Volgens een rapport van Trustwave's SpiderLabs-blog zijn ten minste 2 miljoen wachtwoorden voor populaire sites zoals Google, Facebook en Yahoo gestolen met behulp van een botnet genaamd "Pony". De alarmerende gegevens zijn deze week ontdekt op een in Nederland gevestigde server.
Naast inloginformatie voor online services, gegevens die vaak worden gevonden in gehackte databases, waren de onderzoekers verrast om accountinformatie te ontdekken van ADP, een toonaangevend bedrijf voor salarisadministratie. Naar verluidt werden bijna 8.000 ADP-wachtwoorden blootgesteld, een probleem dat kon leiden tot "directe financiële gevolgen".
In tegenstelling tot recente hacks bij Adobe en vBulletin, werd de informatie die in de betreffende inbreuk was vastgelegd niet rechtstreeks van de servers van de bedrijven overgenomen. Integendeel, de computers van individuele gebruikers waren besmet met malware die gebruikerswachtwoorden registreerde en naar de servers van de hackers stuurde. Dit leidde tot de onthulling van wachtwoorden voor niet alleen online services, maar ook voor een groot aantal persoonlijke en zakelijke FTP-servers, externe desktopverbindingen en beveiligde shell-accounts.
Het goede nieuws is dat dit soort individuele aanvallen lang niet zo wijdverbreid is als grote aanvallen op serviceproviders zelf. Het slechte nieuws is echter dat het moeilijk is om getroffen gebruikers te identificeren en te informeren. Malware van deze aard blijft vaak onopgemerkt en vertoont geen symptomen onder normale omstandigheden. Daarom, zelfs als gebruikers uitgaan en hun wachtwoord veranderen, zal de malware eenvoudig het nieuwe wachtwoord registreren en doorgeven aan de controleserver.
De beste verdediging tegen dit soort beveiligingsproblemen is het inschakelen van tweefactorauthenticatie, die nu wordt aangeboden door veel grote online services. Het proces vereist twee authenticatiestappen (meestal een wachtwoord gekoppeld aan een e-mailadres of telefoonnummer) om in te loggen vanaf een nieuwe computer of apparaat. Zolang hackers geen fysieke toegang tot uw mobiele telefoon hebben en uw e-mail niet ook hebben gehackt, kunnen ze zich niet met alleen een wachtwoord aanmelden.
Gebruikers worden ook aangespoord om regelmatig op malware te scannen, hoewel gebruikers op hun hoede moeten zijn bij het kiezen van anti-malware software, omdat veel geadverteerde opties in feite zelf verborgen malware zijn.
