Webveiligheids-onderzoeker Troy Hunt van Have I Been Pwned ontdekte op internet een verzameling van allerlei persoonsgegevens en wachtwoorden, die hij Collection #1 noemde. Het zou gaan om zo’n honderden miljoenen e-@dressen en wachtwoorden. Volgens Hunt zouden die uit duizenden verschillende bronnen (en dus inbraken) afkomstig zijn. “In het totaal om 1 160 253 228 verschillende, unieke combinaties van mailadressen en wachtwoorden en 21 222 975 unieke wachtwoorden.”
Veel e-@dressen rouleerden al eerder in e-krakerskringen, maar volgens Hunt waren zo’n 140 miljoen e-@dressen nooit eerder opgedoken. Die kunnen van grote, nog niet geopenbaarde inbraken zijn, maar ook van vele kleine.
Volgens onderzoekers maakt deze ontdekking eens te meer duidelijk dat webbers wachtwoordbeheerders moeten gaan gebruiken zoals 1Password of LastPass om voor iedere dienst waar ze gebruik van maken een uniek wachtwoord aan te maken. “Het is al heel wat als je de afgelopen tien jaar niet bent gerold van een mailadres (kan je zo van me krijgen; as) of persoonlijke informatie”, zegt Jake Moore van ESET UK. “Als jij een van die mensen denkt dat het jou niet zal gebeuren dan is het waarschijnlijk al gebeurd. Beheerprogramma’s zijn nu breed geaccepteerd en ze zijn makkelijker te gebruiken dan vroeger.”
Hunt waarschuwt voor ‘hergebruik’ van wachtwoorden. “Mensen hebben dit soort lijsten en gaan dan kijken waar die ook werken. Dat heeft succes doordat mensen dezelfde wachtwoorden voor verschillende diensten gebruiken. Misschien zit je er ook bij omdat je ooit ergens een wachtwoord hebt gebruikt maar daar nooit meer bent geweest, terwijl je datzelfde wachtwoord ook elders nog steeds gebruikt.”
Voorproefje
De aanbieder zou nog meer in het vat hebben dan de aangeboden 772 miljoen e-@dressen en de 21 miljoen wachtwoorden. De it-journalist Brian Krebs zegt daar bewijzen van te hebben. Hij zou contact met de aanbieder hebben opgenomen.
De gepresenteerde buit lijkt dus nog maar een voorproefje te zijn. Er zouden nog meer Collections zijn (tenminste vijf), die duidelijk groter zijn dan de eerste verzameling (die ook nog eens ietwat gedateerd want twee, drie jaar oud is). De aanbieder meldde Krebs dat de eerste verzameling inderdaad het resultaat van verschillende kraken zijn geweest. Het nieuwe materiaal zou minder dan een jaar oud zijn.
Of dat allemaal klopt moet nog blijken. De gegevens zouden kunnen stammen van de grote kraak van het computersysteem van de hotelketen Marriott vorig jaar, waarbij gegevens van zo’n 380 miljoen klanten werden gestolen of van de kraak van het Quoraplatform, waarbij de gegevens van zo’n 100 miljoen gebruikers werden buitgemaakt.
Of je zelf slachtoffer bent geworden van zo’n inbraak kun je verifiëren op https://haveibeenpwned.com. Die stek schijnt door Hunt en het Duitse it-veiligheidsbureau BSI te worden aanbevolen (en dus veilig zijn). En verdomd, een van mijn e-@dressen is gerold. De andere drie niet.
Bronnen: the Guardian, der Spiegel