Enkele weken geleden raakte bekend dat Digitale Wachtkamer gehackt werd. Ik heb de ontwikkelingen na de bekendmaking met veel interesse gevolgd. Zie ook mijn artikels over de gebrekkige beveiliging en communicatie. Wat me opviel bij de reacties op deze hack (maar ook bij vele andere) is dat veel gebruikers niet weten welke maatregelen ze kunnen nemen om hun online accounts en bijhorende persoonlijke gegevens beter te beschermen.
Dit is de e-mail die door Digitale Wachtkamer verstuurd werd naar de betrokkenen.
Deze melding zaait onduidelijkheid bij een aantal mensen, zie bijvoorbeeld deze reactie op facebook.
En ook deze…
En deze…
Dit is deels te wijten aan de slechte (en bewust vage?) communicatie van Digitale Wachtkamer. Er wordt gemeld dat er gegevens gestolen zijn van gebruikers die zich ‘recent’ geregistreerd hebben. ‘Recent’ is een rekbaar begrip. Als je 2 weken geleden een account aangemaakt hebt, is dit dan ook nog ‘recent’? Op deze manier wordt het probleem geminimaliseerd. Dit strookt bovendien niet met de verschillende berichten die eerder in de media verschenen zijn waarin staat dat gegevens van meer dan een half miljoen mensen op straat liggen.
In de e-mail wordt ook aangeraden om je wachtwoord te wijzigen op de website van Digitale Wachtkamer én voor alle andere applicaties waar je hetzelfde wachtwoord gebruikt. Maar waarom dit belangrijk is, wordt niet vermeld. Er wordt vanuit gegaan dat gebruikers weten waarom dit noodzakelijk is, maar de realiteit is helaas anders.
En dat brengt ons bij het andere deel van het probleem. Veel mensen begrijpen niet welke risico’s verbonden zijn aan een datalek. Het gaat er bijvoorbeeld niet over of je geheimen te verbergen hebt, maar wel om wat mensen met minder oprechte bedoelingen met je gegevens kunnen doen. Zoals in de facebook conversatie aangegeven zouden ze aankopen kunnen doen met jouw account, maar het kan net zo goed resulteren in identiteitsfraude of het wissen van heel je digitale leven, zoals deze persoon overkwam.
Het is belangrijk dat mensen deze risico’s begrijpen zodat ze de noodzaak inzien om hun persoonlijke gegevens zo goed mogelijk te beveiligen. Enkele tips…
1. Is de website / app die je wil gaan gebruiken betrouwbaar?
Wees kritisch alvorens je een account aanmaakt op een website of voor een mobiele app. Ook al ben je niet zo technisch onderlegd, er zijn toch een aantal zaken waarop je kan letten die al een eerste indicatie geven over de veiligheid.
Is de uitwisseling van gegevens met de website veilig?
Indien een website geen gebruik maakt van het beveiligde https protocol kan een hacker de gegevens die tussen jouw toestel en de site worden uitgewisseld lezen en zelfs manipuleren. Zeker wanneer het over kritische gegevens zoals wachtwoorden of bankkaart gegevens gaat, is dit problematisch. Je kan gemakkelijk zien of een site https implementeert. Er staat dan een groen slotje in de browser balk en het webadres begint met “https://”.
Een mogelijke oplossing om gegevens veilig uit te wisselen met een site zonder https, is via een VPN verbinding. Bij mobiele apps kan je helaas niet visueel onderscheiden of ze https gebruiken.
Probeer een beeld te kijgen van de toestand van de applicatie
Online applicaties die niet regelmatig worden bijgewerkt, hebben een grotere kans om gehackt te worden. Dit komt omdat ze niet beveiligd zijn tegen recente kwetsbaarheden in de software die ze gebruiken.
Controleer dus altijd de datum wanneer een website of app voor het laatst bijgewerkt is. Voor apps is deze informatie terug te vinden in de app stores. In het volgende screenshot zie je de informatie die in Google Play beschikbaar is voor de Android app van Digitale Wachtkamer. Zoals je kan zien is het ruim 3 jaar geleden dat de app nog is bijgewerkt. Dit is een rood knipperlicht en zou je al moeten weerhouden om deze applicatie te installeren.
Andere nuttige indicatoren zijn de recensies en de score die gebruikers aan de app geven. Al deze zaken bij elkaar schetsen een zeer goed beeld over de — in dit geval bedenkelijke — toestand van deze app.
Het is vaak minder gemakkelijk te achterhalen wanneer een website voor het laatst is bijgewerkt. Soms staat dit aangegeven op de website, maar indien dit niet het geval is, ga dan af op hoe hij er uit ziet. Een firma die geen moeite doet om zijn website er professioneel en visueel aantrekkelijk te laten uitzien, zal in de meeste gevallen ook niet begaan zijn met de beveiliging er van.
Zoek bijkomend op internet of er gekende (beveiligings)problemen zijn met de website of app die je wenst te gebruiken. Als dit het geval is, kies dan voor een alternatief online of maak die afspraak bij de dokter gewoon via de telefoon!
