Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat

Het Amerikaanse bedrijf Atlas Privacy heeft een eigen datalekzoekmachine gemaakt. Databreach.com is een alternatief voor diensten zoals Have I Been Pwned. Databreach.com zou met 17 miljard gegevens zelfs meer informatie bevatten dan zijn bekendste concurrent.

Databreach.com is sinds deze week uit, zegt het bedrijf in een interview aan PCmag. De datalekzoekmachine is onderdeel van Atlas Privacy, een bedrijf dat helpt met het verwijderen van informatie van internet. De zoekmachine werkt vergelijkbaar met de bekendste daarvan, Have I Been Pwned van Troy Hunt, waarmee Tweakers in 2021 een interview had. Gebruikers kunnen op Databreach.com zoeken op e-mailadressen om te zien of die in het verleden zijn uitgelekt in bekende datalekken zoals die van LinkedIn in 2012.

In de zoekmachine kunnen gebruikers zoeken op hun e-mailadres, maar ook op andere informatie die veel alternatieven niet hebben. Dat zijn bijvoorbeeld telefoonnummers en thuisadressen. Amerikanen kunnen ook zoeken naar hun eventueel uitgelekte social security numbers. In de toekomst wil Atlas meer informatie aan de zoekmachine toevoegen, zegt het bedrijf.

Volgens Atlas heeft het meer dan 17 miljard gegevens in zijn database staan waar gebruikers naar kunnen zoeken. PCmag merkt wel op dat Databreach.com eerder een verbinding legde met Have I Been Pwned via diens api, maar daarmee zou het inmiddels zijn gestopt. Gegevens kunnen in dit geval zowel e-mailadressen als telefoonnummers, namen of adressen zijn. De exacte oorsprong van de data is niet bekend, maar Atlas zegt die te hebben verzameld via darknetmarktplaatsen en hackersforums, waar vaak grote datasets worden aangeboden. Oude datasets, zoals die van LinkedIn uit 2012, zijn vaak gratis of heel goedkoop te vinden, terwijl recente datasets veel geld kosten. Het is daarom moeilijk te zeggen hoe recent de data is die Databreach.com bevat. Tweakers schreef in 2021 een achtergrondverhaal over hoe datalekdatabases werken.

De zoekopdrachten die gebruikers opgeven, zouden anoniem moeten zijn. Databreach.com bevat alleen hashes van informatie. Een gebruiker die een zoekopdracht doet, vergelijkt dan ook alleen hashes, waardoor het moederbedrijf geen concrete informatie zou kunnen achterhalen.

Reacties (66)

Dylan_R 8 november 2024 09:13

Ik merk wel dat ik wat breaches mis. Als ik mijn eigen invul dan heb ik bij haveibeenpwned er veel meer tussen staan.

M3m3nt0m0r1 @Dylan_R • 8 november 2024 09:22

Zelfs HIBP heeft niet alle breaches in hun database staan. Dus ook via hun mis je breach informatie.

Dylan_R @M3m3nt0m0r1 • 8 november 2024 10:21

Ongetwijfeld. Maar dit laat alleen maar zien dat ze wat bekende breaches missen. Voor zon initiatief vind ik dat weer jammer.

[Reactie gewijzigd door Dylan_R op 8 november 2024 10:21]

M3m3nt0m0r1 @Dylan_R • 8 november 2024 11:03

Ik vermoed dat HIBP juist een aantal onbekende breaches mist. Dus diegene die nooit zijn geopenbaard.
Dat zijn trouwens ook de meest gevaarlijke omdat je niet weet wat daar in staat.

emeralda @M3m3nt0m0r1 • 8 november 2024 13:52

Is het eigenlijk verplicht voor een bedrijf om te melden als je gehackt bent?

BHStar @emeralda • 8 november 2024 15:43

Indien er kans bestaat dat persoonsgegevens gelekt zijn moet dat gemeld worden bij Autoriteit Persoonsgegevens. Indien een datalek een hoog risico voor degenen oplevert waarvan data is gelekt dient dit ook bij hen gemeld te worden.

Ricco02 @emeralda • 8 november 2024 15:03

Ja, dit is in iedergeval in Nederland verplicht.

