ADT-datalek treft 5,5 miljoen klanten na vishing-aanval

Beveiligingsbedrijf ADT heeft een datalek bevestigd dat ongeveer 5,5 miljoen klanten treft, waarbij namen, telefoonnummers en huisadressen zijn blootgesteld. In een kleiner aantal gevallen zijn ook burgerservicenummers uitgelekt. Het lek was niet het gevolg van een geavanceerde netwerkinbraak of zero-day exploit. Het begon met een telefoontje.

Volgens berichten gebruikte de hackersgroep ShinyHunters een voice phishing-techniek, gewoonlijk vishing genoemd, om een ADT-medewerker te manipuleren zijn Okta single sign-on (SSO)-inloggegevens prijs te geven. Met die inloggegevens in handen kregen de aanvallers toegang tot de Salesforce-omgeving van ADT, waar klantgegevens waren opgeslagen. Het lek is een duidelijke herinnering dat zelfs bedrijven waarvan het hele bedrijfsmodel is gebouwd rond de beveiliging van mensen thuis, ten onder kunnen gaan door één enkel gecompromitteerd medewerkeraccount.

Wat is vishing en waarom is het zo effectief?

Vishing is een social engineering-aanval uitgevoerd via de telefoon. Een aanvaller doet zich doorgaans voor als een vertrouwde partij, zoals een collega, IT-ondersteuningsmedewerker of leveranciersvertegenwoordiger, en manipuleert het doelwit om gevoelige informatie of inloggegevens te onthullen. Anders dan malware of netwerkaanvallen maakt vishing gebruik van menselijk vertrouwen in plaats van technische kwetsbaarheden.

In dit geval overtuigde de aanvaller een ADT-medewerker zijn Okta SSO-inloggegevens af te staan. Single sign-on-systemen zijn ontworpen om toegang te vereenvoudigen doordat medewerkers één set inloggegevens kunnen gebruiken voor meerdere platforms. Dat gemak wordt een risico wanneer die inloggegevens in verkeerde handen vallen, omdat één enkel gecompromitteerd account tegelijkertijd deuren kan openen naar meerdere interne systemen.

ShinyHunters is een bekende cybercriminele groep met een geschiedenis van spraakmakende gegevensdiefstal. Hun vermogen om een eenvoudig telefoontje te gebruiken als wapen tegen een groot beveiligingsbedrijf onderstreept hoe effectief social engineering blijft, zelfs tegen organisaties met toegewijde beveiligingsteams.

Welke gegevens kwamen bloot bij het ADT-lek

De meerderheid van de 5,5 miljoen getroffen klanten had de volgende informatie blootgesteld:

  • Volledige namen
  • Telefoonnummers
  • Huisadressen

Voor een kleinere groep klanten zijn ook burgerservicenummers gecompromitteerd. ADT heeft niet publiekelijk gespecificeerd hoeveel personen precies in die hogere risicocategorie vallen.

Hoewel namen, telefoonnummers en adressen minder alarmerend lijken dan financiële gegevens, is deze combinatie uiterst bruikbaar voor vervolgaanvallen. Criminelen kunnen het gebruiken om overtuigende phishing-e-mails op te stellen, gerichte vishing-oproepen te doen naar klanten zelf, of profielen op te bouwen voor identiteitsdiefstal. Wanneer een huisadres gekoppeld is aan een bekende beveiligingssysteemklant, zijn er ook fysieke veiligheidsimplicaties om rekening mee te houden.

Burgerservicenummers, zelfs wanneer ze in een kleiner aantal gevallen uitgelekt zijn, vertegenwoordigen een ernstiger risico. Ze kunnen worden gebruikt om frauduleuze kredietrekeningen te openen, valse belastingaangiften in te dienen, of slachtoffers na te bootsen in overheidsuitkeringssystemen.

Wat dit voor u betekent

Als u een ADT-klant bent of bent geweest, is de eerste aanname die u moet maken dat uw contactgegevens mogelijk circuleren onder kwaadwillenden. Dat verandert hoe u ongewenste communicatie voortaan moet beoordelen.

Dit lek illustreert ook een breder punt over digitale privacy: geen enkel hulpmiddel of dienst biedt volledige bescherming. Een VPN beveiligt bijvoorbeeld uw internetverkeer en beschermt uw IP-adres, maar zou dit lek niet hebben voorkomen. De aanvalsvector hier was menselijk, niet technisch. Uitgebreide privacybescherming vereist het combineren van meerdere gewoonten en hulpmiddelen.

Concrete stappen als u een ADT-klant bent:

  1. Bewaak uw kredietrapporten. Vraag gratis rapporten op bij alle drie de grote bureaus en zoek naar onbekende accounts of aanvragen. Overweeg een kredietbevriezing aan te vragen als uw burgerservicenummer is blootgesteld.
  2. Wees wantrouwig tegenover ongewenst contact. Criminelen kunnen uw blootgestelde gegevens gebruiken om zich voor te doen als ADT of andere vertrouwde organisaties. Verifieer de identiteit van iedereen die om persoonlijke informatie vraagt voordat u reageert.
  3. Schakel multi-factor authenticatie (MFA) in op alle accounts. Als een dienst MFA ondersteunt, schakel het in. Het voegt een beschermingslaag toe die een gestolen wachtwoord alleen niet kan omzeilen.
  4. Gebruik unieke, sterke wachtwoorden. Een wachtwoordbeheerder maakt dit beheersbaar. Als inloggegevens van één dienst worden blootgesteld, voorkomen unieke wachtwoorden dat aanvallers toegang krijgen tot uw andere accounts.
  5. Overweeg een identiteitsbewakingsdienst. Deze diensten waarschuwen u wanneer uw persoonlijke informatie verschijnt bij datamakelaars, dark web-forums of nieuwe accountaanvragen.

Het ADT-datalek is een nuttige casestudy in hoe beveiligingsfouten vaak niet ontstaan in gebroken code, maar in gebroken vertrouwen. Eén goed uitgevoerd telefoontje was voldoende om de persoonlijke informatie van miljoenen klanten bloot te stellen. Het opbouwen van echte privacyweerbaarheid betekent begrijpen dat technische verdedigingen en menselijk bewustzijn samen moeten werken. Geen enkel slot, digitaal of fysiek, is sterker dan de persoon die de sleutel vasthoudt.