De geschiedenis van het datalek

Door de recente hack bij internetprovider Odido loopt de data van miljoenen Nederlanders momenteel gevaar. Adressen, BSN-nummers en zelfs bankrekeningnummers zijn in handen gekomen van cybercriminelen. Hoe lang zijn datalekken al een ding geweest en wat waren de meest schadelijke voorbeelden?

Een datalek hoeft niet per se via een computer te gebeuren. Stiekem medische dossiers op papier van mensen bekijken of geschreven documenten met gevoelige informatie stelen, gebeurt al honderden jaren. Zo had de Republiek van Venetië tijdens de Renaissance al een vroege vorm van een geheime dienst om de bevolking en omringende staten nauwlettend in de gaten te houden. Een minder oud voorbeeld van zo’n niet-elektronisch datalek was het werk van de Cambridge Five van 1930 tot 1951. Tijdens de Tweede Wereldoorlog en het begin van de Koude Oorlog speelde een groep Britse spionnen geheime informatie van Britse en NAVO-inlichtingendiensten door naar de Sovjet-Unie. Ze fotografeerden geklasseerde papieren documenten of brachten deze fysiek over naar Rusland. Hoeveel documenten de Sovjet-Unie in handen kreeg dankzij deze groep is onbekend, maar waarschijnlijk ligt het aantal in de enkele duizendtallen.

Het aantal datalekken wereldwijd nam enorm toe vanaf de jaren ’80. Precies toen men steeds meer gevoelige data op begon te slaan achter digitale wachtwoorden of in privésevers. De grootste datalekken gebeurden in en vanaf 2005. Logisch, omdat niet het procentuele aantal van digitale data enorm toenam in vergelijking met geschreven data, maar ook omdat er een hoger volume aan data werd gemaakt. De digitale schatkamer is niet alleen slechter beveiligd dan de papieren voorganger, hij is ook vele malen groter.

Hoewel cybercriminelen knappe koppen zijn op het gebied van beveiligde systemen doorbreken, ligt de oorzaak van de meeste datalekken vaak bij simpelweg eigengemaakte fouten die over het hoofd worden gezien. Denk aan makkelijk achterhaalbare wachtwoorden, verouderde software of opslagapparaten die mensen per ongeluk rond lieten slingeren.

Het beste van IsGeschiedenis in je inbox? Schrijf je in voor onze nieuwsbrief! Helemaal niks missen? Volg ons op Facebook!

Geen paniek

Het eerste grootschalige (bekende) datalek was in Amerika, 1984. Bij een winkel in Sacramento konden medewerkers via een terminal die verbonden was met een kredietinformatiebureau de kredietgegevens van klanten bekijken met een toegangscode die simpelweg op een notitieblok stond geschreven. Het notitieblok kwam in verkeerde handen terecht en de toegangscode werd op een elektrisch prikbord (een soort voorganger van het internet) geplaatst.

De creditcardnummers en persoonlijke gegevens van wel 90 miljoen Amerikanen werden gelekt. Omdat vrijwel niemand toen afwist van het concept van een datalek, leek niemand door te hebben dat gevoelige informatie voor iedere wildvreemde binnen handbereik lag. Pas een maand later werd de gedeelde toegangscode door het kredietinformatiebureau verwijderd en werd de code aangepast.

Na onderzoek bleek dat het datalek verrassend genoeg geen schade had opgeleverd. Er waren nul onterechte aankopen gedaan met mensen hun creditcardnummers. De dief van het wachtwoord, die waarschijnlijk geen idee had wat te doen met de immense hoeveelheid data, werd nooit gepakt. Hoewel de situatie geen paniek opleverde onder de bevolking, gaf het de Amerikaanse overheid een duidelijke boodschap om digitale veiligheid serieus te gaan nemen. Voorheen bestonden er in principe geen wetten rondom het vergaren van gevoelige digitale informatie zonder toestemming, maar als het zo makkelijk bleek te zijn, moest er toch dringend wat aan gedaan worden: daarmee werd het begrip ‘cybersecurity’ geboren.

Grote schade

De groeiende populariteit van de e-mail droeg vanaf de jaren 2000 sterk bij aan een vermeerdering van datalekken. Naar schatting starten 95% van alle cyberaanvallen bij e-mailscams en is 85% van alle e-mails spam. Zo veroorzaakte in 2000 de ‘ILOVEYOU’-worm een virus op meer dan 50 miljoen computers, wat resulteerde in tien tot vijftien miljard dollar aan schade.

Hetzelfde decennium kwam met de opkomst van mobieltelefoongebruik en online-aankopen ook een toename in malware en ‘phishing’-aanvallen. Waar er in de jaren ’90 op jaarlijkse basis tienduizenden cyberaanvallen plaatsvonden, waren het er vanaf 2007 maar liefst vijf miljoen. Er wordt geschat dat tot op de dag van vandaag bedrijven wereldwijd bij elkaar opgeteld 10,5 biljoen (dat is een bedrag met twaalf(!) nullen) dollar jaarlijks verliezen door cybercrime.

Het grootste datalek van één incident ooit gemeten is het lek van internetbedrijf Yahoo! in 2013, waarbij drie miljard gebruikersaccounts werden gestolen.