Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Estse politie geeft database met 655.000 e-mailadressen aan Have I Been Pwned

De politie van Estland heeft Troy Hunt, de beheerder van de site Have I Been Pwned, om hulp gevraagd een dataset van ongeveer 655.000 e-mailadressen doorzoekbaar te maken. Volgens Hunt kwam 59 procent van de e-mailadressen nog niet in zijn database voor.

Hunt schrijft in een blogpost dat de Estse politie om zijn hulp vroeg, omdat zij niet zeker is dat de eigenaren van de e-mailadressen nog toegang tot het bijbehorende account hebben. Bovendien wilde de politie geen directe e-mail naar de getroffen accounts sturen, omdat dit ongetwijfeld tot phishingpogingen zou leiden waarbij anderen zich zouden voordoen als de politie. De Estse opsporingsdienst wil mensen nu verwijzen naar Have I Been Pwned, zodat ze daar kunnen nagaan of hun e-mailadres voorkomt in de database.

De politie heeft een vermoeden dat de e-mailadressen gekoppeld zijn aan accounts op exchanges voor cryptovaluta, waarbij criminelen op zoek waren naar informatie over wallets om fondsen te stelen. De Estse site Geenius schrijft dat de politie in mei een man heeft opgepakt die van het feit gebruikmaakte dat mensen zwakke wachtwoorden voor hun account gebruikten of wachtwoorden hergebruikten. Zo zou hij in e-mailaccounts op zoek zijn gegaan naar bijvoorbeeld privésleutels voor wallets. Hunt schrijft bovendien dat het volgens de politie om een lopend onderzoek gaat, waardoor details schaars zijn.

Have I Been Pwned is een site waar mensen op basis van hun e-mailadres of wachtwoord kunnen controleren of dit is uitgelekt, bijvoorbeeld door een hack op een onlinedienst. Het is mogelijk om een notificatie in te stellen op een e-mailadres. De Nederlandse politie zette iets minder dan een jaar geleden een eigen variant van deze dienst op.

Door

Nieuwsredacteur

37 Linkedin Google+

Reacties (37)

Wijzig sortering
Heel erg netjes van de Estse politie, precies wat @jrswgtr meld; Waarom iets maken als het al bestaat.
Gebrek aan kennis zal ook een rol gespeeld hebben. Niet dat ik de Estse politie niet voor vol aan zie, maar wereldwijd zijn overheden en automatisering zelden positief in één zin gevat. ;)
In Estland zijn ze behoorlijk progressief wat digitalisering betreft. Stuk verder dan in west-Europa in elk geval..

https://www.nrc.nl/nieuws...oeftuin-10972681-a1562059

[Reactie gewijzigd door DigitalExcorcist op 11 juni 2018 15:56]

Er zijn altijd uitzonderingen die de regel bevestigen...
Maar inderdaad, da's een voorbeeld voor veel landen! Het helpt ook dat het een lekker klein land is met relatief weinig inwoners. Maar met de grote beer/buur "op de loer"...
Plus dat het spul zometeen ook in de pwned passwords dataset staat. Beter voor iedereen!
Klopt, weet niet of andere bedrijven het ook doen hoor maar 1password gaat vanaf V7 het systeem laten 'samenwerken' met 'Have I been pnwed' om te zien of je gegevens daarin voorkomen.
1Password is daar zeker niet de enige in. Bitwarden maakt er ook gebruik van. Er is een openbare API: https://haveibeenpwned.com/API/v2
Dat hangt er van af hoe ze het gedeeld hebben. Gelekte mailadressen delen kan privacygevoelig zijn. Je kan ze gebruiken voor spear phishing: gerichte mails versturen, mensen linken naar iets waar ze een account moeten aanmaken, en gezien mensen vaak aan password reuse doen, heb je ze dan.

Als ze enkel gehashte mailadressen en wachtwoorden doorgeven, is het iets meer prima. Dan kan Hunt er zelf niet gebruik van maken door aan het phishen te gaan (hoewel hij redelijk gerenommeerd is, moet je daar toch als politie niet op vertrouwen).
Have I been Pownd slaat email adressen niet op als hashes en er is in de gedetailleerde uitleg ook geen verklaring of het met hashes van email adressen kan omgaan. Vermoedelijk dus niet als het niet in het ontwerp is opgenomen.

Emailadressen zijn, zeker in combinatie met wachtwoord(hash) privacy gevoellige gegevens. Het beginsel is dat als je mag aannemen dat adressen of accountgegevens te herleiden zijn naar een persoon je er van uit moet gaan dat dat zo is tot het tegendeel kan worden bewezen. Het bericht gaat er over dat het voornamelijk accounts zou betreffen van gebruikers, dus ik zie geen reden om er van uit te gaan dat het geen persoonsgegevens betreft.

