Wachtwoordendatabase Have I Been Pwned bevat twaalf miljard records

Wachtwoordendatabase Have I Been Pwned heeft meer dan twaalf miljard records. Oprichter Troy Hunt behaalde die mijlpaal door de gegevens van 229 miljoen Deezer-gebruikers toe te voegen die na een recent datalek naar buiten zijn gekomen.

Hunt schrijft op Twitter dat een recent datalek van Deezer bij Have I Been Pwned tot de dubieuze mijlpaal heeft geleid. Deezer meldde in december van vorig jaar een datalek. Daarbij waren de gegevens van miljoenen gebruikers uitgelekt via een derde partij waarmee Deezer in 2019 samenwerkte. Troy Hunt heeft die gegevens toegevoegd aan Have I Been Pwned. Het gaat om 229.037.936 records van e-mailadressen, al zijn bij het datalek zelf ook IP-adressen, geboortedatums en locaties buitgemaakt. Hunt voegt die laatste gegevens niet aan de database toe.

Met die 229 miljoen records komt Have I Been Pwned over de twaalf miljard records in totaal heen, zegt Hunt. Dat zijn niet allemaal unieke combinaties van gebruikersnamen en wachtwoorden. In sommige gevallen, zoals bij de grootste verzameling op de site, gaat het om credential stuffing-lijsten die niet allemaal uniek zijn.

Have I Been Pwned werd in 2013 opgericht en behaalde in 2016 voor het eerst een record van een miljard records. In 2020 werd een nieuwe mijlpaal gehaald van tien miljard unieke records. Tweakers sprak in 2021 met Troy Hunt over het ontstaan van Have I Been Pwned en hoe hij de website beheert.

Update: in het artikel stond aanvankelijk dat er ook wachtwoorden waren gestolen bij het Deezer-datalek, maar dat is niet het geval. Dat is weggehaald.

Door Tijs Hofmans

Nieuwscoördinator

02-01-2023 • 11:16

61 Linkedin

Reacties (61)

61
61
29
2
0
20
Wijzig sortering
Ik krijg regelmatig afpersing emails dat ik foute filmpjes heb zitten kijken (wie niet) en of ik wil betalen in Bitcoins. Enkele weten ook dan mijn email met wachtwoord wat wel grappig is want dat is een wachtwoord van ruim 10 jaar terug. Leuk zo'n database maar hoeveel is nog actueel?
Je zou nog staan te kijken hoeveel mensen hun wachtwoorden recyclen of gewoon niet wijzigen... of nu ineens hun wachtwoord updaten van "Welkom2022!" naar "Welkom2023!" ......
Bedankt voor de herinnering, moet er inderdaad nog een paar updaten naar 2023 :+
Ik krijg hier oncontroleerbare huilbuien van…
Welkom1, Welkom2, etc :+

Hoevaak ik ook niet ruzie heb gehad dat collega's post-its met wachtwoorden aan de monitor hadden hangen. Post-itje meenemen, al die accounts blokkeren. Ruzie :+
En elke minuut van die ruzie is het meer dan waard ;)
Het jammere is dat sommige bedrijven hun werknemers verplichten om regelmatig hun wachtwoord te veranderen. Dat werkt dat ...2022, ...2023, etc. gebruik heel erg in de hand.

