Hacker tegen AD: Wachtwoorden miljoenen Nederlanders vindbaar met zoekmachine. Wat nu?

AD-journalist Thomas Boeschoten zat naar eigen zeggen rechtop in zijn bed toen hij eerder deze week kort na middernacht een berichtje via Twitter kreeg: deze drie wachtwoorden, zijn die van jou? Dat klopte. Maar hij is niet de enige van wie wachtwoorden rondslingeren op het web, integendeel.

Wat is er precies aan de hand?

Allereerst: er is géén sprake van een nieuw lek. De miljoenen wachtwoorden van Nederlanders waar het AD over schrijft zijn onderdeel van de lijsten met nog veel meer mailadressen en wachtwoorden die al veel langer op internet rondzweven. Wat wel nieuw is, is dat de gegevens van de Nederlanders vrijdagmiddag beschikbaar komen via een gemakkelijke zoekmachine, een 'Google voor wachtwoorden' in de woorden van het AD. Die machine zal overigens niet alle gegevens publiceren: alleen de eerste twee tekens van een e-mailadres en de eerste drie tekens van het wachtwoord zullen zichtbaar zijn. 

Waar komen die gegevens dan vandaan?

Er is in het verleden een aantal grote hacks geweest waar wachtwoorden en mailadressen zijn buitgemaakt. Bekende zijn die van LinkedIn en Yahoo. Nog steeds vinden dergelijke grote datalekken plaats. Zo werd donderdag nog bekend dat de gegevens van zo'n 150 miljoen gebruikers van de voedings- en fitnessapp MyFitnessPal zijn gestolen. Ook deze data zullen ongetwijfeld weer op internet opduiken.

En waarom zijn ze zo interessant?

Kwaadwillenden kijken likkebaardend naar dit soort databases. Niet eens zozeer om nu eens op het LinkedIn-account van een getroffen gebruiker in te breken, maar omdat veel mensen voor verschillende sites en diensten dezelfde wachtwoorden gebruiken. Via het ene account kan de aanvaller zo naar een volgende, nog interessantere dienst springen. Dat van Gmail bijvoorbeeld, waar nog meer informatie in staat.

Wie zet die zoekmachine online?

AD-journalist Boeschoten heeft geluk: hij werd getipt door een zogenoemde white hat hacker, een hacker met goede bedoelingen. Deze hacker - die zich d0gberry noemt - wil met zijn actie aandacht voor het probleem dat mensen nog altijd lichtzinnig met hun wachtwoorden omgaan. Zijn boodschap: als ik dit kan, kunnen anderen dit ook.

Hoeveel slachtoffers zijn er?

Dat is onmogelijk te zeggen. De database bestaat weliswaar uit miljoenen gegevens, maar het is onduidelijk hoe actueel die gegevens zijn. Veel mensen zullen in de afgelopen jaren hun wachtwoord hebben gewijzigd, maar dat geldt lang niet voor iedereen. Het AD maakt in ieder geval melding van een aantal slachtoffers dat nog altijd hetzelfde wachtwoord gebruikt. Sommigen gebruiken dit wachtwoord zelfs voor meerdere sites. Een van hen is voormalig SP-Tweede Kamerlid Sharon Gesthuizen. 

Wat kan ik zelf doen?

Iedereen kan al langer op de site HaveIbeenpwned controleren of zijn mailadres ooit buit is gemaakt bij een hack. Die kans is zeker niet ondenkbaar: veel Nederlanders hebben een account bij LinkedIn. Datzelfde LinkedIn is niet zozeer het risico (de site verplichtte zijn gebruikers al lang geleden het wachtwoord te wijzigen). Wat wél een risico is, is dat mensen dezelfde zwakke wachtwoorden blijven gebruiken die ze ooit voor LinkedIn gebruikten. Wachtwoorden als welkom01 of 1234566 worden nog altijd gebruikt, ondanks alle waarschuwingen. 

Reacties mogelijk gemaakt door CComment