Sites zien geen toename accountmisbruik door circuleren wachtwoorddatabases

Grote Nederlandse webwinkels en Marktplaats zien geen recente toename van accountmisbruik door de eenvoudige beschikbaarheid van databases met wachtwoorden op internet. Een Nederlander zette vrijdag een wachtwoordzoekmachine online.

Vorige week waarschuwde Tweakers zijn gebruikers over verdachte inlogpogingen. De dader maakte zeer waarschijnlijk gebruik van databases met inloggegevens die al jaren circuleren op internet. Dergelijke databases zijn weer samengesteld op basis van grote datalekken bij online diensten. De databases waren eenvoudig te vinden en lang niet alleen op darknets, maar ook via Reddit en GitHub. Tweakers verzamelde zo een bestand met meer dan 1,65 miljard e-mailadressen en wachtwoorden, om dat te gebruiken voor het simuleren van inlogpogingen. Lukte dat, werd het account vergrendeld en de gebruiker genotificeerd.

Vrijdag werd ook het AD geattendeerd op het bestaan van zo'n database, met de melding van de tipgever dat hij er een zoekmachine voor online zou zetten, zodat Nederlanders eenvoudig konden nagaan of hun accountgegevens rondslingeren op internet. De laatste maanden lijkt er meer aandacht voor het bestaan van de databases en Tweakers ziet sinds begin dit jaar meer pogingen hier misbruik van te maken. Dit lijkt echter toeval.

"Wij zien geen opgaande trend", zegt Jan-Willem te Gussinklo, woordvoerder van Marktplaats. "We zien bij phishingcampagnes wel eens pieken. Misschien dat andere mensen nu in de verleiding gebracht worden om iets te proberen, als het makkelijker wordt met een zoekmachine. Aan de andere kant zijn we blij met de aandacht die er is, zodat mensen zich bewust worden van het hebben van een goed wachtwoordbeleid."

Ook Bol.com ziet geen recente opvallende toename in het aantal pogingen tot misbruik via gelekte gegevens. "Wij houden berichten over het vrijkomen van accountgegevens via andere organisaties nauwlettend in de gaten", meldt de woordvoerster, die daar aan toevoegt dat Bol.com accounts preventief blokkeert bij twijfels over de veiligheid. Coolblue laat eveneens weten geen toename in het aantal misbruikpogingen te zien.

Voor beveiligingsonderzoeker Rickey Gevers komt dit niet als een verrassing: "Dit speelt al jaren. Wellicht is Tweakers, omdat het relatief klein en lokaal is, nu pas aan de beurt." Voor wie eenmaal databases met de accountgegevens in handen heeft, is het maken van een zoekfunctie triviaal. Op internet zijn dan ook al zoekdiensten te vinden, naast de bekende diensten die de wachtwoorden niet vrijgeven, zoals Have I Been Pwned. De Nederlander die onder de naam D0gberry aan het AD liet weten zo'n zoekdienst online te zetten, zei in eerste instantie van dat plan af te zien. "Ik had me niet gerealiseerd dat miljoen ambtenaren, politici, en andere mensen in verantwoordelijke posities hun werkmail gebruiken voor Linkedin, Dropbox enzovoort. Wie weet gebruiken ze hetzelfde wachtwoord voor hun thuiswifi!", verklaarde hij.

Vrijdag kwam de site uiteindelijk toch online, al toont deze op het moment van schrijven de melding dat het te druk is als een zoekopdracht wordt uitgevoerd. Eerder was de site helemaal niet bereikbaar en werd een Cloudflare-pagina getoond dat de host offline was. Lukt het toch om een zoekopdracht te doen op basis van een e-mailadres of een domein, toont de pagina alleen een deel van het e-mailadres en de eerste twee karakters van het wachtwoord. Het is onduidelijk waarom de site nu wel beschikbaar is gemaakt, ondanks de eerdere bedenkingen.

Tips om misbruik van accounts te voorkomen met sterke wachtwoorden en wachtwoordmanagers staan op Wachtwoord Bewust.

IT-banen

Reacties (74)

hoevenpe 30 maart 2018 19:45

Ik mag toch aannemen dat de meeste sites een hash opslaan?