Ik heb jarenlang unieke wachtwoordzinnen met 30+ karakters gebruikt voor mijn belangrijkste accounts + passwordmanager (en ja, voor ieder account een andere zin) die echt niemand kon raden, maar sinds kort moet ik (ondanks protest) van de IT-beheerder een wachtwoord met allerlei onhandige eisen, die ik ook nog 2 keer per jaar moet wijzigen. Dan ben ik toch al heel erg snel geneigd om er 22!, 23A!, 23B! etc. bij te gaan zetten. Zijn argument: "tja, jij doet het netjes, maar dat weet ik niet van iedereen, dus iedereen moet maar mee en jij ook".
Precies daarom wil Microsoft dus van wachtwoorden in z'n algemeenheid af. Juist omdat regelmatig wijzigen laksheid in de hand werkt en ik snap die filosofie wel...
Ik denk dat er nog een hoop mensen geen idee hebben wat er "achter de schermen" allemaal gebeurd en ook nooit hun wachtwoord zullen veranderen, omdat ze niet weten dat het onveilig (of al gelekt) is
Of het boeit ze niet. Zat accounts waarvan het me geen zier zou schelen of iemand ze hacked. Maar goed ik gebruik ook nooit een creditcard op internet.
Totdat iemand jouw username & password van www.nietbelangrijk.nl bij iets dat schade toe kan brengen.

Mijn vriendin haar gegevens werden misbruikt op marktplaats.nl, waar iemand onder haar naam producten aanbood (we konden snel het wachtwoord resetten en alle mensen die hadden geboden sn terug emailen dat ze gehackt was en vooral geen geld over te maken).

Er zijn ook websites die spullen onder rembours verzenden, dus jouw gegevens zijn ook zonder credit card wellicht 'boeiend'.

Zelf is mijn EA account gespoofd (gelekt wachtwoord dat ik ook voor LinkedIn gebruikte) zodat iemand FIFA kon downloaden spelen op mijn account. Ook daar kom je snel achter, maar toch.

We gebruiken sindsdien een wachtwoordmanager. Scheelt een hoop stress, iedere website een uniek wachtwoord.
Het zou je nog verbazen. Heb voor een paar bedrijven Pen testen/ethical hacking gedaan en dankzij oude wachtwoorden die mensen nog steeds gebruiken kon ik vaak ergens inloggen. Nadeel ook is dat sites als haveibeenpwned mij daar juist bij helpen omdat ik met een e-mail adres kan zien of iemand een keer gelekt is. Dan is het vaak vluchtig kijken of die dump ergens echt staat en heb je bingo.
dit klopt toch helemaal niet. Als ik een email adres ingeef bij haveibeenpwnd dan krijg ik te zien of en bij hoeveel breaches het gevonden is. Daarmee weet je nog niet dewelke.... kan je dus niet specifiek op één gaan zoeken.
En als je die databases toch al hebt, kan je evengoed daar direct in gaan zoeken.
Als je een pentest doet voor een bedrijf ga je toch beginnen met een search op @bedrijfsnaam.ext in al uw databases
Dan zou ik toch nog maar is goed gaan kijken want als je een pwned adres hebt kan je gewoon naar beneden scrollen en zien waar je gelekt bent.
“ En als je die databases toch al hebt, kan je evengoed daar direct in gaan zoeken.”
Nee je hebt niet alle leaks, teveel data waarvan je 99,99% nooit gebruikt.

“Als je een pentest doet voor een bedrijf ga je toch beginnen met een search op @bedrijfsnaam.ext in al uw databases”
Nee je denkt veel te makkelijk, vaak moet je de persoons persoonlijke e-mails achterhalen om die door pwned te halen. Kans dat mensen prive gelekt zijn is vele malen groter dan met bedrijf e-mail adressen
En wanneer je een dataset hebt compleet met wachtwoorden, is de kans aanwezig dat het wachtwoord dat van p.puk@provider.nl is gelekt ook voor p.puk@bedrijfsnaam.ext is gebruikt.
Klopt, of je kan variaties daarin proberen als ze bijvoorbeeld dingen als een jaartal erin hebben. Er zijn ook programma's die dit erg makkelijk voor automatiseren. beste voorbeeld is dat je in zo een programma *@bedrijfsnaam.ext zoekt pakt die alle bekende mail adressen. Daarnaast kan je per mail een "dig" doen en zoekt die insta/facebook/twitter erbij die er potentieel bijhoort en geeft meteen aan of die op haveibeenpwned staat genoteerd.
Het is bijna kinderspel geworden. Op die manier ook een pand binnen gekomen doordat ik wist wie van wie de leidinggevende was en gewoon aangebeld en gezegt dat persoon X van een ander kantoor me gevraagt had een dagje mee te draaien.
edit, je hebt gelijk.
Het staat er wel degelijk bij in welke breach de lekken zitten. En daar zoeken is zeker sneller dan lokaal :-)

Maar pentesters hebben bij ons voor zover ik weet nog nooit gebruik gemaakt van gelekte wachtwoorden. Er zijn nog genoeg andere gaten in de beveiliging momenteel...

