In een nieuw rapport over datalekken van de wereldwijde cybersecurity industrie op het Darkweb dit jaar, onthulde het beveiligingsbedrijf ImmuniWeb dat 97% van de toonaangevende cyberbeveiligingsbedrijven datalekken of andere beveiligingsincidenten heeft op het Darkweb. Terwijl er gemiddeld meer dan 4.000 gestolen inloggegevens en andere gevoelige gegevens per cyberbeveiligingsbedrijf lekken.
Zelfs de cybersecurity-industrie is niet immuun voor deze problemen, zoals aangetoond in het onderzoek van ImmuniWeb.
Bevindingen van het onderzoek
De belangrijkste bevindingen van het onderzoek met betrekking tot de datalekken van cyberbeveiligingsbedrijven op het Darkweb waren
- 97% van de bedrijven heeft datalekken en andere beveiligingsincidenten op het Darkweb.
- Er werden 631.512 geverifieerde beveiligingsincidenten aangetroffen waarbij meer dan 25% (of 160.529) van de incidenten werd geclassificeerd als een hoog of kritiek risiconiveau + met zeer gevoelige informatie zoals inloggegevens in platte tekst of PII, inclusief financiële of vergelijkbare gegevens. Daarom zijn er gemiddeld 1.586 gestolen inloggegevens en andere gevoelige gegevens per cyberbeveiligingsbedrijf. Meer dan 1 miljoen niet-geverifieerde incidenten (1.027.395) werden ook ontdekt tijdens het onderzoek van ImmuniWeb, en slechts 159.462 werden ingeschat als laag risico.
- 29% van de gestolen wachtwoorden is zwak, werknemers van 162 bedrijven hergebruiken hun wachtwoorden - uit het onderzoek bleek dat 29% van de gestolen wachtwoorden zwak is, met minder dan acht tekens of zonder hoofdletters, cijfers of andere speciale tekens en dat werknemers van 162 bedrijven (ongeveer 40) hergebruik identieke wachtwoorden op verschillende lekken Dit verhoogt het risico van aanvallen op wachtwoord hergebruik door cybercriminelen.
- Professionele e-mails werden gebruikt op porno- en datingsites voor volwassenen - inbreuken door derden vertegenwoordigden een aanzienlijk aantal van de incidenten, aangezien het onderzoek van ImmuniWeb 5.121 gegevens aantrof die waren gestolen van gehackte porno of datingsites voor volwassenen.
- 63% van de websites van de cyberbeveiligingsbedrijven voldoet niet aan de PCI DSS-vereisten - wat betekent dat ze kwetsbare of verouderde software gebruiken (inclusief JS-bibliotheken en frameworks) of geen Web Application Firewall (WAF) in blokkeer modus hebben.
- 48% van de websites van de cyberbeveiligingsbedrijven voldoet niet aan de AVG-vereisten - vanwege kwetsbare software, het ontbreken van een opvallend zichtbaar privacybeleid of een ontbrekende cookie disclaimer wanneer cookies PII of traceerbare identificatoren bevatten.
- 91 bedrijven hadden kwetsbaarheden in de website beveiliging, waarvan 26% nog niet is gepatcht - deze bevinding kwam van ImmuniWeb, verwijzend naar openlijk beschikbare gegevens over het Open Bug Bounty- project.
Domain Security Test
Het onderzoek werd uitgevoerd met behulp van de gratis online Domain Security Test van ImmuniWeb, die gepatenteerde OSINT-technologie, verbeterd met Machine Learning, combineert om Darkweb datalekken te ontdekken en te classificeren. 398 toonaangevende cyberbeveiligingsbedrijven met het hoofdkantoor in 26 landen, voornamelijk de VS en Europa, werden getest.
VS meest kritieke risico-incidenten
Cybersecurity-bedrijven in de VS werden geconfronteerd met de grootste en meest kritieke risico-incidenten, gevolgd door het VK en Canada, vervolgens Ierland, Japan, Duitsland, Israël, Tsjechië, Rusland en Slowakije.
Van de 398 geteste cyberbeveiligingsbedrijven hadden alleen die in Zwitserland, Portugal en Italië geen incidenten met een hoog of kritiek risico, terwijl die in België, Portugal en Frankrijk het laagste aantal geverifieerde incidenten hadden.
Ilia Kolochenko, CEO en oprichter van ImmuniWeb, gaf commentaar op het onderzoek:
Winst maximaliseren, risico's minimaliseren
"Tegenwoordig proberen cybercriminelen hun winst te maximaliseren en hun risico van aanhouding te minimaliseren door zich te richten op vertrouwde derde partijen in plaats van achter de uiteindelijke slachtoffers aan te gaan. Grote financiële instellingen beschikken bijvoorbeeld vaak over geweldige technische, forensische en juridische middelen om tijdig te detecteren en te onderzoeken."
De zwakste schakel
"Daartegenover staat dat derde partijen, variërend van advocatenkantoren tot IT-bedrijven, meestal geen interne expertise en budget hebben of willen uitgeven om snel te reageren op het groeiende spectrum van gerichte aanvallen en APT's. Uiteindelijk worden ze laaghangend fruit voor pragmatische aanvallers die ook genieten van virtuele straffeloosheid. In 2020 hoef je geen dure investeringen te doen als cybercrimineel, maar vind je verschillende onbeschermde derde partijen met bevoorrechte toegang tot de 'kroonjuwelen' en kraak je snel de zwakste schakel. "
Bittere noodzaak
"Holistische zichtbaarheid en inventarisatie van uw gegevens, IT en digitale middelen is tegenwoordig essentieel voor elk cyberbeveiligings- en complianceprogramma. Moderne technologieën, zoals Machine Learning en AI, kunnen een aanzienlijk aantal arbeidsintensieve taken aanzienlijk vereenvoudigen en versnellen, variërend van anomaliedetectie tot valse positieve reductie. Dit beeld moet echter worden aangevuld met een continue monitoring van Deep en Darkweb en talloze bronnen op het Surface Web. U kunt uw organisatie niet beschermen in afzondering van het omringende landschap dat zal in de nabije toekomst waarschijnlijk nog ingewikkelder worden. "
Bron: immuniweb.com, teiss.co.uk