Onder de noemer No More Leaks gaan de politie en een groot aantal ondernemingen samen de strijd aan tegen misbruik van gestolen inloggegevens. Theo van der Plas, programmadirecteur Digitalisering en Cybercrime namens de politie, en de deelnemende partijen tekenden hiervoor een overeenkomst.

Steeds vaker stuit de politie op grote datalekken waarbij miljoenen inloggegevens van online accounts zijn buitgemaakt. Een wereldwijde ondergrondse online economie maakt het criminelen mogelijk eenvoudig beschikking te krijgen over deze gestolen inloggegevens. Daarmee proberen ze op geautomatiseerde wijze toegang te krijgen tot online accounts. Bijvoorbeeld om goederen of diensten op naam van de eigenaar te bestellen of persoonsgegevens te verzamelen voor identiteitsfraude of andere misdrijven. Door het internationale karakter van deze vorm van criminaliteit en allerlei anonimiseringstechnieken is het lastig deze criminelen op te sporen en voor de rechter te brengen.

Preventieve aanpak
Een preventieve aanpak waarbij het criminele verdienmodel wordt doorbroken, is het meest efficiënte middel om doeltreffend op te treden tegen deze vorm van online criminaliteit. Met dat uitgangspunt heeft de politie het project No More Leaks opgezet. Dat is een publiek-privaat samenwerkingsverband tussen de politie en een groot aantal ondernemingen met veel online accounthouders. Bedrijven ondervinden veel last van de populaire en laagdrempelige manier waarop criminelen geld proberen te verdienen over de rug van hun klanten.

Extra beveiliging
Met het project No More Leaks wil de politie misbruik van inloggegevens tegengaan door deze data ‘gehasht’ te verstrekken aan de deelnemende partijen. Daarmee wordt bedoeld dat de gebruikersnamen en wachtwoorden met behulp van een wiskundige berekening worden versleuteld. De deelnemende ondernemingen kunnen deze lijsten met hashes gebruiken als extra beveiligingsmaatregel in hun inlogproces. Als een hash overeenkomt, krijgt de desbetreffende klant een wachtwoordwijzigingsverzoek om zo mogelijke (verdere) schade te voorkomen.

Aangesloten bedrijven
De effectiviteit van het project neemt toe naarmate de hoeveelheid inloggegevens groeit en er meer bedrijven aansluiten. Ondernemingen zoals KPN, Randstad, Tweakers, Nederlandse Loterij, OneWelcome, Greenwheels en WeGo B.V hebben al toegezegd mee te doen. Het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) en Digital Trust Center (DTC), beide onderdeel van het ministerie van Economische Zaken en Klimaat, en branchevereniging Thuiswinkel.org participeren als faciliterende partijen. Deelname aan No More Leaks is gratis en heeft als doel de samenleving digitaal veiliger te maken, bedrijven weerbaarder te maken en daarbij het misbruik van klantenaccounts en daaruit voortkomende criminaliteit te verminderen.

Privacy
De gegevens worden op voor de politie beschikbare systemen intern opgeslagen en uitsluitend versleuteld gedeeld met de deelnemende partijen. Deze verstrekking is juridisch mogelijk op basis van artikel 20 van de Wet Politiegegevens. Net als de politie nemen de deelnemende partijen technische en organisatorische maatregelen om de gegevens te beveiligen en de privacy van de gegevens te waarborgen. Deze worden benoemd in het convenant dat door de partijen moet worden getekend als voorwaarde om mee te doen aan No More Leaks. De toetsing om de lijsten vanuit strafrechtelijke onderzoeken te delen ligt wat betreft het opsporingsbelang bij de betrokken zaaksofficier van justitie.

Ondernemingen die last hebben van misbruik van inloggegevens kunnen zich aansluiten bij No More Leaks en contact opnemen via [email protected].