Wat ook verontrustend is is dat have i been pownd geen enkele blijk geeft of het voldoet aan de gdpr. De oorzaak is vermoedelijk dat ze daar nooit aan kunnen voldoen als ze ongevraagd email adressen en wachtwoord(hashes) van personen verzamelen. Om aan de gdpr te voldoen heb je al snel vooraf toestemming nodig om persoonsgegevens te mogen verwerken en die toestemming moet je dan ook nog hebben van de persoon om wie de gegevens gaan. Het uitgangspunt van have i been pownd is om persoonsgegevens te verzamelen en pas achteraf op verzoek gegevens te verwijderen.
Waarom is het netjes als slachtoffers nu zelf op zoek moeten of ze misschien slachtoffer zijn? Het lijkt me de taak van de politie om slachtoffers te informeren, niet andersom.

[Reactie gewijzigd door kodak op 11 juni 2018 23:45]

Ik zou eerder voor een door de overheid beveiligd digitaal berichtsysteem (E-mail met bv. verplicht gebruik van PGP (= niet geëncrypteerde/getekende berichten worden op de server verwijderd), waarbij de public key gemaakt kan worden a.d.h.v. de private key op je identiteitskaart - bv. zoals de Belgische eID kaartjes kunnen) gaan. Zo kan dat systeem ook meteen gebruikt worden om bv. aangetekende zendingen, belastingbrieven, officiële overheidsmeldingen, uitnodigingen van de rechtbank, e.d. op te versturen.

Daarna had men alle burgers die men wilde E-mailen daarop kunnen E-mailen (gegeven dat men de privé E-mail adressen koppelt aan dat beveiligde systeem van de overheid).
Er worden geen PGP keys gemaakt door de Belgische eID kaarten. 1 van de redenen is verlies/houdbaarheid van die kaarten.
Wat er echter wel gedaan wordt is om de eID te gebruiken als sterk authenticatiemiddel en een centraal key-depot.

Om bij de Belgische voorbeelden te blijven, in de zorgsector hebben we wel een aantal systemen gemaakt.
Als je stuurt naar gekende ontvangers kan jehun publieke key bevragen die in dat centraal key-depot zit, deze wordt in het key-depot gestoken wanneer je een key-pair aanmaakt via een tool (kort door de bocht kan je stellen dat je je eID dient te gebruiken om het te pushen naar het key-pot): https://www.ehealth.fgov....ire_connu_new_contact.pdf

Het tweede systeem is voor reeks (on)bekende bestemmelingen, daarmee genereer je een (symmetrische) key, steek je die in een key-depot en stel je in access rules in voor die key, kortelings kan je stellen dat je met je eID dient te authentificeren wil je de key eruithalen: https://www.ehealth.fgov....e_inconnu_new_contact.pdf
Welja, jullie zouden dus eens mogen nadenken over een manier om digitale aangetekende zendingen mogelijk te maken. Dan zou onze overheid met ons op een relatief veilige manier kunnen communiceren.

Ik denk dan inderdaad aan iets zoals PGP. Want dan kunnen we met eigen (open source) software die mailbox raadplegen en heb je niet één bepaalde software waarmee alle Belgische burgers de boodschappen raadplegen (wat opnieuw een single point of failure/security-hazard zou zijn).

De servers van het account zouden dan letterlijk alle E-mails die niet digitaal getekend zijn verwijderen, en alle E-mails van alle burgers zouden uitvoerig gechecked worden door bv. de mensen van safeonweb (en dat kan, want alle afzenders zijn d.m.v. digitale ondertekening gekend in het systeem. Dus als er ééntje begint met malware op te sturen, dan knikker je als overheid die en al zijn verzonden berichten eruit).

Uiteraard zou zo'n systeem niet voor commerciële dingen moeten gebruikt worden. Maar bv. de belastingdienst, politie, overheid, rechtbank, notaris, en zo verder. Eventueel ook erkende Belgische banken en/of een paar spelers (mutualiteit, Acerta, uitgevers van maaltijdcheques, deurwaardes, etc).
Zoals altijd in Belgie heeft iedere overheid wel een eigen idee! Zo kan je soms gebruik maken van een 'box', zoals de eBox voor sociale zekerheid: https://www.belgium.be/nl.../app_ebox_social_security (deze kan je dan weer koppelen aan oplossingen zoals doccle)

Gelukkig is er op Europees vlak zoiets als eIDAS gekomen enkele jaren geleden (wat oa. authenticatie, non-repudiation en trusted timestamping definieert), en heeft Belgie daarover het volgende te zeggen: https://economie.fgov.be/...tronische-handtekening-en Dit houd in dat je bv via een website (er staat een lijstje in de vorige link) gewoon digitale aangetekende zendingen kan sturen.

edit: belastingsdiensten hebben de taxbox, mutualiteiten en dingen zoals je pensioensparen etc komen op je eBox terecht, voor commerciele zaken hebben we oa. doccle, maar das eerder een digitaal archief dan een trusted platform, politie/rechtbank/notarissen hebben in theorie hun eJustBox - laat ons maar zeggen dat de praktijk wat achterloopt daar)

[Reactie gewijzigd door Dred op 11 juni 2018 18:15]

Zoals altijd in Belgie heeft iedere overheid wel een eigen idee!
Oei oei oei. Daar was ik al bang voor.

En ook allemaal zelf uitgevonden eigen dingen. Dat terwijl er een prima gedecentraliseerde standaard om veilig digitaal te communiceren is: SMTP(s) met de MIME messages (de E-mails dus) ingepakt met PGP. Daarna bv. POP of IMAP als protocol naar de mail user agent. Ik noemde enkel maar door het IETF gepubliceerde RFCs. Dus geen eigen uitvindingen.

Maar goed. Vermoedelijk wil iedere staatssecretaris en ieder afdelingshoofd van iedere Belgisch loket of afdeling of ministerie een gigantisch budget kunnen spenderen aan het bedenken van hun eigen idiote uitvinding hiervoor. Maximaal verspillen van ons belastinggeld dus.

Jij kan er niet aan doen. Maar als techneut met grondige kennis van zaken (ik werkte ooit aan E-mail clients voor Nokia en was ooit aanwezig op IETF IMAP meetings - en zoals je kan zien heb ik daar ook geaccepteerde voorstellen gedaan) kan ik duidelijk tegen jullie bij die overheden zeggen: nee dit is geen goed antwoord.

Gebruikt de standaarden. Die zijn er. Die zijn goed. Je moet ze enkel goed implementeren. Dat is de enige garantie dat de burger vrij er van gebruik kan maken. Alle andere zaken daar maak je de burger afhankelijk en verspil je ons belastinggeld.

Vooral de oplossingen van Microsoft, Google, Apple, Facebook, Whatsapp, of wat ook de zwets of hype van de afgelopen jaren is. Het enige dat juist is en het enige dat zal standhouden in de tijd, is het volgen van de IETF standaarden. SMTP(s), POP(s), IMAP(s), PGP, MIME

Ach. Dan zullen we nog maar zo'n 15 jaar er op wachten dan. Spijtig.
Maarja, dat hebben ze niet. En dat ontwikkelen of aankopen kost een hoop geld. Bovendien moeten de burgers dan naar een systeem wat ze niet kennen, dus dat betekent ook nog es een campagne om dat nieuwe systeem naamsbekendheid te geven. Denk je dat de burgers er blij van worden als er alleen maar voor dat doel zo'n hele trein aangezwengeld wordt? (ja dat je het ook kunt gebruiken voor belastingaangifte, prima, maar dat is NU niet aan de orde).

Nee, je gebruikt gewoon een partij die men kent. Zeker de mensen die willen weten of hun e-mail gecompromiseerd is, weten zo'n site wel te vinden. Prima oplossing.

Enige kanttekening is dat de site van HIBP wel gescreened/geaudit zou moeten worden op privacy en security, als er zo'n enorme sloot aan privacygevoelige data in gegoten wordt.
Hoe moeilijk is het om die e-mail adressen in te lezen in een SQL database dan? Dat zal Hunt toch ook gedaan hebben.
Nee, Hunt maakt gebruik van Microsoft Azure tables: https://www.troyhunt.com/...h-154-million-records-on/
The breached accounts sit in Windows Azure table storage which contains nothing more than the email address or username and a list of sites it appeared in breaches on.
Denk dat de reden toch redelijk duidelijk in het bericht staat?

Hadden ze zelf, als politie zijnde, een mail gestuurd om mensen te waarschuwen, gingen er zeker mensen zijn die op het idee zouden komen om phishing mails te versturen die zogezegd van de politie komen.

Of hun theorie opgaat, weet ik niet. Nu gaan ze verwijzen naar die site. Nu kunnen er dus mails gestuurd worden met verwijzingen naar een andere website en komt het dus op hetzelfde neer.

Maar het niet opzetten van nog maar eens een aparte database waarvan veel mensen niet eens het bestaan gaan weten en verwijzen naar een min of meer bekende partij, kan ik enkel maar toejuichen
Er staat in het bericht dat ze hulp zochten om het doorzoekbaar te maken. Daar refereer ik aan.

Iemand gaat nu alsnog gewoon een mailtje rondsturen met een nepsite om of een virus te verspreiden, dus dat maakt weinig uit.
Waarom iets maken wat toch al bestaat?
Wellicht dat de Estse politie nog bepaalde eisen heeft waar Hunt ook weer aanpassingen voor moet maken.
Waarom denk je dat? Of waar lees je dat?

Zoals ik het lees gebruikt de Estse politie gewoon de kant en klare techniek van Hunt.
Een goed idee. Waarom zelf iets maken als er al iets bestaat!
Doen ze erg slim. We horen vaak hier in Nederland dat de politie moeite heeft met budgetten/mankracht voor digitale misdaad etc. Dit is dan een goede oplossing om gebruik te maken van externe expertise, zodat het je niet je al schaarse mankracht kost om data verwerking te doen en en dienst op te zetten. (Zoals de NL politie blijkbaar wel heeft gedaan….)

Plus natuurlijk dat Have I Been Pwned al een bekende partij is, dus ook veel beter om de getroffen mensen te benaderen.
Waarom is het een goede oplossing?

In plaats van hun politietaken uit te voeren en zich aan de wet te houden doen ze het omgekeerde van wat ze moeten en mogen. Ze berschermen de slachtoffers niet maar schenden nogmaals hun rechten en ze informeren de slachtoffers niet maar hopen dat die zelf ooit uitzoeken of ze slchtoffer zijn en dat dan via have i been powned doen.
In het artikel staat uitgelegd dat ze de adressen niet gaan mailen om phishing te voorkomen.

Het is niet alsof je telefoonnummer of adres er bijstaan dus je bellen of een brief sturen wordt hem ook niet.

Het moet toch op 1 manier gedaan worden en hiermee besparen ze een hoop geld waarmee ze boeven kunnen vangen in plaats van een (dure) tool te (laten) maken.
De keuze voorkomt geen phishing, dus is dat geen excuus.

Of er geen andere persoonlijke gegevens zijn is ook geen excuus. De emailadressen en wachtwoord(hashes) zijn ook ersoonsgegevens en mogen ze alleen daarom al niet aan have i been pownd geven. Die site hoort die gegevens niet zonder toestemming van de slachtoffers in bezit te krijgen.

Geld besparen door als politie je wettelijke taken en plichten niet uit te voeren en rechten van slachtoffers te schenden is geen excuus. Als ze hun taken niet kunnen uitvoeren horen ze niet het omgekeerde te gaan doen maar horen ze te zorgen dat ze hun taken wel kunnen uitvoeren.
Met deze oplossing doen ze het omgekeerde.

[Reactie gewijzigd door kodak op 11 juni 2018 18:05]

"de politie in mei een man heeft opgepakt die van het feit gebruikmaakte dat mensen zwakke wachtwoorden voor hun account gebruikten of wachtwoorden hergebruikten"
toch wel bijzonder eigenlijk? hier wil ik eigenlijk wel weten hoe de politie dat op de radar krijgt en je daar zelfs mee kan vinden en kan oppakken.
Tsja... Die site is gelukkig tegenwoordig betrouwbaar, maar als ik het me goed herinner vroegen ze oorspronkelijk geld er voor, plus geld voor het verwijderen van een 'listing'.
Ik zou have i been pownd niet betrouwbaar noemen. Ze respecteren je privacy niet tenzij je je persoonsgegevens bij ze achterlaat om te bevestigen dat je geen meldingen meer wilt ontvangen. Maar dat wil niet zeggen dat ze je mailadres of wachtwoord hashes nooit meer zullen verwerken. Daar kan je je niet voor afmelden.

Verder zegt het weinig als je mailadres in hun systeem staat. In principe accepteren ze alle mailadressen en wachtwoordhashes als er een vermoeden is dat het om een databreach kan gaan. Van veel breaches lijkt niet duidelijk te zijn waar de gegevens vandaan komen en hoe oud het is. Het is ergens gevonden en hoe het daar kwam is bijzaak.
Hoe zit dat eigenlijk wanneer je een hit hebt op de site en je vervolgens alle wachtwoorden reset. Kan je zelf aangeven dat je e-mail dan weer veilig is?

Zo weet je bijvoorbeeld wanneer het weer raak zou zijn.
Ik sla mijn password daarom altijd op op een briefje. En die bewaar ik in mijn kluis in mijn huis!
Dat is hoe ik dit land ken. In plaats van "kan niet / mag niet / hebben we teveel trots voor", wordt er heel praktisch gekeken naar wat het beste is, en dat wordt zonden zeiken gewoon uitgevoerd. Dat was wennen, bureaucraten en ambtenaren die in oplossingen denken in plaats van formuliertjes.
Dat is hoe ik dit land ken. In plaats van "kan niet / mag niet / hebben we teveel trots voor", wordt er heel praktisch gekeken naar wat het beste is, en dat wordt zonden zeiken gewoon uitgevoerd.
Moeten we in de EU trots zijn op een land dat rechten schent om hun eigen trots? Er waren genoeg alternatieven zodat ze zich wel aan de wet zouden houden maar die hebben ze niet gekozen.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*