Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset

Er zijn door een gebruiker van een hackersforum in een keer bijna 71 miljoen gebruikersgegevens online gepubliceerd. De gegevens zijn onderdeel van de zogenoemde Naz.API-dataset en komen onder meer van Facebook, eBay en Yahoo.

Ongeveer een derde van de e-mailadressen dat als onderdeel van deze dataset op straat is beland, stond nog niet eerder in de database van Have I Been Pwned, stelt Troy Hunt, de oprichter van de datalekzoekmachine. Volgens hem gaat het daardoor om een 'significante hoeveelheid nieuwe data'. De buitgemaakte gegevens zouden voor een groot deel afkomstig zijn van stealerlogs, oftewel malware die inloggegevens van gehackte computers steelt.

Hunt kwam er echter ook achter dat zijn eigen gegevens onderdeel zijn van de dataset, en concludeert daaruit dat het niet enkel gaat om stealerlogs, maar ook om gestolen data van gehackte websites. Wel lijkt het in het laatste geval om betrekkelijk oude gegevens te gaan; Hunt had het gepubliceerde wachtwoord naar eigen zeggen al meer dan tien jaar niet gebruikt.

Hoewel de oprichter niet met zekerheid kan stellen dat de e-mailadressen en wachtwoorden van de dataset legitiem zijn, stelt hij op basis van de controles die hij heeft uitgevoerd er 'veel vertrouwen' in te hebben dat de gegevens echt zijn. Het is niet geheel duidelijk van welke sites de inloggegevens allemaal afkomstig zijn, maar op basis van een screenshot die Hunt deelt, gaat het in ieder geval om Facebook, eBay, Yahoo en Roblox. Volgens Hunt zijn de e-mailadressen en wachtwoorden inmiddels toegevoegd aan Have I Been Pwned.

Inloggegevens Naz.API-dataset — Enkele inloggegevens die aanwezig zijn in de Naz.API-dataset

Reacties (112)

banaj 18 januari 2024 15:16

Lekker op tijd. Data is publiek sinds te minste september 2023: https://breachforums.is/T...ownload?highlight=naz.api

kodak

Datalek
Beveiliging en antivirus
Privacy

@banaj • 18 januari 2024 16:21

De blog geeft al aan dat het waarschijnlijk al ruim 4 maanden bestaat. Maar daarmee heeft een bedrijf het niet zomaar in handen en dus ook HIBP niet. En gezien de reactie van HIBP hoef je niet te verwachten dat die maar alle data verwerkt die criminelen delen. Lekker op tijd is dus eerder te makkelijk reageren. Het is immers niet realistisch het zomaar sneller te verwachten dan nu gebeurde. Zeker niet als HIBP kennelijk last heeft van veel minder waardevolle verzoeken in plaats van dit soort waardevolle bijdragen.

banaj @kodak • 18 januari 2024 17:08

Eens dat hun prioriteiten elders kunnen liggen. De vraag is dan echter wat de nieuwswaarde is.

Niet eens met

daarmee heeft een bedrijf het niet zomaar in handen

. Zie de link: handige schooljongens konder het maanden geleden al prima downloaden vanaf een publiek forum

kodak

Datalek
Beveiliging en antivirus
Privacy

@banaj • 18 januari 2024 17:59

Het in de hand hebben hangt duidelijk van grenzen af. Prioriteiten of andere grenzen hebben is niet selectief op te vatten alsof men hoe dan ook maar controle over de oorzaken van die grenzen heeft. Dus kan je daaruit ook niet zomaar concluderen alsof een bedrijf of HIBP het dus maar in de hand heeft dat de snelheid jou niet bevalt.

Daarbij is stellen dat studenten (of wie dan ook) iets konden niet zomaar te vergelijken met andermans mogelijkheden. Zeker niet door de grenzen maar te negeren en al helemaal niet door dat maar selectief te doen. Want dat die studenten er weet van hadden had duidelijk ook grenzen om er slachtoffers te informeren. In een nog gunstige situatie zou je dus op zijn minst die studenten horen aan te rekenen dat ze wel moeite nemen om dit soort lekken te vinden maar niet om slachtoffers of HIBP op tijd te informeren. Terwijl HIBP en slachtoffers duidelijk afhankelijk zijn van andermans tijd en (on)wil.

