Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

LinkedIn-gebruikers kunnen sinds kort controleren of hun gegevens deel uitmaken van de inloggegevens die zijn buitgemaakt in de hack van 2012. Beveiligingsonderzoeker Troy Hunt heeft de gegevens op zijn site 'have I been pwned' geplaatst.

LinkedInHunt schrijft dat hij opzettelijk een tijd gewacht heeft voordat hij de database op zijn site plaatste. Hij wilde eerst nagaan of de gegevens zich zouden verspreiden; dit leek nu inderdaad te gebeuren. Hunt had eerder bijvoorbeeld de beslissing genomen om de gegevens uit de VTech-hack permanent van zijn site te verwijderen, omdat hij samen met twee anderen de enige partij was die de gegevens in handen had.

Eerder werd duidelijk dat de LinkedIn-gegevens worden gebruikt om de social media-accounts van bekende personen over te nemen. Hunt merkt verder op dat het niet geheel duidelijk is welke personen een e-mail van LinkedIn hebben ontvangen over het opnieuw instellen van hun wachtwoord. Het bedrijf stelde zelf dat het alleen personen heeft benaderd die sinds 2012 hetzelfde wachtwoord hebben gebruikt. Maar ook personen die geen lid zijn van de site blijken e-mails te ontvangen.

Een woordvoerder van het bedrijf liet maandag aan Motherboard weten dat LinkedIn inmiddels alle wachtwoorden opnieuw heeft ingesteld, nadat het vorige week had bevestigd dat de hack van 2012 een grotere omvang had dan destijds was aangenomen. Zo bleken er 117 miljoen inloggegevens te zijn buitgemaakt in plaats van 6,5 miljoen.

Gebruikers kunnen op de site van de onderzoeker alleen controleren of hun e-mailadres in de uitgelekte gegevens voorkomt. Indien een e-mailadres op de site van Hunt voorkomt, betekent dit dat ook het wachtwoord dat in 2012 in gebruik was deel uitmaakt van de gelekte gegevens. Het is dan ook aan te raden dit wachtwoord op alle sites te veranderen en niet meer te gebruiken.

Moderatie-faq Wijzig weergave

Reacties (68)

En spontaan mag ik "nu al" een nieuw wachtwoord aanmaken bij linkedin! Kreeg een melding toen ik net wilde aanmelden. Ik ontving pas een email nadat ik probeerde aan te loggen. Kortom Linkedin heeft niet actief een reset-email naar de gecomprimeerde adressen gestuurd.

Vrij slecht en traag geregeld bij Linkedin! |:(

N.B. Ik had mijn wachtwoord al meteen aangepast na de eerdere melding van tweakers.net en ben dus niet actief benaderd door linkedin via email.

[Reactie gewijzigd door BUR op 24 mei 2016 11:39]

LinkedIn is niet echt een betrouwbare club, nee.
Misschien dat het nu beter (minder slecht) geregeld is dan in 2012, maar ipv toen te veronderstellen dat er "maar" circa 6 miljoen accounts buitgemaakt waren, hadden ze * iedereen* moeten verwittigen en verplichten hun wachtwoord te resetten. Die verwittiging moest uiteraard dienen om identieke login/password combinaties op andere sites aan te passen.

Maar dat vonden ze daar niet nodig.
Voor mensen die nog niet bekend zijn met HIBP of twijfels hebben over de authenticiteit/verificatie van accounts in de breach data moeten wat van zijn posts lezen.

Zie hier de overdenkingen rondom Ashley Madison en hier welke keuzes hij heeft gemaakt rondom Vtech.

Hij is hier al een goede paar jaar mee bezig en laat bewust transparantie, een betere etiquette rondom het afhandelen van data, en ethische vraagstukken lezen aan zijn geïnteresseerden.
Ik beken eerlijk dat ik wel een fan ben van de site en het initiatief. Om toch objectiever te kijken zie ik bij Troy Hunt veel meer informatie over hemzelf en de website, in vergelijking met LeakedSources of andere partijen. Hierdoor ontvangt HIBP wel een stempel van vertrouwen.

Edit [+taal]: Ik zat zelf ook in de breach, maar heb geen melding van LinkedIn ontvangen. Dat is voor mijzelf nogal verontrustend want ik kan mij niet herinneren of mijn password etiquette net zo netjes was 4 jaar geleden.

