Beveiligingsbedrijf verkrijgt 272 miljoen gestolen wachtwoorden van Rus

Het beveiligingsbedrijf Hold Security heeft 272 miljoen unieke combinaties van mailadressen en wachtwoorden verkregen bij een Russische crimineel. Daarvan waren er 42,5 miljoen die niet bij het bedrijf bekend waren uit vorige zaken.

Het is onbekend hoe de Russische handelaar aan de wachtwoorden kwam, maar hij schepte op dat het uit meerdere 'hacks' kwam, zegt het bedrijf. Dat Hold Security 42,5 miljoen nieuwe combinaties van gebruikersnamen en wachtwoorden tegenkwam, kan ook betekenen dat de handelaar databases heeft gecombineerd uit hacks waarvan Hold Security geen databases heeft vergaard.

De mailaccounts zijn voor het grootste deel van de Russische dienst Mail.ru, maar komen ook bij Yahoo, Hotmail en Gmail vandaan. Gezien het aantal bronnen is phishing een van de meest logische bronnen van de data, hoewel ook het combineren van databases van datalekken uit het verleden tot de mogelijkheden behoort. Veel mensen gebruiken voor veel internetdiensten dezelfde gebruikersnamen en wachtwoorden als voor hun e-mail. Een datalek bij bijvoorbeeld een webwinkel kan daardoor ertoe leiden dat kwaadwillenden ook kunnen inloggen op een mailadres.

Hold Security heeft geen geld betaald voor de data, hoewel de handelaar 50 roebel vroeg, omgerekend zo'n 65 cent. In plaats daarvan kreeg het bedrijf de data in handen door de handelaar te voorzien van likes op Facebook. Hold Security heeft zich gespecialiseerd in de handel in data via internet.

Lees meer

Reacties (31)

rotterdams
4 mei 2016 21:42

Dezelfde Hold Security als hier genoemd werd, waar je geld mocht betalen om na te gaan of je in de dump voor kwam? Dezelfde Hold Security die eigen nieuws berichten recycled en als nieuw nieuws de wereld inschiet, om wederom een veelvoud van de gevraaagde $120 voor toegang te vangen?

nieuws: 'Hackers stelen 1,2 miljard inloggegevens en 500 miljoen e-mailadressen'

Volgens de interwebz is het een toko die met het ene been bij de NSA in bed slaapt en met het andere in de digitale onderwereld. Ze krijgen de koude douche van me.

[Reactie gewijzigd door rotterdams op 4 mei 2016 21:45]

+1 Mieske666
@rotterdams • 4 mei 2016 23:26

Ja je hebt gelijk. Maar zorgelijk is het wel. Zal wel voor het grote leeuwendeel om niet bestaande account bestaan. Dus het mis en hit ratio zal wel laag zijn maar niet tof dat zo het gebruiks gemak weg gaat.

0 killzonex
@rotterdams • 5 mei 2016 08:38

Je bedoelt zn dump die hier gratis is?

Www.haveibeenpwned.com

[Reactie gewijzigd door killzonex op 5 mei 2016 08:38]

Blokker_1999

Beheer en beveiliging

@killzonex • 5 mei 2016 09:21

Die site is niet van Hold Security.

0 killzonex
@Blokker_1999 • 5 mei 2016 09:48

Neej maar de dump zou vast niet veel verschille plus deze is gratis

RolfLobker
@rotterdams • 5 mei 2016 23:48

Yup, eerste wat ik dacht toen ik de headline las was; 'zal dat louge en onbetrouwbare Hold security wel weer zijn'.
Alles wat dit bedrijf zegt moet je met heel veel zout nemen. Is volgens mij bedoeld om onder de aandacht te komen zodat ze meer van hun oninteressante en onimposante 'diensten' kunnen verkopen.

+1 Mupenge
4 mei 2016 21:16

Daarom twee staps verificatie gebruiken voor je mail adres. Maakt het de dieven toch wat lastiger.

Armin

Beheer en beveiliging

@Mupenge • 4 mei 2016 21:47

Eens, doch verreweg de meeste van deze lekken zjin een gevolg van hergebruik.

Ofwel mijn email is peter@gmail.com en mijn wachtwoord MijnWachtwoord, en vervolgens log ik op een of andere online winkel/website/etc ook in met die email als gebruikersnaam en maak voor het gemak gebruik van hetzelfde wachtwoord.

+1 Azrona
@Armin • 4 mei 2016 23:08

Moet eerlijk bekennen dat ik dat ook deed en dan nog wel met een super makkelijk wachtwoord (huisdier naam van 5 letters en dan een 1 erachter. Vond het zo'n 14 jaar geleden wel een mooi gebaar tegenover mijn dode huisdier om zijn naam als wachtwoord te gebruiken en die 1 erachter maakte het volkomen veilig!).
Is nu toch wel anders met een wachtwoordmanager hoor. Alleen jammer dat ik mijn moeder nou niet zo ver kan krijgen dat ze m ook daadwerkelijk gebruikt. "Dat duurt te lang" is het dan terwijl ze met 1 vinger haar standaard wachtwoord in typt.

