Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Have I Been Pwned bevat tien miljard records van datalekken

De database van datalekzoekmachine Have I Been Pwned bevat meer dan tien miljard records. De 'mijlpaal' werd eerder deze week behaald door een datalek bij Wattpad, waarbij meer dan een kwart miljard accounts werden buitgemaakt.

Have I Been Pwned-oprichter Troy Hunt schrijft in een blogpost over het recordaantal datalekken. De grens van tien miljard records komt zeven jaar nadat Hunt met de website begon. In juni 2016, drie jaar na de oprichting, stonden er een miljard records op de site.

In totaal staan er nu dus meer dan tien miljard datalekken in de database. Het gaat om 'records'; lekken van een gehackt account, vaak in combinatie met een al dan niet gehasht wachtwoord en soms nog andere informatie die Hunt op de site opneemt. De tien miljard records zijn dus geen unieke accounts, er kunnen veel dubbelingen tussen zitten.

De grootste datalekken op Have I Been Pwned komen van beveiligingsonderzoekers die online databases vinden met veel records erin, zoals onbeveiligde Elasticsearch-servers. De grootste datalekken door hacks kwamen voor bij MySpace, waar 360 miljoen accounts werden buitgemaakt, en het Chinese NetEase met 234 miljoen accounts.

De grens van tien miljard records werd behaald door een recent gigantisch datalek bij Wattpad. Vorige week ontdekte Bleeping Computer dat er een database met 268 miljoen accounts van de schrijfdienst rondging op internet. Bij dat datalek werden naast gebruikersnamen, e-mail- en ip-adressen en geboortedatums ook wachtwoorden buitgemaakt die met bcrypt waren gehasht.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

20-07-2020 • 19:05

61 Linkedin

Reacties (61)

Wijzig sortering
wachtwoorden buitgemaakt die met het verouderde bcrypt waren gehasht.
Waarom is bcrypt verouderd? Wat weet tweakers.net dat de rest van de wereld nog niet weet? Oud betekent niet verouderd.

Edit: dit is gevaarlijke desinformatie. Bcrypt is de gouden standaard voor het hashen van wachtwoorden (bron: owasp). Nergens in de gelinkte artikelen wordt gesuggereerd dat bcrypt verouderd is.

[Reactie gewijzigd door roelboel op 20 juli 2020 23:03]

Bovendien, er zijn geen wachtwoorden buitgemaakt!

Als een wachtwoord gehashed is, is het niet meer te 'ont-hashen'. Hooguit kun je met een rainbow tables een match krijgen op een identieke hash en dan bedenken welk woord daarvoor gebruikt werd, maar een hash is per definitie destructief, dus je kunt het nooit meer terug rekenen tot het oorspronkelijke wachtwoord. Je weet op basis van de hash niet eens uit hoeveel tekens een wachtwoord bestond.

Er zijn dus hashes buitgemaakt, maar als deze hashes op basis van wachtwoord met salt gemaakt zijn, is het nagenoeg onmogelijk om het oorspronkelijke wachtwoord te gokken. Tenzij iemand rainbow tables voor alle mogelijke salts heeft en dan nog waarschijnlijk een oneindig geduld om al die tables te proberen.
Rainbow tables werken praktisch alleen tot een beperkte lengte en voor algoritmes zonder salts (b.v. rauwe MD5, SHA-1, SHA-2). Is met de huidige rekenkracht van GPU's iets van het verleden: je kunt diezelfde lengte op een goeie kraakmachine doorrekenen. Hetzelfde geldt als je 1 of enkele salted wachtwoorden wilt kraken (met b.v. een woordenboek of 'brute force'-aanval) die gehasht zijn met een snel algortime (snelheid = rekenkracht / aantal salted hashes). Snelle salted hashes zijn dus prima te kraken met je game GPU :)

Voor trage salted hashes - zoals bcrypt - wordt het een ander verhaal. Daar heb je maatwerk voor nodig, b.v. op basis van FPGA's. Effectief kraken kan dus tot op zekere hoogte nog steeds, maar niet op je game PC.
In principe is het natuurlijk nog steeds mogelijk om, ongeacht van salt, een rainbow table te hebben waar die hashes in voorkomen, ookal was het wachtwoord gesalt. Hashes zijn heel uniek, maar overlap is nog steeds mogelijk natuurlijk. In hoeverre dit daadwerkelijk haalbaar is is een tweede.

edit: ik was even niet helemaal helder, manmanman wat stom.

