op de Amerikaanse ondersteuningspagina wordt er bijvoorbeeld helemaal niets over gezegd, en hoewel het Britse filiaal het incident erkent, ontbreken de technische details.

De meeste mensen die meer willen weten over de inbreuk, moeten een automatische vertaaldienst gebruiken en proberen erachter te komen wat Nintendo bedoelde, wat nog moeilijker kan zijn dan het klinkt. De melding maakt bijvoorbeeld duidelijk dat hoewel de hackers geldige gebruikersnamen en wachtwoorden gebruikten om in te loggen op de accounts van mensen, de systemen van Nintendo op geen enkele manier werden aangetast. We weten echter niet of de oplichters ze rechtstreeks van de gebruikers hebben gepusht of dat ze ze uit een database hebben gehaald die tijdens een niet-gerelateerd incident is doorbroken en ze hebben gebruikt voor een aanvalsaanval.

De beveiligingsexperts van Nintendo hebben zich misschien gerealiseerd hoeveel mensen werden getroffen door het datalek in april, maar ze hebben duidelijk meer details om te ontdekken en openbaar te maken. Laten we hopen dat ze het snel en transparant zullen doen.