[Reactie gewijzigd door sheane op 24 mei 2016 14:11]

Ik zat niet in de Linkedin breach maar wel 4 andere sites waaronder Neteller en Vbulletin.com :)
Hmm, heb net gecheckt met n paar emailadressen.

Voor een adres geeft ie aan dat het ge-breached is op linkedin, terwijl ik dat adres niet voor linkedin gebruik. Nog even gecheckt, en linkedin geeft aan dat er geen account met dat adres bekend is als ik probeer in te loggen.
Opzich goed dat hij het online op zijn website zet..., maar wie zegt niet dat hij een database maakt van alle email addresses welke worden gechecked, zodat hij deze kan verkopen... (misschien niet in dit geval, maar in geval van andere "check if you are hacked" websites.)
Ik zou me meer druk maken over sites die zowel een e-mail adres als wachtwoord nodig hebben (oftewel flut sites waar je dan een login moet maken), dan een site waar je een e-mail adres kan invoeren. Wat dan nog als het bij iemand komt met minder mooie bedoelingen? Wat gaan ze ermee doen? Spam sturen is het enige, en dat lijkt ze ook wel te lukken zonder dat ik mijn e-mail adres daar invoer.

Oftewel, ja het zou kunnen dat hij een die adressen verzamelt. Maar het is maar weer waar je je druk over maakt. (Ook gezien je iig een e-mail adres publiekelijk hier op Tweakers hebt staan).
Ik praat hier niet over mij, maar over het algemeen. Ja, ik heb mijn email hier staan.., maar mocht er wat mee gebeuren dan weet ik precies waar het vandaan komt. Ik denk dat 80% van de bevolking gewoon 1 email address heeft, welke dan netjes "spam" zullen ontvangen zoals je zelf zegt. (ik heb niks over spam gezegt, alleen over het verkopen van adressen...
Jij zei inderdaad niks over spam, maar dat lijkt mij het enige wat ze met mijn e-mail adres kunnen doen. Wat meer kan je met enkel een e-mail adres? Ja nog wat zaken gerelateerd aan spam zoals phishing.

Misschien zie ik nu iets over het hoofd hoor, maar zolang het enige wat hij ermee kan doen is het verkopen aan mensen die me gaan spammen kan ik me niet heel druk erover maken.
Als je zoals mij een eigen domein hebt kun je op alle emailadressen van het complete domein laten zoeken. In mijn geval heeft elke website of actie een ander emailadres: tweakers@... of linkedin@.... bijvoorbeeld.

Ik kan dus redelijk gemakkelijk achterhalen welk email adres gelekt is als ik er spam op binnen krijg. Maar in dit geval kan ik ook melden dat inderdaad mijn linkedin@ emailadres voor kwam op de lijst met linkedin accounts.

Hij kan alsnog emailadressen harvesten, tuurlijk... maar met de verzameling die hij nu al heeft heb je een grote kans dat hij je adres toch al heeft. En dan moet je voor jezelf afwegen of je het waard vind om je mailadres bekend te maken om zo te weten te komen of en waar die gelekt is.
Dit is wat hij zelf zegt op z'n site:
How do I know the site isn't just harvesting searched email addresses?

You don't, but it's not. The site is simply intended to be a free service for people to assess risk in relation to their account being caught up in a breach. As with any website, if you're concerned about the intent or security, don't use it.
Dat moet je dan maar weer geloven op zijn blauwe ogen :+
Precies hij is wel een manager bij Microsoft en doet dit op eigen naam dus hij wel wat te verliezen als hij misbruikt maar. er is wel een alternatieve site met dezelfde insteek maar is waarschijnlijk wel van scammers die voor alles geld vragen etc.

voor nu alleen maar blij dat de site bestaat omdat sommige bedrijven (Adobe/Linkedin Sony) gewoon hun veiligheid niet op orde hebben. heb nu als 3x gehad dat mijn gegevens op straat lagen gelukkig altijd een random wachtwoord per site maar toch fijn is anders.
Ik gebruik die site enige tijd, vind het wel prettig dat je email meldingen krijgt als je e-mailadres opduikt in een lek. Nee, ik ben niet goed gelovig, maar zoals je al zegt, hij heeft wel meer te verliezen.
Regional Director is een marketing naam van Microsoft. Hij geen manager bij microsoft, meer een soort evangelist:

