De politie gaat hashes van gestolen wachtwoorden en gebruikersnamen die het bij onderzoeken tegenkomt delen met bedrijven, die de informatie vervolgens bij het inlogproces van hun gebruikers kunnen gebruiken. Steeds vaker stuit de politie naar eigen zeggen op grote datalekken waarbij miljoenen inloggegevens van online accounts zijn buitgemaakt.
Deze inloggegevens worden vervolgens bij credential stuffing-aanvallen gebruikt. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Zodra er toegang tot een account is verkregen wordt dat gebruikt om bijvoorbeeld goederen of diensten op naam van de eigenaar te bestellen of persoonsgegevens te verzamelen voor identiteitsfraude of andere misdrijven. "Door het internationale karakter van deze vorm van criminaliteit en allerlei anonimiseringstechnieken is het lastig deze criminelen op te sporen en voor de rechter te brengen", aldus de politie, dat daarom via een preventieve aanpak het criminele verdienmodel wil doorbreken.
Met het project No More Leaks wil de politie misbruik van inloggegevens tegengaan door hashes van gestolen wachtwoorden en gebruikersnamen met deelnemende bedrijven te delen. De deelnemende ondernemingen kunnen deze lijsten met hashes gebruiken als extra beveiligingsmaatregel in hun inlogproces. Wanneer een hash op de lijst overeenkomt met die van een gebruiker, krijgt die een verzoek om zijn wachtwoord te wijzigen.
De politie stelt dat effectiviteit van het project toeneemt naarmate de hoeveelheid inloggegevens groeit en er meer bedrijven aansluiten. Onder andere KPN, Randstad en de Nederlandse Loterij hebben al toegezegd mee te doen. Het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) en Digital Trust Center (DTC), beide onderdeel van het ministerie van Economische Zaken, en branchevereniging Thuiswinkel.org participeren als faciliterende partijen.
Deelname aan No More Leaks is gratis en heeft volgens de politie als doel de samenleving digitaal veiliger te maken, bedrijven weerbaarder te maken en daarbij het misbruik van klantenaccounts en daaruit voortkomende criminaliteit te verminderen.
De politie laat weten dat de gehashte wachtwoorden en gebruikersnamen uitsluitend versleuteld worden gedeeld met de deelnemende partijen. Het delen van de data is juridisch mogelijk op basis van de Wet Politiegegevens. Verder moeten deelnemende bedrijven een convenant tekenen waarin ze aangeven technische en organisatorische maatregelen nemen om de gegevens te beveiligen en de privacy van de gegevens te waarborgen.
De bekende datalekzoekmachine Have I Been Pwned biedt hashes van gelekte wachtwoorden die organisaties kunnen gebruiken. Deze hashes zijn voor iedereen te downloaden. De dataset van "Pwned Passwords" telt inmiddels 847 miljoen hashes. Vorig jaar besloot de Britse politie nog 585 miljoen wachtwoorden met dit project te delen.
Deze posting is gelocked. Reageren is niet meer mogelijk.