1,4 miljard mailadressen én wachtwoorden in één bestand

Op het dark web is een database aangetroffen met daarin 1,4 miljard gestolen gebruikersnamen en wachtwoorden, afkomstig uit verschillende datalekken.

Foto iStock

Zo af en toe duiken er berichten op over buitgemaakte inloggegevens. De ene keer worden de gebruikersnamen van een klein forum gestolen door hackers, de andere keer moet een groot techbedrijf als Dropbox toegeven dat miljoenen inloggegevens in handen van digitale rovers zijn gevallen. De gestolen gegevens worden soms verkocht, maar duiken ook regelmatig ergens op het internet op.

Iemand - meestal de hacker - dumpt dan de gestolen database met alle e-mailadressen en wachtwoorden. Veel van zulke hacks en dumps zijn bekend, denk aan onder meer LinkedIn, Adobe en Dropbox, maar de gevolgen waren niet bij elke hack even groot. Soms waren de mailadressen wel te zien, maar de wachtwoorden versleuteld en dus niet bruikbaar. Bij gestolen creditcardgegevens zijn de directe gevolgen een stuk groter.

1,4 miljard gebruikers

Vorige week werd er weer een database gevonden. Toen troffen onderzoekers van beveiligingsfirma 4iQ op het dark web een database aan met gegevens van meer dan 1,4 miljard internetters. Indrukwekkend aantal, maar de inhoud van de database was verontrustender.

De 41 gigabyte grote database bleek alle informatie te bevatten uit eerdere hacks - maar dan onbeveiligd, niet versleuteld, de informatie was door de hackers gecombineerd en op alfabetische volgorde gezet. Bij de meeste hacks gaat het om buitgemaakte wachtwoorden in een hash-vorm, waarbij het wachtwoord ‘hallo’ bijvoorbeeld in ‘fd4cef7a4e607f1fcc920ad6329a6df2df99a4e8’ verandert. Dat was nu niet zo.

LinkedIn, Netflix en YouPorn

Daarnaast is het geheel geïndexeerd om het eenvoudig te doorzoeken te maken. Voor deze databank is informatie uit meer dan 250 oude lekken samengevoegd. Het gaat onder meer om lekken bij LinkedIn, Netflix, Last.FM, Dropbox, Adobe en YouPorn.

Medewerkers van 4iQ schrokken van de vondst:

“De aangetroffen wachtwoorden waren wellicht ooit beveiligd, maar in deze database zijn ze niet meer versleuteld. En wat eng is, is dat we een groep wachtwoorden en mailadressen hebben getest, en ze bleken te werken.”

De lijst beslaat naast mailadressen, gebruikersnamen, wachtwoorden soms ook aanvullende informatie, zoals de voor- en achternaam van gebruikers en zelfs hun woonadres.

Hackcheck

Zonder de lijst te openbaren en iedereens wachtwoorden te openbaren, zijn er mogelijkheden om te checken of jouw inloggegevens in het bestand staan. Beveiligingsonderzoeker Troy Hunt heeft alle gestolen inloggegevens geanonimiseerd online gezet. Daar kan je checken of jouw wachtwoord of mailadres zich onder de buitgemaakte gegevens bevindt.

Hunt is namelijk juist op zoek naar deze zogeheten ‘dumps’. Hij verzamelt de gegevens, verifieert of de data kloppen en - als dat het geval is - voegt hij de gehackte website toe aan het systeem van Have I Been Pwned. De gestolen gegevens zet hij online, zonder mailadres en wachtwoord aan elkaar te koppelen.

    • Bas Tooms