Na jaren doorgebracht te hebben vinden en onderzoeken datalekkengeeft Greg Pollock toe dat wanneer hij weer een andere blootgestelde database vol wachtwoorden tegenkomt Burgerservicenummers,,Ik kom er met enige vermoeidheid naartoe.” Maar Pollock, onderzoeksdirecteur bij cyberbeveiligingsbedrijf UpGuard, zegt dat hij en zijn collega’s in januari online een openbaar toegankelijke database hebben gevonden die een schat aan gevoelige persoonlijke gegevens van Amerikanen leek te bevatten, zo groot dat zijn vermoeidheid wegnam en ze tot actie overgingen om de bevinding te valideren.
De Onderzoekers van UpGuard wijzen erop dat niet alle records unieke, geldige informatie vertegenwoordigen, maar de ruwe totalen die ze in de blootstelling van januari vonden, omvatten ongeveer 3 miljard e-mailadressen en wachtwoorden, evenals ongeveer 2,7 miljard records met burgerservicenummers. Het was onduidelijk wie de database had opgezet, maar het leek erop dat deze persoonlijke gegevens bevatte die mogelijk aan elkaar waren geflanst door meerdere historische datalekken – waaronder misschien de schat uit de Inbreuk uit 2024 op de antecedentenonderzoeksdienst National Public Data. Het is gebruikelijk dat datamakelaars en cybercriminelen oude datasets combineren en opnieuw combineren, maar de omvang en de potentiële hoeveelheid van burgerservicenummers (zelfs als slechts een fractie daarvan reëel was) was opvallend.
“Elke week is er weer een vondst die er op papier groot uitziet, maar die waarschijnlijk niet erg nieuw is”, zegt Pollock. “Dus ik was verrast toen ik me begon te verdiepen in de specifieke gevallen hier om de gegevens te valideren. In sommige gevallen lopen de identiteiten in dit datalek gevaar omdat ze zijn blootgelegd, maar nog niet zijn uitgebuit.”
De gegevens werden gehost door de Duitse cloudprovider Hetzner. Omdat Pollock geen eigenaar van de database kon identificeren waarmee hij contact kon opnemen, bracht hij Hetzner op 16 januari op de hoogte. Het bedrijf zei op zijn beurt dat het zijn klant op de hoogte bracht, die de gegevens op 21 januari verwijderde.
Hetzner heeft WIRED voorafgaand aan de publicatie geen commentaar verstrekt.
De onderzoekers hebben niet de volledige dataset gedownload voor analyse vanwege de omvang en gevoeligheid ervan. In plaats daarvan werkten ze met een steekproef van 2,8 miljoen records – een klein deel van de totale hoeveelheid. Door trends in de gegevens te analyseren, waaronder de populariteit van bepaalde culturele verwijzingen in wachtwoorden, kwamen ze tot de conclusie dat veel van de gegevens waarschijnlijk dateren uit de Verenigde Staten rond 2015. Wachtwoorden die verwijzen naar One Direction, Fall Out Boy en Taylor Swift waren bijvoorbeeld heel gebruikelijk. Ondertussen begonnen verwijzingen naar Blackpink, Katseye en Btsarmy nog maar net op te duiken.
Oude gegevens zijn om twee redenen nog steeds waardevol. Ten eerste hergebruiken mensen vaak hetzelfde e-mailadres en wachtwoord, of een variant van het wachtwoord, op veel verschillende websites en diensten. Dit betekent dat cybercriminelen in de loop van de tijd dezelfde inloggegevens voor dezelfde mensen kunnen blijven proberen. De tweede reden is dat de burgerservicenummers van mensen vaak gekoppeld zijn aan hun meest gevoelige en meest belangrijke gegevens, maar tijdens hun leven vrijwel nooit veranderen. Als gevolg hiervan zijn geldige SSN’s een van de kroonjuwelen van identiteitsdiefstal voor aanvallers.
In de steekproef van gegevens die de onderzoekers hebben beoordeeld, zegt Pollock dat één op de vier burgerservicenummers geldig en legitiem leek. De steekproef was te klein om naar de gehele dataset te extrapoleren, maar een kwart van alle records met SSN’s zou 675 miljoen bedragen. Een fractie daarvan zou nog steeds een zeer aanzienlijke reeks burgerservicenummers vertegenwoordigen.
Om de gegevens te verifiëren, namen de onderzoekers van UpGuard contact op met een handvol mensen wier gegevens in de gelekte schat verschenen. Pollock benadrukt dat een van de meest zorgwekkende bevindingen uit gesprekken met deze personen was dat de identiteit van niet allemaal is gestolen of is gehackt. Met andere woorden: er zat informatie in de database die niet door cybercriminelen is uitgebuit – en potentiële slachtoffers weten niet noodzakelijkerwijs dat hun informatie openbaar is gemaakt.
