Wachtwoorden-zoeksite is online, maar je zult er niets vinden
Een hacker heeft vandaag een zoekmachine met wachtwoorden en e-mailadressen toegankelijk gemaakt. In de database zitten honderdduizenden gegevens van Nederlanders, maar de zoekfunctie lijkt te zijn uitgeschakeld.
Wie wil controleren of zijn gegevens op internet staan, krijgt een melding te zien dat de zoekfunctie niet werkt. De AD-journalist die als eerste melding maakte van de zoekmachine en die ook contact heeft met de bewuste hacker, zegt dat dat expres zo is. De hacker zou bij nader inzien toch niet willen dat de gegevens op straat komen te liggen en zegt dat hij tevreden is over wat de zoekmachine teweegbrengt. "Misschien heb ik mijn doel ook wel bereikt, als ik de vele reacties vandaag zie."
Het AD had eerder toegang gekregen tot de zoekmachine en erover geschreven. In het interview zegt de hacker dat hij de zoekmachine uit angst voor de juridische consequenties helemaal niet meer online wil zetten, maar uiteindelijk verscheen toch een uitgeklede versie.
Oud en versleuteld
De wachtwoorden zijn afkomstig uit tientallen grote datalekken van de afgelopen jaren, bij onder meer LinkedIn, Dropbox, Playstation en Uber. Ze waren versleuteld. De eerste tekens van mailadressen en wachtwoorden werden wel getoond; om die reden linkt de NOS niet naar de zoekmachine.
De database zou combinaties van zo'n 1,4 miljard mailadressen en wachtwoorden van over de hele wereld bevatten. Zo'n 3,3 miljoen daarvan zouden van Nederlanders zijn.
'Tipgever, geen hacker'
De hacker wil met het project duidelijk maken dat internetgebruikers persoonlijke informatie goed moeten beveiligen. "Ik ben een tipgever, geen hacker", zegt hij tegen de krant.
Volgens het AD zijn deze gegevens tot nu toe vrijwel alleen beschikbaar op afgesloten of onbekende websites, waar de data te koop werden aangeboden. De gegevens zijn echter steeds makkelijker te vinden.
In de database staan veel gegevens van personeel van grote overheidsinstanties en bedrijven in Nederland. Ook staan er parlementariërs op de lijst, waardoor hackers mogelijk toegang hebben tot gevoelige informatie. Criminelen kunnen de mailadressen en wachtwoorden gebruiken om bijvoorbeeld persoonlijke informatie te winnen of online aankopen te doen.
'Blijft een gevaar'
De gegevens zijn afkomstig uit datalekken die al eerder in het nieuws waren. Zo ontvreemdden hackers in 2012 meer dan 160 miljoen wachtwoorden en andere data bij netwerksite LinkedIn. In 2014 en 2016 verschaften criminelen zich toegang tot tientallen miljoenen gegevens bij taxidienst Uber.
De bedrijven hebben destijds gebruikers geadviseerd hun wachtwoorden aan te passen. "Maar het blijft een gevaar omdat mensen heel vaak wachtwoorden hergebruiken", zegt Herbert Bos, hoogleraar Systems en Network Security in AD. "Als mensen je e-mail en wachtwoord hebben, hebben ze je identiteit."
Die database staat al zeker een halfjaar online, ik heb hem zelf ook.
Beveiligingsonderzoeker Rickey Gevers is niet onder de indruk van de zoekmachine: "Die database met 1,4 miljard adressen en wachtwoorden staat al zeker een halfjaar online, ik heb hem zelf ook."
Gevers zegt verder dat er al zoekmachines bestaan waarmee je de database kunt doorzoeken. "En ik moet nog zien dat die nieuwe zoekmachine online komt. Er zijn mensen opgepakt voor zulke dingen." Voor wie vreest dat zijn of haar gegevens in de database staan, heeft Gevers een tip: "Wijzig je wachtwoorden geregeld."