MikeyV @hoevenpe • 30 maart 2018 19:53

Ik mag toch aannemen dat de meeste sites een hash opslaan?

Je zegt het precies goed: Ik mag toch aannemen dat...

Gurd @hoevenpe • 31 maart 2018 16:31

Ja, dat is wel de norm. Maar of iedereen een veilige hash functie gebruikt is een tweede. Daarnaast heb je ook nog implementatie fouten.

Zo kwam ik een tijd terug een paar webapps tegen die de hash clientside uitvoeren. Het idee erachter is dat je wachtwoord zelf niet verzonden wordt. Op zich een mooie gedachte maar problematisch. Dan hoef je alleen maar met een aangepaste client een gelekte hash te sturen om in te loggen. Het vinden van een collision is dan niet eens meer nodig.

Makkelijk op te vangen door eerst een challenge op te vragen en dan hash($wachtwoord + $challenge) te sturen. Zodat je een eerdere hash niet kan hergebruiken. Maar in de gevallen die ik tegen kwam werd dit (nog) niet gedaan.

markoverklift @Gurd • 3 april 2018 11:01

Meer dan 30% websites zijn gemaakt in Wordpress. Wordt het dan geen tijd om daar zo'n bedrijf op aan te spreken? Je kan toch gewoon dwingend zijn in een advies, als EU zijnde?

Kees BOFH

Netwerk en systeembeheer

@hoevenpe • 30 maart 2018 21:03

Hashes, zeker md5 of unsalted sha1 zijn te bruteforcen. Dat is met deze lijsten gedaan en vervolgens zijn vaak ook weer de zwaardere hashes met die resultaten gekraakt.

darkfader @Kees • 31 maart 2018 22:33

Dan hebben we vast gebruik gemaakt van z.g. rainbow tables

Voor leken: https://en.wikipedia.org/wiki/Rainbow_table

Altijd leuk zo'n wachtwoorddatabase.. zeker als ze dan niet aangeven bij welke site het wachtwoord hoort

En ze hebben vast ook wel veel tijd nodig gehad om al die lange wachtwoorden te ontcijferen

Stoelpoot @darkfader • 3 april 2018 09:38

Nou, het is heel simpel: het wachtwoord hoort bij Facebook, Email, Twitter, DigiD, Rabobank, Netflix, Linkedin, en de PC die op het werk staat.

Mizgala28 30 maart 2018 19:31

Ik heb zo m'n bedenkingen over al die gehackte accounts.

Waarom? 1 van mijn e-mails waar ik regelmatig de wachtwoord van wijzig blijkt volgens Have I Been Pwned in die lijst te staan.

Mijn andere emails staat er niet in, en dan doel ik niet op mijn privé mail adres maar Gmail en paar hotmail adressen die ik jaren geleden gebruikte voor dingen als online games of voor spam, terwijl ik die adressen zo onbelangrijk vond destijds dat sommige werkelijk een wachtwoord zoals "wachtwoord123" hebben of de mail adres als wachtwoord.

Daarnaast ken ik paar mensen waarvan bij sommigen de wachtwoorden ook dood simpel zijn (ook dingen als "wachtwoord 123" en dergelijke dus) en ook die staan niet allemaal in die lijst.

Reden van mijn bedenkingen is dat ik het best raar vind, je zou denken dat die adressen in die lijst zouden voorkomen of mis ik nou iets?

_{dat terzijde dit zou de perfecte 1 april grap kunnen zijn, de zaak is een reëel probleem dus met een beetje moeite en medewerking van bepaalde websites zou dit genoeg aandacht kunnen krijgen. 1 ding zou al op zo'n grap kunnen duiden, las net op NOS dat deze "hacker" z'n doel heeft behaald maar er wordt niet gezegd wat...}

[Reactie gewijzigd door Mizgala28 op 25 juli 2024 17:32]

lighting_ @Mizgala28 • 30 maart 2018 19:39

Het gaat om de gehackte sites zoals linkedin etc. Die moeten de email adressen en wachtwoorden bevatten.

Mizgala28 @lighting_ • 30 maart 2018 20:06

En dat maakt het juist nog meer raar, van de email adressen die niet voorkomen in die lijst zijn er genoeg die gekoppeld zijn aan de genoemde diensten.

