Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HaveIBeenPwned voegt inloggegevens van 26 miljoen nieuwe e-mailadressen toe

Beveiligingsonderzoeker Troy Hunt, die de site Have I Been Pwned runt, waar mensen kunnen controleren of hun inloggegevens voorkomen in uitgelekte databases, heeft iets meer dan tachtig miljoen records toegevoegd aan zijn dienst. Daarvan stond een derde nog niet in HIBP.

Hunt schrijft in een blogpost dat de nieuwe gegevens afkomstig zijn uit 2844 datalekken en dat hij niet precies kan aangeven welke wachtwoorden uit welk datalek afkomstig zijn. Hij heeft toch besloten om de gegevens aan zijn collectie toe te voegen en zo doorzoekbaar te maken, omdat hij heeft gemerkt dat 'mensen graag willen weten of hun gegevens zijn buitgemaakt'. Hunt schrijft dat het in totaal om gegevens van 80,12 miljoen e-mailadressen gaat, waarvan een derde nog niet in de HIBP-database stond. Hij heeft bovendien een lijst gepubliceerd met de bijna 3000 sites waar de gegevens vandaan kunnen komen.

De onderzoeker voegt daar de waarschuwing aan toe dat hij geen idee heeft hoeveel van de gegevens echt zijn en dat hij ze daarom de status van 'ongeverifieerd' heeft gegeven. Er zou wel een groot aantal records tussen zitten die deel uitmaakten van datalekken die hij in het verleden heeft geverifieerd. Tussen de in de gepubliceerde lijst genoemde domeinen zijn zes Nederlandse en tien Belgische sites te vinden. Een woordvoerder van een van de Nederlandse sites, shopzoekpaleis.nl, zegt tegen Nu.nl dat er twee jaar geleden sprake was van een datalek, maar dat het niet duidelijk is of de gegevens daaruit voortkomen of dat er sprake is van een nieuw incident.

De nu toegevoegde gegevens zijn afkomstig uit een verzameling van 8,8GB en 2889 tekstbestanden die Hunt na een tip aantrof op een hackerforum. Er zaten ook gegevens van bekende datalekken tussen, zoals van MySpace en Dropbox. Hunt zegt dat hij de gegevens nog niet op unieke wachtwoorden heeft onderzocht en dat de verzameling geen deel uitmaakt van de half miljard gehashte wachtwoorden die hij vorige week beschikbaar stelde. De dienst voor het controleren op uitgelekte inloggegevens is te bereiken op haveibeenpwned.com.

Door Sander van Voorst

Nieuwsredacteur

26-02-2018 • 14:41

72 Linkedin Google+

Reacties (72)

Wijzig sortering
En nog even voor degene die m'n bericht hebben gemist bij het vorige nieuwsartikel hierover:

Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek: https://haveibeenpwned.com/

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords

In het geval van een sensitive breach, kan je niet openbaar zoeken, maar moet je dat doen met behulp van authenticatie. Dat kan bijvoorbeeld via e-mail. Meer informatie hierover is hier te vinden: https://haveibeenpwned.com/FAQs#SensitiveBreach

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

[Reactie gewijzigd door AnonymousWP op 26 februari 2018 15:06]

Loop je geen risico op datalek juist door je wachtwoord en emailadres in te vullen bij datzelfde domein?
Je stuurt geen wachtwoorden naar de site, maar de eerste paar karakters van de SHA1 van je wachtwoord, open maar eens de network tab van Chrome/FF, en dan zie je een request naar bv: https://api.pwnedpasswords.com/range/ED2A0

ED2A0 zijn de eerste 5 karakters van sha1(mijnsterkwachtwoord)
Je kan ook je gewone wachtwoord naar de site sturen.
Waar moet je je wachtwoord invoeren dan?
Tweede link, maar ik zie al dat er op die pagina iets wordt gezegd over de veiligheid daarvan.
Je loopt altijd risico op zoiets, maar daarom kan je ook opt-outen :p. Daarnaast.. worden de ingegeven wachtwoord gehasht opgeslagen, en wordt er maar een deel van je hash naar de website gestuurd voor de vergelijking. Zie ook hier: .oisyn in 'nieuws: Troy Hunt breidt verzameling uitgelekte wachtwoorden uit n...

