Rond de claim van Hold Security inzake de diefstal van 1,2 miljard paswoorden lijken steeds meer vragen te rijzen.
De aankondiging dat ongeveer een 1,2 miljard paswoorden werden gestolen door een Russische groep dieven, ‘CyberVor’ (teenagers of de Russische overheid, dat werd in het midden gelaten), wordt door een aantal security-experten op argwaan en zelfs scepticisme onthaald, zoals onder meer op de blog van security goeroe Bruce Schneier.
Niet alleen biedt Hold security geen kijk op de lijst van gestolen paswoorden, maar tevens wordt ook niet aangegeven in welke mate het om al allicht verouderde informatie zou gaan. Integendeel, er wordt – in tegenstelling tot wat gebruikelijk is – geld gevraagd aan personen om na te gaan of ze zich in die lijst bevinden. Een dienstverlening die overigens nog niet van start zou zijn gegaan.
Schneier omschrijft het ronduit als: “Ja, securitybedrijven houden ervan om een gevaar te hypen, om hun producten en diensten te verkopen. Maar dit gaat verder: op ‘n eentje proberen een paniek te creëren, en dan te profiteren van die paniek.” Bovendien zou de bende er enkel gebruik van maken om spam te versturen, en geen vormen van inbraak mee te bedrijven – ook dat wordt als vreemd gezien. Voorts wijzigden de aantallen wel eens, en zou eerder al eens een gelijkaardig getal door Hold Security zijn gelanceerd.
Alex Holden, de onderzoeker van Hold Security, leeft en werkt in de streek van Milwaukee (in de staat Wisconsin) en in een artikel in de lokale krant, de Milwaukee-Wisconsin Journal Sentinel , wordt onder meer gewezen op onnauwkeurigheden in Holden’s cv wat betreft zijn opleiding, allicht om zijn betrouwbaarheid in vraag te stellen. Holden geeft de fout toe en erkent dat hij inderdaad enkel colleges aan de universiteit heeft bijgewoond, en niet afstudeerde.
In dat artikel stelt Holden overigens dat hij het gepast vindt om geld te vragen voor meldingen van datalekken, want bij vorige gelegenheden werden de bedrijven wel ingelicht, waarna “de meestendank u zegden, en weer weggingen, zonder te informeren naar onze diensten, zonder iets te doen, wat natuurlijk hun recht is. […] Maar hoe moeten wij dan in zaken blijven?”
De (voorlopige) eindconclusie kan niet anders zijn dan inderdaad deze aankondiging wat sceptisch te bekijken. Voorts wijst het voorval eens te meer op de nood aan nog duidelijker en allicht stringentere wetgeving – bij voorkeur Europees inzake welke procedures moeten worden gevolgd bij datalekken en diefstal van paswoorden, elektronische identiteiten en dies meer.