[Reactie gewijzigd door Ricco02 op 8 november 2024 15:04]

SniperBear @Dylan_R • 8 november 2024 11:24

Zelf krijg ik ook niet te zien bij welk platform de breach was, zoals bij haveibeenpwned.
Het is een grote breach pool.

telenut @SniperBear • 21 november 2024 10:51

nu toch wel?

Guru Evi @Dylan_R • 8 november 2024 21:39

HIBP gebruikt een ander model dan deze databank. HIBP gaat elk e-mail adres en paswoord die ze vinden dat publiek gelekt is in kaart brengen, deze databank legt zich toe op lekken met persoonsgegevens die niet altijd publiek geweten zijn maar wel op het 'dark web' te koop staan.

Als Tweakers je data lekt ben je hooguit je e-mail en paswoord en misschien je nickname 'kwijt', maar voor zover ik weet verzamelen ze geen private info zoals een bank of verzekeraar dit heeft. Daar is HIBP voor - is mijn paswoord gelekt - en indien je vandaag nog steeds geen paswoord manager gebruikt, moet je er bijna dagelijks naar kijken.

Als je bank de informatie lekt, zijn ze niet noodzakelijk je e-mail en paswoord kwijt, maar wel je naam, bankgegevens etc, daar is deze (en andere) diensten voor, HIBP houdt niet echt bij (behalve dan een algemene uitleg wat mogelijk gelekt is) welke gegevens in de databank zaten naast je e-mail en een hash/paswoord. Ik vul zo vaak mogelijk een vals adres/telefoon in, dus ik weet niet echt welke data 'echt' op het web staat van mij. Voor de gemiddelde mens is je e-mail en een oud paswoord geen persoonlijke informatie.

[Reactie gewijzigd door Guru Evi op 8 november 2024 21:43]

databreach.com @Dylan_R • 21 november 2024 10:30

Hi Dylan, your right. We are currently still parsing and uploading our breaches, that should be fixe this within ~1-2 weeks. We do have a lot of breaches that don't exist on HIBP (many not uploaded yet), and plan to have all known and many unknown breaches up ASAP. In any case, like many have commented, I would probably use both services, as there are so many breaches out there we will never overlap by 100%.

fenrirs 8 november 2024 09:03

dus je geeft je mail adres aan een nieuw onbekend bedrijf? HIBP heeft zich bewezen, maar dit? Lijkt mij een mooi target voor hackers

Robbierut4 @fenrirs • 8 november 2024 09:36

dus je geeft je mail adres aan een nieuw onbekend bedrijf? HIBP heeft zich bewezen, maar dit? Lijkt mij een mooi target voor hackers

Mwa, volgens HIBP zit mijn email adres in 27 leaks. ship sailed long ago.

moonlander @fenrirs • 8 november 2024 09:45

Ze hebben je emailadres al als deze gelekt was en in hun database stond.

OruBLMsFrl @moonlander • 8 november 2024 11:46

Toch zou ik wel huiverig zijn om mijn social security number op zo een site op te zoeken. Het gaat om vertrouwen, en van dat soort gegevens wordt dat wel heel ingewikkeld. Je moet ze maar op de blauwe ogen vertrouwen dat ze niets opslaan, want een hash van een social security number of een hash van een BSN, is natuurlijk kinderspel om te vinden, zo lang en complex zijn die nummers niet, daar is in praktijk altijd maar 1 overeenkomst die precies de juiste is.

Bruinbeert @OruBLMsFrl • 8 november 2024 15:02

Als je een random en unieke salt toevoegd van 64 byte wordt het knap lastig om de bsn/social security terug te vinden. Niet dat ik adviseer om je bsn maar gewoon in te tikken op het internet. Maar er zijn genoeg systemen die bsn nodig hebben om te functioneren, die we gewoon bijna allemaal gebruiken

OruBLMsFrl @Bruinbeert • 8 november 2024 19:25

Helpt hierbij toch niets? Die salt staat er aast in de database, maar als je maar 10 miljard keer hoeft te raden, even uitgaande van 10 cijfers of zo, dat is alsnog instant gevonden. Er zijn gewoon zo weinig mogelijkheden dat je al snel de juiste hebt. Misschien als je een triljard iteraties op die hash doet of zo. Maar dan krijgen die servers het ook heel zwaar...

