Direct naar artikelinhoud
NieuwsDatalek

Miljoenen gelekte mailadressen en wachtwoorden online

Nooit eerder kwamen zoveel gegevens op straat te liggen als tijdens de massale datadump die Collection #1 is gedoopt. Zo’n 773 miljoen unieke e-mailadressen en 21 miljoen unieke wachtwoorden stonden openbaar online.

Miljoenen gelekte mailadressen en wachtwoorden online
Beeld AD

Dat ontdekte de Australische cyberveiligheidsexpert Troy Hunt, die details over zijn vondst in een blogpost uiteen zet. Na meerdere tips trof hij de enorme dataverzameling aan op clouddienst MEGA. Er werd naar gelinkt vanaf een ‘populair openbaar forum’, schrijft Hunt. Inmiddels zijn de gegevens van MEGA verwijderd.

Collection #1 is een enorme vergaarbak aan data, afkomstig van een groot aantal afzonderlijke lekken, volgens Hunt. Een deel van de mailadressen en wachtwoorden kwam eerder in de openbaarheid, maar er zitten ook gegevens bij die niet eerder openbaar zijn gemaakt. Ook een mailadres met een oud wachtwoord van de Australiër zelf stond er tussen. Beide waren correct, schrijft hij.

Er staat weliswaar aangegeven vanaf welke websites de gelekte gegevens zouden komen, maar of dit ook werkelijk de bronnen zijn, is niet geverifieerd. Ook is niet zeker of alle data echt zijn. ‘Vaak zie je bij dit soort grote verzamelingen dat ook een deel onzin is’, aldus Dave Maasland, directeur van cyberbeveiligingsbedrijf ESET Nederland.

Niet versleuteld

Vooral dat een groot deel van de wachtwoorden niet is versleuteld, maar gewoon als tekst in de verzameling terug te vinden is, vindt Maasland zorgelijk. ‘Kom je in dit lek voor, dan bestaat de kans dat ergens jouw wachtwoord rondzweeft, gewoon in plain text.’ Dat kan ertoe leiden dat kwaadwillenden op accounts kunnen inloggen. Maar ook als een wachtwoord inmiddels is veranderd, kan het volgens hem iets zeggen over hoe iemand wachtwoorden opbouwt.

Ook een los e-mailadres kan informatie prijsgeven, bijvoorbeeld om gerichter phishingmailtjes te kunnen sturen, vervolgt hij. Als uit een lek nou blijkt dat een mailadres voor LinkedIn wordt gebruikt, dan kan een cybercrimineel hier mailtjes naar sturen uit naam van LinkedIn in een poging gegevens af te troggelen. ‘Daar trap je sneller in dan als je zogenaamd een mailtje van de Rabobank krijgt, terwijl je bij ABN Amro zit.’

Om jezelf zo goed mogelijk te beschermen tegen de gevolgen van datalekken, raadt Maasland een wachtwoordmanager aan. Die genereert automatisch verschillende wachtwoorden, slaat deze op in een digitale kluis waar je met één wachtwoord bij kunt, waar ze eenvoudig te beheren zijn. ‘Mocht iemand nou echt denken dat dit te ingewikkeld is, dan is het zelfs beter om wachtwoorden fysiek in een notitieboekje te schrijven dan om overal hetzelfde wachtwoord te gebruiken’, voegt hij toe.

Hunt heeft alle mailadressen en wachtwoorden toegevoegd aan het door hem opgerichte www.haveibeenpwned.com. Hier kunnen mensen zelf zoeken of ze voorkomen in datalekken. ‘In dat geval moet je sowieso actie ondernemen’, volgens Maasland. Hoeveel Nederlanders er precies tussen zitten, is moeilijk te bepalen. ‘Ik kan alleen zeggen dat er met dit gigantische aantal zeker weten Nederlanders tussen zitten.’

Eerdere grote datalekken

Wie? Equifax
Wanneer? 2017
Wat? Onder meer persoonsgegevens van 146 miljoen Amerikanen en zo'n 200 duizend creditcardgegevens

Wie? Adult Friend Finder
Wanneer? 2016
Wat? Gebruikersnamen, mailadressen en wachtwoorden van 412 miljoen accounts van de dating site

Wie? Yahoo
Wanneer? 2013
Wat? Onder meer wachtwoorden en telefoonnummers. Met data van 3 miljard accounts het grootste lek ooit. De gegevens werden nooit openbaar

Wie? LinkedIn
Wanneer? 2012
Wat? Inloggegevens van 6,5 miljoen gebruikers

Zo ga je veilig het internet op

Het blijft mogelijk zonder ongelukken het web op te gaan. Hier geven veiligheidsexperts tips hoe. Ben je bang om de draad kwijt te raken met al die wachtwoorden? Ook daar is iets aan te doen: zo ontsnapt u uit het wachtwoorddoolhof, volgens meesterhacker Ricky Gevers. Voor wie meer wil weten over zoekmachine haveibeenpwned, geeft techredacteur Laurens Verhagen uitleg