Have I Been Pwned, de website die grote datalekken in kaart brengt, heeft een nieuwe megacollectie van gelekte logingegevens in handen gekregen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Meer dan een miljard e-mailadressen en wachtwoorden gelekt: zo check je of jij erbij zit
Troy Hunt, veiligheidsexpert en oprichter van het platform, in een blogpost dat het om meer dan twee miljard unieke e-mailadressen gaat, waarvan er 1,3 miljard gekoppeld kunnen worden aan gestolen wachtwoorden. De databundel komt van beveiligingsbedrijf Synthient, dat gegevens uit verschillende datalekken heeft samengebracht in één groot overzicht.
Na het opschonen bleven enkel unieke combinaties van e-mailadressen en wachtwoorden over, grotendeels buitgemaakt via zogenoemde infostealers. Dat is malware die opgeslagen inloggegevens uit browsers plukt. Die worden later gedeeld of verkocht op hackersfora en Telegramkanalen.
Oude wachtwoorden duiken weer op
In de blogpost beschrijft Hunt hoe hij de authenticiteit van de data testte. Hij begon met zijn eigen e-mailadres en vond tot zijn verbazing een oude account uit de jaren 90 terug, mét enkele wachtwoorden waarvan er één nog juist bleek. Daarna vroeg hij enkele volgers om hetzelfde te doen. Sommigen stootten op verouderde wachtwoorden, anderen op recente logins die nog actief waren.
Die mix van oud en nieuw toont aan hoe vaak gelekte gegevens hergebruikt worden in aanvallen. Hackers proberen bekende combinaties van e-mailadressen en wachtwoorden uit in de hoop dat gebruikers ze hergebruiken. Dat heet credential stuffing en werkt verrassend vaak, vooral bij wie zelden van wachtwoord verandert.
Controleer of je getroffen bent
De nieuw gevonden wachtwoorden zijn intussen toegevoegd aan de database Pwned Passwords van Have I Been Pwned. Je kunt er nagaan of een bepaald wachtwoord ooit al eens is uitgelekt. Wees gerust, dat gebeurt volledig anoniem, zonder dat je privacy in het gedrang komt.
Hunt waarschuwt dat het niet uitmaakt of het wachtwoord oorspronkelijk van jou kwam: “Als jouw wachtwoord ‘Fido123!’ in de lijst voorkomt, is het onveilig. Het is gewoon te voorspelbaar”, geeft hij mee. Zijn raad? Gebruik nooit meer een wachtwoord dat ooit in een datalek opdook. Maak liever gebruik van een wachtwoordmanager, activeer tweestapsverificatie en controleer regelmatig via Have I Been Pwned of je gegevens nog veilig zijn.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Onderwerp: Beveiliging
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
