Case Study
Dark web ‘scanning’ van Google & Mozilla
Niet alleen Google en Mozilla, maar ook Norton, NordVPN en 1Password behoren tot het groeiende aantal bedrijven dat hun klanten een vorm van dark web scanning aanbiedt. Maar is dit echt dark web scanning? Welke waarde heeft het voor consumenten? Hieronder een korte casestudy om deze vragen te onderzoeken.

Om hiervan een oordeel te geven gaan we in dit artikel in op twee diensten, die allebei gratis door consumenten te raadplegen zijn: Google One en HaveIbeenPwned.com, dat wordt gebruikt door zowel 1Password als Mozilla.

Google One

Eerst over Google One. Gewone Google-gebruikers kunnen hier gratis een eenmalige scan krijgen, waarbij tegen betaling (naast onder meer VPN-diensten) ook continue dark web monitoring beschikbaar is. Dit is voor iedereen beschikbaar. Hoe Google aan deze gegevens komt? Volgens de website wordt hiervoor gebruik gemaakt van een leverancier.

In ons specifieke voorbeeld van een echte gebruiker leverde de Google One scan 17 hits op, waarvan 11 keer met een wachtwoord.

Mozilla Monitor / HIBP

Haveibeenpwned.com (HIBP) is een grote naam in de wereld van dark web monitoring. Dit is is een website van Australiër Troy Hunt die al jarenlang mensen op de hoogte stelt van informatielekken rondom hun accounts. Deze website heeft zich door de jaren heen kunnen ontwikkelen tot de industriestandaard op het gebied van dark web monitoring. Daar verdient HIBP de complimenten voor: zonder hun werk had het onderwerp gelekte data nooit de aandacht gehad die het nu heeft.

Interessant is dat HIBP aan een passieve vorm van dataverzameling doet. Het haalt databronnen niet zelfstandig van het dark web, maar ontvangt die van actoren uit het eigen netwerk. Dat heeft natuurlijk implicaties voor de data. Deze is per definitie minder compleet dan het zou kunnen zijn bij een actieve zoekslag.

De vergelijking

In ons specifieke voorbeeld van een echte gebruiker leverde de Google One scan 17 hits op, waarvan 11 keer met een wachtwoord.De scan vanuit HIBP levert heel andere uitkomsten op: 'slechts' 11, waarvan 6 keer mogelijk met een wachtwoord. Mogelijk? Ja HIBP geeft per database aan welke datatypen er gelekt zijn, maar niet welke specifiek voor jouw account. Bij Mozilla Monitor, dat gebruik maakt van HIBP, krijgen we een dieper inzicht in welke gegevens echt gedetecteerd zijn: 8 datalekken waarbij 4 keer een wachtwoord zou zijn gelekt.

Google presteert duidelijk beter dan HIBP/Mozilla, wat suggereert dat het de betere dienst is. De situatie is echter niet zo eenvoudig als je zou denken. Zo zijn alle 11 wachtwoorden die Google heeft geïdentificeerd identiek. Dit zou kunnen worden toegeschreven aan het herhaalde gebruik van een specifiek wachtwoord. Uit de gegevens blijkt dat dit inderdaad minimaal ten dele het geval is: hetzelfde wachtwoord is gebruikt voor LinkedIn (lekjaar 2012), Dropbox (2012) en MyHeritage (2017). Bovendien meldt Google nog eens 8 gevallen waarin dit zelfde wachtwoord is gelekt uit 'compilaties'. Dit zijn door hackersgroepen samengestelde databases waarvan de oorspronkelijke bron of bronnen niet vastgesteld kan worden.

Deze compilaties kunnen interessant zijn, maar moeten wel kritisch worden geëvalueerd. Zo zien we dat er voor Google One zeker voor een deel sprake is van circular reporting. Dit betreft de lijsten Collection #1, #2, #4, #5 en de 2019 Antipublic Combo List die allemaal tussen 25 januari en 6 februari 2019 gepubliceerd zijn. Met andere woorden: dit is dezelfde informatie die meerdere keren gepubliceerd is. Er is hier dus gedeeltelijk sprake van ruis. Begrijp ons niet verkeerd. Elke dark web monitoring bevat een mate van circular reporting. Het is bij compilaties namelijk niet altijd uit te sluiten dat de bron toch uniek is, juist omdat de oorspronkelijke bron nog niet bekend is. Voor de hiervoor genoemde lijsten is het feit dat het circular reporting betreft echter zo algemeen bekend dat dit wel voorkombaar is.

Gek genoeg mist Google dan ook weer het gelekte wachtwoord bij Nitro dat Mozilla wel rapporteert, wat vragen oproept over waar Google de data precies inkoopt.

De aanpak van deze diensten

Ondanks de eerdere complimenten voor het pionierswerk van HIBP moet hier een kritische noot geplaatst worden. De methodiek van HIBP zorgt er namelijk voor dat er per definitie niet aan dark web scanning wordt gedaan. HIBP ontvangt de data immers en doet niet een actieve scanning van dark web fora. Belangrijk: HIBP pretendeert dit niet, maar diensten als 1Password en Mozilla - die HIBP-data gebruiken - wekken deze suggestie van actuele informatie wel degelijk. Zo schrijft 1Password “With Have I Been Pwned integration, you’ll know as soon as any of your logins are compromised.” Mozilla Monitor positioneert zichzelf als “notificatieservice over datalekken”.

De exacte methodiek van Google One kan niet bepaald worden, omdat Google gebruik maakt van een niet nader genoemde derde partij. Nu is het mogelijk dat de onderliggende methodiek inderdaad een vorm van dark web scanning is. Als we de resultaten van Google echter vergelijken met onze eigen database zien we dat hoogstens het pure oppervlakte wordt gescand: behalve wat algemeen bekende hackersfora lijkt de scope van Google weinig te omvatten. Dit verschil heeft mogelijk ook te maken met onze andere methodiek: voor Google One worden hoogstens verschillende dark web fora meer oppervlakig gescrapet, met onze bots krijgen wij toegang tot meer geavanceerde datasets.

De waarde van dark web scanning

De diepgang van deze diensten is dus beperkt. Is het daarmee waardeloos? Het antwoord is: nee, en zeker niet voor consumenten. Het bouwt namelijk aan meer bewustzijn over gelekte wachtwoorden en data. Tegelijkertijd zijn er wel kritische noten te kraken. Zo bevat Google One opzichtige circular reporting die met een meer kritische beoordeling van de eigen data te voorkomen zou zijn. Daarnaast suggereren 1Password en Mozilla dat hun data actueel is, wat op basis van de HIBP-methode simpelweg niet mogelijk is.

De zuiverheid en actualiteit van de gegevens is toch waar het wringt met de geanalyseerde diensten. Niet alleen is zijn de genoemde databases van lekken namelijk beperkt in compleetheid, zuiverheid en actualiteit, het ontbreekt volledig aan informatie over dreigingsindicatoren en gehackte apparaten. Waar een consument zich dit risico misschien nog kan veroorloven is het voor professionele organisaties onacceptabel om op dergelijke data te leunen. Zo zijn er organisaties die in de illusie leven dat ze een compleet en actueel beeld hebben op basis van gegevens van Google en HIBP. Die illusie, zo bewijst bovenstaande analyse, klopt niet.

Other Posts

All
Endorsement Story
News
Case Study
News
March 28, 2024

Vernieuwde Passguard-website

Met trots kondigen we onze vernieuwde Passguard-website aan! De afgelopen maanden heeft ons team hard gewerkt aan het verfijnen van onze propositie om onze klanten nog beter van dienst te zijn.

Endorsement Story
February 4, 2024

“Daarmee maakt Passguard mijn leven als CISO een stuk makkelijker”

Royal FloraHolland is dé leidende internationale coöperatie en marktplaats voor sierteelt. Met hun digitale platform en fysieke hubs maken zehet breedste en diepste sierteeltassortiment wereldwijd makkelijk toegankelijk. Royal FloraHolland neemt ook een voortrekkersrol rondom cyber, bijvoorbeeld als mede initiatiefnemer van het Cyberweerbaarheidscentrum Greenport. Hieruit voortkomend is Royal FloraHolland begonnen met het onder meer aanbieden van het RFH Cyberabonnement voor kwekers en kopers. Voor het in kaart brengen van de eigen dark web exposure maakt het gebruik van Passguard. Waarom? Aan het woord is Bas Wevers, CISO van Royal FloraHolland.

Endorsement Story
March 8, 2024

"Je kunt jezelf pas goed beschermen als je weet waartegen je je beschermt."

Met wereldwijd 12.500 medewerkers, tientallen werven en een omzet van meerdere miljarden euro’s is Damen Shipyards de grootste scheepsbouwer van Nederland. Voor het in kaart brengen van dark web data maakt het gebruik van Passguard. Hans Quivooij, CISO van Damen Shipyards, legt uit waarom.

getprotected@passguard.com
Platform
Starten met Passguard
Hoe Passguard werkt
Waarom Passguard
Modules
Hacks
Threats
Leaks
Company
Over ons
Blog
Contact
PRIVACY
© 2024 - Passguard