We staan nog maar aan het begin van 2019 en hebben nu al te maken met een datalek van astronomische proporties. De Australische beveiligingsexpert Troy Hunt, beheerder van de website Have I Been Pwned, stuitte halverwege januari op het grootste lek dat hij ooit gezien had. Niet in een hoekje van het darkweb, maar op clouddienst Mega; vervolgens vond hij op een populair hackerforum 87 GB aan ‘gestolen’ data.
De inhoud van de bestanden is op z’n zachtst gezegd uitzonderlijk:
- 2.692.818.238 rijen aan e-mailadressen en wachtwoorden
- 1.160.253.228 unieke combinaties van e-mailadressen en wachtwoorden
- 772.904.991 miljoen unieke e-mailadressen
- 21.222.975 unieke wachtwoorden
Dit monster draagt de naam Collection#1 en is volgens Hunt eigenlijk een verzameling van meer dan tweeduizend datalekken. Zo’n 140 miljoen e-mailadressen en meer dan tien miljoen wachtwoorden zijn nieuw in de database van Hunt, wat betekent dat ze niet uit eerdere datalekken afkomstig zijn.
Credential stuffing
De opbouw van de bestanden in Collection#1 doet vermoeden dat deze dataset bedoeld is om zogenoemde credential stuffing-aanvallen uit te voeren. Bij degelijke aanvallen testen hackers razendsnel (en volautomatisch) combinaties van gebruikersnamen en wachtwoorden op een bepaalde site of sociaal netwerk. Het heeft de meeste kans van slagen bij personen die hetzelfde wachtwoord voor meerdere sites en diensten gebruiken.
Bovenstaande is zorgwekkend. Met zoveel buitgemaakte data is er kans dat er een e-mailadres of wachtwoord van u bij zit. Ook collega’s en gebruikers van het netwerk binnen uw organisatie lopen mogelijk gevaar. Collection#1 is er niet eentje om de schouders over op te halen. De wachtwoorden in de dataset zijn niet versleuteld maar plain text, dus zelfs amateurs kunnen ermee aan de slag. En waar zo’n schat aan gegevens meestal duur verkocht wordt, was deze data gratis te downloaden.
Moedeloos
Hoewel het nieuws over Collection#1 mogelijk moedeloos maakt, is de kans dat u slachtoffer wordt van dit enorme datalek wel degelijk te verkleinen. Sowieso heeft u meer grip op uw digitale veiligheid dan u misschien denkt. De harde waarheid is dat de meesten van ons simpelweg de moeite niet nemen om een aantal elementaire maatregelen te treffen.
Wat te doen om uzelf en collega’s binnen uw organisatie tegen dit datalek te beschermen? Het zijn geen baanbrekende adviezen, maar ik blijf erop hameren:
- Check via Have I Been Pwned of uw e-mailadres en wachtwoorden die u gebruikt in de geactualiseerde database van Troy Hunt voorkomen. Zo ja, wijzig de betrokken wachtwoorden dan onmiddellijk
- Gebruik nooit hetzelfde wachtwoord voor meerdere sites en diensten!
- Neem een wachtwoordmanager (zoals 1Password of LastPass)
- Stel tweestapsverificatie in voor zoveel mogelijk accounts
- Zorg dat iedereen in de organisatie met enige regelmaat security awareness-training volgt
We weten de omvang van Collection#1, maar kunnen nog niet zeggen hoe groot de gevolgen van dit historische datalek zullen zijn. Hackers kunnen voorlopig hun lol op, en ik vrees dat it’ers en beveiligingsexperts een aanzienlijk deel van komend jaar met de nasleep bezig zijn.