UPDATE 2014-10-13: NCSC verkrijgt Nederlandse gegevens van Hold Security (factsheet).

UPDATE 2014-09-05: Beantwoording Kamervragen over het bericht dat hackers 1,2 miljard inloggevens en 500 miljoen e-mailadressen hebben gestolen (Rijksoverheid)

UPDATE 2014-09-02: Hackers Behind Biggest-Ever Password Theft Begin Attacks (Slashdot)

Gisteren publiceerde de Volkskrant een artikel over Hold Security onder de titel “Trapte New York Times in marketingtruc van het schimmige Hold Security?” Dat artikel bevat citaten van Martijn Grooten (van Virus Bulletin) en mij. In dat artikel stel ik het nogal scherp:

Hold Security creëert angst en biedt een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar maffiapraktijken.

Daarover het volgende. Dat Hold Security op eigen houtje cybercriminaliteit opspoort en onthult, is te prijzen (mits ze zelf de wet niet overtreden en niet onbedoeld sting operations van officiële opsporingsdiensten dwarsbomen — opsporing is en blijft primair een overheidstaak). Hold Security biedt echter drie betaalde diensten aan die per definitie zijn gebaseerd op door cybercriminelen gestolen persoonsgegevens: Breach Notification Service, Credentials Integrity Services en Consumer Hold Identity Protection Service. Pragmatisch bekeken gaat het slechts een kwestie van vraag en aanbod. Maar commerciële diensten baseren op gestolen persoonsgegevens, is moreel dubieus (en allicht juridisch moeilijk te verantwoorden). Het draagt in de kiem een perverse prikkel in zich. Dat Hold Security na een gevonden hack van deze omvang eerst de media opzoekt in plaats van autoriteiten, is daar wat mij betreft een voorbeeld van. Wereldwijd vragen mensen en organisaties zich nu af of ook hún informatie is gestolen, en of criminelen daar op dit moment misbruik van kunnen maken. Onduidelijk is welke websites zijn gehackt en tot welk soort gegevens en functionaliteit de gestolen credentials toegang bieden. Onzekerheid troef, dus. Onzekerheid, welteverstaan, die kan worden weggenomen met die betaalde diensten van Hold Security, die ten tijde van het artikel in de New York Times als enige over de gegevens beschikt (de gegevens zijn niet gedeeld met andere partijen). Dat alles opsommend is de kwalificatie “dat riekt naar maffiapraktijken” een gerechtvaardigde uitzondering op de regel “never attribute to malice that which is adequately explained by stupidity”. In een artikel van Forbes dat eveneens gisteren verscheen, houdt de directeur van Hold Security het zelf bij een communicatieprobleem; en zegt dat de diensten tegen verlies worden aangeboden (het artikel vermeldt niet welke kosten Holden maakt of in hoeverre het klantbestand is veranderd sinds het artikel in de New York Times.)

Screenshot van https://identity.holdsecurity.com/ (ik beroep me op het citaatrecht)

Omwille van transparantie geef ik hierbij mijn volledige antwoorden op de vragen van de betrokken Volkskrant-journalist, Michael Persson:

Persson: “Hoe gevaarlijk is die hack, als de getallen kloppen?”

Ik: “Dat hangt sterk af van allerlei nog onbekende factoren: wie zijn de aanvallers en wat zijn/waren ze met de gegevens van plan? Wie zijn de slachtoffers? Tot welke informatie en functionaliteit geven de onderschepte inloggegevens toegang? Werken de inloggegevens op dit moment nog? Als blijkt dat de inloggegevens toegang bieden tot privécommunicatie, is dat vervelend, maar in het algemeen minder ernstig dan toegang tot patiëntgegevens of financiële transacties. Hoewel bij beroemdheden en politici privécommunicatie soms net zo gevoelig kan zijn, afhankelijk van wat ze in de privésfeer uitspoken. Er zijn geen aanwijzingen bekend over de bedoelingen van de aanvallers (voor zover ik weet).

Gelukkig zijn veel van de gevoeligere systemen beschermd met een extra maatregel, zoals een code die je tijdens het inlogproces per sms ontvangt, of die je met een chipkaart berekent (denk aan de Random Reader van Rabobank, E.dentifier van ABN of de UZI-pas die zorgverleners gebruikmaken voor toegang tot patiëntgegevens). Dat gebeurt echter niet overal.”

Persson: “Hoe kijk jij aan tegen Hold Security? (ik zag dat je gezien had dat die foto van ‘het team’ gewoon een stockfoto is)”

Ik: “Het is te betreuren dat veel informatie in hun berichtgeving ontbreekt, met angst en onzekerheid als gevolg. Hold Security biedt een betaalde dienst die de angst kan helpen wegnemen, en dat riekt naar maffiapraktijken. (Net als de handel in exploits trouwens: http://njb.nl/blog/geheime-handel-in-digitale-lekken.11972.lynkx ) Bekijk vooral ook eens hoe deze pagina op je overkomt: https://identity.holdsecurity.com/ Ik vind het moeilijk in dit alles geen kwade commerciële opzet te zien.

Ook vind ik het hoogst onverstandig dat ze een online formulier hebben waar je (de facto) je wachtwoorden moet intypen om te laten controleren of ze in de onderschepte data voorkomen: https://identity.holdsecurity.com/Submit/ . Er staat “We will never ask you for your passwords!”, maar ze vragen je daaronder toch écht je wachtwoorden in te typen. De claim dat alleen de ‘hashes’ ervan worden opgestuurd aan Hold Security doet daar niets aan af. Je vult je wachtwoorden op de website van Hold Security in, en als die website zelf is gehackt, kunnen je wachtwoorden alsnog worden onderschept.”

Persson: “Wat vind je van dat tarief van 120 dollar dat Holden vraagt om te checken?”

Ik: “Dat gaat over hun Breach Notification Service (BNS) toch? Die lijkt te zijn gericht op personen en bedrijven die willen dat Hold Security nu en toekomstige gestolen data doorzoekt op hun domeinnaam. Op https://identity.holdsecurity.com/Register/ lees ik dat controle voor individuele gebruikers kosteloos is: ‘This service is FREE of charge and designed for the individual users to check whether they became victims of cyber-criminal activities. Please note, that this service does not provide you with any information pertinent to a website breach. If you are contacting us on behalf of a company, please, refer to our BNS service.’ Ik weet niet of deze tekst er ook al stond voordat het NYT-artikel verscheen.”

Persson: “Wat vind je van de berichtgeving vorige week?”

Ik: “Zie boven. Het is te betreuren dat sommige media niet harder hun best hebben gedaan de onbekenden te achterhalen alvorens tot publicatie/kopiëren over te gaan.”

Persson: “Is de reactie nu (storm in glas water) redelijk of dreigt nu het gevaar dat we het te veel bagatelliseren?”

Ik: “We moeten het hoofd koel houden en wachten tot de ontbrekende informatie bekend wordt; dan zien we weer verder. Speculeren is contraproductief en zal eerder tot meer onnodige angst leiden. Het NCSC pakt de berichtgeving m.i. goed aan:
https://www.ncsc.nl/actueel/nieuwsberichten/datadiefstal.html“

EOF