Brillenfabrikant krijgt 1,5 miljoen dollar boete na datalek door credential stuffing
De Amerikaanse brillenfabrikant Warby Parker heeft van het Amerikaanse ministerie van Volksgezondheid een boete van 1,5 miljoen dollar gekregen nadat aanvallers via credential stuffing toegang tot persoonlijke gegevens van bijna tweehonderdduizend klanten kregen. Het ging in totaal om drie van dergelijke aanvallen waar de brillenfabrikant in 2018, 2020 en 2022 mee te maken kreeg.
Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Eind 2018 meldde Warby Parker bij het Amerikaanse ministerie van Volksgezondheid dat het verdachte inlogactiviteiten op de eigen website had waargenomen. Daarbij was het aanvallers gelukt om door middel van inloggegevens gestolen bij andere websites op de accounts van klanten in te loggen. In september 2020 kwam de brillenfabrikant met een aanvulling op de datalekmelding, waarbij het stelde dat 198.000 klanten dupe van de aanval waren geworden. De aanvallers hadden toegang gekregen tot hun namen, adresgegevens, e-mailadressen, brilrecepten en betaalgegevens.
In april 2020 en juni 2022 kreeg Warby Parker met soortgelijke aanvallen te maken. Het aantal slachtoffers was toen veel kleiner. Naar aanleiding van de datalekken startte het ministerie een onderzoek en ontdekte dat het bedrijf op drie punten de Health Insurance Portability and Accountability Act (HIPAA) had overtreden. Zo was er geen adequate risicoanalyse naar de mogelijke kwetsbaarheden en risico's voor gezondheidsinformatie van klanten uitgevoerd, waren er geen passende maatregelen doorgevoerd om deze gegevens te beschermen en ontbraken er procedures om geregeld naar logbestanden en securityrapportages te kijken.
Mensen hergebruiken hun wachtwoord en als deze dan gebruikt worden is het toch de schuld van de mensen zelf?
Wil je nog meer captchas op alle login paginas misschien?
Mensen hergebruiken hun wachtwoord en als deze dan gebruikt worden is het toch de schuld van de mensen zelf?
Die sites zijn niet schuldig aan het hergebruik van wachtwoorden door mensen. Maar je kan wel, in een wet, en zeker bij gevoelige onderwerpen als gezondheidsgegevens, verantwoordelijkheid leggen bij wie nou eenmaal in de positie is om in een klap een hoop te verbeteren: de bedrijven van wie die sites zijn. En als dat verplicht is gesteld, wat hier kennelijk zo is, dan kan zo'n bedrijf zich wel weer schuldig maken aan het negeren van die verantwoordelijkheid.
Dit is niet heel raar, de wereld zit vol met dit soort constructies.
Mensen hergebruiken hun wachtwoord en als deze dan gebruikt worden is het toch de schuld van de mensen zelf?
Wil je nog meer captchas op alle login paginas misschien?
Ik kan me direct 2 stappen bedenken die redelijk zijn om te nemen en een groot deel van deze aanvallen had kunnen voorkomen:
- MFA vereisen
- Pentesten: voer een credential stuffing aanval uit op je eigen infra en dwing accounts waar je succesvol op kon inloggen het wachtwoord te veranderen
Ik vind het best redelijk om een boete op te leggen aan een bedrijf dat in 2018, 2020 en 2022 op dezelfde manier is aangevallen en niet de minimale redelijke stappen genomen heeft om zo'n aanval te voorkomen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Help organisaties cyberweerbaar maken en werk aan uitdagende securityprojecten bij BMGRIP, part of Kader Group.
- Hybride werken
- Salaris €4.000 - €5.500
- Leaseauto en volop groeimogelijkheden
Solliciteer nu!
Security Specialist
Directie Informatievoorziening & Inkoop
Als security specialist is je primaire taak het detecteren en het afhandelen van (mogelijke) security incidenten. Hiervoor vergaar je dreigingsinformatie en richt je op basis van risico's detectieregels in, opdat aanvallers in een zo vroeg mogelijk stadium geïdentifi-ceerd kunnen worden. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet.
Security Adviseur
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan informatie-technologie (IT) en operationele technologie (OT) binnen onze taken, is het essentieel om deze veilig te houden.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.