Zoekmachine voor datalekken bevat 8 miljard gelekte accounts
De in 2013 gelanceerde zoekmachine voor datalekken Have I Been Pwned is inmiddels de 8 miljard gecompromitteerde accounts gepasseerd. Begin 2018 stond de teller nog op 5 miljard accounts. De laatste toevoeging betreft 42 miljoen accounts die in december 2017 bij fotosite piZap werden gestolen.
Via Have I Been Pwned kunnen gebruikers een e-mailadres opgeven om vervolgens te controleren of het ooit onderdeel van een datalek is geweest. De accounts die de zoekmachine indexeert zijn afkomstig van gecompromitteerde websites, spamlijsten en verzamelingen van gebruikersnamen en wachtwoorden waarmee wordt geprobeerd om op accounts van allerlei diensten in te loggen. Meer dan 3,2 miljard gelekte accounts werden in dergelijke lijsten en verzamelingen aangetroffen.
Datalekken bij 374 websites zijn inmiddels door Have I Been Pwned geïndexeerd. MySpace staat bij de websites bovenaan. Daar wisten aanvallers in 2008 de gegevens van bijna 360 miljoen gebruikers te stelen. Een ander groot datalek is dat bij LinkedIn, waar data van bijna 165 miljoen mensen werd buitgemaakt. De zoekmachine is gemaakt door onderzoeker Troy Hunt. Hij maakte onlangs bekend een overnamekandidaat voor Have I Been Pwned te zoeken.
- Onliner Spambot: 711M.
- River City Media Spam List: 393M.
- B2B USA Businesses: 105M.
Al ruim 1 MILJARD aan SPAM-lijsten, met slechts email-adressen. Met een email-adres uit een SPAM-lijst is weining te compromitteren :)
Want iedere server/dienst heeft geen password of andere data die private moet blijven om inloggen door andere te voorkomen, alleen een public key (bij voorkeur meerdere keys) van de user.
minder problemen met phishing, want er is een key pair per website. En er zijn 2 gescheiden paden: "huh ? Ik had mij toch al aangemeld op deze website ? Hmm, dat adres in die balk ziet er raar uit."
Het kan ook niet misbruikt worden voor tracking (koppelen van accounts), want er is een key paid per website.
Het is niet meer de vraag OF onze gegevens op straat komen te liggen....
De vraag is WANNEER...
Het is niet meer de vraag OF onze gegevens op straat komen te liggen....
De vraag is WANNEER...
Ik denk dat HaveIBeenPwned alle data verwijderd buiten de email adressen.
Struisvogels of "once bitten twice shy"?
Deze repository wacht er toch op om opgekocht en gecommercialiseerd te worden,
denk aan de mogelijkheden voor een durfkapitalist uit een bepaald EU land,
dat niet zo moeilijk doet over de bezwaren ertegen.
Je herhaalde kliks op bol dot com maken een gezocht artikel ook steeds 1 euro duurder.
Mag dat eigenlijk wel van de KvK?
Jodocus Oyevaer
Het is niet meer de vraag OF onze gegevens op straat komen te liggen....
De vraag is WANNEER...
2FA, unieke accounts, wachtwoorden is een goede zet om je data te beschermen en de impact minimaal te houden bij een breach.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