Bruinbeert @OruBLMsFrl • 8 november 2024 23:28

Er zijn genoeg systemen die wij allemaal dagelijks gebruiken die mede met hash functies + salt worden beveiligd. De bank moet toch ook iets hebben om je pincode te verifiëren?

OruBLMsFrl @Bruinbeert • 9 november 2024 00:40

Uiteraard, en die bank moet aan tientallen wetten en controles voldoen waardoor ik die vertrouw. Deze website echter is een duivels dilemma. Je moet je gegevens invoeren om te weten of ze gelekt zijn, maar dan weet die website dus wel jouw gegevens. En hun belofte dat die gegevens gehashed zijn, is flinterdun qua privacy wil ik maar zeggen, als ze daar stiekem toch meer mee willen, nu of in de toekomst.

kftnl @Bruinbeert • 9 november 2024 05:47

Salt is vooral voor wachtwoorden en een aantal specifieke situaties handig. Bij een viercijferige pincode lost een hash + salt + veel iteraties niets op. Dat brute-force je zo. Bij de pincode van bijv. je bankpas werkt de beveiliging op een andere manier.

Wat betreft deze site, als ze gewoon op bsn, email adres of telefoonnummer kunnen zoeken dan is het evident dat het niet zodanig gehashed is dat het de data onbruikbaar maakt voor brede zoekacties. Wat lost hash of salt dan op?

Bruinbeert @kftnl • 9 november 2024 09:48

Ik zeg ook niet dat je pincode alleen met hash en salt is beveiligd. Maar het is zeker een laag van beveiliging waar gebruik van wordt gemaakt. Of denk je dat je pincode gewoon in plaintekst wordt opgeslagen door de bank?

kftnl @Bruinbeert • 9 november 2024 11:10

Weet je iets over hoe pincodes op je bankpas en bij je bank worden geverifieerd? Want dat heeft weinig te maken met de hashes en salts zoals je dat bij wachtwoorden doet. Ik snap ook niet helemaal hoe dat relevant is hier.

kodak

Datalek
Beveiliging en antivirus

@moonlander • 8 november 2024 15:24

Ze hebben niet de bevestiging dat die persoonlijke gegevens correct of actueel zijn. Door het te gaan voeden met relevante gegevens krijgt het voor criminelen meer waarde. En ze kunnen het ook nog eens zien als bevestiging dat het prima zou zijn ongevraagd persoonlijke gegevens te blijven verwerken op een manier die niet duidelijk aan de Europese eisen voldoet.

stuiterveer @fenrirs • 8 november 2024 14:33

Vooral als je ook nog eens mooi naïef je BSN invult. Dan zeggen ze wel "we do not store any search data", maar in de privacy policy wordt wel mooi gesproken dat data die je aan hen "verstrekt" over zowel jezelf als over anderen onder andere voor marketing wordt gebruikt.

Ik ben sceptisch.

databreach.com @stuiterveer • 21 november 2024 10:35

The Terms of Service and Privacy Policy your are referring to belong Atlas, the company that runs this service. We don't see, don't store and can not use whatever you input in the search bars simply as a function of how the system is engineered. We will be updating the T&S and PP shortly to address databreach.com specifically.

Azara @fenrirs • 8 november 2024 18:49

Data van de lekken wordt bewaard als hashes, dus de oorspronkelijke data is theoretisch niet te achterhalen als Databreach gehackt wordt.
Bij opvragingen worden hashes met elkaar vergeleken.

fenrirs @Azara • 8 november 2024 22:50

En hoe worden die hashes gemaakt? ….aan de hand van de ingevoerde data, die, volgens de voorwaarden, toch gebruikt kunnen worden voor marketing doeleinden. (Ergo, ergens opgeslagen).

Gaat mij niet om de database met breaches, maar om de data die gescraped wordt van mensen die willen weten in een breach te staan

Eusebius 8 november 2024 09:12

Heb een domein met catch-all waar ik voor de @ willekeurige adressen plaats. Zoals gamma@ tweakers@ @ cetera ;-)

Nu net een paar random adressen ingevoerd die nooit zijn gebruikt op dit adres. Als ik over een tijdje spam krijg op die adressen dan meld ik het wel even :-)

marcovit @Eusebius • 8 november 2024 09:44

Ik doe dit al een tijdje, ik merk wel dat ik soms spam krijg van total@ maar deze staat helaas niet in een bekende lek. Het is jammer dat ik nergens @example.com kan invoeren om te checken welke adressen er gelekt zijn.

