Een Amerikaans bedrijf dat internetgebruikers betaalt om advertenties te bekijken, enquêtes in te vullen en online taken uit te voeren, heeft de gegevens van 6,6 miljoen mensen gelekt nadat het via een browserextensie was gehackt. Dat laat de Amerikaanse toezichthouder FTC weten.

Het gaat om het bedrijf ClixSense, dat eind 2016 met het datalek te maken kreeg. De beveiliging van de website en het bedrijf liet ernstig te wensen over, aldus de FTC. Ook werden gebruikers misleid. ClixSense stelde dat het de laatste encryptietechnieken gebruikte om de gegevens van gebruikers te beveiligen.

In werkelijkheid werden alle privégegevens, zoals namen, geboortedata, antwoorden op beveiligingsvragen, gebruikersnamen, wachtwoorden en social security nummers in plaintext opgeslagen, zonder enige versleuteling. Verder had ClixSense geen maatregelen genomen om de toegang tussen computers op het eigen netwerk te beperken en waren ook standaard inloggegevens van een server nooit gewijzigd.

Browserextensie

Eind 2015 werd ClixSense door een gebruiker gewaarschuwd voor een extensie waardoor gebruikers automatisch advertenties konden bekijken en klikken. Op deze manier zou de extensie clickfraude faciliteren, waarbij ClixSense gebruikers zou betalen voor advertenties die ze helemaal niet hadden bekeken. Zonder enige voorzorgmaatregelen te nemen, zoals het gebruik van een virtual machine, installeerde een ClixSense-medewerker begin 2016 de extensie op een bedrijfscomputer.

Aanvallers gebruikten de extensie als manier om allerlei informatie te bemachtigen waarmee ze toegang tot het bedrijfsnetwerk van ClixSense konden krijgen. Volgens de FTC was het bedrijf gewaarschuwd dat het was gehackt, gebaseerd op aanwijzingen die de aanvallers achterlieten. Zo werden documenten en e-mailaccounts benaderd, wachtwoorden van medewerkers gewijzigd, e-mailnotificaties voor meerdere netwerkaccounts doorgestuurd en bezoekers van de ClixSense-website doorgestuurd naar een pornosite.

Vanwege de beveiligingsfouten konden de aanvallers een document bij ClixSense downloaden dat de gegevens van 6,6 miljoen mensen bevatte. Vervolgens werden de persoonlijke gegevens van 2,7 miljoen mensen op internet te koop aangeboden, waaronder namen, adresgegevens, geboortedatum, geslacht, antwoorden op beveiligingsvragen, e-mailadressen en wachtwoorden, alsmede honderden social security nummers.

De eigenaar van ClixSense heeft een schikking met de FTC getroffen. Zo mag hij mensen niet meer misleiden over de privacy, security, vertrouwelijkheid of integriteit van de persoonlijke informatie die via zijn ondernemingen wordt verzameld. In het geval één van zijn ondernemingen informatie verzamelt moet er een uitgebreid beveiligingsprogramma worden gevolgd, dat elke twee jaar door een externe partij moet worden gecontroleerd.