Trapte New York Times in marketingtruc van het schimmige Hold Security?

Het bedrijfje dat vorige week waarschuwde voor Russische hackers die een miljard wachtwoorden en gebruikersnamen zouden hebben buitgemaakt, houdt er zelf dubieuze manieren op na. The New York Times bracht het nieuws, maar sindsdien heeft niemand alarm geslagen, geen gedupeerde heeft zich gemeld. Is de Amerikaanse krant in een marketingtruc getrapt?

De website van Hold Security, het bedrijf dat 'de diefstal' op het spoor kwam. Beeld anp

Sinds The New York Times het nieuws vorige week dinsdag bracht, is bij het ministerie van Veiligheid en Justitie geen enkele melding binnengekomen dat er databases zijn gekraakt. Internationale zusterorganisaties hebben evenmin iets gehoord. Het lijkt er vooralsnog op dat er geen grote bedrijven zijn geraakt door de 'grootste datadiefstal aller tijden'.

Want zo noemt het Amerikaanse internetbedrijf Hold Security het zelf nog steeds op zijn website. Met veel uitroeptekens. 'Breaking news! Meer dan één miljard gegevens gestolen van duizenden websites! U bent gehackt!'

Russen, hackers, grote getallen: nadat The New York Times het meldde, zong het al gauw overal rond, zeker op tv en internet (al moet gezegd dat de meeste Nederlandse kranten het nieuws klein of helemaal niet brachten). Hold Security bleek criminele marktplaatsen op het verborgen Tor-netwerk te hebben afgestruind en daar een bende te zijn tegengekomen die de afgelopen jaren miljoenen gegevens bij elkaar zou hebben gekocht en gestolen. In totaal zouden 420 duizend websites gecompromitteerd zijn.

Kanttekeningen
Verschillende experts plaatsten al snel kanttekeningen. Hold Security hield het allemaal erg vaag. Het wilde niet zeggen welke bedrijven bestolen waren. Het wilde niet zeggen wat voor gegevens de dieven precies hadden bemachtigd, bijvoorbeeld hoe oud de wachtwoorden waren (een Hyves-wachtwoord uit 2006 levert criminelen niet veel op) en of die versleuteld waren (dan zijn ze onleesbaar).

Bovendien moeten bedrijven Hold Security 120 dollar per jaar betalen om erachter te komen of ze ook slachtoffer zijn. Voor particulieren is het abonnement de eerste zestig dagen gratis. 'Er is nog steeds heel weinig duidelijk', zegt internetveiligheidsexpert Martijn Grooten van Virus Bulletin. 'Zulke grote aantallen zijn wel mogelijk, maar dat wisten we eigenlijk al. Het is de vraag wat de criminelen ermee doen.'

Volgens Hold Security zelf worden de gestolen gegevens vooral gebruikt voor spam - ongevraagde reclamemailtjes. Dat is een relatief onschuldig misbruik. Met fraude en identiteitsdiefstal is veel meer te verdienen; dat de criminelen dat niet doen, betekent dat de wachtwoorden en e-mailadressen niet heel bruikbaar zijn.

Is dit een marketingstunt geweest? Nicole Perlroth van The New York Times, auteur van het stuk, reageert fel. 'In cybersecurity heeft elk bedrijf publicitaire redenen om naar buiten te treden. Maar ik ben blij dat ze het hebben gedaan, want de dreiging is reëel. Ik heb wachtwoorden van mijzelf gezien in die database, en die waren niet oud. En spam is wel degelijk schadelijk. Ondanks alle kritiek heeft niemand ons van fouten kunnen betichten.'

Schimmig
Grooten zet vooral vraagtekens bij de manier waarop Hold Security met de data is omgegaan. 'Het zijn gestolen gegevens, die Hold Security op zijn beurt heeft gestolen om er geld mee te verdienen. Dat is dubieus.'
Matthijs Koot, werkzaam als veiligheidsexpert bij Madison Gurkha, is nog stelliger. 'Hold Security creëert angst en biedt een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar maffiapraktijken.'

Hold Security, een in Milwaukee gevestigd bedrijf van de Oekraïner Alex Holden, blijkt een wat schimmig bedrijf. De foto van het managementteam blijkt gewoon een stockfoto, te koop bij een online fotowinkel onder de titel 'CEO met zijn team'. De foto staat bij tientallen bedrijfjes wereldwijd op de website.

Grooten en Koot vinden het vooral twijfelachtig dat mensen hun wachtwoord moeten intikken om erachter te komen of dat wachtwoord ook in de database van de hackers voorkomt. 'Dat is typisch iets wat je nooit moet vragen. Ook al zal het wachtwoord worden versleuteld: nooit je wachtwoord intikken op een andere site.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden