Pwned: How Often Are Americans' Online Accounts Breached?

Dit onderzoek schat op basis van een representatieve steekproef en data van Have I Been Pwned dat ten minste 82,84% van de Amerikanen minstens één online account heeft zien lekken, met een gemiddelde van ten minste drie inbreuken per persoon, waarbij beter opgeleiden, mensen in de middelbare leeftijd, vrouwen en blanken vaker slachtoffer zijn.

De kern

Titel: Wie heeft er een sleutel in de slot? (En waarom hebben de 'slimme' mensen er meer?)

Stel je voor dat je internet-account een huis is. Je hebt een voordeur, een achterdeur en misschien nog een raam op zolder. De afgelopen jaren zijn er enorme inbraken gebeurd in de digitale wereld. Denk aan grote supermarkten waar duizenden sloten tegelijk zijn gekraakt. Maar de vraag is: hoe vaak is jouw huis eigenlijk al ingebroken?

De auteurs van dit onderzoek (Ken en Gaurav) hebben een enorme digitale detective gespeeld om dit uit te zoeken. Ze hebben 5.000 willekeurige Amerikanen onderzocht en hun e-mailadressen gecontroleerd tegen een enorme database genaamd "Have I Been Pwned" (HIBP). Je kunt HIBP zien als een gigantische politiedatabase van alle bekende inbraken die ooit zijn opgelost en openbaar zijn gemaakt.

Hier is wat ze ontdekten, vertaald naar begrijpelijke taal:

1. De schokkende statistieken: Het is erger dan je denkt

Het goede nieuws: bijna niemand is volledig veilig.
Het slechte nieuws: het is veel erger dan je dacht.

• 83% van de Amerikanen heeft minstens één keer een inbraak gehad. Dat is alsof in een straat van 100 huizen, 83 huizen al eens zijn platgebrand.
• Gemiddeld is het huis van een Amerikaan 3 keer ingebroken.
• Belangrijke nuance: Dit is het minste wat we weten. Het is alsof we alleen kijken naar de inbraken die de krant haalden. Er zijn waarschijnlijk nog duizenden inbraken die nooit bekend zijn geworden, of die te gevoelig zijn om te melden (zoals inbraken in dating-apps of andere gevoelige diensten). En omdat mensen vaak meerdere e-mailadressen hebben (werk, privé, hobby), is het echte aantal waarschijnlijk nog veel hoger.

2. Wie is het meest kwetsbaar? (De verrassende bevinding)

Je zou denken dat mensen met minder geld of minder opleiding minder online zijn en dus veiliger zijn. Maar de cijfers vertellen een heel ander verhaal.

Stel je voor dat je een zwemwedstrijd houdt in een groot zwembad.

• De mensen die minder vaak in het zwembad komen (minder opgeleid, ouderen, jongeren), komen er maar zelden uit met een nat pak.
• De mensen die het meest in het zwembad zwemmen (hoog opgeleid, blank, vrouwen, mensen in de 30-50 jaar), komen er vaker nat uit.

Waarom? Omdat ze vaker in het water zitten, hebben ze meer kans om eruit te worden geslingerd.

• Opleiding: Hoe hoger je diploma, hoe meer inbraken je hebt. Mensen met een doctoraat hebben gemiddeld meer inbraken dan mensen zonder diploma.
• Leeftijd: De mensen in de middenleeftijd (35-50 jaar) zijn de "zwemkampioenen" van de inbraken. Jongeren en heel oude mensen hebben minder last.
• Geslacht: Vrouwen hebben iets meer inbraken dan mannen.
• Ras: Blanken en Afro-Amerikanen hebben de meeste inbraken.

3. Waar komen de inbraken vandaan?

De onderzoekers keken ook naar wie er ingebroken heeft. Het bleek dat een paar grote boeven het merendeel van de schade veroorzaken.
Van de bijna 15.000 inbraken in hun dataset, kwamen er meer dan 11.000 van slechts 21 websites.
Bekende namen zoals LinkedIn, Adobe, Dropbox en MySpace staan hoog in de lijst. Het is alsof er één grote, slecht beveiligde winkel in de stad is waar iedereen zijn waar laat staan, en die winkel wordt keer op keer leeggeroofd.

