image

Zoekmachine voor datalekken bevat 8 miljard gelekte accounts

dinsdag 16 juli 2019, 11:32 door Redactie, 8 reacties

De in 2013 gelanceerde zoekmachine voor datalekken Have I Been Pwned is inmiddels de 8 miljard gecompromitteerde accounts gepasseerd. Begin 2018 stond de teller nog op 5 miljard accounts. De laatste toevoeging betreft 42 miljoen accounts die in december 2017 bij fotosite piZap werden gestolen.

Via Have I Been Pwned kunnen gebruikers een e-mailadres opgeven om vervolgens te controleren of het ooit onderdeel van een datalek is geweest. De accounts die de zoekmachine indexeert zijn afkomstig van gecompromitteerde websites, spamlijsten en verzamelingen van gebruikersnamen en wachtwoorden waarmee wordt geprobeerd om op accounts van allerlei diensten in te loggen. Meer dan 3,2 miljard gelekte accounts werden in dergelijke lijsten en verzamelingen aangetroffen.

Datalekken bij 374 websites zijn inmiddels door Have I Been Pwned geïndexeerd. MySpace staat bij de websites bovenaan. Daar wisten aanvallers in 2008 de gegevens van bijna 360 miljoen gebruikers te stelen. Een ander groot datalek is dat bij LinkedIn, waar data van bijna 165 miljoen mensen werd buitgemaakt. De zoekmachine is gemaakt door onderzoeker Troy Hunt. Hij maakte onlangs bekend een overnamekandidaat voor Have I Been Pwned te zoeken.

Reacties (8)
16-07-2019, 12:01 door Anoniem
Have I Been Pwned verzameld email-adressen van breaches. Ze hebben NIET 8 miljard *gecompromitteerde accounts* maar 8 miljard gelekte *email-adressen*. Dat is niet hetzelfde. Uit hun eigen lijst van breaches:


- Onliner Spambot: 711M.
- River City Media Spam List: 393M.
- B2B USA Businesses: 105M.

Al ruim 1 MILJARD aan SPAM-lijsten, met slechts email-adressen. Met een email-adres uit een SPAM-lijst is weining te compromitteren :)
16-07-2019, 12:18 door Anoniem
Nou zou webauthn toch wel handig zijn, niet dan ?

Want iedere server/dienst heeft geen password of andere data die private moet blijven om inloggen door andere te voorkomen, alleen een public key (bij voorkeur meerdere keys) van de user.

minder problemen met phishing, want er is een key pair per website. En er zijn 2 gescheiden paden: "huh ? Ik had mij toch al aangemeld op deze website ? Hmm, dat adres in die balk ziet er raar uit."

Het kan ook niet misbruikt worden voor tracking (koppelen van accounts), want er is een key paid per website.
16-07-2019, 12:36 door bollie
8 miljard gelekte accounts
Onvoorstelbaar aantal......
Het is niet meer de vraag OF onze gegevens op straat komen te liggen....
De vraag is WANNEER...
16-07-2019, 12:38 door Anoniem
Deze gegevens liggen al lang op straat :)
16-07-2019, 12:42 door Anoniem
Door bollie:
8 miljard gelekte accounts
Onvoorstelbaar aantal......
Het is niet meer de vraag OF onze gegevens op straat komen te liggen....
De vraag is WANNEER...

Ik denk dat HaveIBeenPwned alle data verwijderd buiten de email adressen.
16-07-2019, 12:50 door Anoniem
Toch zijn er nog veel mensen, die er nooit gecheckt hebben en/of er angst voor hebben.
Struisvogels of "once bitten twice shy"?

Deze repository wacht er toch op om opgekocht en gecommercialiseerd te worden,
denk aan de mogelijkheden voor een durfkapitalist uit een bepaald EU land,
dat niet zo moeilijk doet over de bezwaren ertegen.

Je herhaalde kliks op bol dot com maken een gezocht artikel ook steeds 1 euro duurder.
Mag dat eigenlijk wel van de KvK?

Jodocus Oyevaer
16-07-2019, 15:08 door Anoniem
Door bollie:
8 miljard gelekte accounts
Onvoorstelbaar aantal......
Het is niet meer de vraag OF onze gegevens op straat komen te liggen....
De vraag is WANNEER...
Het zijn er veel inderdaad. Echter zijn er een boel breaches waar bijv. alleen een e-mailadres in staat. Deze worden erbij opgeteld.

2FA, unieke accounts, wachtwoorden is een goede zet om je data te beschermen en de impact minimaal te houden bij een breach.
16-07-2019, 16:14 door spatieman
en dan doe je beide databases downloaden, kan je shit er in terug vinden ,hehe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.