De politie wil samen met een groot aantal bedrijven misbruik van gestolen inloggegevens tegengaan. Onder de noemer No More Leaks worden gehashte wachtwoorden gedeeld met de deelnemende partijen. Met deze publiek-private samenwerking wil de politie het verdienmodel van hackers en cybercriminelen doorbreken.
Dat meldt de politie op haar website.
Datalekken en datadiefstallen lijken haast wel aan de orde van de dag. De meest recente cijfers van de Autoriteit Persoonsgegevens geven een onthutsend beeld. Vorig jaar ontving de toezichthouder 24.866 datalekmeldingen, zo staat er in de Datalekkenrapportage 2021.
De politie krijgt steeds vaker te maken met datalekken waarbij de inloggegevens van miljoenen mensen zijn buitgemaakt. Door het dark web is er volgens de politie een “wereldwijde ondergrondse online economie” ontstaan. Voor een habbekrats kunnen cybercriminelen toegang tot specifieke online accounts kopen.
Deze gegevens misbruiken ze voor phishing, identiteitsfraude of andere vormen van oplichting. “Door het internationale karakter van deze vorm van criminaliteit en allerlei anonimiseringstechnieken is het lastig deze criminelen op te sporen en voor de rechter te brengen”, zo schrijft de politie.
Om effectief op te treden tegen deze vorm van cybercrime, is een preventieve aanpak essentieel. Met deze gedachte in het achterhoofd heeft de politie het project No More Leaks in het leven geroepen. Het idee is dat agenten samenwerken bedrijven die een groot aantal online accounts onderhouden zodra er een datalek heeft plaatsgevonden.
Het doel van het project is om misbruik van inloggegevens tegen te gaan door deze data gehasht aan te bieden aan de deelnemende partijen. ‘Gehasht’ betekent simpelweg dat gebruikersnamen en wachtwoorden met een wiskundig model zijn versleuteld. Deelnemers kunnen deze lijsten met hashes gebruiken als extra beveiligingsmaatregel in hun inlogproces. Als een hash overeenkomt, krijgt de desbetreffende klant een verzoek om zijn wachtwoord te veranderen om zo eventuele schade te voorkomen.
Tevens wil de politie met No More Leaks de samenleving en bedrijven weerbaarder maken tegen cyberaanvallen en andere digitale dreigingen.
KPN, Randstad, Tweakers, Nederlandse Loterij, OneWelcome, Greenwheels en WeGo B.V hebben toegezegd mee te doen aan het project No More Leaks. Het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP), het Digital Trust Center (DTC) en Thuiswinkel.org zijn benoemd als faciliterende partijen.
De gegevens worden door de politie intern opgeslagen en uitsluitend met de deelnemende bedrijven gedeeld. Zij nemen, net als de politie, technische en organisatorische maatregelen om de gegevens te beveiligen en privacy van de gegevens te garanderen.
Deelname aan No More Leaks is gratis. Wel moeten deelnemers een convenant tekenen. Daarmee stemmen ze in om de benodigde veiligheids- en privacymaatregelen te nemen.
https://www.politie.nl/nieuws/2022/juni/30/politie-en-bedrijven-samen-tegen-misbruik-van-inloggegevens.html