Microsoft Regional Directors are independent technology enthusiasts who engage in dealing with and evangelising one or more of Microsoft technologies in a particular region

Zie http://www.thewindowsclub...regional-director-program

maar verder on-topic: Deze man heeft duidelijk verstand van wat hij zegt/schrijft en ook zijn Pluralsight video's zijn bijzonder nuttig. Eigenlijk verplichte kost voor iedereen die code schrijft (al is het maar voor je eigen iot projectje)
Ik begrijp jouw bezorgdheid. Ik gebruik HaveIBeenPWND al een heel tijdje en heb sindsdien nog steeds geen spam ontvangen op mijn e-mailadres ;)
De website werkt trouwens zéér goed.
Je kan je ook aanmelden hè, met enkel je e-mailadres. Krijg je een waarschuwing direct in de mail zodra je opduikt bij lekken. Als je toch al af en toe kijkt, kan dat ook geen kwaad.
Ik gebruik voor bijna elke site waar ik registreer een ander, uniek, email adres met ander wachtwoord. Zo kwam ik er al snel achter dat het email adres dat bij mijn Adobe account hoorde, ook op de spamlijsten was gekomen.
Heb dat adres net dus even gechecked op de door jou genoemde site, en hij geeft aan
Good news — no pwnage found!
No breached accounts and no pastes (subscribe to search sensitive breaches)


Dat lijkt dus niet helemaal te kloppen.
Misschien de kleine lettertjes van adobe lezen, email adres aan partners ter beschikking stellen enzo.
Hij verglijkt het met reeds gelekte databases, dat houd in dat hij in feite die e-mailadress al heeft. ;)
Op zijn hoogst krijgt hij confirmatie dat er een e-mail adres nog in gebruik is of dat een nog niet gehackt/gelekt e-mail adres bestaat. Voor mensen die gehackt zijn is het e-mailadres al naar buiten gelekt bij mensen die vele malen gevaarlijk zijn dan de hoster van deze site.

@Jeroen, dat zeg ik toch ook. ;)

[Reactie gewijzigd door Auredium op 25 mei 2016 08:08]

Ook als je emailadres niet in zo'n database staat dan kan hij het verzamelen als je dat intypt.
Is dat niet het geval bij elke website waar je een sign-up doet? Daarnaast is Troy Hunt een erg bekende naam als het gaat om security.
Dan ligt die spam in mijn trash-map! Ik laat alleen emails van mijn contacten door tot mijn inbox! ;-)
Ik gebruik een uniek e-mail adres en wachtwoord per website, maar schrok toch wel dat er al een aantal pwnd zijn volgende de website van Troy Hunt. Ben wel blij dat de schade daarmee beperkt blijft tot die specifieke website, maar dan nog...
Heb je een soort catch-all adres ?
Een catch-all address is natuurlijk super handig voor dit soort doeleinden. In geval van een gmail-account* kan je vaak ook terecht met een label aan je adres, door een plusje met de labelnaam te zetten achter je gebruikersnaam, e.g. example+label@gmail.com.

*Misschien bieden andere aanbieders dit ook. Ik ben daar niet bekend mee.
Edit: typo

[Reactie gewijzigd door ScorcH op 24 mei 2016 08:13]

Dat "+label" werkt natuurlijk alleen als de website + tekens toestaat in het mailadres én als de spammer/emailverzamelaar niet dat "+label" uitwist.

Ik vraag me af of je je mailadres nog terug kunt vinden op zo'n "haveIbeenPowned" website als je de "+label" gebruikt ;)

Ik gebruik een mailadres voor ongure websites.
En een mailadres voor persoonlijk/zakelijk/prioriteit/betrouwbaar.
Het mailadres van "ongure" websites komt toevallig op de lijst voor, nu heb ik mijn password veranderd etc, maar je ontkomt niet aan het ontiegelijke aantal spam dat je ontvangt.
Mijn tweede mailadres is daarnaast gewoon clean, nooit last van spam en dat is ideaal.

