Politie gaat hashes van gestolen inloggegevens met bedrijven delen
De politie gaat hashes van gestolen wachtwoorden en gebruikersnamen die het bij onderzoeken tegenkomt delen met bedrijven, die de informatie vervolgens bij het inlogproces van hun gebruikers kunnen gebruiken. Steeds vaker stuit de politie naar eigen zeggen op grote datalekken waarbij miljoenen inloggegevens van online accounts zijn buitgemaakt.
Deze inloggegevens worden vervolgens bij credential stuffing-aanvallen gebruikt. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Zodra er toegang tot een account is verkregen wordt dat gebruikt om bijvoorbeeld goederen of diensten op naam van de eigenaar te bestellen of persoonsgegevens te verzamelen voor identiteitsfraude of andere misdrijven. "Door het internationale karakter van deze vorm van criminaliteit en allerlei anonimiseringstechnieken is het lastig deze criminelen op te sporen en voor de rechter te brengen", aldus de politie, dat daarom via een preventieve aanpak het criminele verdienmodel wil doorbreken.
No More Leaks
Met het project No More Leaks wil de politie misbruik van inloggegevens tegengaan door hashes van gestolen wachtwoorden en gebruikersnamen met deelnemende bedrijven te delen. De deelnemende ondernemingen kunnen deze lijsten met hashes gebruiken als extra beveiligingsmaatregel in hun inlogproces. Wanneer een hash op de lijst overeenkomt met die van een gebruiker, krijgt die een verzoek om zijn wachtwoord te wijzigen.
De politie stelt dat effectiviteit van het project toeneemt naarmate de hoeveelheid inloggegevens groeit en er meer bedrijven aansluiten. Onder andere KPN, Randstad en de Nederlandse Loterij hebben al toegezegd mee te doen. Het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) en Digital Trust Center (DTC), beide onderdeel van het ministerie van Economische Zaken, en branchevereniging Thuiswinkel.org participeren als faciliterende partijen.
Deelname aan No More Leaks is gratis en heeft volgens de politie als doel de samenleving digitaal veiliger te maken, bedrijven weerbaarder te maken en daarbij het misbruik van klantenaccounts en daaruit voortkomende criminaliteit te verminderen.
Wet Politiegegevens
De politie laat weten dat de gehashte wachtwoorden en gebruikersnamen uitsluitend versleuteld worden gedeeld met de deelnemende partijen. Het delen van de data is juridisch mogelijk op basis van de Wet Politiegegevens. Verder moeten deelnemende bedrijven een convenant tekenen waarin ze aangeven technische en organisatorische maatregelen nemen om de gegevens te beveiligen en de privacy van de gegevens te waarborgen.
Have I Been Pwned
De bekende datalekzoekmachine Have I Been Pwned biedt hashes van gelekte wachtwoorden die organisaties kunnen gebruiken. Deze hashes zijn voor iedereen te downloaden. De dataset van "Pwned Passwords" telt inmiddels 847 miljoen hashes. Vorig jaar besloot de Britse politie nog 585 miljoen wachtwoorden met dit project te delen.
Dit is ook gelijk het grote verschil met Have I Been Pwned: uitsluitend wanneer de combinatie van gebruikersnaam en wachtwoord wordt misbruikt dan vindt er bij No More Leaks een hit plaats. Dit in tegenstelling tot Have I Been Pwned waar uitsluitend het wachtwoord gecontroleerd wordt. Hierdoor heeft No More Leaks minder false positives en dus minder invloed op bijvoorbeeld de conversie en klantervaring van een deelnemend bedrijf.
Ook gebruikt No More Leaks gestolen inloggegevens aangetroffen in strafrechtelijke onderzoeken, een bron waar Have I Been Pwned geen toegang toe heeft.
Corruptie,een corrupte medewerker noemen ze dat
leuk he de digitale samenleving waar al je gegevens
nu in de cloud moeten staan,waar je zelf weinig nog aan kunt doen.
Jan
Ook de inlog op websites kan verschillen, de ene website werkt met de combinatie gebruikersnaam/wachtwoord en de andere website met de combinatie e-mailadres/wachtwoord.
Bij het hashen van de combinatie gebruikersnaam/wachtwoord zal de politie vooraf moeten weten wat er door een bedrijf gebruikt wordt om de gebruiker te identificeren: gebruikersnaam of e-mailadres. Misschien maken ze gewoon meerdere hashes voor elke gebruiker op zo'n lijst? Eén hash gebruikersnaam/wachtwoord en één hash e-mailadres/wachtwoord?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
