Onderzoeksbureau Zacks lekt persoonlijke gegevens 12 miljoen gebruikers
Onderzoeksbureau Zacks, dat voor financieel adviseurs, beleggers en andere financieel professionals analyses van aandelen en aandelenbeurzen uitvoert, heeft vorig jaar de gegevens van twaalf miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, namen, ongesalte wachtwoordhashes (SHA-256), telefoonnummers, adresgegevens en gebruikersnamen die vervolgens op internet werden aangeboden.
Het datalek staat los van een ander datalek in 2023. In dat jaar werden de gegevens van 9 miljoen gebruikers gelekt. In eerste instantie stelde Zacks toen dat 820.000 gebruikers waren getroffen. Nu heeft het bedrijf nog niet op het laatste datalek gereageerd, zo meldt Troy Hunt van datalekzoekmachine Have I Been Pwned. De twaalf miljoen e-mailadressen zijn aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen mensen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 93 procent al via een ander datalek bekend. Hoe de gegevens bij Zacks gestolen konden worden is niet bekend.
Zelf IK weet dat, en ik heb geen eens een IT-diploma!
En SHA256 is ook niet bepaald een geschikte hash algoritme voor wachtwoorden.
Gebruik ten minste zoiets als bcrypt of scrypt, en gebruik een salt van ten minste 256 bits.
Ideaal zou zijn als je een HSM kan gebruiken, dan is de gelekte hash waardeloos zonder de secret pepper.
(Maak wel een goede offline backup van die secret, anders zou een kapotte HSM alle wachtwoorden onbruikbaar maken!)
is net zo (on)geschikt voor wachtwoordhashes als
MD5 (wel cryptografisch "gekraakt").
Uitleg: https://security.nl/posting/796625.
Wachtwoorden zélf zijn echter niet het probleem: dat zijn mensen.
Namelijk zij die zwakke wachtwoorden HERGEBRUIKEN en/of (ook ijzersterke en/of unieke) wachtwoorden invullen op nepwebsites.
Fix: https://security.nl/posting/840236/Veilig+inloggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
