search

Wat zijn datalekken?

Datalekken die uw werknemers betreffen, worden op twee verschillende manieren weergegeven, afhankelijk van of hun potentieel voor exploitatie bevestigd is of niet.

  1. 🆕 Datalekken met bevestigd exploitatietpotentieel

    1. Kwetsbaarheid "Geldige gebruikersreferenties gevonden in een datalek/MO365/Fortinet"

    2. Hoe bevestigt Stoïk het exploitatietpotentieel van het lek?

  2. Datalekken waarvan het exploitatietpotentieel nog bevestigd moet worden

    1. Begrip van de resultaten

    2. Waarom verschijnt een voormalig werknemer in het tabblad Datalek?

    3. Waarom heeft een waarschuwing betrekking op een werkstation dat niet van ons is?

    4. Waarom komt de datum van kennisgeving van een lek niet altijd overeen met de datum van compromittering?

    5. Waarom geven sommige datalekken een onbekende bron aan?

  3. Wat te doen bij een datalekmelding?

hashtag
1. 🆕 Datalekken met bevestigd exploitatietpotentieel

Dit zijn de meest kritieke datalekken, wat betekent dat een aanvaller ze rechtstreeks zou kunnen gebruiken als hij ze in handen krijgt. Gezien hun kritisch karakter wordt er voor elk van hen een specifieke kwetsbaarheid aangemaakt in de Stoïk External Scan-resultaten.

1.a. 🆕 Kwetsbaarheid "Geldige gebruikersreferenties gevonden in een datalek/MO365/Fortinet"

Onze External Scan waarschuwt u als de door ons Datalek-tab gevonden referenties nog actief zijn.

Concreet worden klantreferenties die op het Dark Web zijn openbaar gemaakt nu automatisch getest op de relevante URL om hun geldigheid te verifiëren, dankzij een interne ontwikkeling van Stoïk met generatieve AI.

Als de geldigheid wordt bevestigd, wordt tijdens de Stoïk External Scan-analyse een "hoog" kwetsbaarheid aangemaakt, waardoor gebruikers worden aangespoord hun referenties bij te werken.

De gebruikersnaam en URL worden vervolgens weergegeven in Stoïk Protect (het wachtwoord kan op uitdrukkelijk verzoek gedeeld worden met [email protected]).

Aangezien dit een "hoge" kwetsbaarheid is, zullen de CERT-analisten van Stoïk u proactief per e-mail op de hoogte stellen als er een waarschuwing van dit type verschijnt.

1.b. Hoe bevestigt Stoïk het exploitatietpotentieel van het lek?

De datalekken die door Stoïk worden getest komen voornamelijk uit twee bronnen:

  1. Lekken uit wachtwoorddatabases (Combolists): Deze databases zijn verzamelingen referenties (e-mails, wachtwoorden) die uit verschillende eerdere lekken zijn verzameld en zonder duidelijke context zijn samengevoegd. Voorbeeld: [email protected] / M0t2Pa$$ / supersite.com Deze combolists geven niet altijd de exacte website weer waar de referenties zijn gelekt. Dit maakt het moeilijk om de referenties op de genoemde dienst te testen. In dat geval test Stoïk de referenties automatisch op kritieke en veelgebruikte diensten zoals Microsoft 365 (O365) of Fortinet VPN (indien deze dienst door de verzekerde wordt gebruikt). 💡 We testen de referenties niet rechtstreeks op de genoemde site, tenzij deze met zekerheid bekend is, zoals in het geval van log stealers (zie hieronder).

  2. Lekken afkomstig van malware (stealers): Stealers zijn malware die op gecompromitteerde machines wordt geïnstalleerd en lokaal gebruikte referenties verzamelt. Deze lekken zijn veel nauwkeuriger: ze bevatten over het algemeen de volgende drie elementen: E-mail / Wachtwoord / Exacte inlog-URL. Voorbeeld: [email protected] / M0t2Pa$$ / https://supersite.com/loginpage.php Wanneer de URL duidelijk is geïdentificeerd, worden de referenties direct op de betreffende site getest, naast Microsoft 365 (O365) en Fortinet VPN. Deze precisie vermindert sterke vals positieven en richt zich effectief op de risico's van actieve compromittering.

Samenvatting van controles uitgevoerd door Stoïk:

Type lek
Beschikbare gegevens
Controle door Stoïk

Combolist

E-mail + Wachtwoord (of Website)

Alleen O365 + Fortinet

Stealer logs

E-mail + Wachtwoord + Gelekte URL

Gelekte URL + O365 + Fortinet

Als de betrokken URL Fortinet of O365 is, wordt de weergegeven kwetsbaarheid genoemd "(...) gevonden in Fortinet/Microsoft Office 365 datalek". Anders wordt de weergegeven kwetsbaarheid genoemd "(...) gevonden in een datalek", en wordt de URL gespecificeerd in de kwetsbaarheidsdetails.

