Een cybercrimeforum dat al jaren persoonlijke gegevens van Amerikanen aanbiedt, blijkt gebruik te maken van een botnet bij databrokers. Daarin hangen servers van onder meer een grote datahandelaar die antecedentenonderzoeken uitvoert voor potentiële werknemers in het botnet.

Datadief verdient aan records

Ook de databanken van LexisNexis zijn gekraakt en van een Amerikaanse data-aggregator om kredietwaardigheid te controleren. Deze en andere datahandelaars lekken dus informatie naar de cyberbende. Dit is ontdekt door securitydeskundige Brian Krebs na zeven maanden onderzoek naar de bron van de privégegevens.

Databrokers verdienen aan het verzamelen van gegevens voor bedrijven. Cybercriminelen doen hetzelfde, maar dan aan de andere kant van de wet. Het forum dat door Krebs is onderzocht, verkoopt gegevens voor prijzen uiteenlopend van 50 dollarcent tot 2,50 dollar per record.

High profile-lek trekt aandacht

Het cybercrimeforum, SSNDOB, biedt allerlei privégegevens aan. Met deze gegevens publiceerden hackers van het collectief UGNazi eerder dit jaar onder meer kredietgegevens van de Amerikaanse First Lady Michelle Obama. Het vermoeden bestond toen dat het forum gegevens verzamelt die hackers hebben gestolen, om die vervolgens door te verkopen. De werkelijkheid blijkt minder complex en tegelijkertijd erger te zijn: het forum 'betrekt' de gegevens rechtstreeks van datahandelaars.

Door de high profile-zaak van Michelle Obama is ook de FBI gaan rondsnuffelen. Krebs raakte zelf goed bekend met de geheimen van SSNDOB, toen het forum zelf slachtoffer werd van een hack. Security-onderzoeker Krebs kreeg daardoor de gegevens van het ondergrondse forum in handen en kon die doorpluizen.

Databanken rapporteren aan C&C

Hij ontdekte daarbij dat de databases die het forum gebruikt, zijn samengesteld uit gegevens die direct afkomstig zijn van diverse databrokers in de Verenigde Staten. Tenminste vijf grote data-aggregators lekten informatie naar een command-and-controlserver die door de cybercriminelen is opgezet.

Krebs onderzocht de malware die voor het botnet is ingezet en merkt op dat die dataslurpersoftware zorgvuldig op maat is gemaakt om detectie door virusscanners te vermijden. In september diende Krebs een sample van de gebruikte malware in bij de geagregeerde virusscanner Virustotal en de malware werd door geen enkele scanner gedetecteerd.

Malafide progje geplaatst

De getroffen dataverzamelaars stellen samen te werken met de autoriteiten. De befaamde databankleverancier LexisNexis zegt al sinds april onderzoek te doen naar de hack. Moederbedrijf Reed Elsevier meldt aan Krebs dat er geen indicatie is dat er gegevens zijn buitgemaakt en dat er hangende het onderzoek geen verdere mededelingen worden gedaan.

Volgens Krebs is er in april een malafide programma geplaatst op de servers van LexisNexis. Dat bedrijf verzamelt in zijn databanken een hoop privégegevens, onder meer om de identiteit van gebruikers te kunnen verifiëren. De securityonderzoeker wijst erop dat dit soort authenticatie – op basis van beschikbare gegevens over de identiteit van gebruikers – erg gevoelig is voor social engineering. Deze praktijk is volgens deskundigen daarom al langer ten dode opgeschreven.

Medische gegevens

Andere databrokers, zoals Kroll Background America, houden de kaken helemaal stijf op elkaar. Zij houden het bij de summiere mededeling dat ze onderzoek doen om de veiligheid van klanten te waarborgen. Kroll doet voor bedrijven onderzoek naar het arbeidsverleden en de gezondheid van werknemers. Het herbergt daarmee een hoop gevoelige informatie op zijn servers.