[Reactie gewijzigd door AnonymousWP op 26 februari 2018 15:29]

Als je email voorkomt in de database omdat deze bij een van de vele datalekken is geregistreerd, en zelfs al zou het wachtwoord er tussen staan, dan is het toch alleen het wachtwoord dat je gebruikt voor de site waar de lek is geweest, bijvoorbeeld LinkedIn toch?
Het betekent dan niet dat je wachtwoord van je email zelf (hotmail, outlook, gmail etc) ook compromised is?
Correct. Het is dus enkel voor de dienst. Aan te raden wordt dan wel om je wachtwoord te wijzigen bij de andere diensten waar je datzelfde wachtwoord gebruikt.
Aangezien ik een mail domein heb en voor iedere service een ander mail adres gebruik is het eenvoudig om te achterhalen waar mijn leaks vandaan komen. In dit geval zat er een leak tussen van Daemon Tools.
Dus als je ooit bij Daemon Tools op de site of het forum geregistreerd bent geweest, is de kans aanzienlijk dat jouw mail adres ook uitgelekt is (met plain text wachtwoord...).
Bij gmail (en andere vast ook) kan je ipv email@gmail.com ook email+dmontools@gmail.com gebruiken bij het inschrijven, dat komt uiteindelijk in dezelfde inbox, enige probleem is dat niet elke website die e-mailadressen als geldig zal zien.

[Reactie gewijzigd door watercoolertje op 26 februari 2018 15:52]

Punten werken ook, waar ik toevallig achter kwam.
Klopt doe ik ook wel eens en dat werkt gelukkig wel altijd, alleen is het zo lastig onthouden wat je precies hebt gebruikt op welke site.

Voordeel is dat je daarmee wel meerdere accounts kan maken op 1 site :)
gelukkig hebben we 10minute mail nog :)

dit gebruik ik voor alles waar ik maar 1x ga inloggen om door de login-muur te komen
Dus als je xxxxx@gmail.com hebt aangemaakt kun je bijvoorbeeld xxxxx.daemontools@gmail.com invoeren en komt het op xxxxx@gmail.com ?
Nee, de punten werken anders, deze zijn bij gmail geen onderdeel van het adres, net als de + en alles wat daarachter staat.

xxxxx.daemontools@gmail.com is dus hetzelfde als xxxxxdaemontools@gmail.com, en ook alle mail die word verzonden naar xxx.x.x.d.aem.on.t.oo.ls@gmail.com komt in de inbox van "xxxxxdaemontools@gmail.com" terecht.

Maar je kan hier nog wel op filteren in je inbox. Handig voor sites die de + afvangen in een email-veld.

[Reactie gewijzigd door SirNobax op 26 februari 2018 17:41]

Echter laten veel websites het niet toe te registeren met een + in je email. Dit wordt namelijk gezien als een ongeldig email adres..
Volgens de mailstandaard is het volledig legitiem, maar ja... theorie vs praktijk

[Reactie gewijzigd door Gropah op 26 februari 2018 17:17]

juh, correct. Het is een standaardsetting in bijvoorbeeld Postfix (recipient_delimiter) die dat wel of niet toelaat; of default uitgecomment staat. Soortgelijk dingetje: emailadressen die met een - beginnen. Volgens de RFC mag dit maar ook dit staat vaak default uit omdat het ook een mogelijkheid biedt omdat het als je het in de shell doorgeeft het als een commandline option geinterpreteerd kan worden (met dus gevaarlijke gevolgen).
Vertel mij wat ik heb een - in mijn domeinnaam.
Tegenwoordig loop ik er niet zo vaak meer tegenaan maar veel email regexps op websites vonden dat niet valid in het verleden. :(

Ik bedenk me net dat ik me ook bijna nergens meer registreer, dus misschien is het nog wel net zo erg als vroeger.
Dat is inderdaad precies wat ik er bij vertelde 8-)
Mijn email bestaat reeds uit naam1.naam2@gmail.com. Ik kan echter niet inloggen zonder het naam2 tweede gedeelte en mail wat ik stuur naar alleen naam1 komt niet binnen.
Dat klopt. Het kan alleen als het na de + staat wat weg kan vallen.
Bedoeling van aparte mails is kans op 'hacking' verkleinen. Alias gebruiken bij google is makkelijk te parsen en kan je individuen makkelijk detecteren over verschillende services. Heb je er een paar bij met plain text wachtwoord, dan is de kans groot dat je helemaal gecompromised bent.