[Reactie gewijzigd door Azrona op 4 mei 2016 23:09]

bogy
@Azrona • 5 mei 2016 16:01

ik beheer m'n vaders' wachtwoord... (want hij is te dom om dat zelf te doen)

tot voor kort had hij een wachtwoord in de trend van kur34ds24d en hij kende dat vanbuiten...
helaas is dat wachtwoord ergens terechtgekomen dus heb ik zijn mail wachtwoord veranderd naar iets van 'Amsterdammelaar4885" (niet bestaand woord + getal incl hoofdletter" + veel langer dan vorig wachtwoord)
hij kent z'n vorig wachtwoord nog steeds van buiten en dat mag hij van mij nu overal gebruiken waar hij niet noodzakelijke spullen wil registreren (krantje lezen, porno sites, i don't care) maar mail enzo dat is allemaal met het lange wachtwoord (ook winlogin)
geloof mij in't begin heerft hij vaak gevloekt, maar ondertussen weet hij waar hij welk wachtwoord moet gebruiken en ik heb geen zever meer met gestolen wachtwoorden of mail accounts waar mensen in komen (2factor is veel te lastig, de mens kan nog geen deftig captcha lezen)

+1 CrashKonijn
@bogy • 5 mei 2016 18:28

Daarom ben ik ook zo blij met die nieuwe captcha van Google, nope ik ben geen robot. In 90% gaat dat goed bij mij en anders is 3 taarten selecteren ook nog wel te doen

Helaas is mijn wachtwoord laatst ook uitgelekt en ben ik onder andere mijn spotify kwijtgeraakt (email is aanpasbaar zonder verificatie vanaf de oude...). Anyway, t blijft lastig al die password, vooral om ze achteraf aan te passen.

Ik zit er nu aan te denken om een onhoudbaar alchoritme te gaan gebruiken (standaard teken reeks + eerste 5 letters van de site + getal (aantal letters van de site?)

bogy
@CrashKonijn • 6 mei 2016 01:26

voor mijn wachtwoorden heb ik ook een algoritme

het is niet exact zoals ik het hier opgeef, maar in de trend van;

is site belangrijk of onbelangrijk?
belangrijk: 1e woord (naamwoord) uit naam komt voorop in het PW
onbelangrijk/niet gevoelig: 1e woord uit naam site komt achteraan PW
- (liggend streepje aka koppelteken)
2e deel WW: bestaat uit aantal letters en cijfers. 1 hoofdletter en allemaal smallcaps; hoofdletter = 1e KLINKER uit naam site

bv; op demorgen.be (onbelangrijke site) -> subject= morgen (want DE is een lidwoord): aBcd12345-morgen
tweakers.net: abCd12345-tweakers
freemail.com (belangrijk): mail-abCd12345
gmail.com: gmail-abCd12345
proximus.be: proximus-abcd12345

tweakers zit dus bij de onbelangrijke categorie, niet omdat ik tweakers niet waardeer, ik kom hier elke dag, maar omdat de veiligheid van dat wachtwoord in principe minder belangrijk is; vroeger had ik minder wachtwoorden dan nu en had ik bv voor alle onbelangrijke sites slechts een paar wachtwoorden; je kan namelijk toch niets ernstig doen met zo'n wachtword, hoogstens een beetje posten uit mijn naam of een PM gaan sturen... mailsites daarentegen; daarmee kan je al mijn wachtwoorden gaan aanpassen dmv 'forget pw"..
het is dus zeer goed om een algoritme te bedenken; 'ter info, het hierboven aangegeven algoritme is ONGEVEER wat ik gebruik, niet exact; zo heb ik geen abcd12345 (dat zou bv bij google al worden afgekeurd denk ik want die checken daarop). Een eigen algoritme dat lange pw'den tot resultaat heeft is zeer veilig en het zorgt ervoor dat je niet meer afhangt van een derde partij om je gegevens te bewaren (die mogelijk ook ooit eens gestolen kunnen worden, want geloof mij de databases van lastpass en consoorten zijn een gewilde partij)

+1 Mupenge
@Armin • 4 mei 2016 23:50

Ja, inderdaad. Met zo'n wachtwoord speel je gewoon met je privacy. Maar zelfs als je zo'n makkelijk wachtwoord hebt en je hebt de twee staps verificatie aanstaan op je mail dan ben je toch best veilig aangezien iemand een code moet invoeren die ze alleen kunnen ontvangen via telefoon bijv.

ItzWilliam
@Mupenge • 4 mei 2016 21:39

Altijd handig! Ik gebruik het al heel lang.