Standaard, als de resultaten van de door Stoïk uitgevoerde controles leeg zijn, wordt er geen kwetsbaarheid aangemaakt, maar het lek wordt nog steeds weergegeven in het tabblad "Datalek".

hashtag
2. Datalekken waarvan het exploitatietpotentieel nog bevestigd moet worden

2.a. Begrip van de resultaten

Externe oppervlakte > Resultaten > Datalekken lijst alle gedetecteerde datalekken onder uw werknemers, ongeacht of hun exploitatietpotentieel al is bevestigd.

De weergegeven datum correspondeert doorgaans met het moment waarop onze tool het datalek detecteerde, niet met de werkelijke datum van het lek.

Door op een specifiek datalek te klikken kunt u gedetailleerde resultaten bekijken. Hier zijn twee voorbeelden van hoe de resultaten te interpreteren:

  1. "IP" en "Wachtwoord": Voor dit voorbeeld moet u begrijpen dat voor het e-mailadres [email protected] het platte-wachtwoord en het IP-adres zijn gelekt tijdens het Adobe Data Breach 2024-datalek voor het domein my-company.com.

  2. "Wachtwoord" en "Versleuteld wachtwoord": Voor dit voorbeeld moet u begrijpen dat voor het e-mailadres [email protected] het platte-wachtwoord ("password") en de hash ("versleuteld wachtwoord") op meerdere websites van onbekende oorsprong zijn gelekt, vandaar de term "combolists".

2.b. Waarom verschijnt een voormalig werknemer in het tabblad Datalek?

Als u een waarschuwing ziet over een account dat verbonden is aan een werknemer die niet meer bij het bedrijf werkt, zijn er verschillende logische redenen hiervoor.

Oorsprong: Dit is geen Active Directory-account of een bedrijfs-e-mailadres dat direct actief is in uw IT-systeem, maar eerder een account van een derde partij dat een adres van uw domein gebruikt, bijvoorbeeld: [email protected] geregistreerd op een externe site, zoals https://random.saas. Dit type account kan toebehoren aan:

  • Een voormalig werknemer die met zijn of haar werkadres een SaaS-account heeft aangemaakt.

  • Een account dat nog actief is in een SaaS-toepassing, waarvan het werk-e-mailadres geldig blijft.

  • Een extern account aangemaakt zonder e-mailverificatie, wat op bepaalde platforms mogelijk is.

Reden voor detectie: De waarschuwing wordt gegenereerd door Stoïk omdat het e-mailadres van het account gekoppeld is aan uw domeinnaam of omdat het wachtwoord dat aan dit account is gekoppeld in een openbaar datalek is verschenen. Daarom kan dit account, zelfs als het een voormalig werknemer betreft of een account dat niet door uw IT-afdeling wordt beheerd:

  • Nog steeds op uw bedrijf worden gefactureerd (gebruikelijk voor SaaS-abonnementen)

  • Toegang hebben tot interne gegevens, als er geen intrekking heeft plaatsgevonden

  • Een risico vormen voor indirecte compromittering (wachtwoordhergebruik, bounce-aanval)

Aanbeveling: In deze situatie

  • Bepaal of het account nog actief is in de betreffende applicatie

  • Trek het account in of deactiveer het als u er controle over heeft

  • Neem contact op met de SaaS-aanbieder om indien nodig verwijdering te verzoeken

  • Werk uw vertrekroutines voor werknemers bij zodat systematische intrekking van accounts van derden wordt opgenomen

2.c. Waarom is er een waarschuwing voor een werkstation dat niet van ons is?

circle-info

Zelfs als de betreffende positie u niet direct aangaat, is de waarschuwing relevant als er activiteit gedetecteerd wordt die verband houdt met uw vakgebied of organisatie.

Elke ongebruikelijke activiteit kan wijzen op: Ongeautoriseerd gebruik, potentiële compromittering, slechte beheer van toegang door derden.

U kunt een cyberbeveiligingswaarschuwing ontvangen voor een werkstation dat niet in uw IT-inventaris staat. Dit kan verrassend lijken, maar er zijn verschillende mogelijke verklaringen voor deze situatie.

Een persoonlijk apparaat van een werknemer

  • Oorsprong: Een werknemer kan vrijwillig of uit gewoonte toegang hebben tot werkbronnen vanaf een persoonlijk apparaat (privécomputer, tablet, enz.).