4. Het verschil tussen "echte" en "verdachte" inbraken

De database maakt onderscheid tussen:

1. Bevestigde inbraken: De politie zegt: "Ja, dit is zeker gebeurd."
2. Spam-lijsten: Dit zijn lijsten met gegevens die misschien niet direct uit een inbraak komen, maar die wel door spammers worden gebruikt (bijvoorbeeld e-mailadressen die je hebt achtergelaten bij een gratis prijsvraag).

Zelfs als we alleen kijken naar de bevestigde inbraken (de "echte" inbraken), blijft het patroon hetzelfde: de mensen die het meest online zijn, hebben de meeste last.

Conclusie: De les voor jou

Deze studie breekt met het oude idee dat "arm en onwetend" het grootste risico is in de digitale wereld. In feite is het vaak andersom: hoe meer je online bent en hoe meer je gebruikt, hoe groter de kans dat je gegevens gestolen zijn.

Het is alsof je een dure, moderne auto rijdt. Je bent veiliger dan iemand op een fiets, maar omdat je zo vaak op de snelweg rijdt, heb je een grotere kans op een ongeluk dan iemand die maar één keer per jaar uitrijdt.

Wat betekent dit voor jou?

• Je bent waarschijnlijk al 'gepwned' (gehackt), zelfs als je het niet weet.
• Gebruik een wachtwoordbeheerder en tweestapsverificatie (zoals een extra slot op je deur).
• Vergeet niet dat als je een account op een grote site (zoals LinkedIn) hebt, die gegevens vaak ook op andere plekken terechtkomen.

Kortom: In de digitale wereld is niemand onzichtbaar, en de mensen die het meest actief zijn, lopen het meeste risico.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Pwned: How Often Are Americans' Online Accounts Breached?" in het Nederlands.

Probleemstelling

Hoewel nieuws over massale online datalekken (breaches) steeds vaker voorkomt, ontbreekt er tot nu toe goede, representatieve data over de mate waarin individuele burgers hierdoor blootgesteld zijn. Er bestaat een algemene angst voor een "digitaal kloof" (digital divide), waarbij men veronderstelt dat mensen met een lagere sociaaleconomische status of minder digitale vaardigheden het meest kwetsbaar zijn. Dit artikel stelt de vraag: Hoe vaak zijn de online accounts van Amerikanen daadwerkelijk gehackt, en hoe varieert dit risico over verschillende demografische groepen?

Methodologie

De auteurs hebben een unieke dataset samengesteld door twee bronnen te combineren:

1. YouGov Steekproef: Een nationaal representatieve steekproef van 5.000 volwassen Amerikanen (getrokken in juli 2018). In tegenstelling tot traditionele enquêtes, werden hier geen vragenlijsten verstuurd. In plaats daarvan gebruikte YouGov de e-mailadressen die al gekoppeld waren aan de panelleden om de data te verzamelen, waardoor er geen non-respons bias was.
2. Have I Been Pwned (HIBP): Een non-profit database die informatie verzamelt over online accountlekken. De auteurs hebben via de HIBP API gecontroleerd of de e-mailadressen van de 5.000 YouGov-respondenten voorkomen in de 293 publiek bekende lekken die door HIBP zijn gedocumenteerd.

Belangrijke beperkingen en aannames:

• Onderschatting (Lower Bound): De resultaten vormen een absolute ondergrens. De auteurs benadrukken drie redenen waarom het werkelijke aantal waarschijnlijk veel hoger ligt:
  1. Niet alle lekken zijn openbaar gemaakt.
  2. HIBP deelt geen data over "gevoelige" lekken (bijv. adult sites) via hun publieke API om reputatieschade te voorkomen.
  3. De studie gebruikt slechts één e-mailadres per persoon, terwijl veel Amerikanen meerdere adressen hebben.
• Dataverwerking: De auteurs onderscheiden tussen geverifieerde lekken, niet-geverifieerde lekken en lijsten met spam (SpamList), waarbij laatstgenoemden data bevatten die vaak via andere middelen dan directe systeemlekken zijn verkregen.