Nog leuker, mijn email adres die niet voorkomt in de lijst is bijvoorbeeld gekoppeld aan PSN (en dergelijke) terwijl de email die wel in de lijst voorkomt puur en alleen gebruikt voor voor privé email verzenden en ontvangen en is nooit aan welke dienst dan ook gekoppeld geweest, ik krijg er zelfs geen spam erop.

[Reactie gewijzigd door Mizgala28 op 25 juli 2024 17:32]

dakka @Mizgala28 • 30 maart 2018 20:31

en is de mail die je voor PSN gebruikt voor of na de hack aangemaakt?

Mizgala28 @dakka • 4 april 2018 17:35

2009, dus ver ervoor.

Kees BOFH

Netwerk en systeembeheer

@Mizgala28 • 30 maart 2018 21:02

Ik heb de lijst gecontroleert. Ik kon met behulp van die lijst op meer dan 41.000 tweakers accounts zonder problemen inloggen. Natuurlijk staat er veel BS in die lijst en niet alles staat erin, maar er staan genoeg werkdende combinaties in.

Chopp @Mizgala28 • 30 maart 2018 21:04

Vandaag na het lezen van de nieuwsberichten heb ik lokaal door die 1,4 miljard records gesnuffelt en het kwam regelmatig voor dat een 'gehackt' emailadres niet in de Haveibeenpwned database voorkwam en ook andersom.
Al mijn gevoelens/voorspellingen over mijn eigen privé en spam emailadressen bleken ook niet te kloppen.

Relatief @Mizgala28 • 1 april 2018 18:24

Zou het niet vele malen effectiever zijn om iedereen die in de haveibeenpowned database staat te voorzien van een verplichtte password change / identity check. Mensen gebruiken op hun websites wel meer externe partijen voor veiligheidsredenen, wat als de haveibeenpowned database gekoppeld staat met honderden websites die je gelijk waarschuwen als je gepowned bent en je verplicht je wachtwoord laten veranderen en om een vorm van two factor authenticatie vragen.

[Reactie gewijzigd door Relatief op 25 juli 2024 17:32]

ASS-Ware 30 maart 2018 23:43

Ik gebruik op elke website een ander email adres en password, zo heb ik inmiddels rond de 400 email adressen.
Alle adressen zijn adressen op eigen domein en komen aan in 1 mailbox en als er spam komt op een adres, dan weet je waar het lek zit, daarom doe ik dat.
Maar ja, hoe ga je dan zoeken op haveibeenpwned.com ...

kadoendra @ASS-Ware • 31 maart 2018 08:25

Heb je wellicht een noob-proof mini stappenplan hoe ik dit in kan stellen? Hier ben ik ook naar op zoek namelijk.

pizzafried @kadoendra • 31 maart 2018 08:37

Je zult óf een catch-all adres instellen, óf een alias per online account dat je wilt gebruiken aanmaken.Laatste is beter, want dan kun je de alias weggooien en ben je weer vrij van spam.

ASS-Ware @kadoendra • 31 maart 2018 10:58

Heb je wellicht een noob-proof mini stappenplan hoe ik dit in kan stellen? Hier ben ik ook naar op zoek namelijk.

Tuurlijk.
Ik heb een eigen domein, daarin kan ik een mailbox maken en die mailbox heeft een adres, bijvoorbeeld mail@domein.nl.
Vervolgens kan ik forwarders aanmaken, bijvoorbeeld test1 en test2, dat worden dan de adressen test1@domein.nl en test2@domein.nl.
Daarna kan ik die forwarders koppelen aan de mailbox.
Je kan ook een catchall aanmaken, dan komt alles@domein.nl in je mailbox aan, maar de ervaring leert dat je dan op random adressen op je domein troep krijgt.

Ik doe aan hosting en ik wil best een testpakketje opzetten voor je, dan kun je even spelen.
Stuur maar een berichtje.

alexiooo @ASS-Ware • 31 maart 2018 14:20

Je kan ook plus-aliasing gebruiken. Dan stel je een teken (standaard een +) in als alias karakter. Test+1@domein.nl, test+2@domein.nl zijn dan automatisch aliassen voor test@domein.nl.

Zo combineer je eigenlijk de voordelen van aliassen en catch-all. Je hoeft niet elk alias zelf aan te maken en iemand moet toch het eerste deel goed hebben om spam te kunnen sturen.

ASS-Ware @alexiooo • 31 maart 2018 14:26

Je kan ook plus-aliasing gebruiken. Dan stel je een teken (standaard een +) in als alias karakter. Test+1@domein.nl, test+2@domein.nl zijn dan automatisch aliassen voor test@domein.nl.

Zo combineer je eigenlijk de voordelen van aliassen en catch-all. Je hoeft niet elk alias zelf aan te maken en iemand moet toch het eerste deel goed hebben om spam te kunnen sturen.

Op je eigen domein werkt dat niet zomaar, bij gmail wel, maar het basis adres is daarin makkelijk te zien en dus krijg je daar spam op.

alexiooo @ASS-Ware • 31 maart 2018 14:33

Ik draai toch echt mijn eigen server en het was toch echt een kwestie van een enkele (of misschien twee) regel(s) aanpassen in de configuratie.

Daarbij gebruik ik een punt (".") Als alias teken, zodat het wat minder opvalt dat het aliassen zijn. In het half jaar dat ik deze mail setup gebruik heb ik enkel spam gekregen op gebruikte aliassen, niet op willekeurige adressen.

EDIT: Ik ben overigens geen expert op dit gebied. Ik vraag me voornamelijk af waarom het niet zomaar zou kunnen terwijl het in mijn geval dus vrij eenvoudig in te stellen was.

[Reactie gewijzigd door alexiooo op 25 juli 2024 17:32]

ASS-Ware @alexiooo • 31 maart 2018 22:22

Ik draai toch echt mijn eigen server en het was toch echt een kwestie van een enkele (of misschien twee) regel(s) aanpassen in de configuratie.

Daarbij gebruik ik een punt (".") Als alias teken, zodat het wat minder opvalt dat het aliassen zijn. In het half jaar dat ik deze mail setup gebruik heb ik enkel spam gekregen op gebruikte aliassen, niet op willekeurige adressen.

EDIT: Ik ben overigens geen expert op dit gebied. Ik vraag me voornamelijk af waarom het niet zomaar zou kunnen terwijl het in mijn geval dus vrij eenvoudig in te stellen was.

Ik zei bewust "werkt dat niet zomaar".
Met jouw mailserversoftware werkt het, maar bij vele hosting partijen en hun mailservers is dat niet het geval.

Relatief @kadoendra • 1 april 2018 18:29

https://www.guerrillamail.com/ kun je gebruiken voor tijdelijke emailadressen, scheelt ook een hoop werk.

femmer @ASS-Ware • 31 maart 2018 12:20

Om alle adressen van domein te zoeken hebben ze een domainsearch:
https://haveibeenpwned.com/DomainSearch

ASS-Ware @femmer • 31 maart 2018 14:28

Om alle adressen van domein te zoeken hebben ze een domainsearch:
https://haveibeenpwned.com/DomainSearch

Top, thnx.

bytemaster460 30 maart 2018 18:58

Is dit geen aprilgrap? Bij een poging om je emailadres te controleren krijg je een link naar een artikel van De Speld gepresenteerd...

Kees BOFH

Netwerk en systeembeheer

@bytemaster460 • 30 maart 2018 20:08

Dat die lijsten met wachtwoorden online zo te vinden zijn is geen 1 april grap. Je hoeft echt geen 'hacker' te zijn om binnen een half uur miljarden combinaties te vinden.

JackDaniel @Kees • 30 maart 2018 20:34

Die data is ook al jaren beschikbaar. Nu is het echter lekker eenvoudig te gebruiken.
Kan mij niet voorstellen dat het verschil maakt. Mensen die het wilden misbruiken konden ongetwijfeld allang aan de data komen, tenzij het totale sukkels zijn.

cracking cloud @JackDaniel • 30 maart 2018 23:26

Zo'n zoekmachine zou het voor de leek veel inzichtelijker maken dat je wachtwoord is gehackt. Je leest er altijd wel over maar als je ineens je eigen mailadres intypt en je ziet dan je wachtwoord verschijnen dan is het effect denk ik groter dan wanneer je leest "er zijn 1,zoveel miljard inloggevens gelekt"

jozuf @JackDaniel • 30 maart 2018 22:15

En voor de sukkels hoef je dan weer niet te vrezen omdat ze niet competent genoeg zijn.

