Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Datalek: cybercriminelen bieden 3,2 miljard inloggegevens met wachtwoorden en mailadressen aan

    Datalek: cybercriminelen bieden 3,2 miljard inloggegevens met wachtwoorden en mailadressen aan

    Op een forum dat populair is onder hackers is een enorme bundel met 3,2 miljard unieke inloggegevens verschenen. Het gaat om combinaties van mailadressen en wachtwoorden van platformen als Netflix en LinkedIn dat onder de term 'COMB' (Combination of Many Breaches) wordt aangeboden.

    Details over de gigantische verzameling gestolen inloggegevens werden afgelopen weekend gemeld door het weblog SecurityAffairs. Het zou voor een groot deel gaan over gegevens die bij een aantal oudere datalekken zijn buitgemaakt, maar de exacte aard en omvang van deze nieuwe verzameling inloggegegevens zijn op het moment van publicatie nog niet bekend, anders dan dat het in ieder geval lijkt te gaan om inloggegevens van onder andere Netflix en LinkedIn die na eerdere datalekken op straat kwamen te liggen.

    Dit gigantische archief wordt in versleutelde vorm aangeboden in een met een wachtwoord beveiligde datadump, en is verder geheel in alfabetische volgorde geordend in een soort boomstructuur om het zoeken makkelijk te maken. De dump bevat daarnaast ook scripts om e-mailadressen op te kunnen zoeken en de data te kunnen sorteren.

    Hieronder een screenshot van de betreffende post, waarvan de anonieme plaatser overigens beweert dat het om 3,8 miljard gegevens gaat. Cyberexperts houden het vooralsnog op 3,2 miljard, dus beschouwen we dat getal als leidend. De tekst is wat klein en daardoor moeilijk leesbaar, maar de kern hebben we zojuist al samengevat.

    De forumpost waarin de dump wordt aangeboden
    Security Affairs
    De forumpost waarin de dump wordt aangeboden

    Cyberdeskundigen: '14% van de gegevens uit de datadump niet eerder openbaar'

    Zorgwekkend is bovendien dat een analyse van cyberdeskundigen uitwijst dat 14 procent van de gebruikersnaam- en wachtwoordcombinaties uit deze datadump niet eerder in platte tekst beschikbaar is geweest. Een dergelijk percentage lijkt misschien relatief weinig, maar 14 procent van 3,2 of zelfs 3,8 miljard is alsnog een buitengewoon omvangrijke hoeveelheid inloggegevens waar hackers en andere kwaadwillenden hun slag mee kunnen slaan. 

    Het is belangrijk dat cyberdeskundigen bovendien niet zozeer spreken van een eenvoudige lijst met data, maar dat het meer het karakter heeft van een interactieve database waar continu nieuwe gestolen of gelekte informatie aan kan worden toegevoegd. Door de zoek- en sorteerfunctionaliteiten kunnen hackers bepaalde aanvalsprocessen bovendien automatiseren.

    In het hergebruiken van wachtwoorden schuilt een groot potentieel risico

    Voor veel mensen geldt dat tientallen of zelfs meer dan honderd verschillende accounts helemaal niet zo'n vergezocht aantal is, al zul je waarschijnlijk niet zoveel accounts tegelijkertijd actief gebruiken. Maar dat betekent niet dat er geen risico is: denk bijvoorbeeld maar eens aan webshops waar je een paar jaar geleden ooit een account hebt gemaakt om wat te kunnen kopen.

    Mensen hebben de neiging om hetzelfde wachtwoord voor verschillende diensten te gebruiken, zoals e-mail, sociale media, werkgerelateerde accounts, abonnementen, fora, webshops en wellicht zelfs internetbankieren of andere financiële diensten. Als één mail- en wachtwoordcombinatie op straat komt te liggen en je met diezelfde gegevens ook inlogt bij tal van accounts bij andere platformen en dienstverleners, is de kans dus vrij groot dat kwaadwillenden ook elders toegang toe kunnen krijgen.

    Omdat de doorsnee gebruiker vaak de slechte gewoonte heeft om hetzelfde wachtwoord te gebruiken, waarschuwen cyberdeskundigen dan ook dat de beschikbaarheid van deze dump een enorme impact kan hebben.

    Wat kun je zelf doen om je accounts veilig te houden?

    Onderzoekers van Cybernews.com hebben de data van deze dump toegevoegd aan hun eigen Personal Data Leak Check. Je kunt je mailadres invoeren en dan zie je of het ooit bij een lek is buitgemaakt en welke stappen je kunt ondernemen.

    Een vergelijkbare website is Have I Been Pwned, ook daar kun je zien of jouw mailadres op straat ligt. Overigens biedt laatstgenoemde ook een mogelijkheid om te kijken of jouw wachtwoord ooit is buitgemaakt. Het lezen van de bijbehorende disclaimer over hoe de veiligheid wordt gewaarborgd is overigens buitengewoon interessant en verhelderend, maar voor dit stuk voert het te ver om dat van begin tot eind uit te leggen.

    Op de website Scattered Secrets (overigens een initiatief van twee Nederlandse cyberexperts) kun je hetzelfde kunstje uithalen, en na het aanmaken van een account en het verifiëren van je identiteit krijg je bovendien óók tot in detail te zien welke gegevens er precies van je op straat liggen. Bij deze website gaat het bovendien expliciet om het achterhalen van acute dreigingen op basis van gelekte combinaties van e-mailadressen én wachtwoorden.

    Maar wat kun je verder nog doen? Je kunt waar mogelijk tweefactorauthenticatie inschakelen zodat alleen de combinatie van gebruikersnaam en wachtwoord niet voldoende is om ergens binnen te dringen, maar niet alle sites, apps en platformen waar je een account hebt, bieden deze mogelijkheid daadwerkelijk. Deze optie brengt je weliswaar een heel eind, maar biedt geen volledige garantie.

    Je kunt daarom ook overwegen om gebruik te maken van een wachtwoordmanager. Laat voor alle sites een sterk en uniek wachtwoord genereren en kies als hoofdwachtwoord voor je zogenaamde 'wachtwoordkluis' een heel sterk wachtwoord dat je alléén daarvoor gebruikt en waarvan je weet dat je het niet vergeet. Zo hoef je in principe maar één wachtwoord te onthouden en blijft de meerderheid van accounts toch veilig als er sprake is van datalek waarbij mailadressen en wachtwoorden worden buitgemaakt.

    Bron: Security Affairs

    Updates ontvangen over dit onderwerp?

    Wil je op de hoogte blijven van dit onderwerp? Download de gratis Opgelicht-app en volg het onderwerp.

  • Ook interessant