Afgelopen woensdag schreef Opgelicht?! over een 'datalek' bij LinkedIn met gegevens van 700 miljoen gebruikers. Degene die deze enorme set aanbood, heeft nu ook combinaties van mailadressen en wachtwoorden toegevoegd aan de dataset, waarmee deze een stuk omvangrijker wordt dan eerder gemeld. Er zijn gegevens van nóg eens 300 miljoen mensen toegevoegd, wat inhoudt dat het totale aanbod aan LinkedIn-data nu gegevens van één miljard personen bedraagt.

Bij het aantal van één miljard moeten we gelijk een kanttekening plaatsen, het verhaal is namelijk iets complexer en genuanceerder dan dat. LinkedIn heeft op dit moment 'slechts' 756 miljoen gebruikers, dus de gegevens kunnen simpelweg niet van één miljard unieke, individuele gebruikers zijn.

Het gaat hier dan ook om (deels) overlappende data waarvan de verschillende, losse datasets zijn gebundeld en op een hackersforum zijn gezet, zo meldt PrivacySharks.

Om je een idee van de complexiteit te geven: het forumtopic verwijst naar vijftien sets met gegevens die onderdeel zijn van de totale set van één miljard, en veel individuele sets bestaan ook nog eens uit tientallen losse bestanden. Wie een beetje creatief is (én handig met tools als Excel) weet echter wel raad met dergelijke combinaties, en daarin schuilt nou net het gevaar. Een voorbeeld:

Voorbeeld van een set met gestolen LinkedIn-gegevens

300 miljoen gegevens toegevoegd, waaronder combinaties van mailadressen en wachtwoorden

De oplettende kijker heeft het al kunnen zien in bovenstaande afbeelding: een aantal van de bestanden in het getoonde voorbeeld bevatten herkenbaar de termen 'e-mail' of 'username' én 'password'. Dat kwaadwillenden grote schade kunnen aanrichten indien ze over werkende combinaties van mailadressen, gebruikersnamen en wachtwoorden beschikken, behoeft hopelijk geen nadere toelichting.

Dat maakt bovendien dat we hier wél over een datalek kunnen spreken, want wachtwoorden zijn immers geen openbare gegevens die door middel van 'scraping' kunnen worden binnengehaald. Om die reden is het ook de moeite van een aparte waarschuwing waard: zodra er wachtwoorden in het spel zijn, is het zaak om als gebruiker de nodige veiligheidsmaatregelen te treffen.

De aanvullende gegevens van 300 miljoen LinkedIn-gebruikers – waarvan gegevens van een aanzienlijk deel van de getroffen gebruikers óók al in de eerste dataset zaten – zijn door PrivacySharks aan een analyse onderworpe.  Zij bevestigen dat het in dit geval gaat om de volgende data:

  • Voor- en achternamen
  • Mailadressen
  • Straatnamen en huisnummers
  • Steden
  • (Staten, in Nederland niet zozeer van toepassing)
  • Postcodes
  • Telefoonnummers
  • Websites
  • Links naar LinkedIn-profielen
  • Bedrijfsnamen
  • Functiebeschrijvingen
  • Faxnummers
  • Mailadres- en wachtwoordcombinaties
  • Namen van LinkedIn-connecties

Met name de één-na-laatste, dikgedrukte gegevens uit het rijtje zijn interessant, want zodra er wachtwoorden in het spel zijn, wordt het uiteraard linke soep.

Een voorbeeld wordt ter beschikking gesteld: de ietwat lompe rode balken zijn van ons, omdat we uiteraard niet actief willen bijdragen aan verdere verspreiding van legitieme, gelekte inloggegevens, ook al vonden we het linken naar het topic op het hackersforum wel gerechtvaardigd vanwege de informatieve meerwaarde in het kader van 'zo gaat het eraan toe en zo makkelijk worden gestolen gegevens verhandeld'.

LinkedIn-wachtwoorden én mailadressen aangeboden op hackersforum

Sommige losse bestanden uit de dataset – niet noodzakeljkerwijs bestanden met daarin wachtwoorden – zijn volgens PrivacySharks overigens tot maar liefst 19 gigabyte groot, wat een goede indicatie geeft wat betreft de enorme omvang van de buitgemaakte gegevens.

Wat kun je als LinkedIn-gebruiker het beste doen?

Voor zover wij hebben kunnen beoordelen, zijn de gelekte wachtwoorden en mailadressen nog niet toegevoegd aan databases zoals Haveibeenpwned.com of de database van Cybernews.com. Het valt dan ook niet met zekerheid te zeggen of uitgerekend jouw wachtwoord- en mailadrescombinatie bij de gegevens zitten waar de oorspronkelijke dataset mee is aangevuld.

Toch is dat geen reden om niets te doen: gezien de enorme omvang van de aangeboden gegevens is het verstandig om het zekere voor het onzekere te nemen. Wij raden voor de zekerheid dan ook aan om uit voorzorg je LinkedIn-wachtwoord aan te passen.

Vanzelfsprekend geldt dat advies óók voor andere websites waarvoor geldt dat je je LinkedIn-wachtwoord daar gebruikt: hackers proberen via een methode die bekend staat als credential stuffing nogal eens of gelekte wachtwoorden ook bij andere websites werken.

Het is dan ook raadzaam om voor elk account een volledig uniek wachtwoord te gebruiken, maar dat is voor veel mensen nu eenmaal niet te onthouden. Een wachtwoordmanager die automatisch sterke wachtwoorden genereert, kan dan ook uitkomst bieden: op die manier hoef je slechts het wachtwoord voor de wachtwoordmanager te onthouden.

Meer over (grote) datalekken

Bron: PrivacySharks.com