Afgelopen weekend verschenen er kort na elkaar twee berichten van News Corp over een databreach. In de eerste melding was sprake van een datalek dat drie jaar onopgemerkt was gebleven. Die melding moest snel worden gecorrigeerd, het bleek om twee jaar te gaan.
News Corp volgt daarmee GoDaddy. Ook dat bedrijf moest vorige week toegeven al jaren lek te zijn zonder dat het was opgevallen. In beide gevallen gaat het om bedrijven die zwaar leunen op IT en er ook direct geld mee verdienen. Eerste doelwit van de aanvallen waren in beide gevallen ook het eigen personeel, niet de klanten. Dat zij niet in staat zijn lekken te voorkomen is een ding. Niet door hebben dat je veiligheidsmaatregelen gatenkaas zijn is weer iets anders.
Security professionals kijken hier echter niet van op. Nog even los van de reputatie en het trackrecord van de genoemde bedrijven, ze zijn door de aard van de business uitstekende doelwitten voor cybercriminelen.
As a Service
De tijd dat cybercriminelen van A tot Z alles zelf bedachten en uitvoerden is verleden tijd. In steeds meer gevallen is er bewijs voor een gelaagde Cybercrime as a Service. De ene bende criminelen doet aanvallen via methode A, de andere is gespecialiseerd in B. Als ze eenmaal ergens zijn binnengedrongen leveren ze – uiteraard tegen betaling – toegang. De bendes hebben er dus alle belang bij, want dat levert nog meer geld op, de gaten in de digitale beveiligingsmuren zo lang mogelijk open en onder controle te houden.
Corebusiness
Hierdoor ontstaan er dus lekken die over een langere periode kunnen bestaan en waarvan het maskeren de corebusiness is van criminele specialisten. Dat verschijnsel heeft nu in de Amerikaanse pers een eigen duidelijk naam gekregen. Men spreekt over multiyear databreach. Die vlag dekt de lading en laat aan duidelijkheid niets te wensen over. De twee gevallen die vorige week bekend zijn vormen daarbij het topje van de ijsberg. Het verschijnsel komt waanzinnig veel voor maar slechts een beperkt aantal bedrijven zal dat toegeven. Alleen zij die beursgenoteerd zijn of onder speciaal toezicht staan zullen daar over communiceren.
Maar of de nieuwe pakkende term multiyear databreach voor het pijnlijke en bekende fenomeen er ook toe leidt dat vaker en gerichter wordt gezocht op dit soort gaten?