HoppyF @bytemaster460 • 30 maart 2018 19:05

Leuke 1 april grap.
Wel iets te vroeg.
Wel goed natuurlijk om mensen attent te maken om hun wachtwoorden goed te beveiligen.

bytemaster460 @HoppyF • 30 maart 2018 19:14

Aprilgrappen die eind maart verschijnen zien we de laatste jaren steeds vaker, dus ik sluit het niet uit...

Chocoball

@bytemaster460 • 30 maart 2018 20:11

Hij is van gedachten veranderd en de zoekmachine komt niet online:

En de zoekmachine? „Die komt niet meer online. Ik ben me gaan realiseren dat ik erdoor in juridische problemen kan komen. En misschien heb ik mijn doel ook wel bereikt, als ik de vele reacties vandaag zie.”

Bron: https://www.telegraaf.nl/...twoorden-toch-niet-online

erwinwernars @Chocoball • 31 maart 2018 00:10

zolang je geen wachtwoorden deelt en mailadressen en accounts niet volledig toont maar een deel weglaat lijkt het mij geen probleem toch?

ben geen jurist

Feesboek @bytemaster460 • 30 maart 2018 19:34

In de video op het einde van het artikel zeggen ze dat het geen 1 April grap is, waarbij ook wordt gezegd dat ze dit op de andere redacties ook dachten. Verder tonen ze in de video een korte demo van hoe het zou moeten werken.

Deem @Feesboek • 30 maart 2018 20:06

Er is een video dus het moet wel echt zijn.

Gewoon een uit de hand gelopen 1 April grap.

bytemaster460 @Feesboek • 31 maart 2018 11:00

Maar waarom zou je de bezoekers van je site doorverwijzen naar een artikel van De Speld?

Feesboek @bytemaster460 • 2 april 2018 00:12

Ik denk dat je daar inderdaad wel een goed punt hebt. Ik zie nu trouwens dat de site zogenaamd weer bereikbaar is en nu niet meer doorverwijst naar het artikel van de speld, maar ik ga er alsnog vanuit dat dit gewoon een 1 April grap is geweest. Wel jammer dat ze dat dan niet even bevestigen, aangezien je er best wel gemakkelijk in kan trappen.

0xygen500 @bytemaster460 • 30 maart 2018 20:55

Lees ik erover heen of staat hier die link niet in het artikel?

Kain_niaK @darknessblade • 30 maart 2018 21:17

Arme klaas de Beuer. Ik ken die jongen en hij is er nog steeds helemaal kapot van dat iedereen hem als voorbeeld gebruikt voor hoe het niet moet.

bert pit 30 maart 2018 20:17

Bij mij is er ook een mailadres aanwezig op de hacklijst. Deze is destijds gehackt via dropbox. Alle gebruikers van dropbox hebben destijds een waarschuwing gehad dat het gelekt was en moesten het wachtwoord wijzigen. Dat heb ik netjes gedaan.
Wel heb ik gemerkt dat er in de loop der jaren heel veel spam is verstuurd naar dat adres.

horizon1978 @bert pit • 30 maart 2018 20:36

Dropbox en LinkedIn.
Bij beide ww aangepast. En dat ww van daarvoor wordt nergens meer gebruikt

FreshMaker @horizon1978 • 30 maart 2018 20:45

Dropbox en LinkedIn.
Bij beide ww aangepast. En dat ww van daarvoor wordt nergens meer gebruikt

En DAT is het belangrijkste, dat je de combinatie niet nog een keer gebruikt
Zou een mailadres al voorkomen, wil dat niet altijd wat zeggen.
Maar de koppeling die veel gebruikers wel doen, is op meerdere sites dezelfde naam/ww combo's - DAT is funest

Aardwolf

@FreshMaker • 30 maart 2018 21:13

Jep maar dat lijken mensen dan weer nét niet te begrijpen of in elk geval niet te weten. Men denkt volgens mij gewoon oh linkedin is gehackt, dus alleen daar moet ik een ander wachtwoord nemen en voor de rest gebruiken ze dezelfde combinaties vrolijk door. Kan natuurlijk ook, maar dan wel met verhoogd risico tot allerlei narigheid voor jou en misschien je omgeving (bijv. doordat de hacker via je account mensen oplicht oid).

