Bij een phishingaanval gestolen inloggegevens waren eenvoudig voor iedereen op internet te vinden doordat ze waren geïndexeerd door Google. De aanvallers hadden de ongeveer duizend buitgemaakte wachtwoorden en gebruikersnamen niet goed afgeschermd, meldt securitybedrijf Check Point.

De aanval was gericht tegen allerlei organisaties wereldwijd en bestond uit een e-mail die zich voordeed als een bericht van een Xerox-scanner. De e-mail bevatte een html-bestand als bijlage die wanneer geopend een melding toonde dat het om een met wachtwoord beveiligd document ging en vroeg via een inlogvenster om het wachtwoord voor het Microsoft-account.

Meer dan duizend mensen trapten in de phishingmail en voerden hun inloggegevens in, aldus Check Point. De gestolen wachtwoorden en gebruikersnamen werden in een bestand op gecompromitteerde WordPress-sites opgeslagen. Dit bestand was niet afgeschermd en kon zo door Google worden geïndexeerd. Vervolgens was het eenvoudig via de zoekmachine te vinden. Alleen het zoeken op het e-mailadres van de slachtoffers was genoeg om het bijbehorende wachtwoord te achterhalen.