Dit probleem is ook als je een eigen domein gebruikt.
Klopt. Zo kan je ook Google-en op je email-adres. Zojuist met die van mij gedaan en ik vond daar dus een oud wachtwoord terug van mijn PlayStation account, mèt gegevens van al mijn aankopen en mijn balance! 'T betrof overigens een Russische hacking website.

Om maar eens een voorbeeld te geven van gegevens die zomaar op straat liggen. :)

[Reactie gewijzigd door InjecTioN op 26 februari 2018 14:53]

Bedankt voor het delen, Scheelt me zoekwerk, password wat ik (ook) daar gebruikte stond in database.
pain text wachtwoord, daar krijg ik dus iets van he, en dat bij grote softwarefabrikanten, zo'n mensen moeten ze verbieden ooit nog software te schrijven.
Zucht dan zal mijn lek daar wel vandaan komen. ik wil al een tijd dezelfde setup als jij hebt maken maar ik wil hem niet bij iemand anders hosten. maarja dit is ook mijn enige email die ik ooit heb gebruikt, gemaakt toen runescape net begon.
Dankzij dit fantastische initiatief weet ik dat mijn accounts deel waren van (o.a.) de LinkedIn, Yahoo, Adobe en de Dropbox lekken. Een directe link naar de pagina waar je dit kunt controleren hoort dan eigenlijk wel thuis in elk bericht over Have I Been Pwned.

https://haveibeenpwned.com/
Ik heb een domain-search lopen bij HIBP en krijg altijd netjes een mailtje als weer een van mijn e-mailadressen van mijn domeinnaam ergens uitgelekt is. Hele toffe service die gratis beschikbaar is. Tot zover zijn deze bedrijven onzorgvuldig geweest met mijn gegevens: Bitly, Disqus, Last.fm, LinkedIn en Adobe.
thnx! Snap ook niet dat die link er niet bij staat.
Het is jammer dat HaveIBeenPwned bij deze dump niet vertelt op welke websites je dan precies gepwned bent. Ik moet nu zelf de 9GB datadump downloaden om te bekijken voor welke websites ik mijn wachtwoord moet veranderen.
Mag je het uberhaupt wel downloaden dan?
Zover ik weet is dat niet strafbaar(?). Zelf verwijder ik de dump weer nadat ik erachter ben gekomen op welke sites ik mijn wachtwoord moet aanpassen.
Het posten van reeds gelekte passwords is volgens mij niet strafbaar als je intentie duidelijk is om mensen te waarschuwen en je het niet makkelijk(er) maakt voor kwaadwillenden om die te misbruiken. Het is op deze site niet eenvoudig om van een willekeurig mailadres de wachtwoorden (en bijbehorende sites) te achterhalen, dus volgens mij doet deze site niets strafbaars.
Bedankt. Ik wil het inderdaad voor organisaties aankaarten. Nu gebruik ik al de domain search, alleen werkt dat niet op dit soort lijsten. Dan kan ik het mooi in een BI tooling hangen en makkelijker onderzoeken.
Dat doet de site wel hoor, ik heb net nog gekeken :)
Normaal gesproken wel ja, maar dat heeft hij nog niet gedaan voor deze breach van 3000+ sites.
Dat zal vast te maken hebben met het feit dat hij het zelf ook niet weet zoals in het artikel staat ;)
Hunt schrijft in een blogpost dat de nieuwe gegevens afkomstig zijn uit 2844 datalekken en dat hij niet precies kan aangeven welke wachtwoorden uit welk datalek afkomstig zijn.
Overheen gelezen, mijn excuus. Ik heb zelf alleen de email gelezen die ik binnen kreeg van HaveIBeenPwned.

[Reactie gewijzigd door Beagon op 26 februari 2018 14:54]

Daar is de hele site voor? Er staat letterlijk "heeft aan zijn dienst toegevoegd" in het artikel, betekenend, dat als jij je mailadres nu invult, je zelf het antwoord ziet op de site.
Niet voor deze lek, daarvoor krijg je namelijk deze melding: https://i.imgur.com/aeGTKBH.png

Normaal gesproken is dit inderdaad wel aan de orde. Daarom had ik hier ook bijgezet dat het om "deze dump" gaat.