Ik had het toevallig onlangs ook tegen iemand gezegd, maar die deed dus (onbewust) bovenstaande, alleen van die betreffende site. En eigenlijk ook wel logisch dat het gebeurt, want dit wordt wel vaak genoemd in reacties/fora maar in de betreffende artikelen of nieuwsitems zelden duidelijk gezegd wat men dan moet doen. Dus een beetje onwetend persoon denkt daar waarschijnlijk niet verder over na.

FreshMaker @Aardwolf • 30 maart 2018 21:36

Vanmorgen toevallig een mail op het werk er uit gedaan, omdat iemand had besloten een gedeelde chrome te willen gebruiken.
Na 2 dagen had ik van 7 collega's verschillende sites+ bijbehorende wachtwoorden.
Vrijwel allemaal in de categorie 12345 en huisdier25.

Een vervolgens de schuld krijgen dat ik mijn 'privileges' misbruik....
Zelfs uitleggen dat het mijn schuld was, waar is de privacy ?
Een gedeelde pc, waar 24 man gebruik van maakt .... Privacy ?

Hun mail laten controleren op haveibeenpwnd .... 16 breaches .... En nog mij de schuld geven ... Koekkoek

horizon1978 @FreshMaker • 30 maart 2018 21:44

Lol, succes met AVG bewustwording in combinatie met beveiliging te creëren.

NLKornolio @FreshMaker • 30 maart 2018 22:52

Moet je is een nepfishing mail laten sturen binnen het bedrijf dan kan je pas lachen. Worden ze gelukkig wel wat bewuster van de gebruikers.

darknessblade @FreshMaker • 31 maart 2018 11:14

ik gebruik voor deze reden ook een portable versie van m'n browser.
gewoon via usb-stick, (alles naar de usb stick laten schrijven (zowel temp files als cookies) dat er niets op de pc wordt achter gelaten)

hierdoor ben je ook veiliger op public pc's
dat voorkomt teminste dat iemand bij bv "crome" automatisch WW onthouden aanzet.
en dat je WW's op die pc staan voor iedereen te zien.

tevens zijn public gedeelde PC's met maar 1 account veel te onveilig als iedereen hun WW opslaat.

je zou zo maar ineens met iemands paypal een flink aantal aankopen doen.
""zonder dat je het zelf in de gaten hebt""
(ook al is het per ongeluk en wilde je eigenlijk met je eigen paypal iets kopen op ebay (bv 20 items))

bert pit @horizon1978 • 31 maart 2018 15:42

Ondanks dat ik behoorlijk eager ben als het om beveiliging gaat, heb ik mij toen niet gerealiseerd wat de eventuele consequenties op lange termijn waren. Ik kwam daar eigenlijk pas achter toen ik op haveyoubeenpawend keek.
Wel wijzig ik regelmatig mijn wachtwoorden heb een passwordprogramma en pas ik voor belangrijke dingen altijd 2fa toe.

chemokar 30 maart 2018 19:38

Wat een gedoe zeg. Nieuwberichten zonder link (behalve tweakers natuurlijk), AD een hoop sensatie met een site die wel voor de journalist online was maar voor de rest duurde het nog even. Nu online met een link naar de speld.....omdat hij privacy issues zou krijgen. Geloof je het zelf? Decrypten deed hij in zo’n korte tijd dat hij nog geen tijd had gehad om er over na te denken?

Alsof de ‘hacker’ alle wachtwoorden uit de diverse databases heeft gedecrypt.

Wanneer zijn 1 april grappen weer gewoon op 1 april?

Of gewoon een keiharde publiciteitsstunt van het AD. Weet iemand al wie de ‘hacker’ is? (Collega van de journalist aan de andere kant van zijn bureau?)

