De politie heeft nog nooit zo'n omvangrijke cybercrime-zaak onderzocht, zegt een woordvoerder over de site met 12 miljard gestolen gebruikersnamen, mailadressen en wachtwoorden die woensdag werd platgelegd. Een 22-jarige man is aangehouden in Arnhem.

"De omvang van deze zaak is inderdaad ongekend", reageert cybercrime-expert Dave Maasland op het nieuws. "Al zullen er vast dubbelingen in zitten. Het zal de gemiddelde Nederlander helpen om te beseffen dat ze echt werk moeten maken van hun eigen beveiliging. Al tientallen jaren knopen we alles aan elkaar op IT-gebied, dit is de keerzijde."

WeLeakInfo.com bood voor 2 dollar per dag (of 25 dollar per maand) onbeperkt toegang tot alle gegevens op de site, een verzameling van eerdere lekken en gestolen data van populaire sites en apps als LinkedIn en MyFitnessPal.

Democratisering cybercrime

In theorie kon je op een dag van honderden of zelfs duizenden mensen gelekte wachtwoorden opzoeken, en proberen om daarmee toegang te krijgen tot hun e-mail, sociale media of andere accounts.

Dit ging allemaal via een eenvoudige zoekmachine, zegt Maasland. "Wat je de afgelopen jaren ziet gebeuren is de 'democratisering van cybercrime'. Dit soort platforms geven iedereen toegang tot gestolen gegevens, zonder dat ze zelf kunnen hacken of coderen. Cybercrime wordt zo heel laagdrempelig. Dat zie je al wel aan de zaak van Jelle S., die voor 25 dollar een DDoS-aanval kon kopen waarmee hij banken platlegde."

Het echte belang is dat deze actie van de politie een belangrijk signaal afgeeft: afschrikking.

Beveiligingsexpert Dave Maasland

Is het gevaar voor gewone internetgebruikers verdwenen, nu WeLeakInfo is neergehaald? Gelijksoortige sites als Dehashed en Leak-Lookup zijn nog steeds in bedrijf, en bieden ook toegang tot 12 tot 15 miljard gestolen gebruikersnamen en wachtwoorden.

"Het probleem zal verschuiven, deze datasets duiken elders weer op", zegt Maasland. "Maar het echte belang is dat deze actie van de politie een belangrijk signaal afgeeft: afschrikking. Als je zo'n site runt, kun je flink in de problemen komen."

Toegang voor 2 dollar per dag klinkt als een koopje, maar volgens Maasland "moeten we niet naïef zijn over de inkomsten" van de 22-jarige arrestant. "Hij zou best duizenden klanten kunnen hebben gehad. Dat telt op tot een heel aardig salaris."

Opvallend is dat sites zoals WeLeakInfo zich presenteren als diensten die juist iets goeds willen doen voor de mensheid: zoek op of je gehackt bent, zie welke info van jou bekend is - zo prees de site zich aan. Daarmee kiezen ze de lijn van legitieme services als HaveIBeenPwned of Firefox Monitor, die alle bekende lekken op een rijtje zetten die aan jouw mailadres gekoppeld zijn.

Het grote verschil is dat die diensten wel aangeven of je gehackt bent, maar de wachtwoorden niet vrijgeven. Die gegevens zijn er wel, zegt Maasland. "Er zijn lijsten met deels onherkenbaar gemaakte wachtwoorden die over het internet rondgaan, je kunt ze bij wijze van spreken googelen. Bijvoorbeeld van die LinkedIn-hack. Als je vervolgens daar genoeg 'brute force' rekenkracht op loslaat, kun je de wachtwoorden achterhalen en die vervolgens aanbieden op je site. Dat is waar je dan je geld mee verdient."

'Vanaf 12 tekens zit je goed'

Wat moet je nu als gewone surfer met dit nieuws, als je je zorgen maakt om je eigen accounts? Kijk eerst even hoe groot de schade is via HaveIBeenPwned of Firefox Monitor, adviseert Maasland. Als blijkt dat een van je accounts is gehackt of gelekt, zorg dan dat je een nieuw wachtwoord neemt voor dat account.

"Voor wachtwoorden geldt: hoe langer, hoe beter. Vanaf 12 tekens zit je goed. En gebruik een wachtwoordmanager. Als dat te lastig blijkt, schrijf het dan desnoods thuis in een boekje op. De kans is klein dat dat gestolen wordt."

En schakel waar mogelijk tweestapsverificatie in. "Als er dan al iemand vanaf een onbekend adres in je account probeert te komen, moet je dat bevestigen via je mobiel. De kans is klein dat ze die ook in handen hebben."

STER reclame