AdultFriendFinder 2016 datalek: beveiligingsverbeteringen

Elke majoor online datingservice het doelwit is geweest kwaadaardige hackers proberen toegang krijgen tot privé-informatiemaar weinig aanvallen zijn zo ernstig, alomtegenwoordig of publiekelijk schadelijk geweest als de datalekaanval op AdultFriendFinder in oktober 2016.

De aanval onthulde de gegevens van meer dan 360 miljoen gebruikersniet alleen van AdultFriendFinder maar van sites binnen het populaire FriendFinder-netwerk. Tot op de dag van vandaag is het nog steeds een van de grootste databaselekken ooit geregistreerd, waarbij e-mailadressen, gebruikersnamen, wachtwoorden, seksuele geaardheden en zelfs gesproken talen van miljoenen mensen in meer dan twintig jaar van de geschiedenis van AFF zijn gelekt.

Erger nog, het legde de ronduit slechte beveiligingspraktijken van het bedrijf bloot, waaronder het gebruik van SHA-1 cryptografische hashing, die al meer dan tien jaar achterhaald was op het moment van de inbreuk, en het opslaan van accountwachtwoorden in platte tekst.

Gelukkig heeft moederbedrijf FriendFinder Networks deze inbreuk serieus genomen en hun beveiligingspraktijken dramatisch opgevoerd. Hier zijn drie belangrijke wijzigingen die ze hebben aangebracht om toekomstige gebruikers te helpen beschermen:

AFF heeft hun databasebeveiliging gereviseerd

Beschouw de database van een website als een soort bankkluis; het is waar alle waardevolle spullen waar dieven op uit zijn, worden opgeslagen. In 2016, voorafgaand aan de aanval, AdultFriendFinder had het equivalent van een kluis met één slot: het zag er veilig en intimiderend uit, maar kwaadwillende actoren hadden al lang geleden ontdekt hoe ze de code konden kraken.

Nu gebruiken ze de nieuwste encryptietechnologieën om de veiligheid te vergroten, waaronder een techniek die ‘salted hashing’ wordt genoemd, waarbij elk wachtwoord wordt gecombineerd met een unieke, willekeurige reeks tekens (bekend als de salt) en deze vervolgens door een eenrichtings-hashfunctie wordt gevoerd. Het is een geavanceerde manier om ervoor te zorgen dat zelfs accounts die identieke wachtwoorden gebruiken (als we naar u kijken, mensen die ‘wachtwoord’ voor uw wachtwoord gebruiken) niet allemaal dezelfde kwetsbaarheid delen tijdens een inbreuk.

AFF heeft externe beveiligingsexperts ingehuurd

De lelijke waarheid is dat bedrijven niet langer zelfvoorzienend zijn als het gaat om cybersecurity. Uw interne beveiligingsteam, hoe slim en hardwerkend ze ook zijn, zal geen schijn van kans maken tegen de grote verscheidenheid aan hackers en andere kwaadwillende actoren die 24/7 werken om toegang te krijgen tot uw gegevens.

Het datalek uit 2016 heeft AFF voldoende vernederd om dit feit te erkennen, en sindsdien hebben ze externe hulp op het gebied van cyberbeveiliging ingehuurd, onder meer met Google-dochter Mandiant. Deze cyberbeveiligingsbedrijven onderzoeken niet alleen de potentiële kwetsbaarheden in uw codering; ze kijken ook naar uw bedrijfsstructuur en werknemerspraktijken om deze te evalueren op mogelijke kwetsbaarheden.

Geforceerde wachtwoordreset

Niet alle cybersecurity-kwetsbaarheden zijn de schuld (of exclusief fout) van de website. Soms is je eigen luiheid je grootste kwetsbaarheid. Een deel van het verbeteren van de beveiliging van AFF was het afdwingen van het opnieuw instellen van wachtwoorden, zodat u niet jaar na jaar hetzelfde wachtwoord kunt gebruiken.

Dit is nu feitelijk de standaardprocedure op internet: eens in de zes maanden of eens per jaar wordt u waarschijnlijk gevraagd een nieuw wachtwoord te kiezen. AFF heeft deze aanpak geformaliseerd om te helpen beveiligen tegen wachtwoordkwetsbaarheden waar het geen controle over heeft, zoals lekken op andere datingsites (wees eerlijk: hoeveel van jullie gebruiken hetzelfde wachtwoord op meerdere sites?) of hardware-malware zoals keyloggers.

Later dit jaar zal sindsdien precies een decennium zijn verstreken AdultFriendFinder’s laatste inbreuk op de beveiliging. Zeg wat je wilt over hun fouten uit het verleden: een volledig decennium van succes op het gebied van cyberbeveiliging is een prestatie, en moderne gebruikers van de site zouden dankbaar moeten zijn dat AFF hun spel op zo’n grote manier heeft opgevoerd.