Uit onderzoek van NordVPN blijkt dat er wereldwijd miljarden gestolen cookies op het dark web te koop zijn. Daarvan waren er 154 miljoen afkomstig uit Nederland. Gestolen cookies kunnen een gevaar vormen vanwege de privacygevoelige informatie die ze vaak bevatten.
De onderzoekers zagen dat een groot deel van de cookies nog actief waren. Dat wil zeggen dat ze gebruikt zijn om een sessie met een (web)server te initiëren en dat de sessie nog niet is beëindigd. In theorie kunnen criminelen deze gebruiken om inloggegevens te achterhalen, zelfs al zijn die beveiligd met MFA. 17% van de 54 miljard geanalyseerde wereldwijde cookies was nog actief. Van de 154 miljoen uit Nederland was dat zelfs 27%.
Daarnaast bevatten cookies vaak gegevens als naam, woonplaats en adres of locatie. Deze gegevens kunnen worden gebruikt om een profiel op te bouwen van de gebruiker. Iets wat adverteerders overigens voortdurend doen. Zo’n profiel kan behalve voor gericht adverteren, ook gebruikt worden voor gerichte scams of phishing.
Google en YouTube
De onderzoekers zagen dat ruim 2,5 miljard cookies afkomstig waren van Google, 692 miljoen van YouTube, en ruim 500 miljoen van Microsoft en Bing. Volgens NordVPN kunnen dergelijke cookies van ‘kernaccounts’ worden gebruikt om toegang te krijgen tot meer inloggegevens via onder meer wachtwoordherstel, bedrijfssystemen of SSO.
De meeste cookies waren afkomstig uit Brazilië, India, Indonesië, de VS en Vietnam. In Europa kwamen de meeste uit Spanje (554 miljoen). In totaal kwamen 244 landen en gebieden in de database voor.
Op trefwoord verkrijgbaar
Op het dark web worden de cookies keurig gerubriceerd aangeboden. De grootste categorie had het trefwoord ’toegewezen ID’ (10,5 miljard), gevolgd door ‘sessie-ID’ (739 miljoen). Dit zijn cookies die een computer en gebruiker linken aan een server-sessie. Daarnaast waren er 154 miljoen cookies voor authenticatie en 37 miljoen voor logins.
Cookies worden gestolen door malware. De succesvolste daarbij is de keylogger Redline die erin slaagde om bijna 56% van de cookies in de database te verzamelen. Overigens werden bijna alle cookies gestolen op Windows-computers. Met name Windows 10 Enterprise kwam veel voor (30%), wat betekent dat zakelijke computers een groot risico vormen. Apple-gebruikers lijken grotendeels gespaard, niet meer dan 31 miljoen cookies bleken afkomstig van macOS.
Onafhankelijke onderzoekers
NordVPN zegt het onderzoek te hebben gedaan samen met onafhankelijke onderzoekers die gespecialiseerd zijn in onderzoek naar cyberbeveiligingsincidenten. De onderzoekers gebruikten gegevens verzameld via Telegram-kanalen waar hackers adverteren welke gestolen informatie te koop is. Dit leidde tot een dataset met informatie over ruim 54 miljard cookies. Onderzoekers analyseerden of de cookies actief of inactief waren, welke malware werd gebruikt om de cookies te stelen, uit welk land of gebied ze afkomstig waren, en welke gegevens ze bevatten over het bedrijf dat de cookie maakte, het besturingssysteem van de gebruiker en de trefwoordcategorieën die aan de gebruikers waren toegewezen.
Meer informatie over het onderzoek vind je hier.