+1 nick lunenburg
4 mei 2016 22:48

Wanneer mensen een simpele maar toch kleine verandering iedere keer in hun wachtwoorden aanbrengen zijn ze direct al een stuk veiliger bezig voor zich zelf, zet er bijv een @ aan het eind neer, of je laatste 2 cijfers van je geboortejaar, scheelt een hoop problemen..
Tot nu toe zijn de "hackers" bijna altijd een stapje voor, en de tijd die "ze" erover doen om iets veiliger te maken, hebben de hackers vaak nog niet eens de helft van de tijd voor nodig om het te omzijlen of te kraaken.. Als ze iets willen, krijgen ze het toch wel..

Finraziel
@nick lunenburg • 5 mei 2016 07:39

Dan moet je dat echter ook weer steeds onthouden en als iemand je password in handen krijgt kan het makkelijk zijn om te raden wat voor aanpassing je op andere sites gemaakt zou kunnen hebben. Het helpt wel tegen het simpelweg uitproberen van een volledig bestand maar echt veilig is het nog niet.

Ik gebruik zelf tegenwoordig een password manager (lastpass in mijn geval) die ik voor praktisch alle websites een willekeurig wachtwoord laat genereren. De manager zelf heeft een lang uniek wachtwoord, en een paar belangrijke diensten hebben nog unieke wachtwoorden die ik zelf onthoud.

bogy
@Finraziel • 5 mei 2016 16:05

ik gebruik bewust geen lastpass of andere pw manager ..

kom ik eens ergens anders of heb ik eens geen toegang tot m'n lastpass dan kan ik niet inloggen op die ene site ...

ik heb wel een db met een hele hoop wachtwoorden want ik werk ook met unique pw's per website, maar ik zorg dat ik daar altijd op een of andere manier aan kan (op dit moment is dat gewoon inloggen op vpn van thuis en dan het document openen)

Finraziel
@bogy • 5 mei 2016 20:32

Lastpass synct prima overal waar ik inlog. Zelfde oplossing als jij hebt dus, alleen jij wil het graag zelf bouwen. Daar is niks mis mee, maar je doet niks wat Lastpass niet ook kan

+1 ExilaaHH
4 mei 2016 21:06

In hoeverre is er dan sprake van een koop zoals de titel doet bevestigen als er enkel wat likes zijn gegeven op zijn facebookpagina ?

+1 jpsch
@ExilaaHH • 5 mei 2016 09:31

Betaling in natura.

Auteur 0

arnoudwokke
@ExilaaHH • 4 mei 2016 21:31

Dank, ik heb het aangepast!

Wildfire

4 mei 2016 21:06

Goh, als 272 miljoen wachtwoorden maar 50 roebel opbrengen is het niet meer de moeite waard. Handig, sterft die handel vanzelf uit.

@ hierboven: de titel zegt 'verkrijgt', of stond er eerst 'koopt'?

[Reactie gewijzigd door Wildfire op 4 mei 2016 21:14]

Jism
@Wildfire • 4 mei 2016 21:40

272 miljoen unieke combi's van wachtwoorden kunnen zinvol zijn bij bruteforce's van websites, games platformen en zelfs paypal / bank accounts. Er zijn miljoenen mensen op internet die vaak hetzelfde wachtwoord voor 1 en dezelfde dienst gebruiken, dus voor een hacker kan dat interessant zijn ja.

CedricD
@Wildfire • 4 mei 2016 21:25

Er stond eerst koopt ja

+1 DirtyBird
4 mei 2016 21:39

Wil het beveiligingsbedrijf dit hebben om zijn software te verbeteren? Of is er een andere reden voor ze om dit te willen hebben?

Aikon
4 mei 2016 23:04

Ordinaire heling dus van beide partijen...

0 mutley69
4 mei 2016 21:51

Wow daar kan je stats uit trekken zie!

0 _Thanatos_
5 mei 2016 04:21

Op deze manier is een dief dus een beveiligingsmedewerker, en andersom. En de politie is kleptomaan, en de brandweer is pyromaan. Een bedrijf dat zich een beveiligingsbedrijf noemt en vervolgens gestolen privégegevens koopt en doorverkoopt.

Met andere woorden, Hold Security: sterf.

0 audb
5 mei 2016 16:41

Je kan op https://strongpasswordgenerator.com/ een super goede password aanmaken maar zolang een website zo lek als een bodemloze vergiet is heb je er geen donder aan.
Meer er zijn er ook die mijn password niet accepteren : ;46*q5%!5%+Fg*52;|~;_!+f%jWW+!43+!~64R4~26b_8^d!*NC3n-:5~n^72G.:=3j;-;^:.K%*2!%+s8+_R.K939.|9_*Hj4**.7*82:_!g~+7!p6R^J7_f6:-4=5t:2z54~M7!2=:~f.-~_+3%a

Iets te lang misschien ?

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Beveiligingsbedrijf verkrijgt 272 miljoen gestolen wachtwoorden van Rus

Lees meer

Nieuwste IT Banen

Sorteer op:

Weergave:

Reacties (31)