image

E-mailadressen Ashley Madison toegevoegd aan zoekmachines

woensdag 19 augustus 2015, 16:14 door Redactie, 6 reacties

Op internet zijn verschillende zoekmachines waar de e-mailadressen van abonnees van AshleyMadison.com aan zijn toegevoegd. In juli wisten aanvallers een database met gebruikersgegevens van de website voor vreemdgangers te stelen. Deze database is twee dagen geleden online gezet.

Het gaat om gegevens als e-mailadressen, namen en adresgegevens, alsmede gps-coordinaten. Beveiligingsexpert Troy Hunt heeft de e-mailadressen uit de database aan zijn zoekmachine 'haveibeenpwned.com' toegevoegd. De zoekmachine, die sinds december 2013 online is, bevat 220 miljoen accounts die bij verschillende hacks zijn buitgemaakt en openbaar gemaakt. De meeste accounts, 152 miljoen, zijn afkomstig van een inbraak bij Adobe.

Op de tweede plek staat Ashley Madison, met 30 miljoen accounts. Andere partijen houden het erop dat de gegevens van 36 miljoen accounts zijn gestolen, maar dat van zo'n 24 miljoen accounts het e-mailadres was geverifieerd. Internetgebruikers kunnen via de zoekmachine ook worden gewaarschuwd als hun e-mailadres in een gestolen database voorkomt. Inmiddels zouden zo'n 5.000 abonnees van Ashley Madison via de zoekmachine zijn gewaarschuwd, zo laat Hunt via Twitter weten.

Reacties (6)
19-08-2015, 17:23 door Anoniem
Klinkt aantrekkelijk, maar lijkt me een keerzijde hebben:

Ondertussen zou deze website van Hunt immers tegelijk een mooie "honeypot" kunnen zijn om zoveel mogelijk e-mailadressen te verzamelen, en om er achter te komen wat iemand mogelijk heeft uitgespookt...
(kan behalve jijzelf ook een andere persoon zijn als je op andermans e-mailadres zoekt...)

En kun je ook "wildchars" bij het zoeken gebruiken, en daarna een alfabetische lijst doorscrollen of je er tussen staat?
Dat zou tenminste nog ietsje privacy-vriendelijker zijn, in de zin dat je als zoekende dan niet je hele e-mail-adres aan Hunt hoeft te vertellen om zijn database van bestaande e-mailadressen nog verder aan te vullen...
19-08-2015, 19:57 door Anoniem
Door Anoniem: Klinkt aantrekkelijk, maar lijkt me een keerzijde hebben:

Ondertussen zou deze website van Hunt immers tegelijk een mooie "honeypot" kunnen zijn om zoveel mogelijk e-mailadressen te verzamelen, en om er achter te komen wat iemand mogelijk heeft uitgespookt...
(kan behalve jijzelf ook een andere persoon zijn als je op andermans e-mailadres zoekt...)

Daarom vertrouw ik dat soort zoekdiensten niet zo.
Ik zal daar eens een paar e-mailadressen invullen, met random tekst vóór het apenstaartje, die nog nooit door mij zijn uitgegeven, om te zien of ze in de toekomst voor spam worden gebruikt.

En kun je ook "wildchars" bij het zoeken gebruiken, en daarna een alfabetische lijst doorscrollen of je er tussen staat?
Dat zou tenminste nog ietsje privacy-vriendelijker zijn, in de zin dat je als zoekende dan niet je hele e-mail-adres aan Hunt hoeft te vertellen om zijn database van bestaande e-mailadressen nog verder aan te vullen...

Ja, of op domeinnaam. Ik gebruik op iedere website een ander e-mailadres. Zoeken wordt dan erg lastig.
19-08-2015, 22:08 door Anoniem
Het vereisen van e-mailverificatie door Hunt voor je kunt zien of het adres er inderdaad bij staat helpt weinig als er zat andere sites te vinden zijn (zoals https://ashleymadisonleakeddata.com/) die het je wel gewoon willen vertellen als je alleen het e-mailadres invult.
19-08-2015, 23:16 door Anoniem
Door Anoniem: Klinkt aantrekkelijk, maar lijkt me een keerzijde hebben:

Ondertussen zou deze website van Hunt immers tegelijk een mooie "honeypot" kunnen zijn om zoveel mogelijk e-mailadressen te verzamelen, en om er achter te komen wat iemand mogelijk heeft uitgespookt...
(kan behalve jijzelf ook een andere persoon zijn als je op andermans e-mailadres zoekt...)

En kun je ook "wildchars" bij het zoeken gebruiken, en daarna een alfabetische lijst doorscrollen of je er tussen staat?
Dat zou tenminste nog ietsje privacy-vriendelijker zijn, in de zin dat je als zoekende dan niet je hele e-mail-adres aan Hunt hoeft te vertellen om zijn database van bestaande e-mailadressen nog verder aan te vullen...

misschien moet je eerst eens de site bekijken ipv uit je aars te praten, en dan zul je zien dat Troy hiervoor meerdere maatregelen heeft genomen (AM adressen zijn niet op te zoeken, krijgen enkel een notification op confirmed e-mail adressen, niet mogelijk te zoeken met wildcards, etc.)
21-08-2015, 12:23 door Anoniem
Troy Hunt is een grote naam op security gebied (naam komt vaak terug in media, auteur van een aantal e-cursussen), dus ik verwacht dat hij wel nagedacht heeft over de email mining die hij in zijn cursussen beschrijft ;-)
22-08-2015, 00:15 door Anoniem
Door Anoniem:
Door Anoniem: Klinkt aantrekkelijk, maar lijkt me een keerzijde hebben:

Ondertussen zou deze website van Hunt immers tegelijk een mooie "honeypot" kunnen zijn om zoveel mogelijk e-mailadressen te verzamelen, en om er achter te komen wat iemand mogelijk heeft uitgespookt...
(kan behalve jijzelf ook een andere persoon zijn als je op andermans e-mailadres zoekt...)

En kun je ook "wildchars" bij het zoeken gebruiken, en daarna een alfabetische lijst doorscrollen of je er tussen staat?
Dat zou tenminste nog ietsje privacy-vriendelijker zijn, in de zin dat je als zoekende dan niet je hele e-mail-adres aan Hunt hoeft te vertellen om zijn database van bestaande e-mailadressen nog verder aan te vullen...

misschien moet je eerst eens de site bekijken ipv uit je aars te praten, en dan zul je zien dat Troy hiervoor meerdere maatregelen heeft genomen (AM adressen zijn niet op te zoeken, krijgen enkel een notification op confirmed e-mail adressen, niet mogelijk te zoeken met wildcards, etc.)
Heb je jezelf al eens horen praten? Je vertelt dus eigenlijk als een mr.pope dat je je volledige e-mail adres als zoekterm aan een creatie van een wildvreemde Troy moet prijsgeven om aan de weet te komen of je e-mail adres bij minstens één van de grote lekkages gelekt heeft?... Nou lekker dan.
Stel dat ik alleen maar wil controleren of iemand mijn eigen e-mailadres heeft misbruikt voor zo'n site (en vele anderen met mij) , hetgeen niet erg waarschijnlijk is, maar toch: niets is onmogelijk. Het is een makkie om het ff te checke.
Waarom zou ik mijn e-mail adres in dit geval aan die Troy toevertrouwen door middel van het als zoekterm in te vullen?
Ik geef hem dan immers iets wat hij waarschijnlijk nog niet in zijn database had: mijn geldige e-mailadres.
Ook als iemand zijn/haar partner's e-mail adres wil controleren, zal meestal nieuwe voeding zijn voor de database van "geprobeerde entries" van Troy, want de meeste Nederlanders maakten nooit gebruik van die foute datingsite.

(wat schuift dat eigenlijk per e-mailadres alsie geld nodig heeft, en op een dag toch in verleiding komt om de hele rataplan, dus zowel alle gelekte e-mailadressen als alle e-mailadressen waar op gezocht is, maar eens door te verkopen?...)

"In security worlds don't just think... think again and again and again and... "
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.