[Reactie gewijzigd door damaus op 21 juli 2020 15:57]

Met een unieke salt per gebruiker is dit praktisch onmogelijk. Bovendien kun je met je rainbow table wel een match hebben op een hash maar als die hash een salt heeft dan is het gevonden wachtwoord natuurlijk nog steeds niet juist.
ohja holy moly wat dom van mij hahahah, zieke brainfart, je hebt helemaal gelijk!
Zoals roelboel zegt: bcrypt is een van de beste manieren om wachtwoorden te hashen (naast scrypt en Argon2).

Verder fout / missende info in artikel: niet *alleen* bcrypt
[..]leaking
271 million users, including password hashes protected by the bcrypt for 145 million users, and 44 million by sha256
.

Voor de liefhebbers: SHA-2 is nieuwer dan bcrypt maar makkelijker / sneller te kraken.
En hoe staat BLAKE2/BLAKE3 hier in het veld t.o.v. alle andere hash algoritmes?
https://blake2.net
Je hoort daar erg weinig over, vandaar dat ik even nieuwsgierig ben naar je toelichting.
Thx!
BLAKE2 zat in de competitie on SHA-3 te worden (gewonnen door Keccak) en is in rauwe mode snel. Geen goed hashing algoritme dus voor wachtwoorden aangezien kraaksnelheden hoog liggen. BLAKE2 wordt echter gebruikt in Argon2, wat wellicht het beste wachtwoord hashing algoritme van het moment is, o.a. door toepassing veel iteraties hashing en 'memory hardness'.

BLAKE3 is heel nieuw, ben ik niet bekend mee.

BLAKE2 en 3 heb ik nooit langs zien komen in data breaches. Argon2 een enkele keer (wat niets is op de vele dumps die online verschijnen).
Ik snap ook niet hoe Tweakers zoiets kan publiceren. Welke hashing methode gebruiken ze hier zelf dan dat die beter zou zijn dan Bcrypt? Bcrypt kan zelfs worden aangepast naarmate computers sneller worden door het aantal iteraties te verhogen. Volledig toekomstbestendigheid dus.
Zoals @Tijs Hofmans verderop al reageert was het een wat onhandige formulering.

Maar bcrypt is tenslotte wel degelijk al relatief oud (uit 1999), Tweakers gebruikt ondertussen al enige tijd Argon2i. Overigens niet omdat bcrypt zo verouderd is, maar omdat Argon2i op een gegeven moment eenvoudig beschikbaar was in PHP en we het ook triviaal konden aanpassen om dat te gebruiken.
Ik bedoelde oud inderdaad, maar heb het vanwege de verwarring weggehaald.
Het is jammer dat je niet voor een domein kan zoeken... ik gebruik een emailadres voor persoonlijke doeleinden, maar een catchall voor alle websites. Dus voor tweakers is mijn emailadres tweakers@domein.nl

Op die manier is snel te zien waar spam wegkomt en is het simpel te blokkeren. Maar bij HIBP kan ik dus niet zoeken op alle emailadressen die eindigen op @domein.nl
Volgens mij kan dat wel: https://haveibeenpwned.com/DomainSearch
Als je kunt aantonen dat jij dat domein bezit/beheert, kun je daarna een lijst downloaden met alle breached e-mailadressen op @jeeigendomein.nl (bij mij zijn het er 3, waaronder bijv. adobe@mijneigendomein).
Ah top! Dat wist ik niet. Bedankt!
Uiteraard is dit een goede zaak dat je kunt inzien of je wachtwoord onverhoopt boven water is gekomen, maar neemt het gebruik van zo'n site ook risico's met zich mee? Bijvoorbeeld, als ik mijn mailadres daar intik, zou dat dan ook voor malafide doeleinden gebruikt kunnen worden?
Zit tegenwoordig ook, optioneel, in Firefox. Die gebruiken deze database ook om te checken of al je accounts nog veilig zijn.
Als jij in Have I Been Pwned voorkomt, dan kun je er al vanuit gaan dat het op straat ligt. Deze database wordt immers gevuld met data dat uit het malafide circuit komt. :)
Als jij in Have I Been Pwned voorkomt, dan kun je er al vanuit gaan dat het op straat ligt. Deze database wordt immers gevuld met data dat uit het malafide circuit komt. :)
Als je gaat controleren of je emailadres er in voorkomt dan weet je dat dus nog niet.
Ow oops, ik zit te slapen zie ik. :P

Dat berust inderdaad volledig op vertrouwen in de website Have I Been Pwned. Zoals andere hier al aangeven zit dat wel goed, met bijvoorbeeld een award van Microsoft.

En ik heb nog geen password dump voorbij zien komen met de naam "Have I Been Pwned". :P
Aangezien dat de moeder der password databases is, denk ik dat de beveiliging van de website ook erg goed is. :)

Verder is het natuurlijk goed mogelijk dat zoekacties direct worden weggegooid. Dus dan is het risico minimaal.

edit: reactie iets aangepast.
edit2: @banaj zoals je ziet heeft Martin.Air het al uitgelegd, maar er zijn zeker wel wachtwoorden.

[Reactie gewijzigd door dehardstyler op 21 juli 2020 10:33]

Aangezien dat de moeder der password databases is
Have I Been Pwned verzamelt datalekken met emails erin, that's it. 't Is dus NIET een database van wachtwoorden. Sterker: de grootste dumps in HIBP bevatten veelal helemaal geen wachtwoorden of hashes maar zijn SPAM-lijsten: zie de nummer 2, 3 en 4 op de hoofdpagina (dat zijn er al 2 miljard+).

Als je in HIBP staat, dat betekent het dus dat je email in een datalek zit. De rest is een vraagteken.
HIBP heeft naast de lijst met email adressen ook een lijst met wachtwoorden. Deze lijst met wachtwoorden is op dezelfde manier te doorzoeken als de lijst met email adressen. Het grootste verschil tussen HIBP en de meeste andere websites die soortgelijke diensten aanbieden is dat email en wachtwoord lijsten van elkaar los getrokken worden. Hierdoor kun je dus niet op email adres naar wachtwoorden zoeken en andersom.
Google heeft er in Chrome ook al een integratie meegemaakt, heb al enkele klanten gehad die dachten dat wij hun wachtwoord hebben laten lekken, terwijl dit uit andere lekken is gekomen
De site admin van haveibeenpwned heeft awards ontvangen van oa Microsoft voor zijn werk in internet security. Ik zou het de meest betrouwbare site in zijn gebied durven noemen.
Ja, zolang Troy de website zelf blijft beheren ja.

Echter probeert Troy al enige tijd een koper voor HIBP te vinden. Er waren op een gegeven ook geruchten dat Troy HIBP wou overdragen aan de Mozilla foundation, maar ik weet niet of dat nog actueel is of dat het zelfs nooit meer dan een gerucht was..
Hij heeft uiteindelijk van alle deals afgezien.

[Reactie gewijzigd door hmmmmmmmmmpffff op 21 juli 2020 13:47]

Dat zou kunnen. Maar gezien de openheid en de details waarmee Hunt de operatie beschrijft, acht ik de kans zeer klein. Uiteindelijk draait het om vertrouwen.
Dat wachtwoord heb ik zelf nog minder moeite mee dan dat email adres. Jarenlang netjes een spamvrije mailbox weten te houden. En dan op 1 jaar tijd in 2 grote lekken gezeten (kickstarter en OVH). Sindsdien steeds meer spam beginnen binnenkrijgen waardoor ik uiteindelijk genoodzaakt was om opnieuw een spamfilter op mijn server te zetten.
Je kan wel een opt-out doen als je wilt; dan is de data niet meer te vinden in HIBP. De mensen met echt kwade bedoelingen zullen gewoon zelf de datasets doorkijken.
Als iemand exact jou wilt 'hacken', en je mail weet, kan dus wel inzien naar welke gelekte data hij opzoek moet gaan
Neem aan dat je daar niet bang voor hoeft te zijn ;)
Je gegevens veilig controleren bij haveibeenpwnd doe je zo.
Met het aanbevelen van 1Password als wachtwoordmanager in dit geval en de sponsoring van de nodige infra voor het in de lucht houden van de site.
De hosting van de HIBP website wordt gesponsord door Microsoft (Azure). Hier een link naar de topology .

Troy is ook al heel erg lang een MVP en Regional Director voor Microsoft. Ook Mozilla en Google doen regelmatig donaties aan het HIBP project en hebben daarnaast HIBP toegevoegd aan hun browsers..
Troy Hunt is altijd heel transparant over zijn inkomsten en het verdienmodel achter de site. Dat hele 'het is gratis DUS je bent het product' is al lang heel erg achterhaald.
Dat hele 'het is gratis DUS je bent het product' is al lang heel erg achterhaald.
Het is achterhaald dat de waarde van (ongevraagd) verwerken van andermans persoonsgegevens alleen is uit te drukken in geld en gegevens geen product zijn omdat iemand transparant is.
Transparant zijn over het verdienmodel wil nog niet zeggen dat andermans gelekte persoonsgegevens voor Troy en zijn zakenpartners weinig of niets waard zijn. Ook niet als de service zelf verlies zou draaien. Het gaat er ook om hoe iemand voordeel heeft bij het ongevraagd verwerken van andermans gelekte persoonsgegevens. Er valt moeilijk te ontkennen dat het geen waarde heeft voor bedrijven die er in investeren om hun eigen producten beter op de markt te zetten voor hun (betalende) klanten of dat Troy naast kosten aan HIBP geen voordeel heeft bij alle aandacht. Over dat laatste is niet zo veel bekend maar wat mij betreft tellen verzorgde vliegreizen+overnachtingen om over HIBP te komen spreken of deze bekendheid op de cv kunnen zetten ook als waarde.
Ook vertegenwoordigen die persoonsgegevens een waarde vanuit het risico voor HIBP en Troy. Er lijkt veel aan gedaan om de gevolgen van een datalek niet te veel schade op te laten leveren, maar de kans dat het een keer mis gaat en HIBP daarvoor verantwoordelijk weegt als waarde ook mee. Dat het voor HIBP of Troy geen positieve waarde is (reputatieschade/verhaalde schade) maakt juist duidelijk dat er dus wel waarde in de persoonsgegens zit, ondanks dat de dienst 'gratis' is voor de meeste gebruikers.
En daarmee zijn die gelekte persoonsgegevens een product met waarde. Maar wel een die voor slachtoffers van datalekken vooralsnog meer voordelen lijken te kunnen hebben dan nadelen. Al ben ik wel benieuwd of dit zo groot zou zijn geworden als HIBP in de EU zou zijn opgericht.
Eigenlijk is het om te janken deze mijlpaal. Ik zat in die lijst wattpad, geen idee van die site dus dat is ook wel spannend.
+1Anoniem: 1259094
@ocrammarco20 juli 2020 19:24
Je kunt zelf nog zo voorzichtig zijn, maar als iemand in je omgeving zijn adressenbestand overal uploadt om bekende connecties te vinden, ben je bekend. Dat vind ik altijd wel een kwalijke zaak van websites. Op sommige sites laat ik bewust geen gegevens achter, maar via een hack kan het dus wel zomaar op straat belanden.
Yep laatst had ik ineens een mail dat mijn email + telefoonnummer in een datalek zit. Blijkbaar dus doordat iemand een third party contacten app had die een breach had. Helaas is daar niets aan te doen...
Ik had er ook nog nooit van gehoord tot ik vanmorgen een mailtje van Have I Been Pwned kreeg dat mijn data gelekt was. Het blijkt bij mij te gaan om mijn email die ik alleen maar voor Facebook gebruikte. Ik zal dus waarschijnlijk ooit ergens doorgeklikt of toestemming gegeven hebben op Facebook en zo in hun database beland. Ondanks dat ik al jaren geen Facebook meer heb sta ik er dus nog steeds in. Toch jammer. Ik heb dan ook geen idee wat voor data er van mij gelekt is. Binnenkort maar eens op zoek naar deze database.

[Reactie gewijzigd door Caviatjuh op 20 juli 2020 23:37]

Als een e-mail adres één keer is gevonden, is de controlefunctie van Have I been Pwned compleet nutteloos geworden. Want heb je daarna het wachtwoord veranderd, dan zal een test nog steeds positief zijn omdat je die eerste vondst niet kunt skippen bij volgende tests.

Ze zouden een 'zoek vanaf datum' veld moeten implementeren, waarbij je de datum van je laatste test kunt opgeven om te checken of er daarna een nieuwe database met een lek is opgedoken.
Precies, alleen zijn de bronnen niet altijd chronologisch o.a. bijv. bulk finds dus verzameld over jaren, dus zegt I have been pwnd dan niets behalve van voor deze datum. Voor specifieke hacks bijv dat forum op die datum kun je wel zeggen na die datum veranderd is ok.
Vervelend is ook dat de aard soms vaag is met plain text geen probleem dan moet je veranderen, tenzij de combinaties niet kloppen oid fake passwords om te kunnen verdienen en bijv. met tabel Encrypted password etc weet je niet zeker of de combinatie e-mail met encrypted daadwerkelijk gedecodeerd is. Vooral omdat ze er niet plain text gedecodeerd bijstaan lijkt me.

[Reactie gewijzigd door EnderQ op 21 juli 2020 02:31]

Bij Firefox monitor kan aangeven dat je actie hebt ondernomen en ze die bepaalde breach dus niet meer vermelden (ze staan als 'resolved'). FF monitor haalt z'n data bij HIBP vandaan, dus in die zin mis je geen breaches.
Bedoelen ze dan 10 miljard wachtwoorden gelekt of 10 miljard bedrijven waarvan data is gelekt? Wordt mij niet echt duidelijk zo en is nogal een essentieel verschil.
Ik ga uit van dat eerste, tenzij iedereen op de wereld 1.5 bedrijf bezit
Dat snap ik, maar er zijn wel miljarden websites met inlogs.
Ook zijn er "maar" 2 miljard sites. Waarvan lang niet zoveel actief en beduidend minder daarvan hebben een login.
Records, dus niet perse wachtwoorden (ivm dubbeling) maar ook geen bedrijven.
Niet alle records in HIBP bevatten wachtwoorden. Het gaat om een uniek 'record' zoals een combinatie van gebruikersnaam/wachtwoord bij dienst A, alleen een gebruikersnaam bij dienst B, een gebruikersnaam/wachtwoord/geboortedatum/ip-adres bij dienst C etc.
Bedoelen ze dan 10 miljard wachtwoorden gelekt
Nee.
of 10 miljard bedrijven waarvan data is gelekt?
Ook niet :)

Ze bedoelen: er zijn bij de datalekken die in HIBP zitten in totaal 10 miljard records met een email-adres erin gelekt. HIBP doet niet aan email/wachtwoord-combinaties. En 10 miljard bedrijven bestaan er niet in de wereld gok ik :P
Wat is er zo goed aan deze site als je niet eens kan zien op welke sites het betreft? :/

Ik gebruik op alle sites waar ik kom door de jaren heen dezelfde email adressen en allemaal met een uniek password.

Dit zijn door de jaren heen zeker meer dan 150 sites.

Hoe moet ik nu afgaande op Oh no — pwned! weten welke site dit betreft?

De hype er om heen snap ik helemaal niet want in mijn beleving heb je er als zogenaamd victim er helemaal niets aan.

Pas als Have I been Pwned komt met clues komt waar de breach zich heeft plaatsgevonden waar je e-mail adres op welke site is gehamsterd heeft het nut in mijn ogen.

Dat er direct na het invullen reclame verschijnt voor een password manager heb ik ook zo mijn vraagtekens bij en ondertussen kan de site zelf ook gebruikt worden om email adressen te hamsteren van iedereen die zijn/haar email adressen daar invult. Dat het gerund word door een bekende security researcher zegt niets.

In deze opzet heb ik er echt niets aan.

Pwned op 1 of meerdere sites!

Eeuh, ja welke dan? Waar moet ik mijn password veranderen? 8)7
Je krijgt een lijst met de breaches waarin je e-mail adres voorkomt met redelijk duidelijke informatie over de breach. Ik krijg voor mijn e-mailadres te zien dat er gegevens van mijn accounts zijn gelekt bij o.a. Adobe, Dropbox, Last.fm, LinkedIn. Vrij duidelijk toch?
Als je de melding 'Oh no - pwned!' krijgt kan je wat naar beneden scrollen met daar alle websites waar de warnings zitten.
Sta er nog steeds niet in :+
Eerste email address: Pwned on 8 breached sites and found no pastes
Tweede email address: Good news — no pwnage found!

Yay :+
Bij mij staat er dat mijn e-mailadres is buitgemaakt tijdens een hack van "Disqus" maar ik heb nog nooit van Disqus gehoord, laat staan er gebruik van gemaakt... Hoe dan?
Ik weet niet hoe accounts precies werken daar, maar Disqus is een systeem om reacties op bijv. blogs mogelijk te maken, een widget onderaan posts.
Heel raar, ik heb nooit geen blogs bekeken noch van Disqus gehoord.
Maar bedankt voor de uitleg.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True