Ik ijver er al enige tijd voor om alle wachtwoorden bij ons alvast te controleren met de database van haveIbeenpwnd, maar voorlopig willen ze nog niet..
En als je die databases toch al hebt, kan je evengoed daar direct in gaan zoeken.
nee. Dat kost meer tijd dan zoeken op haveibeenpwned.
Bij Deezer is er zo te zien ook een hack/datalek geweest, kreeg ik vanmorgen een mailtje van.
Oef, gelukkig dat ik mijn account heb verwijderd na het uitproberen.

Ik vind het jammer dat veel sites het zo moeilijk maken je account te verwijderen. Je moet bijna altijd een support ticket aanmaken of zoiets ingewikkeld (ik weet niet meer hoe dit bij Deezer zat). Ik denk dat ze dit doen voor investeerders, ondanks dat ze weten dat de accounts niet actief zijn, geeft het ze een kunstmatige boost in het klantenbestand.

Daardoor krijg je allerlei ongebruikte accounts die prive data kunnen lekken in de toekomst.

Uiteraard gebruik ik altijd random wachtwoorden maar er is natuurlijk meer info die kan lekken.

[Reactie gewijzigd door GekkePrutser op 2 januari 2023 11:22]

Jij zult waarschijnlijk veilig zijn, maar het ging in dit geval om een backup van gegevens die bij een derde partij stond. Helaas wilt het verwijderen van je account dus niet zeggen dat jouw gegevens ook daadwerkelijk weg zijn. De hack gebeurde einde 2022, de gegevens stammen uit midden 2019 en Deezer werkte al niet meer samen met deze derde partij sinds 2020.

Dus stel je hebt je begin 2019 geregistreerd en toen einde 2019 weer uitgeschreven dan ben je alsnog de sjaak nu in 2023. Puur omdat Deezer het dus blijkbaar prima vond dat een derde partij een kopie van al deze gegevens opsloeg en daarna niet verwijderde toen de samenwerking stopte. Natuurlijk zal Deezer niet weten dat deze partij de gegevens niet verwijderd heeft, maar ik denk dat derde partijen eigenlijk nooit een kopie van een productie database zouden mogen hebben op deze manier.

[Reactie gewijzigd door lepel op 2 januari 2023 12:25]

Natuurlijk zal Deezer niet weten dat deze partij de gegevens niet verwijderd heeft,
Dat 'natuurlijk' geeft de indruk dat Deezer hier weinig keuze in had.

Deezer is er volledig voor verantwoordelijk en je kan vrij simpel contractueel een verwijderverplichting er aan hangen.

Geen idee wat die derde partij uitspookte. Maar helaas ontkom je er niet altijd aan om toch een kopie van een productie omgeving te moeten gebruiken om bijvoorbeeld 1 of andere obscure bug te vinden. Maar goed, zijn vrij uitzonderlijke gevallen en twijfel sterk of dat hier het geval was. Zeer waarschijnlijk was dit gewoon makkelijker dan zelf een dataset op te bouwen.
Met het "natuurlijk" in mijn reactie doelde ik er op dat er vast wel vastgelegd zal zijn dat deze partij de gegevens had moeten verwijderen, want logisch. Ik doelde er meer op dat deze derde partij waarschijnlijk dit verzuimd heeft, en Deezer zal daar dus niet van op de hoogte zijn geweest aangezien het een ander bedrijf is. Zelfs al zegt dit andere bedrijf "ja hebben we gedaan", hoe gaat Deezer dat controleren?

En uiteraard gemakkelijker om het zo te doen dan zelf een dataset te bouwen, maar ja, goed met gegevens om gaan is meestal moeilijker dan het wel goed te doen, dus dat vind ik geen excuus. Zelfs al zouden ze productie gegevens moeten gebruiken, moet dat dan met de volledige dataset van honderden miljoenen gebruikers?

Ik probeer niet te zeggen dat Deezer hier geen schuld in heeft, enkel dat zodra je derden gegevens als deze geeft je eigenlijk niet meer weet wat er daarna mee gebeurd. Misschien maakt iemand bij dat andere bedrijf even een kopietje of wordt het in een backup van dat bedrijf opgenomen. Dus beter gewoon alles zelf te houden, en willen ze toegang dan via een API of binnen Deezer systemen.

[Reactie gewijzigd door lepel op 2 januari 2023 14:42]

Oef, gelukkig dat ik mijn account heb verwijderd na het uitproberen.
Dat zegt helemaal niks. Ik had Deezer een aantal jaar geleden geprobeerd, mijn account verwijderd en kreeg nu toch een mailtje van HIBP dat mijn gegevens gelekt waren. Blijkbaar bewaren ze je gegevens ook ná verwijderen nog jaren…
Ik vind het jammer dat veel sites het zo moeilijk maken je account te verwijderen.
In het geval van Deezer (en vergelijkbaar) is het ergens is het ook de schuld van o.a. de fiscus en andere (buitenlandse) wetgeving die van bedrijven e.d. vereist dat die hun administratie -in het geval van Nederland- 10 jaar bewaren.
Voor de fiscus hoeven bedrijven niet zo veel bij te houden. Tweakers kan prima mijn account verwijderen en hoeft enkel de betaalgegevens bij te houden. Daarvoor is geen koppeling met mijn account nodig.

Die betaalgegevens mag Tweakers ook uitprinten en in een klapper bewaren. Zodat deze online ook niet meer benaderbaar zijn.

Geen reden om de schuld bij de fiscus neer te leggen.
Die betaalgegevens mag Tweakers ook uitprinten en in een klapper bewaren. Zodat deze online ook niet meer benaderbaar zijn.
Uitprinten om op papier te archiveren anno 2023?

Met zo'n idee op een tech site voel ik me niet niet serieus genomen. En ik vraag me daarnaast ook af of je jouw reactie serieus bedoeld of maar wat aan het roepen bent.
Als Tweakers juist oude data uitprint en op papier opslaat, is juist goed voor een tech site. Scheelt weer een behoorlijk risico op het lekken van data. Het kan ook weer een potentiële AVG boete schelen en Tweakers kan daarmee haar bezoekers een beter vertrouwen geven.

Niet alles hoeft altijd opgelost te worden met tech, beste gereedschap voor het doel gebruiken. Waarom zou je al die data ergens online bewaren.
Voor de (Nederlandse) fiscus geldt dat alleen de gegevens en inlichtingen welke voor de belastingheffing relevant zijn, moeten worden verstrekt als de inspecteur daarom vraagt. Denk hier aan de boekhouding, facturen, service level agreements, supply chain overzichten etc.
Een klantenbestand met daarin persoonsgegevens (o.a. e-mailadressen en wachtwoorden) valt daar (nog ;) ) niet onder.
Deezer heeft nu een knop voor het verwijderen van het account. Toevallig gisteren begonnen met opschonen van accounts en wachtwoorden.
Maar niet via de smartphone. Alleen via computer.
Zelfs na inlog je we veranderen lukt niet op smartphones.
hack van 2019 [..]
Breach: Deezer
Date of breach: 22 Apr 2019
Number of accounts: 229,037,936
Dit staat toch in het artikel al vermeld?
Sterker nog het is de reden van de nieuw behaalde mijlpaal,en dus eigenlijk de hele aanleiding van het artikel.

[Reactie gewijzigd door jozuf op 2 januari 2023 11:21]

Ik ook, alleen dat e-mailadres dat ik kreeg van HaveIBeenPowned heeft helemaal geen Deezer account. Ook met wachtwoord vergeten optie gebeurd er niets, Heel vreemd.
Ik heb ook nooit een account gehad maar via T-Mobile was ik schijnbaar in 2016 wel op hun mailing lijst gekomen, daar heb ik destijds melding van gemaakt en ze hadden mij beloofd mijn gegevens te wissen. Maar toch sta ik in de lijst die nu nieuw bij hibp is geïmporteerd
Dat staat toch letterlijk in het tweakers artikel?
Het gaat om 229.037.936 records van e-mailadressen en wachtwoorden
Volgens mij klopt dat niet, als je het deezer artikel dat wordt gelinkt leest staat daar het volgende.
To be clear, no information regarding passwords or payment details has been discovered.
Ook de mail die ik kreeg van HaveIBeenPwned zegt niks over wachtwoorden.
Je hebt gelijk! Ik heb het artikel erop aangepast, thanks.
Helaas heb ik ook hits als ik mijn emailadres intyp. Wachtwoorden zijn gelukkig uniek. Het verwijderen van een account word je alleen wel lastig gemaakt, al zie ik daar wel verbetering in komen.
De belangrijkste best practice bijft:
  • Overal een uniek, sterk wachtwoord (bijna onmogelijk zonder wachtwoordmanager)
  • Nooit klikken op een link in een e-mail/sms/app tenzij deze mail onmiddelijk werd gevolgd door een eigen actie
  • Voor de Tweaker: Overal een uniek mailadres, zoals [websitenaam]@mijndomein.com. Een eigen domein blijft handig hiervoor
Met dat in acht genomen zal je zelden in de problemen komen.
Zeg maar gerust onmogelijk. Ik heb het lang volgehouden om zonder wachtwoord manager door het leven te gaan maar uiteindelijk wist ik zelf ook niet meer welke variatie van wachtwoord ik nu ook alweer gebruikt had voor een bepaalde site, ik ging in een patroon waar ik meer de wachtwoord vergeten functie gebruikte dan dat ik daadwerkelijk deed inloggen.

Het leven is nu zoveel beter nu ik er wel eentje heb. En er staan nu... rond de 100 wachtwoorden in, jemig.

Ik krijg inderdaad wel eens een dreig-email waar nog zo'n oud wachtwoord in staat. Schattig hoor :) Als ik die email had gehad terwijl ik nog op het oude systeem zat dan had ik me toch niet prettig gevoeld.
Toch maar weer eens mn email ingevuld maar 15 hits doet toch wel een beetje pijn.
Toch blij dat ik al jaren lastpass/bitwarden gebruik dus al mn wachtwoorden uniek zijn.
Tja, wat heb je aan al die unieke wachtwoorden als je Lastpass database op straat ligt. Hopen dat je Masterpassword redelijk goed zit bij Lastpass... Nog steeds blij met Lastpass?
Nee zit al paar jaar op een zelf hosted bitwarden en heb toen zeker ook mn data bij lastpass verwijderd. Dus hoop dat ik nog veilig ben maar je weet het nooit.
Recent lek?! Het was al een lek uit mid-2019... we zitten reeds in 2023, 3,5 jaar later dus komen ze er nog even mee aankakken dat je gegevens destijds ook op straat zijn komen te liggen.

