BOEWE KAN GESTEELDE DATA SO GEBRUIK

Die data van miljoene Suid-Afrikaners wat ’n kuberkrakergroep gesteel het, kan uiteindelik daartoe lei dat georganiseerde misdaad, soos huisbrake en motorkapings in Suid-Afrika verder toeneem, maan kuberveiligheidskenners.

N4ughtySecTU, ’n gyselware-bende wat glo in Brasilië gesetel is, het by die kredietburo TransUnion se bedieners ingebreek en uiters sensitiewe inligting van Suid-Afrikaanse verbruikers en maatskappye bekom. Daar word gevrees dat soveel as 54 miljoen mense blootgestel is.

Kuberaanvallers verkoop dikwels die data wat hulle steel op die donker internet of regstreeks aan georganiseerde misdaadgroepe.

“’n Dataskending soos hierdie kan die voorloper wees van fisieke misdaad. Afhangend van die soort persoonlike inligting wat krakers uitlek, kan hulle veral ryk individue in hul visier hê wanneer voertuigregistrasienommers, woonadresse en selfoonnommers bekend is,” sê Marthinus Engelbrecht, uitvoerende hoof van Neworder, ’n kuber- en IT-veiligheidsmaatskappy.

“Motorkapings, huisbrake en ontvoerings kan toeneem as misdadigers weet waar jy bly en waar jou kinders skool gaan,” sê Engelbrecht.

Volgens TransUnion het ’n “derde party” verlede Donderdag toegang tot een van sy bedieners verkry. Die losprysware-bende N4ughtySecTU het verantwoordelikheid vir die aanval aanvaar en beweer die persoonlike inligting van sowat 54 miljoen Suid-Afrikaners is gesteel. Die groep eis ’n losprys van R225 miljoen in bitcoin wat teen Vrydag (25 Maart) betaal moes wees. TransUnion het tot dusver geweier om die losprys te betaal.

Die kredietburo hou ook voet by stuk dat die afgelope week se dataskending op ’n geïsoleerde bediener was wat slegs beperkte data van ’n gedeelte van sy Suid-Afrikaanse kliëntebasis bevat. Hy sê die data van die “54 miljoen Suid-Afrikaners” wat gesteel is, spruit uit ’n voorval in 2017 en het niks met hom uit te waai nie.

In Augustus 2020 is Experian, ook ’n kredietburo, se data gesteel wat ongeveer 24 miljoen individue en byna 800 000 maatskappye ingesluit het.

N4ughtySecTU het deur die loop van die week die ID-nommers van pres. Cyril Ramaphosa en sy vrou asook Julius Malema, EFF-leier, op Telegram gelek, berig MyBroadband. Die groep het ook ’n Cell C-kliëntedatabasis en ANC-data aanlyn gepubliseer. Die groep het die data bekend gemaak om te demonstreer dat hulle wel groot volumes data bekom het. Volgens MyBroadband dateer die Cell C- en ANC-data egter uit onderskeidelik 2010 en 2020.

“Die feit bly staan: TransUnion hou inligting oor elke verbruiker wat al ’n motorlening, huisverband, selfoonkontrak, versekering of enige ander vorm van krediet gehad het. Dit kan bo en behalwe name en vanne selfoonnommers, woonadresse en kredietinligting insluit,” sê Engelbrecht.

’n Kredietburo se data is vanuit ’n kuberkraker se oogpunt dus die kroonjuwele, want dit het ook ander “newevoordele” soos dat bepaalde individue en maatskappye afgepers kan word, kuberaanvalle kan so beplan word dat dit sektor-spesifiek is en die gesteelde data kan aan derdeparty-misdadigers verkoop word.

Prof. Bruce Watson, inligtingshoof by die Universiteit Stellenbosch, sê dit is onwaarskynlik dat die gesteelde data in besit sal kom van ’n “laer-vlak” kubermisdadiger. “Hierdie dataskendings waar professionele krakers by betrokke is verder op in die voedselketting en dit hou ’n werklike bedreiging in vir mense wie se data bekom is.

“As woonadresse en telefoonnommers byvoorbeeld deel is van die data wat gesteel is, kan mense se huise en hul bewegings dopgehou word. En met die regte tegnologie kan hulle selfs weet waarheen jy gaan omdat hulle jou selnommer het.”

TransUnion per e-pos aan Rapport gesê hy kan nie met sekerheid sê of die dataskending historiese en huidige inligting van verbruikers en kommersiële kliënte insluit nie.

Intussen beweer die gyselware-bende hulle het toegang tot TransUnion se bedieners gekry deur bloot die wagwoord van een van die kredietburo se kliënte te raai. Die wagwoord was glo “password”.

Watson sê dit is reeds onverantwoordelik as individuele gebruikers nie sterk wagwoorde gebruik nie. Maar dit is “dubbel onvergeeflik” wanneer ’n maatskappy wat groot hoeveelhede data in sy besit het nie die nodige veiligheidsmaatreëls in plek het nie.

Bo en behalwe die feit dat kuberkrakers toegang tot TransUnion se bedieners verkry het, was die nodige monitering nie in plek nie. “Daar is standaard-IT-programme wat vir jou sal sê wanneer groot hoeveelhede data (in geval van moontlike skendings) beweeg word. As miljoene rekords van mense oorgedra word na ’n ander bediener moet die gevaarseine mos aangaan.”

Watson sê dit is ironies dat TransUnion boonop ’n soort data-beskermingsdiens aan sy kommersiële kliënte bied. Op die kredietburo se webwerf word “data breach services” geadverteer waar TransUnion maatskappye en kliënte help om die “risiko van ’n skending te verminder”.

“As jy so ’n diens wil lewer moet jy ten minste darem ook jou eie data kan beskerm,” sê Watson.

In Suid-Afrika hou maatskappye wat slagoffers van gyselware-aanvalle is dit maar stil, veral wanneer dataskendings ter sprake is, sê Marthinus Engelbrecht, uitvoerende hoof van Neworder.

Daar was reeds meer as 139 dataskendings sedert die Wet op die Beskerming van Persoonlike Inligting – oftewel Popi – in Julie 2021 in werking getree het.

“Maar dit gee nie die ware prentjie nie, want baie maatskappye probeer dit onder die mat invee.”

’n Paar bekende maatskappye wat die afgelope drie jaar wel hul dataskendings bekend gemaak het, sluit in:

■ Liberty Life;

■ Master Deeds;

■ Ster-Kinekor;

■ Experian;

■ Departement van Justisie;

■ LIFE Healthcare;

■ Standard Bank;

■ Debt-IN;

■ Transnet; en

■ Logbox.