Meten is weten!

Servers die worden gehackt, datalekken,... Het lijkt een ver-van-je-bedshow. Maar jouw gegevens zouden wel eens gelekt kunnen zijn, zonder dat je het weet. Gelukkig is dat eenvoudig te achterhalen via de tool ‘Have I been pwned?’ én te voorkomen.

Wat is 'Have I been pwned'


‘Have I been pwned?’ oftewel HIBP is een initiatief van Australiër Troy Hunt, die actief op zoek gaat naar datalekken. Ook enkele grote bedrijven waren daar het slachtoffer van, zoals Adobe, Bitly, LinkedIn, Dropbox en Tumblr. Zo heeft hij achterhaald dat er ondertussen al bijna 5 biljoen accounts zijn gehackt en/of gelekt. HIBP is een gratis tool waarmee je snel beoordeelt óf en hoe vaak je online account is gehackt. Je doet dat door je e-mailadres te screenen met slechts één druk op de knop. Als je je ook inschrijft, ontvang je een melding wanneer je e-mailadres voorkomt in een nieuw datalek.

Hoe wordt je wachtwoord gelekt?


Ieder wachtwoord dat op een website wordt ingegeven, moet eigenlijk worden versleuteld (encrypted) voordat het in een databank wordt opgeslagen. Zo wordt het wachtwoord onleesbaar gemaakt. Die versleuteling werkt zoals eenrichtingsverkeer, waardoor het niet teruggezet kan worden naar een tekstueel wachtwoord. Helaas worden wachtwoorden soms nog in tekstvorm in een database opgeslagen, zonder ze eerst te versleutelen. Hoe je dat kan vermoeden? Wanneer je je op een website registreert en je gebruikersnaam en wachtwoord letterlijk worden vermeld in de bevestigingsmail die je nadien ontvangt. Dat betekent automatisch dat ook de eigenaar van de website toegang heeft tot jouw data.

Hoe voorkom je dat?


Maak gebruik van een Password Manager, zoals LastPass of Bitwarden. Door middel van één masterwachtwoord worden al je wachtwoorden versleuteld en kan je ze enkel daarmee raadplegen. Uiteraard geldt dan nog steeds de regel dat je best consequent op elke website een ander wachtwoord kiest.

Abstractive beschermt bedrijven tegen hackers en datalekken


Ten eerste gebruiken we voor alle omgevingen van onze klanten het HTTPS-protocol. In vergelijking met HTTP, waarbij iedereen kan meelezen in geval van een onbeveiligd netwerk, staat HTTPS voor een veilige uitwisseling van gegevens. Ten tweede worden alle wachtwoorden versleuteld zoals het moet. Tenslotte activeren we een Content Security Policy (CSP). Dat is een computerbeveiligingsstandaard om aanvallen te voorkomen en website-eigenaars te beschermen. Daarmee specificeer je onder andere de domeinen die je toegang geeft om elementen in te laden op je website, zoals lettertypes en afbeeldingen. Bijvoorbeeld, als je je website wil opmaken en een bepaald lettertype wil inladen vanuit Google, dan kan er een gevaarlijk achterpoortje voor een hacker ontstaan. Hij kan daardoor bepaalde commando’s veranderen en ervoor zorgen dat gevoelige data, die op de website worden ingegeven, als een kopie naar hem worden doorgestuurd. Met CSP vermijden we dat en voorkomen we dergelijke gevaarlijke scenario’s.

Als softwareconsultant neemt Abstractive veiligheid zeer serieus. Bij het bouwen van software op maat houden we continu rekening met de beveiliging van jouw gegevens. Een niet te onderschatten taak in de wereld van het digitaal ondernemen! Wil je meer informatie over onze aanpak tegen hackers en datalekken? Neem dan zeker contact met ons op.