Ik verwijd dat ook Deezer en Have I Been Pwned nalatigheid met betrekking tot het informeren van het getroffen klantenbestand. Hierover had men in 2019 de slachtoffers al in moeten lichten.
Hoezo moet Have I Been Pwned jou en de hele wereld informeren over een lek bij een bedrijf? Kun je eens aangeven waarom ze dat zouden moeten, uiteraard op wettelijke basis? Dat hoort het bedrijf zelf te doen imo, derden zijn daar geen partij in.
Have I Been Pwned is gecreëerd om mensen te informeren over dit soort zaken, dus als ze daar al in verzaken kunnen ze net zo goed zichzelf opdoeken lijkt me. Dat is dus iets principieels en niet wettelijks dat vanuit de grondvesten van het bedrijf komt.
Dat de gehackte partij als eerste de informatie naar buiten moet brengen lijkt me nogal erg voor de hand liggend, want een derde partij als Have I Been Pwned kannhet natuurlijk niet ruiken als een bedrijf gehackt is en ontvreemd van data.
Net zoals jij niet kan ruiken kunnen ook deezer en hibp niet ruiken.
Lees nog eens rustig de berichten.

November 2022 kwam deezer erachter dat een bedrijf waar ze al sinds 2020 geen zaken meer mee deden een Lek had in 2019.

Deezer heeft direct gereageerd zodra ze ervan op de hoogte waren.
En hibp heeft een paar weken later de gegevens online gezet.

Oftewel, deezer heeft snel gereageerd zodra de melding binnen was.

"This information came to light November 8 2022 as a result of our ongoing efforts to ensure the security and integrity of our users’ personal information. The data in question had been handled by a 3rd party partner that we haven’t worked with since 2020, and it was this partner that experienced the breach."

[Reactie gewijzigd door fire-breath op 2 januari 2023 15:44]

als ze daar al in verzaken kunnen ze net zo goed zichzelf opdoeken lijkt me
wat voor kromme redenering is dat? Als pwned geen weet heeft van een hack, dan kunnen ze toch niets naar buiten brengen? Dan is het ook nog aan de betrokken dienst, zoals Deezer, om te delen welke gegevens juist gestolen zijn.

Dus eigenlijk mag iedere krant opdoeken want ik heb nergens gelezen dat er een afvoerputje in mijn straat verstopt was :z
LOL de kop klopt al niet :+
Wachtwoordendatabase Have I Been Pwned bevat twaalf miljard records
HIBP doet niets met wachtwoorden. Staan er niet in. Het is een database met gelekte emails.

Sterker: de grootste bronnen van HIBP zijn SPAM-lijsten waar die slechts uit emails bestaan. Van de grootste 4 datalekken (check hoofdpagina "Largest breaches") zijn er bij 3 stuks alleen emails gelekt.
Pnwd Passwords is een lijst van wachtwoorden zonder context. Hoort dus niet bij een account/email. Zijn plain wachtwoorden die ze uit plain text dumps gehaald hebben, vaak beroerde kwaliteit. Zit niets bij dat dat actief gekraakt is door HIBP/Pwnd Passwords.

HIBP is dus een database van emails, en heeft niets met wachtwoorden te maken.

Pwnd Password is een database van wachtwoorden, en heeft niets met accounts/emails te maken.
HIBP heeft dus ook een database met wachtwoorden, naast een database met email adressen. Ik zeg ook niet dat ze aan elkaar gelinkt zijn, maar beide bestaan als onderdeel van HIBP. Het zijn trouwens geen plain text wachtwoorden, maar SHA1 hashed.
Interessant, zojuist ook de mail ontvangen. Echter heb ik jaren geleden al mijn data bij Deezer verwijdert dus mijn gegevens hadden hier nooit meer tussen mogen staan.
Het is een erg interessant project, waar hij weliswaar veel via Cloudfare gratis krijgt, maar hij betaalt de Azure bill zelf. Hij weet dat echt voor dubbeltjes per maand te doen, echt indrukwekkend. Dit is een combinatie van effectief Azure Function gebruiken en agressief cachen bij Cloudfare. Ook met een gratis account bij Cloudfare kan je op deze manier super goedkoop een enorme dataset per API beschikbaar stellen.

Zie hier en hier voor de blogposts, was leuk om te lezen!

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee