Onderzoeker Troy Hunt heeft een dataset met 42 miljoen gestolen e-mailadressen en bijbehorende wachtwoorden ontdekt, waarvan 4 miljoen adressen niet eerder bij een bekend datalek waren betrokken. De dataset was onlangs geüpload naar kayo.moe, een gratis hostingdienst om bestanden uit te wisselen. De beheerder van de hostingdienst besloot Hunt te waarschuwen omdat het om persoonlijke data ging die van een datalek afkomstig leek te zijn.
Volgens Hunt is er in het geval van de ontdekte dataset waarschijnlijk sprake van "credential stuffing". Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Vaak worden bij credential stuffing gebruikersnamen en wachtwoorden van verschillende datalekken tot één lijst gecombineerd.
Hunt is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. De onderzoeker besloot de 42 miljoen e-mailadressen te vergelijken met de e-mailadressen die al eens bij een datalek waren buitgemaakt en in Have I Been Pwned aanwezig zijn. Zo'n 4 miljoen e-mailadressen kwamen niet in de zoekmachine voor. De onderzoeker heeft daarop besloten de gehele dataset toe te voegen.
Deze posting is gelocked. Reageren is niet meer mogelijk.