Mijn punt, als je overal dezelfde mail gebruikt, maar een ander password, loop je nogsteeds de kans om een shitload aan spam te krijgen.
Voor gmail is het ook mogelijk om ergens een . tussen te plaatsen.

Als je bv pietjanssen12@gmail.com bent dan komt piet.janssen12@gmail.com en p.ietjanssen12@gmail.com ook in de pietjanssen12 mailbox aan.

Dan heb je best al veel opties om unieke adressen te maken.
*confirmed* even een mail gestuurd naar een van m'n gmails met meerdere punten en dat werk gewoon, dacht dat ze gewoon uniek waren, dan gaan we dus maar weer naar underscores toe ;(
"Maar ook personen die geen lid zijn van de site blijken e-mails te ontvangen."

Klopt ik kreeg deze morgen een mail om een account te bevestigen. Ik heb nooit een account gehad of aangemaakt op Linkedin. Vond het al zeer vreemd.

Verder alleen Pwnd op Adobe. Toch maar eens ff een rondje paswoord-veranderen invoeren vandaag.
Het nieuws van gelekte data van LinkedIn is Ideaal voor grootschalige phishing-campagnes.
Heb geen facebook en twitter, alleen linkedin. Maar zit er toch aan te denken om linkedin ook maar te dumpen. Nergens is je data veilig.
Dump tweakers dan ook meteen, aangezien je data hier dan ook niet veilig is
Hunt schrijft dat hij opzettelijk een tijd gewacht heeft voordat hij de database op zijn site plaatste. Hij wilde eerst nagaan of de gegevens zich zouden verspreiden; dit leek nu inderdaad te gebeuren.
Ik vind het een mooi initiatief, maar als de gegevens niet in andere handen zouden komen is het nog steeds fijn als ze het weten, zodat hun wachtwoord als nog kan worden aangepast lijkt me.
Ik snap niet dat hij niet gewoon direct iedereen op de lijst (geautomatiseerd) mailt?
Misschien omdat men dan die mails als spam gaat zien?
Ja, daar zat ik ook aan te denken.
Zou wel typisch zijn, spamfilters die belangrijke mails gaat blokkeren, maar falen in het blokkeren van spam.

Maar Linked-in zou dit zelf eigenlijk gedaan moeten hebben. Ik neem aan dat spam-filters niet mails van het originele "Linked-In" adres gaan blokkeren?

(EDIT): Ik lees dat LinkedIn wel mensen op de hoogte heeft gesteld?
Dan heeft het natuurlijk geen nut om dit nogmaals te doen.

[Reactie gewijzigd door FuaZe op 24 mei 2016 09:02]

Ik vind het toch altijd weer om te huilen om te lezen dat mensen (i.e. de mensen achter LinkedIn) wachtwoorden hashen met sha1 en dan nog zonder salt ook... |:(

"In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data." Bron: https://haveibeenpwned.com/

Edit: quote toegevoegd

[Reactie gewijzigd door ScorcH op 24 mei 2016 08:09]

Blijkbaar zaten er accounts van mij in zowel de LinkedIn als Adobe buit... Nu heb ik gelukkig nergens dezelfde email/password combinaties gebruikt, maar dat de e-mailadressen (en andere privegegevens?) op straat liggen vind ik ook niet bepaald fijn. Zo zie je maar weer dat je zelfs bij de meest "betrouwbare" websites huiverig moet zijn met het prijsgeven van je informatie.
2012? En ze komen er alleen mee omdat het alsnog is gelekt dat het toen is gehackt.. pfff.

EDIT: Ik ben blijkbaar pwned bij Forbes, Adobe, LinkedIn en GamerzPlanet.

Gelukkig heb ik overal een uniek wachtwoord, maar het toch zorgelijk dat zulke organisaties als Adobe en LinkedIn zelfs al niet fatsoenlijk met wachtwoorden omgaan. Hoe moet het dan bij kleinere bedrijven wel niet zitten?

[Reactie gewijzigd door ApexAlpha op 24 mei 2016 08:07]

Ik ben inderdaad ook bang dat de "kleinere hacks" (natuurlijk?) niet voorkomen in die database.
Daarnaast vraag ik mij ook af of je veel spam ontvangt? Aangezien het daarvoor niets uitmaakt wat je wachtwoord is ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True