Dataset Unico Campania
Haveibeenpwned heeft de gelekte data van Unico Campania onder de loep genomen. Het eerste wat is opgevallen is dat de data niet encrypted was. Usernames, klantgegevens en wachtwoorden zijn plain text opgeslagen. Dit betekent in ieder geval dat UC zich niet aan de AVG heeft gehouden. Die schrijft immers voor dat bedrijven en overheden “passende technische en organisatorische maatregelen nemen” om persoonsgegevens te beschermen.”
PII
De gegevens die de AVG daarmee bedoeld worden vaak met de afkorting PII – personally identifiable information – weergegeven (zie ook link). In de dataset van UC zit PII. Volgens Haveibeenpwned zitten er in de PII echter op wachtwoord niveau nog meer PII. Het zijn vooral de lange wachtwoorden waarbij namen en andere data zit verwerkt die weer te herleiden zouden kunnen zijn tot een persoon.
Die laatste constatering is de Italiaanse pers, die over het datalek bij Unico Campania heeft geschreven, niet opgevallen. Ook in de security community leidt het tot weinig reacties. Toch is dit iets dat grote gevolgen kan hebben. Als een wachtwoord de naam en bijvoorbeeld geboortedatum van een ander persoon betreft kan daarmee ID fraude mogelijk worden. Dat er bij het aanmaken van wachtwoorden staat wat de minimale lengte moet zijn is goed, hoewel omstreden. Het zou ook handig zijn als er staat dat het weinig slim is een wachtwoord te maken dat de identiteit van een andere persoon bekend maakt.
Wachtwoord lengte
Zoals aangegeven is het voorschrijven van een minimale wachtwoord lengte omstreden. Tegenstanders beweren dat een lang wachtwoord nog steeds te raden of te ontrafelen is. Goede wachtwoorden moeten vooral “complex” zijn. Wat daar onder wordt verstaan is hier te lezen.
De systeembeheerders en CISO van Unico Campania doen er goed aan die tips tot zich te nemen. In de gelekte database staan namelijk ook wachtwoorden met 4 of minder cijfers en letters.