Neatherland News Today

Politie: vijf miljoen Nederlandse e-mailadressen op lijst cybercriminelen

Politie: vijf miljoen Nederlandse e-mailadressen op lijst cybercriminelen

Ik ben dan toch benieuwd waarom deze adviezen worden gegeven. Zie geen (technische) relatie tussen een gelekt e-mail adres en ingelogde sessies op een computer.

Er bestaat wel degelijk een technische relatie tussen een gelekte e-mail adres een een ingelogde sessie, namelijk session hijacking.

Als een hacker tussen jouw en de website komt, of al toegang heeft tot jouw systeem, kan hij de sessie cookie clonen en een replay aanval doen, zodat ze op een andere machine ingelogd zijn met de session cookie die jij al hebt gegenereerd.

Stel dat je wat wilt bestellen bij een webwinkel, je hebt je product gevonden en logt daarna in, zodat het product onder jouw account wordt gekocht. Nu heb je een actieve sessie lopen (net zoals Tweakers de optie geeft om alleen deze sessie te beëindigen, of alle sessies). Zodra een hacker de session cookie weet te pakken, begint het proces pas. Eenmaal ingelogd kan je natuurlijk de email adres wijzigen, of extra bestellingen doen (afhaaladres wijzigen + achteraf betalen op naam van het slachtoffer). En dan begint de ellende pas.

In dat geval is de schade nog enigszins beperkt, maar als ze de session cookie hebben van je mailadres (Outlook, Gmail), dan is de schade aanzienlik groot en héél risicovol, gezien ze dan wachtwoorden van verschillende sites waarop je bent ingeschreven, kunnen wijzigen.

Ja, het is makkelijker om ingelogd te blijven en je sessie te verlengen, maar hier kleven natuurlijk weer risico’s met zich mee. Ik meende dat al de huidige session cookies een geldigheid hebben van 15 minuten, zodat de kans op een replay aanval klein is.

Dus nee, het is niet gek dat de advies luidt om op alle apparaten uit te loggen, je cookies te verwijderen en desnoods je apparaat opnieuw te installeren, mocht je echt gecompromitteerd zijn.

OnTopic:
Ik vraag mij af of deze mailadressen niet per toeval uit een onontdekte database van Genesis Market komen (helaas ben ik daarvan ook een van de getroffene en heb de nodige maatregelen genomen).

Feit blijft dat vroeg of laat, je gegevens wel een keer op straat komen te liggen, vooral als een derde partij (bijv. de gebeuren rondom Blauw Research), ook jouw gegevens heeft gehad dan wel heeft verwerkt.

Security kost geld en hoe hoger de gestelde security eisen, hoe minder gebruiksvriendelijk het product of dienst is. Een passphrase dat bestaat uit 15 karakters incl. hoofdletters, kleine letters, cijfers en lees tekens / vreemde symbolen + MFA zorgt er voor dat hackers buiten de deur blijven en hopelijk dat hackers dan het opgeven (wat ze niet doen).