Belangrijkste Bijdragen

• Eerste kwantitatieve schatting: Dit is een van de eerste studies die een representatieve steekproef koppelt aan real-world breach-data om de gemiddelde blootstelling per persoon te schatten.
• Ontkrachting van het "Digital Divide"-narratief: De studie levert empirisch bewijs dat de groep die het meest online actief is (hoger opgeleid, blanken, etc.) ook het meest blootgesteld is aan lekken, in plaats van dat de kwetsbaarste groepen het meest getroffen worden door gebrek aan kennis.
• Open Science: De auteurs hebben de data en scripts openbaar gemaakt via GitHub, wat reproduceerbaarheid garandeert.

Resultaten

De analyse leverde de volgende kerncijfers op:

1. Algemene Blootstelling:

   • Minimaal 82,84% van de Amerikanen heeft ten minste één keer een account lek gehad.
   • De 5.000 e-mailadressen zijn gekoppeld aan 14.979 lekken.
   • Het gemiddelde aantal lekken per persoon is 3 (mediaan is ook 3).

2. Demografische Variatie:

   • Opleiding: Er is een bijna monotoon positief verband. Personen met een postdoctorale opleiding hebben gemiddeld 3,20 lekken, terwijl personen zonder diploma gemiddeld 2,35 lekken hebben.
   • Geslacht: Vrouwen zijn 1,2 keer vaker het slachtoffer van lekken dan mannen (gemiddeld 3,17 vs. 2,82).
   • Ras: Blanken (3,16) en Afro-Amerikanen (3,12) hebben het hoogste gemiddelde. Latino's hebben het laagste gemiddelde (2,50).
   • Leeftijd: Het risico is het hoogst bij de middelbare leeftijdsgroepen (35-65 jaar) en lager bij jongeren (<25) en senioren (>65).

3. Bron van de Lekken:

   • De lekken stammen van 156 verschillende domeinen, maar er is een sterke concentratie: 21 domeinen waren verantwoordelijk voor de overgrote meerderheid van de lekken.
   • Topdomeinen zijn o.a. RiverCityMediaOnline, LinkedIn, Adobe, Dropbox en MySpace.

4. Type Lekken:

   • 94,58% van de gevonden lekken was geverifieerd.
   • Bij analyse van alleen de "geverifieerde, niet-spam" lekken blijven de trends voor opleiding en leeftijd grotendeels hetzelfde, maar verandert het beeld per ras: Aziaten en Blanken blijven hoog, terwijl Afro-Amerikanen relatief minder vaak in deze specifieke categorie voorkomen, wat suggereert dat zij vaker betrokken zijn bij niet-geverifieerde of spam-gerelateerde lekken.

Betekenis en Conclusie

De studie concludeert dat de gemiddelde Amerikaan gemiddeld drie keer is blootgesteld aan een datalek, en dat dit een conservatieve schatting is. Het belangrijkste inzicht is dat hogere blootstelling correleert met hoger gebruik van online diensten.

Dit weerlegt de traditionele aanname dat mensen uit lagere sociaaleconomische groepen het meest kwetsbaar zijn voor digitale gevaren door gebrek aan kennis. In plaats daarvan zijn het juist de beter opgeleiden, blanken en mensen met een hoger inkomen die, omdat ze vaker en intensiever online zijn, statistisch gezien het meest getroffen worden door datalekken. Dit impliceert dat beveiligingsstrategieën niet alleen gericht moeten zijn op het "digital divide", maar dat ook de meest digitale gebruikers zich bewust moeten zijn van hun kwetsbaarheid.