Moeten we in paniek raken door lek van miljoenen wachtwoorden?

E-mailadressen en wachtwoorden van miljoenen Nederlanders zwerven al jaren over het web. Een ‘ethische hacker’ zei eerder de gegevens – deels geanonimiseerd – online te zetten in een soort zoekmachine. Hij heeft vrijdagmiddag aan het AD laten weten hiervan af te zien vanwege mogelijke juridische gevolgen.

Foto Robin Utrecht / ANP

Update 16.30 uur: de zoekmachine zal vrijdagmiddag niet online komen. De bouwer ervan heeft aan het AD laten weten dat hij ervan afziet vanwege mogelijke juridische gevolgen wanneer het tooltje wel online wordt gezet.

  1. Wat is er aan de hand?

    Een journalist van het AD is benaderd door een hacker die zichzelf d0gberry noemt. Deze persoon liet weten een zoekmachine te hebben ontwikkeld waarin de wachtwoorden te vinden zijn van Nederlanders die de afgelopen jaren zijn buitgemaakt bij verschillende hacks. Onder meer Uber, LinkedIn, Dropbox en eBay zijn de afgelopen jaren slachtoffer geworden van een hackaanval. Daarbij zijn ook e-mailadressen en wachtwoorden van meer dan drie miljoen Nederlanders vrijgekomen. Volgens het AD gaat het ook om accounts van parlementariërs, medewerkers van het ministerie van Defensie en EPZ, de exploitant van de kerncentrale in Borssele. Dat wil overigens niet zeggen dat de wachtwoorden van hun werkaccounts ook zijn bemachtigd door kwaadwillenden. Het zegt enkel dat zij het e-mailadres van hun werk hebben gebruikt voor een account op één van de gehackte sites. Dat neemt niet weg dat het zeer onverstandig is om een werkadres te gebruiken om in te loggen op websites in de privésfeer.

  2. Is er sprake van een nieuwe hack?

    Nee. Het gaat om databestanden van wachtwoorden die door de jaren heen zijn buitgemaakt bij hacks van bijvoorbeeld LinkedIn. Deze databestanden zwerven soms al jaren over het internet en zijn redelijk gemakkelijk te vinden voor wie kwaad wil. De hacker heeft hier de Nederlandse e-mailadressen uitgefilterd en een zoekmachine gebouwd waarin iedereen kan nagaan welke wachtwoorden van hem of haar bij hacks bemachtigd zijn. Dit soort zoekmachines worden vaker gebouwd. Soms wordt er misbruik van gemaakt, maar het gaat hacker d0gberry volgens AD-journalist Thomas Boeschoten vooral om bewustwording: verander je wachtwoord als je dat nog niet hebt gedaan. Op de website haveibeenpwned.com kan iedereen controleren welke e-maildressen van hem of haar in bepaalde hacks voorkomen.

  3. Moet ik me zorgen maken?

    Niet direct. De ‘ethische hacker’ heeft beloofd alleen de eerste letters van een e-mailadres en de eerste twee tekens van de wachtwoorden vrij te geven. Elke gebruiker zal daarin de eigen combinatie van e-mailadres en wachtwoord herkennen maar voor buitenstaanders zou dat niet te achterhalen moeten zijn. Doordat de ongefilterde versies soms al jaren over het web zwerven, lopen de gebruikers risico wanneer zij hun wachtwoord niet geregeld wijzigen. Bovendien gebruiken veel mensen dezelfde wachtwoorden – of variaties hierop – voor meerdere accounts. Er zijn voorbeelden van Nederlanders van wie hun Wehkamp- of Bol.com-account is gekraakt en die daardoor ongewenste pakketjes hebben ontvangen. Dit lijkt echter niet op grote schaal te zijn gebeurd.

  4. Hoeveel Nederlandse wachtwoorden staan in de zoekmachine?

    Via de zoekmachine zijn 3,3 miljoen Nederlandse accounts te vinden met e-mailadressen die eindigen op een Nederlandse domeinextensie (.nl). Mogelijk ligt het aantal Nederlandse accounts hoger: er zijn ook bepaalde gmail-adressen te vinden in de database die mogelijk van Nederlanders zijn. Een deel van de wachtwoorden van deze accounts zal inmiddels in de loop der jaren al veranderd zijn.

  5. Wat moet je doen om je accounts beter te beveiligen?

    Het antwoord lijkt vrij simpel: verander regelmatig je wachtwoord en kies vooral niet voor de gemakkelijke weg. Gebruik unieke wachtwoorden voor elke account en verwerk daarin niet namen of zaken die aan jou te verbinden zijn zoals de naam van een kind of partner. Ook veelvoorkomende wachtwoorden als ‘123456’ of ‘welkom’ zijn eenvoudig te kraken. Gebruik vooral lange wachtwoorden met ‘willekeurige’ tekens als %, *,! en $. Daarnaast zijn er allerlei diensten die aanbieden je wachtwoorden in een soort digitale kluis op te slaan: deze kluis genereert voor alle accounts die je daarin onderbrengt unieke en moeilijk te raden wachtwoorden. Ook raden experts aan te werken met zogeheten tweestapsverificatie: je moet dan op twee manieren aantonen dat jij inlogt – bijvoorbeeld via een wachtwoord en via je telefoon.