De Britse non-profitorganisatie Cifas, die zich bezighoudt met fraudebestrijding, heeft onlangs onderzoek gepubliceerd dat iedereen die een bedrijf runt of bij een bedrijf koopt, zorgen zou moeten baren: één op de acht werknemers bij grote ondernemingen heeft de inloggegevens van zijn of haar bedrijf verkocht of kent iemand die dat heeft gedaan.
Het internet wordt overspoeld met gestolen inloggegevens die werknemers gebruiken om toegang te krijgen tot bedrijfssystemen. Het cyberbeveiligingsbedrijf KELA heeft in 2025 wereldwijd bijna 2,9 miljard gestolen inloggegevens getraceerd. De meeste daarvan zijn afkomstig van phishingaanvallen en infostealers. Maar omdat er werknemers zijn die snel geld willen verdienen, hoeven cybercriminelen mensen alleen maar een aanbod te doen.
De insiders waar niemand naar kijkt
Cifas heeft 2.000 werknemers van bedrijven met ten minste 1.000 medewerkers ondervraagd. Daarvan gaf 13% toe dat ze in de afgelopen 12 maanden hun bedrijfsinloggegevens hadden verkocht, of iemand kenden die dat had gedaan. Verbazingwekkend genoeg deden de verkopers dat, zoals het rapport vermeldt, „vaak in de veronderstelling dat het onschadelijk was”.
Nieuwsflits: Het verkopen van je inloggegevens is niet onschuldig. Criminelen willen deze gegevens om de account over te nemen en er misbruik van te maken. Volgens Verizon is het aantal account-overnames in de VS vorig jaar met 6% gestegen tot meer dan 78.000.
Veel gehackte accounts zijn persoonlijke accounts voor diensten variërend van sociale media tot online streamingdiensten, en natuurlijk bankrekeningen. Maar veel andere accounts zijn bedoeld voor bedrijfssystemen zoals Microsoft 365, Salesforce en andere platforms waarop gevoelige bedrijfsgegevens zijn opgeslagen. Die vertrouwelijke gegevens zijn waardevolle handelswaar voor criminelen, die ze vervolgens op de open markt kunnen verhandelen.
Je baas heeft meer kans om iets te verkopen dan jij
In het ideale geval zou hier een veelgebruikte techniek, ‘toegang met zo min mogelijk rechten’ genaamd, van pas moeten komen.
Het idee is dat een online bedrijfsaccount alleen toegang moet hebben tot wat het nodig heeft. Jim in de kantine moet dus toegang hebben tot het bestelsysteem voor eten, maar niet tot de volledige klantendatabase. Op die manier is het ergste wat de aanvallers kunnen doen – zelfs als Jims account wordt gehackt – dat je morgen geen worstjes krijgt.
Het probleem is dat, volgens het rapport, leidinggevenden nog meer geneigd zijn om hun inloggegevens te verkopen dan medewerkers op lagere niveaus. 32 procent van de senior managers vindt dit gerechtvaardigd, evenals 36 procent van de directeuren, 43 procent van de topmanagers en, verbazingwekkend genoeg, vier op de vijf bedrijfseigenaren. Door hun functie kunnen hun accounts, zelfs met toegang op basis van het ‘minimale-rechtenprincipe’, nog steeds toegang bieden tot gevoelige systeemfuncties en gegevens.
Dit is niet alleen een probleem in het Verenigd Koninkrijk
Het onderzoek van Cifas heeft specifiek betrekking op het Verenigd Koninkrijk, maar daar blijft het waarschijnlijk niet bij. We hebben gezien dat medewerkers bij verschillende bedrijven toegang tot bedrijfsaccounts of -gegevens hebben verkocht. Zo maakte cryptocurrencybedrijf Coinbase vorig jaar bekend dat medewerkers van een in Bangladesh gevestigd outsourcingbedrijf klantgegevens aan hackers hadden verkocht.
Gecompromitteerde inloggegevens komen veel voor. Uit ons eigen onderzoek is gebleken dat in een periode van slechts 30 dagen bij 111 Fortune 500-bedrijven inloggegevens van werknemers zijn uitgelekt. Op de lange termijn hebben 363 van die bedrijven (dat is 73%) de controle verloren over ten minste één inloggegeven van een werknemer.
Het feit dat werknemers hun inloggegevens verkopen, is niet alleen schadelijk voor de bedrijven waarvoor ze werken. Het is ook schadelijk voor de klanten.
Als het wachtwoord van een directeur te koop wordt aangeboden, is een klantendossier waarschijnlijk niet ver daarachter, hoewel het waarschijnlijk niet de directeur zelf is die het verkoopt. Malwarebytes dat bij 91% van de Fortune 500-bedrijven de inloggegevens van klanten zijn uitgelekt, en gekaapte accounts zijn een uitstekende manier om daar de hand op te leggen.
Het risico van misbruik door insiders is dus niet alleen een probleem voor bedrijven, maar ook voor consumenten. Daardoor zijn we minder geneigd om onze persoonlijke gegevens aan grote ondernemingen te verstrekken zonder ons af te vragen waarom ze die nodig hebben.
Je naam, adres en telefoonnummer worden waarschijnlijk al te koop aangeboden.
Datahandelaren verzamelen uw persoonlijke gegevens en verkopen deze aan iedereen die ervoor wil betalen. Malwarebytes Personal Data Remover deze gegevensPersonal Data Remover , zorgt ervoor dat ze worden verwijderd en houdt vervolgens in de gaten of dit zo blijft.
