Beveiligingsonderzoeker had 3,8 miljard accounts kunnen hacken
3,8 miljard gebruikersnamen, wachtwoorden en zelfs creditcardgegevens zou de Australische beveiligingsonderzoeker Troy Hunt kunnen misbruiken. Maar dat doet hij niet: hij verzamelt ze juist om mensen te waarschuwen.
"Veel bedrijven zijn niet echt open over een datalek", zegt de Australiër Hunt, die maandagavond in Amsterdam was. "Maar mensen hebben het recht om het te weten als hun privégegevens in een datalek voorkomen."
Want dat betekent bijvoorbeeld dat hun privégegevens op de zwarte markt te koop worden aangeboden of zelfs openbaar te vinden zijn. Dat kan variëren van alleen gebruikersnaam en wachtwoord tot ook naw-gegevens (naam, adres, woonplaats) en creditcardnummers.
Grote datalekken
Hunt heeft daarom een website gemaakt, Have I Been Pwned, waarop je kunt controleren of je privégegevens weleens zijn buitgemaakt. De kans is groot dat dat zo is: in de database staan veel grote datalekken, waaronder die bij Dropbox, Adobe en LinkedIn.
Door je e-mailadres in te voeren, kun je zien of je privégegevens op straat liggen. Als je weet dat je gegevens zijn gestolen, kun je je wachtwoord wijzigen of je creditcard laten blokkeren, is de gedachte. Er is zelfs een e-mailservice: als er een nieuw datalek wordt ontdekt waarin je voorkomt, krijg je een mailtje.
Maar ook gevoeligere datalekken zijn aanwezig, bijvoorbeeld van datingsite Badoo en vreemdgangerssite Ashley Madison. "Maar die zijn zo gevoelig dat je niet zomaar kunt controleren of je erin staat", zegt Hunt. "Als je dat wilt weten, moet je eerst je identiteit bevestigen met een linkje dat via e-mail naar je wordt gestuurd."
Anders zou je van iedereen kunnen controleren of hij of zij een account had op de vreemdgangerssite, en dat is ook weer niet Hunts bedoeling. "Het is best wel heftig als je er op die manier achter komt dat je partner of je baas een account op die site had."
Datalekken verzamelen
Om zijn 'datalekdienst' - waar hij overigens niets mee verdient - te kunnen aanbieden, verzamelt Hunt datalekken. Hij controleert of ze authentiek zijn en laadt ze vervolgens in op zijn website. Een jaar geleden had hij op die manier 110 datalekken verzameld; nu zijn dat er al 225.
Die datalekken bevatten samen 3,8 miljard accounts, tegen 1 miljard een jaar geleden. "Maar het gaat om circa drie miljard unieke e-mailadressen", zegt Hunt - sommige internetters komen in meerdere datalekken voor. Veel mensen hebben meerdere e-mailadressen, dus het is lastig vast te stellen van hoeveel mensen Hunt informatie heeft. Maar zeker is wel: het gaat om vele miljoenen gebruikers.
Juridische problemen
Hoewel het verzamelen van datalekken juridisch grijs gebied is, heeft hij het nog nooit aan de stok gehad met de sterke arm der wet. "Sterker nog, ik werk veel samen met de politie, als ze bijvoorbeeld een datalek willen doorzoeken", zegt Hunt.
Wel biedt Hunt de mogelijkheid aan internetters om zichzelf te verbergen. Standaard kan iedereen zien in welke datalekken hij allemaal zit, maar wie dat niet wil, kan zich uitschrijven.
Zelf gehackt
Hunt is zich bewust van de gevoeligheid van zijn website. "Ik vrees natuurlijk wel dat Have I Been Pwned wordt gehackt", zegt Hunt. Het gaat immers om een gigantische database met persoonsgegevens.
Hij heeft wel maatregelen genomen om de gevolgen in te perken, mocht iemand met succes inbreken. "In mijn database staan alleen de e-mailadressen van getroffen gebruikers", zegt Hunt. "Dus mocht er iemand inbreken, dan is dat alles wat uitlekt."