Peetz0r @marcovit • 8 november 2024 10:05

Dat kan wel, via https://haveibeenpwned.com/DomainSearch

Eusebius @marcovit • 8 november 2024 10:57

Grappige is dat bedrijven dan soms zeggen: neuh, we zijn echt niet gehackt hoor! Oh ja, waarom krijg ik dan spam op julliebedrijf@mijndomein.nl?

geekeep @Eusebius • 8 november 2024 12:39

Grappige is dat bedrijven dan soms zeggen: neuh, we zijn echt niet gehackt hoor! Oh ja, waarom krijg ik dan spam op julliebedrijf@mijndomein.nl?

Het is niet zo heel moeilijk voor spammers een script te schrijven die van jouw @domein alle grote/bekende bedrijven afloopt. Het truukje om je emailadressen te pre-/postfixen met de partij waar je je registreert is nou niet bepaald top secret..

Eusebius @geekeep • 8 november 2024 13:14

Ik doe daarom ook niet altijd direct bedrijfsnaam@ maar scramble het enigszins. Dus tja, als ik dan bijvoorbeeld spam krijg op mailvangmmaa@ dan weet ik genoeg. Plus, dat ze bij de winkel niet altijd mijn mail eruit gooien omdat hun winkelnaam erin staat.

Vitens heeft daar een handje van. Mail komt elke keer aan, maar één keer paar jaar krijg ik een mail 'dat mijn mail niet aankomt'. Jawel hoor, gewoon in de inbox. Waarschijnlijk gewoon een databasequery om alle mails met vitens erin eruit te vissen en als ongeldig te bestempelen.

SinergyX 8 november 2024 08:55

Ik heb tijd terug op een andere database (was tegen betaling) ook de details erachter gekregen, de wachtwoorden etc, maar vrijwel altijd waren dit zeer oude breaches die nog steeds nu alarmbellen laten rinkelen.

Als ik nu op databreach even check, voor 1 mailadres is dit 2019 onder kopje 'Collection #1-5', maar kans aanwezig dat dit wederom achterhaalde of herhaalde data is geweest.

cracking cloud 8 november 2024 10:23

Het gevaar van zo'n dienst als dit lijkt me dat zij zelf ook aantrekkelijk worden voor hackers.
Zoveel informatie op 1 plek. Dat gaat een keer mis.

CPV @cracking cloud • 8 november 2024 11:28

Er staan alleen maar hashes in, dus daar heb niet zoveel aan.

FrostyPeet 8 november 2024 09:07

Ow wow, de spammers zullen dit fantastisch vinden. Een database met echte e-mail adressen en werkende telefoonnummers (US) en SSN's (US).

JeroenB89 @FrostyPeet • 8 november 2024 09:16

Dat is niet wat dit is, dit is een zoekmachine en er wordt geen data van anderen aangeboden.
De database zelf zou ook geen emailadressen bevatten maar slechts de hashes hiervan, onderaan het artikel staat dit:

Databreach.com bevat alleen hashes van informatie. Een gebruiker die een zoekopdracht doet, vergelijkt dan ook alleen hashes, waardoor het moederbedrijf geen concrete informatie zou kunnen achterhalen.

En al was dit niet zo dan hebben spammers hier toch alsnog niks aan? Tenzij ze de dienst binnen weten te dringen en toegang krijgen tot de database, maar dan zijn het hackers en niet alleen spammers.

Phydomir @JeroenB89 • 8 november 2024 10:03

Dat is niet wat dit is, dit is een zoekmachine en er wordt geen data van anderen aangeboden.

En toch staat er gewoon openbaar de exacte data die gelekt is. Zou ze in ieder geval sieren als ze alleen aan geven welke data er gelekt is. Ondanks dat deze informatie dus al online te vinden is, is dit weer een extra plek waar data makkelijk aan elkaar kan worden gekoppeld.

Vinnie.1234 @JeroenB89 • 8 november 2024 11:29

Toch bijzonder dat als ik mijn e-mailadres in type mijn telefoonnummer zichtbaar is...

databreach.com @JeroenB89 • 21 november 2024 10:39

Thanks for explaining

I also think people don't quite understand how easy this information is to obtain if your a bad actor. the National Public Data breach for example, which is the largest leak of social security numbers known to date, is being offered as a *free download* on multiple websites. That includes not just SS but also names, home address, DOB, and phone numbers.

anzaya 8 november 2024 08:51

-del-

moeilijkenaam 8 november 2024 08:59

Wacht even, je kan gewoon zoeken op een emailadres????? Bij haveibeenpwnd moet je die eerst verifiëren, maar dit is dan toch juist nu de favo tool van elke hacker? Zoek naar ceosnaam@bedrijf.org.com, dring ergens binnen, ransomware, profit?

SinergyX @moeilijkenaam • 8 november 2024 09:02

Dat een email er in staat, dat zelfs de specifieke database er in staat, kans is dat ze inmiddels het wachtwoord toch wel veranderd hebben (als het een leak is, is er veelal vanuit het bedrijf zelf als een reset gedaan).

dev-random @moeilijkenaam • 8 november 2024 09:05

Er zitten nog wat stappen tussen, namelijk het bemachtigen, doorzoeken en eventueel kraken van het wachtwoord in de gelekte dataset. Maar zonder enige verificatie van eigenaarschap kán dit een kwaadwillend persoon wat zoekwerk besparen ja.

pbruins84 @moeilijkenaam • 8 november 2024 09:54

Bij haveibeenpwnd kan ik ook gewoon elk emailadres invullen.

Polderviking

@moeilijkenaam • 8 november 2024 10:13

HaveIBeenPwned wil vziw alleen verificatie als je voor een heel domein wil checken.

PinusRigida @Polderviking • 8 november 2024 10:44

idd... of als je notificaties wil...

kftnl @Polderviking • 9 november 2024 05:34

In ieder geval bieden die een opt out, deze nieuwe service niet. Ook laat hibp standaard 'gevoelige sites' zoals dating sites niet zien, deze nieuwe service wel.

Lijkt me bij beide partijen een schending van de privacy wetgeving in Europa, maar het aanbieden van een opt-out is toch wel het minste wat ze kunnen doen.

Daar zullen ze uiteindelijk zelf ook wel achter komen. Het al of niet gehashed opslaan biedt daar niets, zolang het terug te leiden is naar een persoon, dan is het PII data.

databreach.com @kftnl • 21 november 2024 10:40

working on an opt-out mechanism as we speak, should be up very soon.

kftnl @databreach.com • 21 november 2024 11:12

Ah great to hear that! And nice that you are responding to feedback online.

aliberto 8 november 2024 10:02

Tegenwoordig zie je in YouTube video's reclame voor DeleteMe.
Vaak na breaches krijgen mensen spam (is mij paar keer overkomen) . Mij is verteld dat als jouw gegevens eenmaal bekend zijn op het internet dan is dat voor altijd.
Dus mijn vraag is: Kan ik na gebruik van DeleteMe minder tot geen spam ontvangen of is DeleteMe een wassen neus en is het beter om een nieuw emailadres te beginnen? (Ik hoop het niet want vele bedrijven zijn hieraan gekoppeld).

[Reactie gewijzigd door aliberto op 8 november 2024 10:03]

Polderviking

@aliberto • 8 november 2024 10:17

Deleteme gaat niks tegen uitgelekte data kunnen doen.
Deleteme kan voor zover ik weet alleen namens jou dataverwijderingsverzoeken sturen naar organisaties.
MIsschien dat je minder "spam" ziet als je nieuwsbrieven of marketingmails waar je gewoon direct of indirect toestemming voor hebt gegeven als spam ziet. Maar echte spam zal er niet mee verminderen.

[Reactie gewijzigd door Polderviking op 8 november 2024 10:19]

dutch_camel 8 november 2024 10:35

Mooi man, nu zijn er twee omvangrijke verzamelingen met data. En DB.com wil nog meer data gaan verzamelen?
What could possibly go wrong.

HIBP kan ik nog waarderen, maar die andere club heeft maar een oogpunt, en dat is commercie. En dat betekend regelmatig niet veel goeds.

Mathijs Kok @dutch_camel • 8 november 2024 12:54

Hashes, geen hard data.

Op dit item kan niet meer gereageerd worden.

Amerikaans bedrijf brengt datalekzoekmachine uit die 17 miljard gegevens bevat

Lees meer

Reacties (66)

Sorteer op:

Weergave: