Kerstdag 2014, op hét moment dat mensen nieuwe games of spelcomputers willen uitproberen gaan zowel  Xbox Live als PlayStation Network (PSN) uit de lucht. Hackers overbelasten de online diensten totdat Kim Dotcom, eigenaar van het voormalige Mega Upload (tegenwoordig Mega), via Twitter aanbiedt om hen te voorzien van gratis Mega-accounts. Eventjes stoppen de aanvallen, maar als de gratis accounts binnen zijn gaan deze onvermoeid door. Live en PSN zijn pas laat op tweede Kerstdag weer goed bereikbaar.

Kinderspel zou je kunnen zeggen. Een DDoS-aanval is uiteindelijk niets anders dan het genereren van zoveel (nep) verkeer naar een website (of service in dit geval) dat de servers het niet aankunnen, onbereikbaar worden. Toch, het was volgens de hackers zelf de grootste aanval in zijn soort, ooit. Eén van de daders voerde de aanval uit in een alcoholroes van de avond daarvoor, zijn 22ste verjaardag. Tegenover The Daily Dot:

“If I was working at Sony or Microsoft and had a big enough budget, I could totally stop these attacks. I’d buy more bandwidth, some specific equipment, and configure it correctly. It’s just about programming skill. With an attack of this scale, it could go up to the millions. But that’s really no problem for Sony and Microsoft.” 

Een les in nederigheid voor deze giganten, maar zij niet alleen. Ook World of Warcraft was eerder dit jaar slachtoffer van dezelfde groep. Een paar maanden geleden was het de website van het Vaticaan.

Meer mensen, meer geld nodig

De hackers zelf leggen de schuld bij incapabele mensen en te kleine budgetten (dus weinig focus?) bij grote multinationals om zichzelf en klanten te beveiligen. Weinig hoopgevend: de Amerikaanse bank JPMorgan Chase spendeerde dit jaar $250 miljoen aan IT-beveiliging, maar kon niet voorkomen dat de persoonlijke gegevens van 76 miljoen huishoudens en 7 miljoen bedrijven gestolen werden. Bij veilingsite eBay werden dit jaar van álle 145 miljoen gebruikers persoonlijke gegevens gestolen.

Ultieme transparantie

In 2014 was het verstandig om je bij iedere vorm van online communicatie en opslag af te vragen of je er geen moeite mee zou hebben als die informatie voor de hele wereld zichtbaar zou zijn. In september was daar ‘The Fappening’ waarbij via Apple’s iCloud foto’s en video’s van Hollywood-sterren uitlekte.

Op de valreep van dit jaar dook de mondiale pers bovenop al het vunzige dat de hack van Sony Pictures Entertainment met zich meebracht. Want vunzig dat was het: interne e-mails tussen Sony CEO Kazuo Hirai en Sony Pictures voorzitter Amy Pascal (over het einde van de film The Interview) en tussen Pascal en producer Scott Rudin (onaardige opmerkingen over Angelina Jolie en Barack Obama) lagen ineens op straat. Zo mogelijk schrijnender: uit een interne memo (PDF) van de filmstudio blijkt dat het complete personeelsbestand inclusief bankgegevens en kopieën van identiteitsbewijzen in handen is gekomen van de hackers, die zichzelf ‘Guardians of Peace’ noemen.

The Interview

De hack zou mogelijk te maken hebben met die film The Interview waarin grappenmakers Seth Rogen en James Franco naar Noord Korea afreizen en leider Kim Jong-un belachelijk maken. Na de hack wilde bioscoopketens de film niet tonen, bang voor aanslagen. Later besloot Sony om de film alsnog uit te brengen via verschillende websites en art-house bioscopen. Dat leverde in de eerste vier dagen $15 miljoen op, een succes voor zo’n beperkte, deels online uitgave.

President Obama reageerde op de kwestie met: “We zullen gepast reageren.” Vervolgens stokte het internet in heel Noord Korea meerdere keren door aanvallen waarvan behalve de Amerikaanse staat ook de groep die Xbox Live en PSN tijdens kerst offline haalde, van wordt beschuldigd. Van vermeend kinderspel naar wereldpolitiek, het maakt voor deze hackers niet zoveel uit.

2015

Zeggen dat beveiliging beter moet, dat kan ieder jaar wel natuurlijk. De voorbeelden van het afgelopen jaar suggereren dat het beveiliging van (online) persoonlijke informatie misschien wel niet mogelijk is, een ongrijpbaar begrip. Dat is niet zo, maar de aandacht gaat vanzelfsprekend uit naar de missers, niet naar partijen die de zaken wel op orde hebben.

Feit is dat het nog te vaak misgaat bij bedrijven waarvan je verwacht dat er resources zijn om het goed aan te pakken. Bedrijven die beter moeten weten. Het gaat te vaak mis met gegevens van klanten, veelal onwetende consumenten. Net zoals die consumenten moeten bedrijven er in ieder geval alles aan gedaan hebben om te voorkomen dat er data weglekt.