  • Reden voor detectie: De waarschuwing wordt gegenereerd door Stoïk omdat dit werkstation niet wordt beveiligd of bewaakt door uw IT-teams en daardoor een kwetsbaar toegangspunt voor aanvallen (ransomware, gegevensdiefstal) kan vormen.

  • Aanbeveling: In deze situatie, vraag uw werknemer om dit gebruik te beperken of zijn/haar apparaat te beveiligen (versleuteling, antivirus, sterk wachtwoord, enz.). Het wordt ten zeerste aanbevolen uw beleid voor persoonlijk apparaatgebruik (BYOD) te herzien als u dat nog niet gedaan heeft.

Werkstation van een dienstverlener of onderaannemer

  • Oorsprong: Het is mogelijk dat een dienstverlener (externe IT-ondersteuning, consultant, freelancer, enz.) uw gegevens of systemen vanaf zijn eigen werkstation benadert.

  • Reden voor detectie: De waarschuwing wordt gegenereerd door Stoïk omdat het uw diensten of uw domein betreft. Het werkstation wordt als risico beschouwd als het gecompromitteerd of slecht beschermd is.

  • Aanbeveling: In deze situatie controleer of deze dienstverlener nog actief is binnen het bedrijf. Zo niet, trek hun toegang in. Zo ja, zorg ervoor dat goede beveiligingspraktijken aan hun kant zijn geïmplementeerd.

Gedeeld of openbaar werkstation (hotel, terminal, internetcafé, enz.)

  • Oorsprong: In sommige zeldzame gevallen kunnen uw diensten worden benaderd vanaf een openbaar of gedeeld terminal: hotelterminal, pc in een vergaderruimte, enz.

  • Reden voor detectie: De waarschuwing wordt gegenereerd door Stoïk omdat deze machines zeer blootgesteld zijn aan malware of keyloggers. Dit komt doordat verbindingen zelden versleuteld of privé zijn.

  • Aanbeveling: In deze situatie is het essentieel uw werknemers eraan te herinneren nooit een openbare computer te gebruiken om kritische bronnen te benaderen, of op zijn minst een VPN en versleutelde verbindingen te gebruiken.

2.d. Waarom komt de datum van kennisgeving van een lek niet altijd overeen met de datum van compromittering?

Gebruikers vragen zich vaak af waarom er een tijdsverschil is tussen de datum van een datalek (of gestolen wachtwoord) en de datum waarop de Stoïk-waarschuwing wordt ontvangen. De belangrijkste reden is dat wachtwoorden niet onmiddellijk openbaar worden gemaakt.

Inderdaad worden door infostealers gestolen referenties (kwaadaardige software die wachtwoorden uit browsers, managers of systeemcaches kan halen) niet altijd onmiddellijk gedeeld op de forums of marktplaatsen die we monitoren.

In de praktijk worden gestolen gegevens eerst verkocht in besloten kringen of beperkte groepen en worden ze pas na enkele weken of zelfs maanden openbaar beschikbaar. Dat is wanneer ons systeem het detecteert en u waarschuwt.

2.e. Waarom geven sommige datalekken een onbekende bron aan?

Oorsprong: U kunt datalekken in uw Stoïk Protect-interface zien verschijnen zonder een duidelijke aanduiding van hun oorsprong. In dat geval wordt de bron vermeld als "Combolist", wat betekent dat deze onbekend of verifieerbaar onduidelijk is.

Een combolist is een enorme samenstelling van identificatoren (e-mailadressen, wachtwoorden, soms andere gegevens) verzameld uit verschillende lekken. Deze bestanden worden door cybercriminelen opnieuw verpakt en vervolgens doorverkocht of gedeeld op forums zonder altijd de herkomst van de gegevens te vermelden.

Reden voor detectie: De waarschuwing wordt gegenereerd door Stoïk omdat, zelfs als de exacte bron onbekend is, het risico reëel is. Immers, de identifier (e-mail + wachtwoord) werkt nog steeds op bepaalde diensten, dus het kan worden misbruikt voor een credential stuffing-aanval of toegang geven tot een in uw bedrijf gebruikte SaaS.

hashtag
3. Wat te doen bij een datalekmelding?

  • Wijzig onmiddellijk het wachtwoord.

  • Als u de dienst niet herkent, controleer dan het interne gebruik van het vermelde e-mailadres.

  • Schakel multi-factor authenticatie (MFA) in als u dat nog niet heeft gedaan.

VorigeHoe configureer ik de Stoïk External Scan?VolgendeWelke IP-adressen gebruikt de Stoik External Scan?

Laatst bijgewerkt

Was dit nuttig?