Sand0rf 18 januari 2024 13:09

Ik kreeg ook een mailtje dat ik was gevonden in de dataset. Wat ik jammer vindt is dat deze dataset uit accounts bestaat van verschillende diensten (Facebook, Ebay etc.) maar dat ik geen mogelijkheid heb om te zien van welke dienst mijn gegevens zijn gestolen. Ik gebruik netjes een wachtwoordmanger en heb unieke wachtwoorden + 2FA als mogelijk maar alsnog kan het nu zo zijn dat de gegevens van één van die diensten op straat ligt en ik kan niet achterhalen bij welke ik mijn wachtwoord moet resetten (en allemaal is met 600+ wachtwoorden geen haalbare kaart)

Etan @Sand0rf • 18 januari 2024 13:31

Die kun je wel vinden op https://monitor.mozilla.org/, de data van hen is rechtstreeks afkomstig van have I been pwned (zeggen zij)

Martinus @Etan • 18 januari 2024 14:02

net eens gebruikt, kom dingen tegen die ik nooit gehad heb... ook bijzonder.

kozue @Martinus • 18 januari 2024 17:46

Ik was toevallig vandaag met zoiets bezig en blijkbaar was mijn werk-email gelekt door een of andere dienst genaamd Apollo ofzo. Ik weet niet wat ze precies doen maar het zal wel iets met marketing te maken hebben. Bizar hoe je gegevens gewoon bij bedrijven belanden waar je nog nooit contact mee hebt gehad. Ook geen idee welke partij dat gedaan heeft. Zou best eens wetgeving tegen gemaakt mogen worden.

biteMark @kozue • 18 januari 2024 23:02

Ik gebruik 33mail als relay, dus per dienst/website waarop ik me inschrijf gebruik ik een uniek mailadres (dus bijv. facebook@<mijnsubdomein>.33mail.com). Je wil niet weten welke partijen er allemaal beschikking hebben over mijn mailadressen maar op deze manier kan ik wel mooi zien welke partijen mijn gegevens aan wie doorverkopen. Got ‘em!

Kevin-de-Groot @biteMark • 19 januari 2024 01:41

Zelde principe als met GMail, toch? Dus bijvoorbeeld jouw-naam+facebook@gmail.com. Komt alsnog bij jouw-naam@gmail.com terecht en dus kun je het herleiden.

ATS @Kevin-de-Groot • 19 januari 2024 05:55

Alleen kennen de databoeren die truc inmiddels wel, en strippen ze die + er dus gewoon af.

Kaasrol @ATS • 19 januari 2024 12:05

Eigen domein registreren met catch-all emailadressen werkt nog altijd wel!

biteMark @Kevin-de-Groot • 19 januari 2024 11:14

Bij mijn weten is het niet mogelijk om dergelijke aliassen te blocken zodat je die mails niet meer ontvangt, dat kan met 33mail wel. Plus wat @ATS al aangeeft, dat trucje is inmiddels bekend. Met 33mail hoef je nooit je persoonlijke mailadres vrij te geven, wat ik erg prettig vind.

Bijkomend voordeel t.o.v. veel andere relays is dat je niet eerst je alias hoeft te registreren in één of ander portal of tooltje. Alles wat naar jouw subdomein wordt gestuurd wordt doorgestuurd naar je eigen mailadres, tenzij die alias dus is geblokkeerd.

Sidenote: ik ben niet bij ze betrokken, gewoon een tevreden gebruiker.

Martinus @kozue • 18 januari 2024 17:56

meeste adressen leveren centen op... dus jah.. dan krijg je dit. Altijd zinvol scherp te blijven.
Mijn werkgever is een gehacked geweest, maanden niks kunnen doen. Nu doen ze regelmatig phishing expedities.. trapte er laatst toch mooi in

en ben toch best scherp... een toen ff nie..

ToolkiT @Martinus • 18 januari 2024 14:05

bij mij ook al... of die service klopt niet, of de geleakte dataset klopt niet.. laten we hopen op het laatste..

phoenix2149 @ToolkiT • 18 januari 2024 14:36

Of je gegevens zijn al gebruikt bij andere sites waar je nooit bent geweest?
Of je data is gekoppeld aan een andere database wanneer een bedrijf is overgenomen waarmee ze gelijk de hele klanten database migreren in open tekst formaat. Altijd handig toch

Sta er ook in met 7 hits. dus "schade" lijkt mee te vallen.

[Reactie gewijzigd door phoenix2149 op 22 juli 2024 14:30]

Crisium @Martinus • 18 januari 2024 16:26

Ja, Last.fm? Daar heb ik echt nog nooit gebruik van gemaakt.

Misschien dat iemand een typefout gemaakt heeft toen hij een account aan wilde maken?

glatuin @Etan • 18 januari 2024 14:33

Thanks, Bij mij moet het via een brillenwinkel zijn gebeurd. Ik gebruik voor nieuwe accounts unieke mail adressen dankzij simplelogin. Maar heb besloten ook mijn oude accounts langszaam te vervangen voor unieke mail/wachtwoord combinaties. Jammer dat je bij sommige bedrijven zoals een brillenwinkel je werkelijke geboortedatum/adres etc moet afgeven. Maar voor steeds meer accounts die ik moet aanmaken gebruik ik nu een fake naam etc.
Uitreraard gebruik ik dit lek om te kijken of ik nu extra korting kan krijgen wanneer ik toe ben aan een nieuwe bril.

grizzlywilde @glatuin • 18 januari 2024 16:02

Ik kende simplelogin niet, maar ik gebruik hetzelfde principe: Moerstaal. Waar ik net achter kom, is dat je op Have I Been Pwnd je alias in kan vullen in de domain search. Vanaf nu krijg ik een notificatie van Have I Been Pwnd, op het moment dat een van mijn bestaande aliassen (maar ook aliassen die ik nog niet heb "gemaakt") wordt gevonden. Handig.

Bongoarnhem @grizzlywilde • 18 januari 2024 16:32

Ik heb een eigen domein samen met Simplelogin en Bitwarden. Dat werkt echt perfect op iOS. Scheelt je zoveel werk en administratie.

Nu hopen dat die partijen niet gehackt worden maar daar heb ik wel wat vertrouwen in💪💪

SirLenncelot @Bongoarnhem • 18 januari 2024 22:47

Ik kende simplelogin ook niet, maar wat is het voordeel van simplelogin als je al een eigen domein hebt? Dan kun je toch met een catch-all werken?

Bongoarnhem @SirLenncelot • 19 januari 2024 07:01

Met Simplelogin kan je ook weer antwoorden vanaf een aangemaakt mail adres.

Voorbeeld:

Tweakers@mijndomein.nl

Alle mail die daarop binnenkomt geef jij een reply en dan verstuur je ook vanaf tweakers@mijndomein.nl

Jijzelf werkt echter vanuit je eigen mailbox, bijvoorbeeld info@mijndomein.nl .

Simplelogin zit ertussen en doet de “vertaalslag” voor je, werkt echt zeer goed.

Het nadeel wat ik eerder had met de catchall of de + variant is dat je niet kan antwoorden vanaf dat adres of sommige partijen accepteren de + niet. Sinds dat ik SL heb speelt dat allemaal niet meer.

[Reactie gewijzigd door Bongoarnhem op 22 juli 2024 14:30]

Humsie @Bongoarnhem • 19 januari 2024 08:21

Dit heeft weinig met je eigen domain te maken, maar is afhankelijk van de mogelijkheden van de mail hosting (server/service) die achter je domain hangt.
Ik doe bijv het zelfde met mijn eigen domain puur met catchall en alias opties van mijn mail hosting

SimpleLogin is ook "maar" een mail (relay) service die je achter je eigen domain kunt hangen.

Houd er wel rekening mee dat SimpleLogin (of dit soort relays) al je mail verkeer in kan zien voordat ze het doorsturen, dus check even goed de kleine privacy letters bij de gratis varianten.

Bongoarnhem @Humsie • 19 januari 2024 12:13

Sowieso is het verstandig om te betalen voor dit soort services.
Is een dienst gratis dan ben jij het verdienmodel, daarnaast vind ik dat diensten die je veelvuldig gebruikt ook wat aan je moeten verdienen. Dit zouden we zelf ook willen als we er zouden werken.

In 2022 is SL door Proton overgenomen, die hebben privacy als usp.
Heb de kleine lettertjes niet gelezen maar heb er wel vertrouwen in dat dit goed zit.

[Reactie gewijzigd door Bongoarnhem op 22 juli 2024 14:30]

SirLenncelot @Bongoarnhem • 19 januari 2024 15:00

Ah, ik maak dan gewoon even snel een alias aan als ik ooit toch moet mailen. Komt toch niet echt vaak voor dat ik met alle random webshops en sites waar accounts aangemaakt worden.

Martinus @glatuin • 18 januari 2024 17:59

dees? https://www.essilorluxottica.com/en/

glatuin @Martinus • 19 januari 2024 12:31

Ja, moet Pearl zijn geweest.

djwice

@Etan • 18 januari 2024 14:56

Deze set is niet compleet. Net getest en een aantal gelekte adressen die o.a. voor fishing e-mails - names een bekende bank - zijn gebruikt komen niet voor in de database.

Ook adressen die illegaal verhandeld worden staan er niet in.

Het lijkt er op dat als er geen gelekt wachtwoord aan het gelekte e-mailadres gekoppeld is, de lek niet vindbaar is in deze dataset.

[Reactie gewijzigd door djwice op 22 juli 2024 14:30]

banaj @djwice • 18 januari 2024 15:18

Klopt helemaal. HaveIBeenPwn heeft emails zonder wachtwoord. Pwnd Passwords heeft wachtwoorden zonder email.

banaj @Etan • 18 januari 2024 15:14

HaveIBeenPwnd doet niets met wachtwoorden, en die diensten die daarop bouwen dus ook niet. Met Mozilla Monitor komt je dus niet verder voor het genoemde doel.

Ja, Triy Hunt doet ook dingen met wachtwoorden te weten Pwnd Passwords. Maar die hebben weer geen link met email, dus daarmee kom je ook niet verder...

Jeffrey2107 @Etan • 18 januari 2024 15:45

Nou dat klopt al niet. Die Mozilla monitor zegt niks gevonden terwijl er toch 4 dingen opkomen als ik hetzelfde emailadress bij Haveibeenpowned invul.

edit: blijkbaar hoofdlettergevoelig. mist er nog steeds van alles maar ik zie al wat meer.

[Reactie gewijzigd door Jeffrey2107 op 22 juli 2024 14:30]

mgizmo @Sand0rf • 18 januari 2024 13:18

unieke emailadressen gebruiken. Gaat je nu niet helpen, maar in de toekomst wel (Als je dat gaat toepassen).

[Reactie gewijzigd door mgizmo op 22 juli 2024 14:30]

Sahi_NL @mgizmo • 18 januari 2024 13:27

Dan moet je ook op unieke e-mail adressen monitoren in haveIbeenpowned.

Dat werkt (in dit geval)niet heel handig. Wel handig om te zien welke website je gegevens gelekt heeft aan spamboeren.

Stetsed @Sahi_NL • 18 januari 2024 13:31

Ik doe dit zelf met gebruik van simplelogin(andere service die hetzelfde doet is bijvoorbeeld Addy.io), omdat ik dan ook mails terug kan sturen etc wat ik fijn vindt.

Als je hier dan je eigen domein gebruikt dan kan je met haveibeenpwned een domain search doen om informatie te krijgen over je hele domein.(https://haveibeenpwned.com/DomainSearch)

Rex @Sahi_NL • 18 januari 2024 14:31

Of juist niet. Ik monitor überhaupt niet mijn e-mails op haveIbeenpowned.

Ik gebruik namelijk unieke emails, unieke wachtwoorden en waar het kan 2FA. Als een website dan gehacked wordt, dan is het pech, maar geen probleem voor de rest van mijn wachtwoorden.
Ik hoor het vanzelf wel als een site gehacked is en ik mijn wachtwoord op die site moet veranderen.

djwice

@Sahi_NL • 18 januari 2024 15:02

Sommige password managers hebben een geautomatiseerde check, zodat je de honderden e-mailadressen niet handmatig hoeft te controleren.

Je krijgt dan vanzelf te horen of er een gelekt is en welke dat is. Weet je ook direct de 'boosdoener'.

[Reactie gewijzigd door djwice op 22 juli 2024 14:30]

SgtElPotato @mgizmo • 18 januari 2024 13:23

Bij Gmail kun je dat makkelijk doen door +’tekst’ voor het @ teken te zetten. Gebruik het zelf ook sinds een tijdje en moet er nog een aantal omzetten.

Kriekel @SgtElPotato • 18 januari 2024 13:32

Maar die is zo algemeen bekend dat het voor spammers even makkelijk is om dat er weer uit te filteren. Maar goed, baat het niet schaad het niet.

SgtElPotato @Kriekel • 18 januari 2024 13:35

Mee eens, maar heb niet echt zin om er 'nog een' service tussen te zetten om echt unieke mailadressen te gebruiken. Mijn privé adres die ik puur en alleen gebruik voor overheid / gemeente / nuts en dat soort bedrijven geef ik nergens anders af.

mgizmo @SgtElPotato • 18 januari 2024 13:51

Het is allemaal wat lastiger administreren inderdaad. Ik ben zo blauw dat ik structuur wil en dan maar die extra minuut gebruik om het emailadres te noteren in mijn password database. Voor mij is deze service nog niet afdoende (https://addy.io/) maar voor velen wellicht wel.

Ik gebruik een gedefinieerde rule in Office365 op een specifiek domein volgens <gedeelte-voornaam><oplopend nummer>-<datum van registratie/invullen online form>@specifiek domein. En die combinatie noteer ik in mijn password database in een tekst item.

Met een regex in die rule moet het dan kloppen. Matcht het gedeeltelijk, dan komt die ontvangen mail in een specifieke catchall mailbox. Gebeurd wel eens dat een systeem achter "-" weglaat.

[Reactie gewijzigd door mgizmo op 22 juli 2024 14:30]

SgtElPotato @mgizmo • 18 januari 2024 14:00

Dat kan ook inderdaad. Het is maar net de afweging die je maakt. Voor mij staat gemak nog wel hoog en daarom heb ik een middenweg gekozen voor mijn gevoel.

mgizmo @SgtElPotato • 18 januari 2024 14:03

begrijp ik. Ieder zijn eigen afweging... velen zullen mij ook voor gek verklaren

[Reactie gewijzigd door mgizmo op 22 juli 2024 14:30]

wiezalditzijn @SgtElPotato • 18 januari 2024 14:27

Ik weet niet hoe dit bij andere password managers zit, maar bij Bitwarden kan je de service van DuckDuckGo aliassen integreren in hun app. Dan klik je op “nieuw accountnaam” en dan genegeerd hij een nieuw e-mail adres voor je. Super handig!

(De documentatie voor bitwarden staat hier)

[Reactie gewijzigd door wiezalditzijn op 22 juli 2024 14:30]

geekeep @SgtElPotato • 18 januari 2024 15:03

Er zijn nog zat websites die bij registratie geen + in een emailadres accepteren of dat het in de backend alsnog stuk gaat. Heb een keer meegemaakt dat ik niet kon inloggen met het geregistreerde emailadres en een andere webshop waarbij bevestigingsmails niet verzonden/ontvangen konden worden.
Dus helaas is de Google alias methode ook niet zaligmakend.

R4gnax

Datalek
Privacy

@geekeep • 19 januari 2024 00:04

Dat komt wss omdat + als het in URLs als query parameter gebruikt wordt met HTTP GET requests, of als het in forms die met application/x-www-form-urlencoded MIME type verstuurd wordt met HTTP POST request, die + door diverse proxies en server software als ge-encodeerde spatie geinterpreteerd wordt. Dit is onderdeel van een afgerangeerde RFC die al jarenlang, wellicht decennia lang, niet meer gebruikt zou mogen worden maar zelfs (of mss. wel met name) grote partijen zoals Microsoft houden zich binnen veel web-facing APIs nog steeds aan die inmiddels foutieve RFC.

Tien tegen één dat bij een aantal van de websites die stukgaan, als je dus ipv mail+sub@provider.com zou registreren met mail%2Bsub@provider.com je ineens wel getagde mail zou ontvangen en alles verder zou werken.

[Reactie gewijzigd door R4gnax op 22 juli 2024 14:30]

NLatuny @SgtElPotato • 18 januari 2024 13:43

Kan ook met outlook.com / hotmail

banaj @NLatuny • 18 januari 2024 15:20

Sterker: het is een standaard (RFC 5233). Zie b.v. https://en.wikipedia.org/wiki/Email_address#Sub-addressing.

Mayonaise @mgizmo • 18 januari 2024 14:25

Met ProtonPass is het heel simpel om aliasen aan te maken.

elmuerte @mgizmo • 18 januari 2024 17:46

Daardoor moet ik nu eigenlijk een subscription afnemen bij HIBP. Domein komt al in teveel breaches terug. (Ik gebruik al te lang unieke email adressen.)

Oid @Sand0rf • 18 januari 2024 13:12

Heeft je wachtwoordmanager geen optie zoals bijv. exposed passwords check? https://bitwarden.com/help/reports/ bijv. heeft dat.

Vogel666 @Oid • 18 januari 2024 14:13

Bijvoorbeeld 1Password heeft dat ook.
Maar dat is niet altijd in je voordeel.

In een enkel geval heb je ook gewoon een wachtwoord nodig dat je kan onthouden en soms mag dat wachtwoord niet langer zijn dan 16 tekens.
Dan kom je dus al gauw uit op een wachtwoord dat ooit ergens iemand eerder gebruikt heeft.
Dat geeft dan niet want je gebruikt wel MFA en IP whitelisting....
Maar toch staat altijd en eeuwig die melding in beeld te schreeuwen dat 2 van je 1000 wachtwoorden onacceptabel zijn omdat de eerste 6 cijfers van de hash ook in de HaveIBeenPwned database voorkomen.

watercoolertje @Vogel666 • 18 januari 2024 14:30

Same, hier had ik wat lokale sites/webservices draaien en dan gaat Google me vertellen dat die wachtwoorden compromised zijn, leuk voor ze maar het interesseert me dus geen biet, het is enkel te bereiken vanaf mijn PC en als je daar toegang tot hebt dan kan je het wachtwoord door Google ook gewoon in laten vullen

[Reactie gewijzigd door watercoolertje op 22 juli 2024 14:30]

vgroenewold @watercoolertje • 18 januari 2024 14:52

Daar heb ik er ook 1 van ja, ergens nog op 1 website gebruikt die natuurlijk gelekt is met het ww wat ik voor lokaal gebruik nodig heb. Op zich is dat minder problematisch ja, maar ik verzin toch even een ander ww voor mijn Linux.

querex @Oid • 18 januari 2024 14:00

Is er ook een mogelijkheid om wachtwoorden op te vragen die vb al 1 jaar niet gewijzigd meer zijn?
Blijkbaar niet, nog altijd een feature request

https://community.bitward...rt-for-password-age/11561

[Reactie gewijzigd door querex op 22 juli 2024 14:30]

vickypollard @Oid • 18 januari 2024 14:10

Fijne tip, aangezien ik Bitwarden gebruik. Meteen een reden gevonden om er toch een keertje voor te betalen

En ook meteen twee wachtwoorden gevonden die exposed zijn.

vgroenewold @Oid • 18 januari 2024 14:50

Oh my, die kende ik nog niet en waarempel zijn er een paar gelekt. Bizar, meteen gefixed thanks!

Noxious @Sand0rf • 18 januari 2024 13:14

Je zou ze met een scriptje langs https://haveibeenpwned.com/API/v2#PwnedPasswords kunnen halen misschien. Sommige password managers hebben daar ook een ingebouwde mogelijkheid voor.

Fenna @Noxious • 18 januari 2024 14:37

Zojuist eens naar gekeken, maar api V2 is verouderd en je moet nu ook voor veel api calls een betaald account hebben.

unconnected @Sand0rf • 18 januari 2024 14:24

Ik weet niet of ik dat hier op tweakers mag plaatsen, maar de lijst is hier te doorzoeken: https://search.0t.rocks/

(inclusief eerste en laatste chars van je password)

cracking cloud @Sand0rf • 18 januari 2024 15:14

Je kan in bv 1password al je wachtwoorden checken om te zien of ze zijn gelekt. Als dat zo is kan je bij de betreffende dienst je wachtwoord wijzigen.

NostraDavid @Sand0rf • 19 januari 2024 15:01

Als je een Gmail account hebt, dan kan je met een + een keyword toevoegen aan je email.
example@gmail.com wordt dan example+Facebook@gmail.com.

Als er iets lekt, dan kan je altijd terugvinden welke bron dat was.

Downside: Je moet nu 600+ diensten aanpassen.

Verwijderd 18 januari 2024 13:35

Ik zou iedereen aanraden één van de beschikbare e-mail alias diensten te gebruiken. Gewoon steeds voor alles een nieuwe alias aanmaken en als die ooit uitlekt is het een kwestie van de alias uitschakelen. Overigens weet je meteen wie hem heeft uitgelekt aangezien je hem maar op 1 plek hebt uitgegeven.
Zou je ooit van e-mail dienst willen wisselen dan is het gewoon een kwestie van je nieuwe adres aan de alias dienst doorgeven in plaats van op alle losse sites.
Met een wachtwoord manager hoef je ook nooit te zoeken naar het bijhorende e-mail adres om in te loggen.
Simplelogin kan overigens ook al je aliassen periodiek controleren bij HIBP. Je wachtwoordmanager controleert je wachtwoorden bij HIBP. Nooit meer gezeik gehad met spam of gelekte wachtwoorden.

FrostyPeet @Verwijderd • 18 januari 2024 14:13

Er lijken wel wat problemen te zijn met e-mail aliassen:

1. Niet elke website accepteert aliassen, eisen een "echt" e-mail adres.

2. Het is nog al een administratie om voor elke website een uniek adres te gebruiken. Je zal toch ook een papieren kopie moeten hebben in geval dat de alias dienst ermee stopt, niet meer goed werkt, is gehackt etc.

3. De kleine lettertjes lezen of de e-mail alias dienst je data verzameld en verkoopt (al dan niet na beëindigen van je contract). Krijg je reclame van website X omdat je daar wat kocht o.i.d.

Verwijderd @FrostyPeet • 18 januari 2024 14:39

Niet elke website accepteert aliassen, eisen een "echt" e-mail adres.

Hoewel ik dit wel eens gezien heb bij wegwerp adressen heb ik nog nooit een site een alias van diensten als simplelogin of apple private relay zien weigeren.

Het is nog al een administratie om voor elke website een uniek adres te gebruiken. Je zal toch ook een papieren kopie moeten hebben in geval dat de alias dienst ermee stopt, niet meer goed werkt, is gehackt etc.

Sowieso heb je in je wachtwoordmanager als het goed is bij elk account het gebruikte email adres staan (als gebruikersnaam of eventueel als notitie als de gebruikersnaam niet je e-mail is). Als de alias dienst ermee stopt zit je met hetzelfde probleem als wanneer je email dienst ermee stopt dus daar veranderd verder niet zoveel. Als je email dienst er nu mee stopt is overstappen naar een andere dienst overigens in 5 minuten gedaan door gewoon het nieuwe adres aan de alias dienst door te geven.

De kleine lettertjes lezen of de e-mail alias dienst je data verzameld en verkoopt (al dan niet na beëindigen van je contract). Krijg je reclame van website X omdat je daar wat kocht o.i.d.

Idem dito voor een email dienst. De meeste alias diensten richten zich vooral op mensen die bezorgd zijn om hun privacy. Het verschil is wel dat een alias dienst jouw mail niet hoeft te bewaren en sommige kunnen de mail versleutelen met PGP alvorens ze hem naar jouw mail dienst sturen zodat deze dienst (die de mail dus wel moet bewaren) geen leesbare informatie heeft.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:30]

mgom @Verwijderd • 18 januari 2024 13:42

Wellicht een tip: koppel een (random gegenereerd) mailalias van duck.com aan Bitwarden. Dan kan je simpel vanuit de bitwarden app aliassen aanmaken.

kodak

Datalek
Beveiliging en antivirus
Privacy

@Verwijderd • 18 januari 2024 15:59

Het nieuws is juist dat het waarschijnlijk via stealers verkregen is. Die verspreiden criminelen juist ook vaak onder gewone gebruikers. En aangezien een stealer al net zo snel ongemerkt weg kan zijn als dat deze bij de gebruiker begon te stelen is het dus niet zo simpel dat alleen het bedrijf waar je die alias ooit hebt ingevuld de herkomst is.

Wolfos @Verwijderd • 18 januari 2024 13:45

Tja, alleen best een gedoe om constant aliasen aan te maken en geen oplossing voor addressen die al gelekt zijn. Mag je honderden sites af om te verkondigen dat je een nieuw adres hebt.

Email moet gewoon vervangen worden. Dit systeem werkt niet meer.

Verwijderd @Wolfos • 18 januari 2024 14:30

Email moet gewoon vervangen worden. Dit systeem werkt niet meer.

Eens! Net zoals wachtwoordmanagers zijn dit soort oplossingen gewoon een lapmiddel voor een situatie die al jaren schreeuwt om verbetering. Passkeys zijn de beoogde oplossing om iedereen op termijn van wachtwoorden af te helpen maar voor e-mail is nog altijd geen goede verbetering bedacht.

Idealiter zou email niet meer met een vast adres werken maar zou elke dienst gewoon een unieke autorisatie token krijgen om jou berichten te sturen die je desgewenst op elk moment kan intrekken. Het is ook absurd dat je met alle privacy zorgen van deze tijd nog altijd elke website een uniek stukje informatie geeft waarmee jouw online persoon door alle diensten aan elkaar gekoppeld kan worden.

Toonen1988 18 januari 2024 13:23

Ik kom regelmatig terug in Have I Been Pwned. Dankzij Uplay, Adobe, Epic Games en diverse andere games en site's.

Elke keer wordt ook mijn hotmail geblokkeerd, omdat elk minuut van de dag een "brute force" wordt uitgevoerd vanuit diverse landen. Telkens als ik in mijn hotmail probeer in te loggen, is die geblokkeerd. Dan moet ik via een andere mail een nieuwe wachtwoord aanmaken om de blokkade op te heven. Dit is een enkele dag en dan is mijn hotmail weer geblokkeerd.

Ook gekregen sinds ik Have I Been Pwned sta.

m0h4life @Toonen1988 • 18 januari 2024 13:35

Je kan via accounts.microsoft.com een email alias aan jouw account koppelen, vervolgens kan je er voor kiezen om jouw hotmail niet meer te kunnen gebruiken voor inloggen.
Account > Account info > Account aliases (en daarna Change sign-in preferences)

Dat heeft mij geholpen van de spam en inlogpogingen af te zijn. Ik zou nog wel even aanhouden dat je emails kan ontvangen, anders wordt het wat lastiger je email aanpassen bij verschillende diensten. (uit ervaring)

Toonen1988 @m0h4life • 18 januari 2024 13:40

Dankejwel, ik zal straks even kijken. Als ik gewoon mijn mails blijf ontvangen en alleen mijn inlog verander, vind ik het goed.

Ik zit ook te denken om een goedkope tablet te kopen, waar alleen apps op komen voor tweestapsverificaties voor games en diverse site's.

[Reactie gewijzigd door Toonen1988 op 22 juli 2024 14:30]

laracroftonline @Toonen1988 • 18 januari 2024 15:07

Als je 2fa inschakelt op je account heb je dit probleem ook niet meer.

slabetje 18 januari 2024 13:10

Helaas heb ik gisteravond ook een E-mail ontvangen van Have I Been Pwned:

You've been pwned!
You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

Email found: ********
Breach: Naz.API
Date of breach: 20 Sep 2023
Number of accounts: 70,840,771
Compromised data: Email addresses, Passwords
Description: In September 2023, over 100GB of stealer logs and credential stuffing lists titled "Naz.API" was posted to a popular hacking forum. The incident contained a combination of email address and plain text password pairs alongside the service they were entered into, and standalone credential pairs obtained from unnamed sources. In total, the corpus of data included 71M unique email addresses and 100M unique passwords.

Fijn dat Have I Been Pwned hier in ieder geval voor waarschuwd als je je hiervoor hebt aangemeld.

akaash00 @slabetje • 18 januari 2024 13:29

Ik had hem ook gehad. Probleem is aangezien ik niet de dataset kan doorzoeken, weet ik ook niet om welke dienst het gaat. Als ik een deel van het wachtwoord mee kreeg zou ik het meteen zelf weten. Aan die e-mail notificatie heb ik er nu zelf niets aan. Ik kan beter de dataset zelf binnen halen…

MoonRaven

@akaash00 • 18 januari 2024 15:30

Via Breach Directory kan je een deel van je wachtwoord terug vinden indien dit bekend is.

Sir Guinhill @akaash00 • 19 januari 2024 08:24

Ik heb 2 locaties waar ik gezocht heb naar meer info
https://search.0t.rocks/ , werkte eerder niet voor mij, nu wel ( waarschijnlijk hoge load op de server )
en
https://breachdirectory.org/

Heeft mij geholpen inzicht te krijgen in wat er gelekt is.

akaash00 @Sir Guinhill • 19 januari 2024 10:06

Dankjewel, deze zijn super handig! $_/-\o_$

Sahi_NL 18 januari 2024 13:09

Have I been Powned heeft deze gegevens niet ontdekt. Troy schrijft in zijn blog dat hij deze dataset (die al 4 maanden oud is), aangeboden heeft gekregen.

Desalniettemin een indrukwekkende dataset!

D4NG3R 18 januari 2024 13:10

Ik kreeg hier gisteren ook al bericht van, wat ik jammer vind is dat je niet gemakkelijk kan achterhalen bij welke dienst je gegevens precies zijn buitgemaakt.

Op zich verandert dat natuurlijk niks aan het verhaal, maar ik vind het wel prettig om te weten hoe veel belang ik er bij heb om bijvoorbeeld oude accounts welke ik niet meer gebruik of waar ik niks meer van weet bij te werken of zelfs te (laten) verwijderen.

zenlord @D4NG3R • 18 januari 2024 13:21

Dat is zeer eenvoudig als je een wachtwoordmanager gebruikt die de API van Have I Been P0wned? gebruikt. Bij mij wordt er een schildje getoond naast ieder wachtword in mijn vault, en als dat schildje rood kleurt, dan is het wachtwoord gecompromitteerd.

D4NG3R @zenlord • 18 januari 2024 13:51

Het wachtwoord is niet relevant, die zijn op alle platformen welke ik actief gebruik / gebruikt heb de laatste jaren sterk (en waar mogelijk ook 2FA) en worden beheerd door BitWarden. Ik wil graag weten wat voor zwevende, gelekte accounts ik nog heb en welke zaken hun veiligheid niet op orde hadden.

Zeker een jaar of 10 geleden waren veel van mijn gebruikte wachtwoorden overeenkomend, puur aan het wachtwoord zelf gaat het dus lastig worden om te achterhalen waar die precies gebruikt werd.

[Reactie gewijzigd door D4NG3R op 22 juli 2024 14:30]

zenlord @D4NG3R • 18 januari 2024 15:34

True - ik heb de voorbije maanden een beetje tijd uitgetrokken om door mijn wachtwoorden te gaan, en deze te wijzigen op sites waar ik nog mijn oude wachtwoorden gebruikte. Ik ben er bijna doorheen, en dan zal het wachtwoord mij natuurlijk /wel/ kunnen vertellen welke dienst gecompromitteerd is.

PsiTweaker 18 januari 2024 13:38

Tja, de lijsten zullen alleen maar langer worden.

Ps. Overigens, waarom bij het artikel ook niet direct de 'Have I Been Pwned' link geplaatst ?
Het is misschien iets meer werk, maar grote kans dat iedereen die dit artikel leest, toch nieuwsgierig wordt en nog even wat email adressen wil controleren !

Auredium 18 januari 2024 13:44

Ik kreeg recentelijk ook weer wat van de 'ik heb je email en webcam' gehackt mailtjes die ik zelf al best lang niet in mijn mailbox had gezien. Daarin stonden dus ook het wachtwoord wat ik zou hebben gebruikt. Waren ook heel oude wachtwoorden.

Niet super verassend overigens. Er is dus 1/3 wat niet op de radar stond maar je moet niet super verbaasd zijn als er dergelijke verzamelde lijsten zijn met wachtwoorden van 10 of 20 jaar oud.

ChielScape 18 januari 2024 14:00

Er zouden email en wachtwoord buit zijn gemaakt.
Echter, hoewel mijn email wél voorkomt in deze leak, geeft havibeenpwned geen hit op de passwords die ik de afgelopen jaren en op dit moment in gebruik heb voor ebay (van de andere diensten maak ik geen gebruik).

Ik neem aan dat ik hieruit mag afleiden dat niet bij elk mailadres ook een bijgaand password is buitgemaakt?

Op dit item kan niet meer gereageerd worden.

Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset

Lees meer

Interview: Troy Hunt - Have I Been Pwned

Reacties (112)

Lees meer

Interview: Troy Hunt - Have I Been Pwned

Reacties (112)

Sorteer op:

Weergave: