Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden

De National Cyber Crime Unit, onderdeel van de Britse National Crime Agency, heeft bijna 586 miljoen wachtwoorden met Have I Been Pwned gedeeld. Hiervan waren er bijna 226 miljoen nieuw voor HIBP. Daarnaast kan de FBI nu direct wachtwoorden invoeren in HIBP's database.

De NCCU heeft tijdens een onderzoek naar criminele activiteiten miljoenen wachtwoorden gevonden op een onbenoemde, Britse cloudopslagdienst. Deze wachtwoorden waren gekoppeld aan e-mailadressen en waren een verzameling van 'bekende en onbekende datasets'. Wie deze data op de cloudopslagdienst plaatste, is onbekend. Wel kon deze data benaderd worden door criminelen om bijvoorbeeld fraude te plegen.

Omdat de wachtwoorden niet van één slachtoffer, platform of bedrijf waren, koos de NCCU ervoor om deze te delen met de website Have I Been Pwned, zodat zoveel mogelijk slachtoffers van de diefstal op de hoogte gehouden konden worden. Het ging om een bestand met 585.570.857 wachtwoorden, terwijl er op dat moment in de Pwned Passwords-dienst 613 miljoen wachtwoorden stonden. Bij die 586 miljoen wachtwoorden, waren er 225.665.425 uniek voor Have I Been Pwned. Die zijn nu dan ook opgenomen in de Pwned Passwords-database.

Deze wachtwoorden zijn nu onder meer beschikbaar in de Pwned Passwords-api, die andere organisaties ook kunnen gebruiken om te implementeren in hun diensten. Zo kunnen websites de api bijvoorbeeld toevoegen aan een aanmeldformulier, zodat de websitehouder kan voorkomen dat een gebruiker een eerder uitgelekt wachtwoord hergebruikt.

Troy Hunt, beheerder van HIBP, maakt ook bekend dat de eerder aangekondigde koppeling tussen de FBI en deze api inmiddels is afgerond. Wanneer de FBI nu wachtwoorden vindt, kunnen deze direct in de api worden geïmporteerd. Deze ingestion pipeline is opensource ontwikkeld. Hunt wil dat de gehele codebase van Have I Been Pwned opensource wordt.

Door Hayte Hugo

Redacteur

20-12-2021 • 11:18

52 Linkedin

Reacties (52)

Wijzig sortering
Waarom zou men de database gaan voeden middels een api? Betekent niet dat dit ook de andere kant op gebruikt kan gaan worden. Middels logging op actief misbruikte/gebruikte wachtwoorden bijvoorbeeld?
Een API betekent niet meteen dat je alles uit kan lezen. Je kunt bv API's maken waar je simpelweg een URL naar stuurt met een authorization header die jou vervolgens data teruggeeft. Je kunt ook een API voeden, die jou vervolgens niks teruggeeft. De data kan zelfs eerst ter goedkeuring weggezet worden in een database om na goedkeuring pas daadwerkelijk op te nemen.

Een API betekent eigenlijk: Koppeling tussen 2 systemen. Dit kunnen interne systemen zijn, maar ook zoals in dit geval een API voor externen.

Ik begrijp jouw vraag, maar hieruit is (volgens mij) wel op te maken dat je zelf weinig kennis hebt van de mogelijke werking van een API. Dit is overigens niet bedoeld als persoonlijke aanval.
Een API is eigenlijk een afspraak waarmee software met elkaar kan praten dat kan op vele verschillende manieren en kan over verschillende systemen gaan.
En de definitie die jij dan geeft van een API klopt dan niet helemaal. Een API is niet perse een koppeling tussen 2 systemen. Een API kan ook een definitie (of interface) van een abstractie laag zijn. Dus altijd even opletten voordat je andere mensen aanspreekt op het niet begrijpen van een term (niet dat ik alles weet, in tegendeel, ik weet minder niet dan wel).

Wanneer je over WebAPI's spreekt, heb je wat meer gelijk.

[Reactie gewijzigd door sky- op 20 december 2021 14:00]

In principe is een API altijd een koppeling (of interface, Application Programming Interface) tussen 2 systemen. Aan de ene kant heb je namelijk de applicatie die de API beschikbaar stelt, en aan de andere kant een applicatie die hier gebruik van maakt.
Een API kan ook een definitie (of interface) van een abstractie laag zijn.
Dat is eigenlijk precies wat een API is. Je kunt bijvoorbeeld een class maken met een methode die een wachtwoord accepteert, die vergelijkt met een lijst van wachtwoorden, en dan teruggeeft of het wachtwoord wel of niet in die lijst bestaat.
Die class kan verder methoden bevatten waarmee een connectie naar de database opgezet wordt, bepaalde queries uitgevoerd worden, etc. Met die eerder genoemde methode hoef je dit allemaal niet zelf te doen, en hoef je alleen de methode aan te roepen met een parameter, dit is de abstractielaag.

[Reactie gewijzigd door mjz2cool op 20 december 2021 16:11]

Dat klopt wat je zegt, maar een API kan ook zo simpel zijn als een substring method bijv. En spreek je dan over een ander systeem?

Dit is trouwens niet de plek voor dit soort discussies, dus ik zal d'r ook niet meer aan bijdragen. Komaaar op met die offtopics :'( :'(

[Reactie gewijzigd door sky- op 20 december 2021 17:18]

Om het hiermee af te sluiten: ja, dan spreek je ook over een ander systeem, het is dan nog steeds een interface tussen je eigen code en alles wat er gebeurt in die substring methode.
Een API betekent niet per se dat het twee kanten op werkt. Dat hangt er puur vanaf wat voor functionaliteit je via die API aanbiedt.
Het hoeft niet, maar het kan wel. Dus het sluit niet dat het gebeurt, zeker bij veiligheidsdiensten.
De koppeling met HIPB zal werken met de rechten en rollen die aan de veiligheidsdiensten toegewezen zijn. Hier kunnen ze niet omheen tenzij ze het ding hacken of HIPB meewerkt.
zonder te weten hoe hij werkt kan je er geen uitspraak over doen. Waarschijnlijk zal je enkel hashes kunnen ingeven en zo vermijden dat er ooit echte paswoorden over en weer gaan
Best aantrekkelijk om Have I been Pwned zelf te hacken dan :> ;)
Dat heeft op zich niet zoveel zin, deze wachtwoorden komen dus uit andere bronnen en die bronnen zijn prima te vinden op andere duistere kanaaltjes. Bovendien laat de site niet zien wat je wachtwoord is, alleen je emailadres, of alleen je wachtwoord en niet je emailadres, dus die zijn niet gekoppeld in hun database naar buiten toe.
De website laat je nooit zien wat je wachtwoord is, alleen of je ingevoerde wachtwoord ergens gelekt is. De website heeft bovendien geen enkel wachtwoord in een database staan, maar alleen hashes.
Sterker nog, zoals ik al zei: wachtwoorden en emailadressen zijn niet gekoppeld. Dat het niet plaintext is opgeslagen mag je toch hopen inderdaad.
Ik verwacht dat de api zo werkt dat je niet een volle bak met wachtwoorden kan opvragen maar dat je een wachtwoord opstuurt en een true/false terugkrijgt als deze wel/niet voorkomt in de database van Have I Been Pwned
De API werkt zo dat je de eerste 5 aantal karakters van een hash stuurt. Vervolgens krijg je een response met hashes die met die karakters beginnen. Op die manier kan een client (bijvoorbeeld een password manager) lokaal checken of het wachtwoord voorkomt in de HIBP database, zonder zelfs maar de volledige hash te sturen.
In order to protect the value of the source password being searched for, Pwned Passwords also implements a k-Anonymity model that allows a password to be searched for by partial hash. This allows the first 5 characters of a SHA-1 password hash (not case-sensitive) to be passed to the API
(bron)

Dat is overigens voor de wachtwoord-functionaliteit van HIBP. Los daarvan kun je ook een mailadres naar de API gooien om te checken of dat specifieke mailadres bekend is in de database.

[Reactie gewijzigd door jurroen op 20 december 2021 12:00]

Een database van al uitgelekte data hacken? 8)7
Ja, want mensen reageren niet zo snel om het te fixen :(
Het maakt ook wel uit of je wachtwoord van je email gelekt is of van een forum waar je al 10 jaar niet meer geweest bent.
Zolang je inderdaad verschillende wachtwoorden gebruikt. :o }:O
Zijn genoeg mensen die al jaren en jaren exact hetzelfde wachtwoord overal gebruiken.
En door pure geluk nog niet gehacked zijn.
Zijn punt was dat die data al publiek is.. dus de HIBH database kraken heeft weinig toegevoegde waarde..
Gemak dat je alles van 1 plek kan halen misshien.. maar dat is ook alles.. er zit niks nieuws in van wat toch al niet gelekt is (als dan niet op dark web).
Zodat je als hacker een lijstje hebt met 800 miljoen gebruikte wachtwoorden en op die manier het lijstje kan afwerken? Ik denk dat je meer succes behaalt met lijstjes veelgebruikte wachtwoorden.
Deze wachtwoorden zijn al gehackt van sites, waarschijnlijk hebben sommige criminelen hier al toegang tot, zou me ook niet verbazen als de FBI net zo'n database bij houd van gehackte wachtwoorden just in case...
De vraag is hoeveel je daarmee opschiet; De wachtwoorden zijn (hoop ik) gehashed, en aan die hashes zelf heb je niet zoveel (tenzij het gebruikte hashing algoritme gebroken is). Wanneer je een wachtwoord op de site invoert, wordt dat wachtwoord gehashed, en vervolgens wordt vergeleken met de database of die hash in de database staat :)
Het zijn voor het grootste deel gegevens die sowieso makkelijk te vinden zijn online. Het hele idee erachter is juist het aankaarten van gelekte authenticatie data.
Dan heb je een enorme lijst met hashes, daar heb je niet heel veel aan.
Misschien eens tijd om de naam te veranderen. Ik raad regelmatig mensen aan hun mailadressen te controleren op HIBP. Nummer 1 reactie: "have I been powned...is dat één of andere hacksite ofzo? Nou dat klinkt ook niet echt betrouwbaar".
Klopt, dat is ook altijd de reactie die ik zie. Mensen weten ook niet wat powned betekend.
En dat we hier een omroep met dezelfde naam hebben helpt ook niet.
Het is ook 'pwned' dus jullie gaan allemaal al de mist in. Powned is inderdaad een omroep hier, maar dus andere spelling.

Tis wel computer-'slang' dus het is natuurlijk te begrijpen als er ergens iets fout gaat.
Heb ik ook last van ja. Gelukkig zijn ze ook geintegreerd in zaken als de Google password manager, en ook Lastpass? In basis moet je volgens mij een andere site kunnen maken die gewoon input accepteert en dan als calls doorzet.
Dit.
Ondanks dat deze site ok is voelt het toch op de 1 of andere manier fishy aan om je e-mail in te vullen op zo'n web1.0 achtige website.
Daarnaast kan de FBI nu direct wachtwoorden invoeren exporteren in HIBP's database
Fixed!!!
Want als ik het tekst zo lees dacht ik: Invoeren? Handmatig invoeren???? :') :') :')

Edit: foutje aangepast, bedankt Stoelpoot!

[Reactie gewijzigd door Dark Angel 58 op 20 december 2021 13:19]

Dat zou dan "exporteren naar" zijn. Importeren is van een andere bron naar jezelf, exporteren is van jezelf naar een andere locatie.
Toch vind ik hier "importeren" beter de lading dekken. Het gaat namelijk over import-functionaliteit van HIBP, niet over export-functionaliteit van (een systeem van) de FBI.
Het zou mooi zijn als je ergens kon aangeven als een bepaald e-mail adres niet meer is gekoppeld aan de verworven database:
LinkedIn Scraped Data: During the first half of 2021

Het e-mail dat daarin is gekoppeld, is al minimaal 10 jaar geleden aangepast (met nieuw wachtwoord). Het is dus vreemd dat deze link steeds weer naar boven komt. Het staat daardoor vol met oude informatie die ik graag zou willen voorzien van een update.

Kan dat? Zo niet, kan ik ergens een verzoek indienen?
Het kan dus blijkbaar via deze pagina:
https://haveibeenpwned.uservoice.com/

Nee, ze gaan het niet aanpassen:
https://haveibeenpwned.us...all-breaches-as-rectified

[Reactie gewijzigd door Kiswum op 20 december 2021 12:43]

Niet zo heel gek toch? Het is ook geen database met welke accounts er aan een email adres hangen maar welke gegevens er uitgelekt zijn. Jou oude e-mail adres is blijkbaar uitgelekt en zal in die uitgelekte kopieën van die dataset altijd bij de oude e-mail adres blijven. De hackers hebben er echt geen boodschap aan dat jou e-mail adres toevallig gewijzigd is bij een account, je e-mail adres, naam en andere gegevens in die gelekte dataset blijven nog steeds relevant.
Dit verklaart waarschijnlijk waarom ik gisteren een mail kreeg van mijn Nextcloud dat een van mijn wachtwoorden niet meer veilig zou zijn. Ik gebruik namelijk de wachtwoordmanager app die in Nextcloud zit.
Off-topic: Voor de geïnteresseerden een erg handige plugin voor KeePass om deze hele HIBP database te gebruiken en af te steken tegen je eigen pwdb.

On-topic: Fijn dat de DB weer uitgebreid is.

[Reactie gewijzigd door xMuchux op 20 december 2021 11:42]

Het nieuws lijkt me eerder dat HIBP hiermee vooral gaat om de betrouwbaarheid van wachtwoorden.
Oorspronkelijk ging het om combinaties van accounts (email adres) en wachtwoorden en duidelijkheid waar het lek gevonden was.
Nu maakt het HIBP kennelijk niet meer zoveel uit om wat voor lek of zelfs account het gaat. Dat klinkt als een goed uitgangspunt om sterke wachtwoorden te laten gebruiken, maar je hebt er minder aan als je wil weten waar het lek waarschijnlijk zat.
Wanneer wordt zoiets dan vergeleken met het de data base van 1password en dergelijke? Dat gebruikers een bericht kunnen krijgen met; uw wachtwoord is ............ verander nu etc
Zal dan wel geen toeval zijn dat mijn wachtwoordmanager afgelopen weekend een pushnotificatie stuurde met de mededeling dat sommige wachtwoorden blijkbaar waren gestolen.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee