De wachtwoorden van ongeveer 3,3 miljoen Nederlanders liggen op straat. Het gaat om wachtwoorden van onder meer politici, bekende Nederlanders, medewerkers van banken en personeel van Defensie en de exploitant van kerncentrale Borssele. Vanmiddag publiceert een hacker, die bij het Algemeen Dagblad aan de bel trok, een zoekmachine. Daarin kan op basis van een e-mailadres gecontroleerd worden of het wachtwoord is gekraakt.
Uit het artikel in het AD blijkt dat medewerkers van veel grote Nederlandse (overheids)organisaties en bedrijven massaal in de lijsten voorkomen. ‘De gegevens zijn waarschijnlijk afkomstig uit tientallen grote datalekken van de afgelopen jaren. Onder meer bij LinkedIn, Dropbox, Playstation, Uber en eBay is bekend dat gegevens zijn gelekt, en daarover is al veel gepubliceerd’, schrijft AD.
Het gaat vermoedelijk om lijsten die eerder op het darkweb circuleerden en alleen tegen betaling beschikbaar waren. De database die de krant inzag, bevat in totaal 1,4 miljard mailadressen en wachtwoorden van mensen uit verschillende landen.
In de lijst staan ook tientallen mailadressen van EPZ, exploitant van de kerncentrale in Borssele. Een woordvoerder meldt aan AD dat het bedrijf ‘snel op de hoogte was van de hack’ en zijn werknemers heeft geïnformeerd en dat inloggen met alleen die gegevens niet mogelijk is.
Zoekmachine hacker d0gberry
De hacker die de gegevens van de 3,3 miljoen Nederlander openbaarde, noemt zich d0gberry. Hij of zij meldde zich bij AD-redacteur Thomas Boeschoten. Die meldt: ‘Onze redactie kreeg inzage in de zoekmachine die d0gberry heeft gebouwd. Het is een soort Google voor wachtwoorden. En er zitten angstaanjagend veel gegevens in. Tik bijvoorbeeld mindef.nl, en je krijgt 1368 e-mailadressen van personeel van het ministerie van Defensie te zien, met de bijbehorende wachtwoorden.’
In een opsomming deelt de krant dat in de lijst ruim vijfduizend wachtwoorden en mailadressen voorkomen van Rabobank en ING. Ook UWV, Rijkswaterstaat het ministerie van Defensie worden genoemd. Ook blijken verschillende universiteiten en onderwijsinstellingen en media de klos te zijn.
Volgens Boeschoten wil d0gberry laten zien hoe eenvoudig het is om achter gekraakte wachtwoorden te komen. Vanmiddag zet d0gberry zijn zoekmachine online. Daarin kan iedereen opzoeken of zijn gegevens gelekt zijn, en met welk wachtwoord.
Dat gebeurt overigens niet op de website van het AD. Boeschoten: ‘Wij willen wel berichten over een misstand als schending van privacy, maar niet het platform bieden waarop dit gebeurt. Op aandringen van ons heeft d0gberry zijn lijsten gecensureerd: alleen de eerste twee tekens van een e-mailadres en de eerste drie van het wachtwoord zijn zichtbaar.’
Wachtwoorden toch niet openbaar [update]
De zoekmachine waarin de wachtwoorden van 3,3 miljoen Nederlanders te vinden zijn, is toch niet online beschikbaar.
In een interview met het AD licht de maker, die programmeur blijkt te zijn, toe waarom hij afziet van het openbaar maken van de zoekmachine.
‘Ik ben geen hacker, ik ben een klokkenluider’, zegt de man die schuilgaat onder de naam d0gberry, tegen de krant. Hij vreest voor de juridische gevolgen als hij de gegevens deelt en is geschrokken van de ophef.
Hij hoopt dat zijn actie mensen aan het denken heeft gezet om vaker wachtwoorden te wisselen en bewuster te maken van privacygevoelige informatie die op het web circuleert.
Uber
Uber laat in een reactie op het artikel in AD en Computable weten dat bij hen geen wachtwoorden zijn gelekt. Het gaat om andere gegevens.
Eind 2017 reageerde het bedrijf op een incident uit 2016, dat aanvankelijk stil werd gehouden, waarbij de gegevens van 57 miljoen gebruikers wereldwijd, waaronder namen, emailadressen en mobiele telefoonnummers werden buitgemaakt.
Volgens ‘;–have i been pwned zijn twee van mijn drie mailboxen gecomprommitteerd..!!
Die Informatie is overigens niet erg actueel meer, want na de eerdere comprommittaties
heb ik de bijbehorende wachtwoorden al minimaal twee keer gewijzigd!
Zou dus ook interessant Phishing bericht kunnen zijn van 1password.com
http://www.wiehetweetmaghetzeggen.com & http://www.whatsfakeandwhatsreal.com
“Volgens ‘;–have i been pwned zijn twee van mijn drie mailboxen gecomprommitteerd.”
Welnee, maar straks krijg je wel ineens heel veel spam op die email adressen 😉
Dino heeft gelijk, aan de actie van d0gberry zitten meerdere kanten. Bedrijven die van SPAM leven, krijgen gratis e-mail lijsten door dit soort acties. Criminelen krijgen NAW gegevens die voor identiteitsfraude gebruikt kunnen worden.
Het veranderen van wachtwoorden van gehackte e-mail boxen en websites is vaak onvoldoende door bijvoorbeeld gebrekkige herstelopties en lekkende callcenter medewerkers.
Daarom beveel ik aan om een lijst bij te houden welke e-mail adressen/accountnamen je voor welke websites gebruikt of hebt gebruikt. En dan maar hopen dat de door jou gebruikte websites niet (opnieuw) gehackt worden.