image

Politie gaat hashes van gestolen inloggegevens met bedrijven delen

donderdag 30 juni 2022, 09:32 door Redactie, 5 reacties
Laatst bijgewerkt: 30-06-2022, 10:41

De politie gaat hashes van gestolen wachtwoorden en gebruikersnamen die het bij onderzoeken tegenkomt delen met bedrijven, die de informatie vervolgens bij het inlogproces van hun gebruikers kunnen gebruiken. Steeds vaker stuit de politie naar eigen zeggen op grote datalekken waarbij miljoenen inloggegevens van online accounts zijn buitgemaakt.

Deze inloggegevens worden vervolgens bij credential stuffing-aanvallen gebruikt. Bij dergelijke aanvallen worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Zodra er toegang tot een account is verkregen wordt dat gebruikt om bijvoorbeeld goederen of diensten op naam van de eigenaar te bestellen of persoonsgegevens te verzamelen voor identiteitsfraude of andere misdrijven. "Door het internationale karakter van deze vorm van criminaliteit en allerlei anonimiseringstechnieken is het lastig deze criminelen op te sporen en voor de rechter te brengen", aldus de politie, dat daarom via een preventieve aanpak het criminele verdienmodel wil doorbreken.

No More Leaks

Met het project No More Leaks wil de politie misbruik van inloggegevens tegengaan door hashes van gestolen wachtwoorden en gebruikersnamen met deelnemende bedrijven te delen. De deelnemende ondernemingen kunnen deze lijsten met hashes gebruiken als extra beveiligingsmaatregel in hun inlogproces. Wanneer een hash op de lijst overeenkomt met die van een gebruiker, krijgt die een verzoek om zijn wachtwoord te wijzigen.

De politie stelt dat effectiviteit van het project toeneemt naarmate de hoeveelheid inloggegevens groeit en er meer bedrijven aansluiten. Onder andere KPN, Randstad en de Nederlandse Loterij hebben al toegezegd mee te doen. Het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) en Digital Trust Center (DTC), beide onderdeel van het ministerie van Economische Zaken, en branchevereniging Thuiswinkel.org participeren als faciliterende partijen.

Deelname aan No More Leaks is gratis en heeft volgens de politie als doel de samenleving digitaal veiliger te maken, bedrijven weerbaarder te maken en daarbij het misbruik van klantenaccounts en daaruit voortkomende criminaliteit te verminderen.

Wet Politiegegevens

De politie laat weten dat de gehashte wachtwoorden en gebruikersnamen uitsluitend versleuteld worden gedeeld met de deelnemende partijen. Het delen van de data is juridisch mogelijk op basis van de Wet Politiegegevens. Verder moeten deelnemende bedrijven een convenant tekenen waarin ze aangeven technische en organisatorische maatregelen nemen om de gegevens te beveiligen en de privacy van de gegevens te waarborgen.

Have I Been Pwned

De bekende datalekzoekmachine Have I Been Pwned biedt hashes van gelekte wachtwoorden die organisaties kunnen gebruiken. Deze hashes zijn voor iedereen te downloaden. De dataset van "Pwned Passwords" telt inmiddels 847 miljoen hashes. Vorig jaar besloot de Britse politie nog 585 miljoen wachtwoorden met dit project te delen.

Reacties (5)
30-06-2022, 10:00 door Anoniem
Oud vriendje van mij hier in Marbella zei me dat het juist de politie zèlf is die zijn hash steeds pikt!
30-06-2022, 10:26 door Anoniem
Een kleine correctie op het artikel: de combinatie van gebruikersnaam en wachtwoord wordt samen gehasht, deze hashes worden gedeeld met deelnemende bedrijven. Dus niet alleen de wachtwoorden.

Dit is ook gelijk het grote verschil met Have I Been Pwned: uitsluitend wanneer de combinatie van gebruikersnaam en wachtwoord wordt misbruikt dan vindt er bij No More Leaks een hit plaats. Dit in tegenstelling tot Have I Been Pwned waar uitsluitend het wachtwoord gecontroleerd wordt. Hierdoor heeft No More Leaks minder false positives en dus minder invloed op bijvoorbeeld de conversie en klantervaring van een deelnemend bedrijf.

Ook gebruikt No More Leaks gestolen inloggegevens aangetroffen in strafrechtelijke onderzoeken, een bron waar Have I Been Pwned geen toegang toe heeft.
30-06-2022, 15:53 door Anoniem
Door Anoniem: Oud vriendje van mij hier in Marbella zei me dat het juist de politie zèlf is die zijn hash steeds pikt!

Corruptie,een corrupte medewerker noemen ze dat

leuk he de digitale samenleving waar al je gegevens
nu in de cloud moeten staan,waar je zelf weinig nog aan kunt doen.

Jan
01-07-2022, 11:43 door Anoniem
Door Anoniem: Oud vriendje van mij hier in Marbella zei me dat het juist de politie zèlf is die zijn hash steeds pikt!
LOL. Toch nog ergens extra planten neerzetten ;-)
02-07-2022, 13:58 door _Martin_
Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Als het gaat om hergebruik van enkel wachtwoorden, dan heeft een hash van gebruikersnaam èn wachtwoord weinig nut. Als je de hash van de combi gebruikersnaam/wachtwoord van website A hebt en de gebruikersnaam bij website B is net anders, dan is de hash gebruikersnaam/wachtwoord voor website B anders. Er is dan dus geen match en dus geen hit.

Ook de inlog op websites kan verschillen, de ene website werkt met de combinatie gebruikersnaam/wachtwoord en de andere website met de combinatie e-mailadres/wachtwoord.

Bij het hashen van de combinatie gebruikersnaam/wachtwoord zal de politie vooraf moeten weten wat er door een bedrijf gebruikt wordt om de gebruiker te identificeren: gebruikersnaam of e-mailadres. Misschien maken ze gewoon meerdere hashes voor elke gebruiker op zo'n lijst? Eén hash gebruikersnaam/wachtwoord en één hash e-mailadres/wachtwoord?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.