2. Geef enkel minimale (echte) gegevens in die nodig zijn
Bij het aanmaken van een account worden vaak veel meer gegevens gevraagd dan strikt nodig voor de werking van de applicatie waarvoor je registreert. Het is aan te raden om enkel de verplichte velden in te vullen bij registratie. Indien je bepaalde velden, bv. telefoonnummer of geboortedatum verplicht moet invullen, maar de juistheid van deze gegevens is niet van belang voor de werking van de applicatie, vul hier dan valse gegevens in. Indien deze gegevens dan gelekt worden na een hack, kunnen ze niet misbruikt worden.
3. Gebruik sterke wachtwoorden
Een sterk wachtwoord voldoet aan de volgende kenmerken: lang, willekeurig en uniek. Een sterk wachtwoord kan het verschil betekenen of een aanvaller zich toegang kan verschaffen tot je account of niet. Als wachtwoorden onveilig worden opgeslagen – zoals bij Digitale wachtkamer het geval was – zal een sterk wachtwoord je niet kunnen redden. Maar als een systeem wachtwoorden op een veilige manier opslaat – door ze eerst te hashen met een sterk hashing algoritme – zullen attackers hashes moeten kraken. Te korte of zwakke, veel gebruikte wachtwoorden zijn gemakkelijk te kraken.
Dat je geboortedatum als wachtwoord kiezen geen goed idee is hoeft hopelijk geen betoog.
Maar hoe kies je dan wel een sterk wachtwoord. Een aangewezen manier om dit te doen is door wachtwoordzinnen te gebruiken. Zorg er hier ook weer voor dat deze zinnen willekeurig zijn. ‘Mijn hond heet Blackie’ of bekende uitdrukkingen zoals: ‘to be or not to be, that’s the question’ zijn bijvoorbeeld geen goed idee. Maar ‘Als het morgen regent dan schijnt de zon niet!’ zou een goede keuze zijn. You get the point…
Een andere mogelijkheid is een password manager gebruiken. Deze applicaties kunnen willekeurige wachtwoorden voor je aanmaken én onthouden. Wachtwoorden zien er dan zo ongeveer uit: ‘CCpbyE]Q,4=)xf=b}pC}#YY}gDRoFRXp’.
4. Hergebruik NOOIT wachtwoorden
Hetzelfde wachtwoord gebruiken op verschillende websites is vragen om problemen. Veronderstel even dat je op de website van Digitale Wachtkamer hetzelfde wachtwoord gebruikt als voor je e-mail account. Dit betekent dat een hacker met het gestolen wachtwoord van Digitale Wachtkamer kan inloggen op je e-mail account en zelfs het wachtwoord kan veranderen zodat je zelf geen toegang meer hebt. Erger nog, via een simpele wachtwoord reset kan hij je accounts overnemen van alle andere websites waarvoor je geregistreerd bent met dat e-mailadres. Dit is de reden waarom Digitale Wachtkamer adviseert om je wachtwoord te wijzigen voor alle applicaties waar je het herbruikt. Indien je overal verschillende wachtwoorden gebruikt, beperk je de impact tot het gehackte systeem zelf.
5. Activeer Two Factor Authentication
Meer en meer websites en applicaties voorzien de mogelijkheid om two factor authentication (ook soms two step verification genoemd) te activeren voor een account. Dit betekent dat je om in te loggen behalve je wachtwoord ook nog een code moet invullen. Deze code — die slechts tijdelijk geldig is — kan bijvoorbeeld via SMS verstuurd worden of gegenereerd worden via een app op je smartphone. Wanneer iemand op een niet eerder gebruikt toestel inlogt op een account waarvoor two factor authentication is geactiveerd, zal hij deze code moeten ingeven. Dus zelfs indien een hacker je wachtwoord heeft, kan hij deze code niet weten en bijgevolg niet inloggen. Helaas voorzien nog niet alle applicaties deze mogelijkheid.
6. Controleer steeds de meldingen over de activiteit van je accounts
Een aantal applicaties, zoals bijvoorbeeld Gmail, verwittigen je wanneer er vanaf een nieuwe locatie wordt ingelogd op je account. Indien je heel zeker bent dat je niet zelf ingelogd hebt op je account op het vermelde tijdstip en locatie, is je account gehackt en moet je onmiddellijk je wachtwoord veranderen.
7. Ontdek welke persoonlijke gegevens gestolen zijn
Als een gegevensdiefstal niet in de media komt of de gehackte firma informeert zijn gebruikers niet, dan heb je nog andere opties om dit te achterhalen.
Een absolute aanrader is Have I Been Pwned?, een website gemaakt door Troy Hunt. Je kan op deze site je e-mailadres ingeven en als je op de ‘pwned?’ knop klikt, zie je een lijst van gehackte applicaties waarbij jouw account gegevens gelekt zijn.
Je hoeft dit niet manueel te doen, je kan je ook inschrijven voor de notification service door je e-mailadres op te geven. Je wordt dan automatisch verwittigd als je e-mailadres wordt terug gevonden in een data breach. Dit is ook weer een signaal om onmiddellijk je wachtwoord te veranderen.
Er zijn ook een aantal password managers die je verwittigen om je wachtwoord te veranderen wanneer een applicatie waarvoor je een account hebt gehackt is.
Besluit
Als gebruiker kan je uiteraard niet voorkomen dat een applicatie of website gehackt wordt, maar je kan wel een aantal maatregelen nemen die de impact minimaliseren wanneer het gebeurt. Het kost weinig tijd om de veiligheid van je online accounts aanzienlijk te verhogen en je een hoop ellende te besparen.