Elk techbedrijf vertelt je dat je gegevens veilig zijn. Ze hebben (hopelijk) encryptie, toegangscontrole en zero-trust architecturen – de hele gelikte beveiligingsbrochure. En dan schrijft iemand binnen het bedrijf een script om alsnog je privéfoto's te stelen.
Dat is waarvoor een voormalige Meta-medewerker in Londen strafrechtelijk wordt onderzocht. Hij zou zo'n 30.000 privéafbeeldingen van Meta hebben gedownload. Facebook gebruikers. De cybercrime-eenheid van de Metropolitan Police behandelt de zaak.
Volgens de gerechtelijke documenten heeft de verdachte niet zomaar wat rondgekeken; hij heeft een script op maat gemaakt om de interne detectiesystemen van Meta te omzeilen.
Meta's reactie
Meta zegt dat het de inbreuk meer dan een jaar geleden ontdekte, de betreffende persoon heeft ontslagen, de getroffen gebruikers heeft geïnformeerd en de zaak heeft doorverwezen naar de Britse politie. De verdachte is momenteel op borgtocht vrij en moet zich in mei melden bij de politie.
Meta heeft een verre van vlekkeloze reputatie op het gebied van gegevensbescherming. In 2022 stemde het bedrijf ermee in om 725 miljoen dollar te betalen ter schikking van een collectieve rechtszaak over het Cambridge Analytica-schandaal, waarbij externe ontwikkelaars gegevens van miljoenen gebruikers verzamelden. Facebook gebruikers. Er duiken steeds meer verhalen op over Meta die ons aan het denken zetten over privacy en gebruikersveiligheid. Bijvoorbeeld: Facebook Ingenieurs hebben toegegeven dat ze niet eens wisten waar gebruikersgegevens werden bewaard.
Malafide insiders
Dit soort dingen gebeurt steeds weer. FinWise Bank onthulde vorig jaar dat een voormalige medewerker mogelijk toegang had gekregen tot de gegevens van 689.000 klanten. Dat datalek bleef meer dan een jaar onopgemerkt. Coinbase onthulde ook dat ondersteunend personeel in het buitenland was omgekocht om gegevens van bijna 70.000 klanten te stelen. Zelfs medewerkers van elektronicareparatiebedrijven snuffelen graag in klantgegevens op manieren die niet de bedoeling zijn.
Wat drijft insiders ertoe de grens over te steken? Onderzoek naar de psychologie achter interne dreigingen heeft aangetoond dat veel gedocumenteerde incidenten betrekking hebben op werknemers in technische functies, zoals systeembeheerders, databasebeheerders en programmeurs. Dit is logisch, aangezien zij waarschijnlijk zowel de toegang als de vaardigheden hebben om detectie te omzeilen.
De motieven variëren van financieel gewin tot persoonlijke wraak (zoals bij deze supermarktmedewerker die personeelsgegevens lekte ) of voyeurisme (zoals bij deze Yahoo-ingenieur die naaktfoto's van vrouwen bekeek, waaronder foto's van vrouwen die hij persoonlijk kende). Werknemers plegen hun misdaden vaak nadat ze het bedrijf hebben verlaten , als beheerders laks zijn met het intrekken van systeemtoegang.
Hoe u uzelf kunt beschermen
Bedrijven zullen je vertellen dat ze privacy serieus nemen, en veel bedrijven doen dat ook.
De standaard verdedigingsmechanismen van bedrijven tegen interne dreigingen zijn algemeen bekend: toegangscontrole met minimale bevoegdheden, multifactorauthenticatie, continue monitoring van gebruikersgedrag en regelmatige beveiligingsaudits. Maar de Meta-zaak suggereert dat iemand die vastberaden en technisch genoeg is om zijn eigen tools te schrijven, deze verdedigingsmechanismen soms alsnog kan omzeilen.
Wat kunnen gebruikers dan doen?
Bewaar uw meest gevoelige gegevens (zoals privéafbeeldingen) in een veilige, met een wachtwoord beveiligde omgeving. Als een dienst geen sterke beveiligingsmaatregelen biedt, is het de moeite waard om u af te vragen of u het prettig vindt om iedereen die mogelijk achter de schermen toegang heeft tot uw gegevens te vertrouwen.
Ontdek hoe je je digitale voetafdruk kunt verkleinen en de hoeveelheid informatie die oplichters en afpersers tegen je kunnen gebruiken kunt beperken.
Oplichters hoeven je computer niet te hacken. Ze hoeven je maar één keer te laten klikken.
Malwarebytes Identity Theft signaleert verdachte activiteiten voordat ze tot een probleem leiden.