[Reactie gewijzigd door Beagon op 26 februari 2018 15:05]

Als je je email registreert kan je inzien op welke sites je bent gepwned.

Eigenlijk moet je niet alleen op die websites je wachtwoord veranderen - maar op alle sites waar je dezelfde combinatie email / wachtwoord gebruikt.
Dank voor de info, ik ben al een tijdje geregistreerd maar bij deze dump kreeg ik die info niet (omdat het zoveel data is).

Ik gebruik zelf al een paar jaar KeePass2 dus zolang het geen 10 jaar oud account is zou het 1 wachtwoord wijzigingen moeten zijn. Maar inderdaad, het is verstandig om een meerdere malen gebruikte combinatie op elke website te wijzigen!
Vroeger kon je middels betaling ook precies zien welke wachtwoorden of welke sites dit waren op jouw gegevens, dat kan al een aardige tijd niet meer. Viel me toen op dat het bij aantal gevallen (mijn email bv) oudere data was, van bv voor migratie naar ander platform of reeds na de verplichte reset.
Ctrl + F in de database als je deze gedownload hebt? :)

En anders gewoon je mailadres invoeren natuurlijk op de frontpage.

[Reactie gewijzigd door AnonymousWP op 26 februari 2018 14:53]

Dat is mijn plan inderdaad
Inderdaad. Ik heb voor elke dienst een ander wachtwoord. Ik moet dus nogal wat combinaties testen.
Kan je die dump downloaden ja?
Deze laat alleen een count zien, maar niet precies waar volgens mij. (Kan het mis hebben!)
De betreffende link is 'enkel' een database met sha-1 wachtwoorden. Hier staan geen email adressen of accounts in.
DIt is niet de dump waarover gesproken wordt in dit nieuwsbericht. Die staat nog niet als download op de website.
Nog niet nee, maar dat zal vast wel binnenkort worden toegevoegd. En anders gewoon je e-mail invullen op de frontpage.
Iedereen kan het op die site vinden, maar als iemand vraagt mag je antwoorden, ipv "ik weet het maar ga niks zeggen" mentaliteit. Also, alle passes zijn sha1 sums, dus niet echt iets ban waardigs.

Hier, sha1 van mijn passwoord: 9a0feaa1ff1363bf4e715cf8867ff863c5797cd3
Was dat nou zo moeilijk?

Bedankt namens andere.
Wat als .... zo'n site een front is om bestaande emailadressen te verzamelen?
Daarom nooit een andere site gebruiken dan haveibeenpwned.com. :)
Nu nog even een 1Password, LastPass of andere manager runnen om al je e-mailadressen tegelijk te controleren… :)
Zie nieuws: 1Password gaat wachtwoorden controleren via Have I Been Pwned

Is een feature waarvan inmiddels een proof of concept is.
Precies, LastPass heeft zo'n dienst al heel lang en 1Password is van plan het te integreren in Watchtower. Sommige andere diensten hebben het ook. Stukken veiliger zo!
Houdt Have I been pwned toevallig ook een lijst /database bij met alle E-mailadressen die ooit gecheckt zijn? Denk dat er heel wat phisers zijn die die lijst wel willen bemachtigen :+
Het is inderdaad heel lucratief voor profilering voor advertentie- en marketingsdoeleinden. Het zal me niet verbazen als Troy Hunt ooit die opzoekgegevens gaat doorverkopen om de kosten van zijn site te betalen. Opzoekgegevens zijn niet gelekte gegevens, maar gegevens die bezoekers moedwillig invullen.

Daarom check ik altijd HIBP in private mode en verwijder gelijk mijn cookies zodat ik weer een "ander huisgenoot" ben.
Als jij in private mode bent slaat je brower sowieso geen cookies op dus dat heeft weinig zin. Daarnaast maakt dat niet veel uit want het gaat erom dat jij hibp jouw e-mailadres geeft. Je kan verwijderen wat je wilt daarna maar eens gegeven blijft gegeven.
Whoop whoop.

Net m'n 17 emailtjes gecheckt. 1tje zat er tussen. Van Wildstar. Dat spel blijft ontgoochelen. :D
Mijn gmail was onderdeel hier van. Gelukkig een mail met weinig accounts. Tot zo ver geen ww die ook voor gmail gebruikt word. Waarschijnlijk een WW van een site die me niet meer boeit.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True