Een datalek is een incident waarbij informatie wordt gestolen of uit een computer, laptop, tablet of smartphone wordt gehaald zonder medeweten of toestemming van de eigenaar van deze computer, laptop, tablet, slim apparaat of smartphone. Iedereen kan te maken krijgen met een datalek. Gestolen gegevens kunnen gevoelige, eigen of vertrouwelijke informatie bevatten, zoals creditcardnummers, privégegevens, geheimen of zaken met betrekking tot je veiligheid.
De gevolgen van een datalek kunnen zich voordoen in de vorm van schade aan je reputatie als gevolg van een waargenomen ‘schending van vertrouwen’. Maar je kunt ook financiële verliezen lijden als gerelateerde financiële gegevens deel uitmaken van de gestolen informatie.
Op basis van het aantal datalekincidenten die tussen januari 2005 en april 2015 zijn geregistreerd, was persoonlijk identificeerbare informatie (PII) het meest gestolen datasoort, terwijl financiële gegevens op de tweede plaats kwamen.
De meeste datalekken worden toegeschreven aan hacking of malware-aanvallen.
Maar ook Insider-lek: een vertrouwd persoon of autoriteit met toegangsrechten kan de oorzaak zijn.
Pinpasfraude: waarbij je gegevens van je bank of creditcard worden gestolen met behulp van fysieke skimming-apparaten komt ook nog voor.
Verlies of diefstal: Draagbare schijven, laptops, computers, tablets, en smartphone met bestanden en andere fysieke eigendommen kunnen kwijt raken of worden gestolen.
Onbedoelde openbaarmaking: Door fouten of nalatigheid kunnen gevoelige gegevens op straat komen te liggen.
Onbekend: in een klein aantal gevallen is de daadwerkelijke inbreukmethode onbekend of niet te achterhalen.
Wat gaat er aan vooraf voor er sprake is van verlies van data een datalek.
Een kwaadwillende persoon, die een doelwit heeft gekozen, zoekt naar zwakke punten om uit te buiten: familieleden, systemen of het WiFi netwerk. Dit brengt urenlang onderzoek met zich mee en kan inhouden dat de sociale-mediaprofielen van familieleden worden gestalkt om te achterhalen met wie hij te maken heeft.
Nadat de aanvaller de zwakke punten van zijn doelwit in kaart heeft gebracht, maakt hij het eerste contact via een netwerkgebaseerde of sociale aanval.
Bij een netwerkgebaseerde aanval maakt de aanvaller misbruik van zwakke punten in de infrastructuur van het doelwit om een inbreuk te veroorzaken. Deze zwakke punten kunnen bestaan uit, maar zijn niet beperkt tot, misbruik van kwetsbaarheden en/of het kapen van sessies.
Bij een sociale aanval gebruikt de aanvaller social engineering-tactieken om het doelnetwerk te infiltreren. Dit kan een kwaadwillig vervaardigde e-mail zijn die naar een familie of vrienden wordt gestuurd, op maat gemaakt om de aandacht van die specifieke familielid oud vriend, vriendin te trekken. De e-mail kan naar informatie vissen, waardoor de lezer voor de gek wordt gehouden om persoonlijke gegevens aan de afzender te verstrekken, of een malwarebijlage bevat die is ingesteld om uit te voeren wanneer deze wordt gedownload.
Eenmaal binnen is het de aanvaller vrij om gegevens uit je computer, laptop, tablet, slim apparaat of smartphone te halen. Deze gegevens kunnen worden gebruikt voor chantage of online propaganda. De informatie die een aanvaller verzamelt, kan ook worden gebruikt om meer schadelijke aanvallen op de infrastructuur van het doelwit uit te voeren.
Zo kan het de bedoeling zijn om via jou bij je werkgever, je vereniging of goede doel binnen te dringen. Zo kan een datalek in de privé sfeer de oorzaak zijn voor een datalek bij een bedrijf, organisatie of overheidsinstantie.