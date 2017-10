Wat is data waard? Lastig. "Hoe verbind je een bedrag aan intellectueel eigendom?" vraagt McAfee-CTO Samani zich af. "Wat is de waarde van je creditcardnummer? Ja, je bent verzekerd tegen bankfraude en een gestolen kaart wordt geblokkeerd, maar hoe gebruiken criminelen die informatie verder?" Dat is geen zuiver hypothetische vraag: gegevens liggen op straat en worden misbruikt. Laten we eens kijken naar een paar voorbeelden.

Autorisatie via statische gegevens

Securityjournalist Brian Krebs laat eerder op de MPOWER-conferentie van McAfee waar we deze week aanwezig zijn bijvoorbeeld zien dat een geboortedatum en het BSN genoeg zijn om een woonadres te achterhalen. Hij tovert zijn eigen adres tevoorschijn via database SSNDOB.CC. Hij gebruikt het als illustratie van het grote probleem dat we statische informatie gebruiken voor autorisatie.

"Bel de bank, geef deze twee gegevens en je bent binnen." Identiteiten baseren op statische gegevens (denkt iemand anders ook meteen aan vingerafdrukken?) is eigenlijk krankzinnig. Vooral sinds de ellende met Equifax, waar onder meer BSN's en geboortedata met honderden miljoenen de straat op zijn gevlogen. Dat moet ons met de neus op dit feit drukken: informatie als een burgerservicenummer is absoluut onbruikbaar als verificatiegegeven voor een identiteit.

Wie heeft jouw BSN?

In Nederland is dit ook een probleem dat veel te weinig onderkend wordt. Hoeveel organisaties hebben jouw BSN in een database? De Auroriteit Persoonsgegevens heeft richtsnoeren waarin omschreven gaat in welke gevallen een 'kopietje paspoort' niet door de beugel kan (PDF), maar veel te weinig mensen malen erom. Je sportschool, de speelgoedwinkel waar je een bestelling afhaalde voor sinterkerst vorig jaar, de tandartspraktijk, je huiseigenaar - de meesten hiervan mogen het niet eens vragen, maar iedereen doet het. Erger: we geven het ook vaak op simpelweg omdat er naar wordt gevraagd.

Collega Donovan heeft ooit ettelijke weken met een zekere organisatie in de clinch gelegen omdat die zijn BSN wilde hebben, geheel tegen de regels in. Hij kreeg uiteindelijk zijn zin, maar simpel was het niet. Hij heeft veel stennis moeten maken om zijn gelijk te halen, terwijl dat eigenlijk een gegeven zou moeten zijn.

Ik vraag me af of ik zoveel ophef gemaakt zou hebben. Zou ik uit pragmatische overwegingen - er was een deadline en geen uitwijkmogelijkheden - niet gewoon overstag zijn gegaan? Dat terwijl ik beter zou moeten weten. Als bij mij zulke principes wellicht flexibel zijn bij een crisis, hoe staat het dan met mijn familie en vrienden, die al helemaal geen idee hebben van de consequenties van datalekken. Komt het überhaupt in mensen op om hier stennis over te schoppen?

Kruimelspoor

Het is pure waanzin dat een identiteit gekoppeld is aan één statisch gegeven, dat elke overheidsorganisatie gebruikt en overal rondslingert. In poststukken, in databases van particulieren, in overheidsbronnen - ik ben zelfs ooit bij een kapper geweest die erom vroeg. In dat geval maakte ik wél ophef, want er zijn tientallen kappers in de stad. Maar bij een leverancier met een behoorlijke monopoliepositie, zoals in het geval van mijn IDG-collega, zijn de persoonlijke kosten van weigering al snel onacceptabel.

Het gaat nu al een paar alinea's over BSN's - en dat is een vrij duidelijk probleem - maar hoe zit het met verouderde gegevens of accounts die je niet meer gebruikt? Dat Adobe-account die al zes jaar op straat ligt. Wat kunnen we daarmee? De LinkedIn-gegevens? Yahoo? Kickstarter? Deloitte? Badoo? Disqus? Brazzers? MySpace? Experian? Bitly? Dropbox? LiteBit? BTC-E? DailyMotion? Gawker? Forbes? BitTorrent?

Dit zijn maar een paar voorbeelden. De lijst van bedrijven die persoonsgegevens hebben gelekt is verontrustend lang (en ook Troy Hunt's lijst is verre van uitputtend).

We kennen als IT'ers waarschijnlijk allemaal de voorbeelden van social engineers die zich een weg door helpdesks kletsen met kruimels informatie om uiteindelijk de slag te slaan. Wired-journalist Mat Honan ondervond dit een paar jaar geleden ten lijve toen zijn iCloud werd gekaapt door mensen die zich via Amazon-gegevens hadden binnengekletst bij de telefonische helpdesk van Apple.

