Afgelopen januari heeft de Volkskrant een artikel geplaatst over een massale datadump, Collection #1. Een advies van ons aan de lezer is om te controleren of je mailadres hier ook tussen staat. Dit kan via de volgende website: https://haveibeenpwned.com/ Als dit zo is, dan is het te adviseren om je wachtwoord te wijzigen van het betreffende account. Hieronder kun je het artikel van 17 januari lezen.

Miljoenen gelekte mailadressen en wachtwoorden online
Nooit eerder kwamen zoveel gegevens op straat te liggen als tijdens de massale datadump die Collection #1 is gedoopt.

Zo’n 773 miljoen unieke e-mailadressen en 21 miljoen unieke wachtwoorden stonden openbaar online.

Dat ontdekte de Australische cyberveiligheidsexpert Troy Hunt, die details over zijn vondst in een blogpost uiteen zet. Na meerdere tips trof hij de enorme dataverzameling aan op clouddienst MEGA. Er werd naar gelinkt vanaf een ‘populair openbaar forum’, schrijft Hunt. Inmiddels zijn de gegevens van MEGA verwijderd.

Collection #1 is een enorme vergaarbak aan data, afkomstig van een groot aantal afzonderlijke lekken, volgens Hunt. Een deel van de mailadressen en wachtwoorden kwam eerder in de openbaarheid, maar er zitten ook gegevens bij die niet eerder openbaar zijn gemaakt. Ook een mailadres met een oud wachtwoord van de Australiër zelf stond er tussen. Beide waren correct, schrijft hij.

Er staat weliswaar aangegeven vanaf welke websites de gelekte gegevens zouden komen, maar of dit ook werkelijk de bronnen zijn, is niet geverifieerd. Ook is niet zeker of alle data echt zijn. ‘Vaak zie je bij dit soort grote verzamelingen dat ook een deel onzin is’, aldus Dave Maasland, directeur van cyberbeveiligingsbedrijf ESET Nederland.

Niet versleuteld
Vooral dat een groot deel van de wachtwoorden niet is versleuteld, maar gewoon als tekst in de verzameling terug te vinden is, vindt Maasland zorgelijk. ‘Kom je in dit lek voor, dan bestaat de kans dat ergens jouw wachtwoord rondzweeft, gewoon in plain text.’ Dat kan ertoe leiden dat kwaadwillenden op accounts kunnen inloggen. Maar ook als een wachtwoord inmiddels is veranderd, kan het volgens hem iets zeggen over hoe iemand wachtwoorden opbouwt.

Ook een los e-mailadres kan informatie prijsgeven, bijvoorbeeld om gerichter phishingmailtjes te kunnen sturen, vervolgt hij. Als uit een lek nou blijkt dat een mailadres voor LinkedIn wordt gebruikt, dan kan een cybercrimineel hier mailtjes naar sturen uit naam van LinkedIn in een poging gegevens af te troggelen. ‘Daar trap je sneller in dan als je zogenaamd een mailtje van de Rabobank krijgt, terwijl je bij ABN Amro zit.’

Om jezelf zo goed mogelijk te beschermen tegen de gevolgen van datalekken, raadt Maasland een wachtwoordmanager aan. Die genereert automatisch verschillende wachtwoorden, slaat deze op in een digitale kluis waar je met één wachtwoord bij kunt, waar ze eenvoudig te beheren zijn. ‘Mocht iemand nou echt denken dat dit te ingewikkeld is, dan is het zelfs beter om wachtwoorden fysiek in een notitieboekje te schrijven dan om overal hetzelfde wachtwoord te gebruiken’, voegt hij toe.

Hunt heeft alle mailadressen en wachtwoorden toegevoegd aan het door hem opgerichte www.haveibeenpwned.com. Hier kunnen mensen zelf zoeken of ze voorkomen in datalekken. ‘In dat geval moet je sowieso actie ondernemen’, volgens Maasland. Hoeveel Nederlanders er precies tussen zitten, is moeilijk te bepalen. ‘Ik kan alleen zeggen dat er met dit gigantische aantal zeker weten Nederlanders tussen zitten.’