Reuze benieuwd wat hij met alle zoekrequests gaat doen na 25 mei. Als je als persoon een dienst aanbied die persoonsgegevens verzameld (email adres met je naam er in). Leuke test case voor wat jurispudentie.

[Reactie gewijzigd door chemokar op 25 juli 2024 17:32]

Padvinder @chemokar • 30 maart 2018 21:53

AD en Tweakers zijn ook collega's bij De Persgroep. Vast een goed gecoördineerde 1 aprilgrap met als doel de Nederlanders wakker te schudden en nu eindelijk eens veiligere wachtwoorden te gebruiken.

arnoudwokke Redacteur Tweakers @Padvinder • 30 maart 2018 22:31

Vast een goed gecoördineerde 1 aprilgrap met als doel de Nederlanders wakker te schudden en nu eindelijk eens veiligere wachtwoorden te gebruiken.

Wij houden veel van 1-aprilgrappen. Echt. Maar wij hangen de filosofie aan dat het is om mensen te laten glimlachen (hardop lachen is niet verboden), niet om ze te foppen. Wij vinden misbruik van wachtwoorden niet grappig en dit nieuwsartikel is dus geen onderdeel van een 1-aprilgrap.

Ps. En een 1-aprilgrap posten wij uiteraard op, nu ja, 1 april natuurlijk.

freaq 30 maart 2018 18:48

ik denk dat een belangrijk detail is, "nog" niet.
het kan best zijn dat er later pas gebruik van gemaakt gaat worden,
en mogelijk niet op dezelfde site.

desalniettemin, dit is natuurljk positief nieuws gezien wat het had kunnen zijn.

Martinspire @freaq • 31 maart 2018 00:21

Ik denk eerder dat het vooral te maken heeft met "op de meeste sites heb je er weinig aan". Je kunt bij (de meeste) webwinkels niet bestellen met alleen login-gegevens van de webwinkel. Daar komt nog de transactie (en dus het belangrijkste deel) bij.

Mijn standaard login is ook zichtbaar op die lijsten, maar het maakt me weinig uit. Wat kunnen ze met een niet betaalde bestelling bij een onzinnige webshop doen? Mijn identiteit verkrijgen heb je ook weinig aan, of je moet heel boos zijn geworden door een reactie van mij hier op tweakers.

poor Leno 30 maart 2018 18:59

Had ook al op t forum de vraag gesteld;

Maar is t niet vragen om moeilijkheden als iedereen zn mail enzo vrijwillg door zo'n zoekmachine (of haveibeenpwned) gaat halen

Wat gebeurt er met de zoekopdrachten, dus officiele adressen?

Ben er best beetje huiverig voor

_{(maar wil t natuurlijk wel weten)}

dakka @poor Leno • 30 maart 2018 19:31

niets, in het geval van haveibeenpwned zou het het einde zijn van zijn carrière, Troy Hunt is namelijk een best wel bekende persoon in de beveiliging/tech wereld

Crxtreem 30 maart 2018 19:28

1 van mijn adressen staat in de lijst volgens de site.

En nu?
Er staat niet bij welke site het was.

ToAoM @Crxtreem • 30 maart 2018 19:33

Daar gaat het dus ook niet om. Het gaat er om dat men dat bijbehorende wachtwoord dus overal zou kunnen proberen.

BartB. 30 maart 2018 21:26

”Search through 1.4 billion compromised accounts”

De 1.4 lijkt me een vrij duidelijke verwijzing naar 1 april ook, eerlijk gezegd.

ASS-Ware @BartB. • 30 maart 2018 23:36

”Search through 1.4 billion compromised accounts”

De 1.4 lijkt me een vrij duidelijke verwijzing naar 1 april ook, eerlijk gezegd.

Ik denk juist van niet, Amerikanen bedoelen met 1.4 normaalgesproken 4 januari.

FreshMaker @ASS-Ware • 31 maart 2018 11:18

Technisch gezien is 'onze' hacker wel een Nederlander ...
( was het trouwens nog op TV geweest ? )

Op dit item kan niet meer gereageerd worden.

Sites zien geen toename accountmisbruik door circuleren wachtwoorddatabases

Lees meer

IT-banen

Reacties (74)

Sorteer op:

Weergave: