image

Datalekzoekmachine Have I Been Pwned bestaat 10 jaar: 12,8 miljard 'pwned' accounts

maandag 4 december 2023, 10:10 door Redactie, 12 reacties

Precies tien jaar geleden lanceerde de Australische beveiligingsonderzoeker Troy Hunt de zoekmachine Have I Been Pwned, waarmee gebruikers kunnen kijken of hun e-mailadres in een bekend datalek voorkomt. Sindsdien bevat de zoekmachine e-mailadressen van 12,8 miljard 'pwned' accounts, afkomstig van 731 gecompromitteerde websites en verzamelde datasets. Hunt ontvangt e-mailadressen en wachtwoordhashes die bij deze websites zijn gestolen en voegt die toe aan zijn zoekmachine.

Deze gegevens worden soms ook door opsporingsdiensten verstrekt, die slachtoffers van datalekken naar de zoekmachine verwijzen. Recentelijk deed de FBI dit met gegevens van slachtoffers van de Genesis Market, een online marktplaats die op grote schaal in gestolen persoonsgegevens handelde. Het Nederlandse Openbaar Ministerie wilde dit niet doen en besloot een eigen online check te maken waarmee mensen kunnen kijken of ze van de Genesis Market slachtoffer zijn geworden.

"Internationaal wordt bij dit soort datadiefstallen standaard doorverwezen naar de website Have I Been Pwnd. Dat is een private Australische website waar de FBI ook in dit onderzoek hun onderzoeksdata aan heeft verstrekt. Wij hebben ervoor gekozen om zelf de regie te houden", zo stelde Ruben van Well, teamleider van het cybercrimeteam van de politie Rotterdam, eerder dit jaar. De Nederlandse overheid maakt echter zelf wel gebruik van Have I Been Pwned. Zo wordt er actief gekeken of er geen e-mailadressen van overheidsdomeinen in bekende datalekken voorkomen.

Een aantal jaren geleden had Hunt nog gekeken of hij de zoekmachine kon verkopen, maar dat ging niet door. Recentelijk kondigde de onderzoeker verschillende abonnementen aan voor het monitoren van domeinen via Have I Been Pwned. Inmiddels werken er meerdere personen voor de zoekmachine.

Reacties (12)
04-12-2023, 10:26 door Anoniem
Gefeliciteerd!
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
04-12-2023, 10:51 door Anoniem
Door Anoniem: Gefeliciteerd!
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Mailadressen worden verzameld op gehackte windows desktops.
04-12-2023, 11:13 door Anoniem
Door Anoniem:misschien wordt het tijd voor een E-Mail alias?

Die vraag stel je aan jezelf hopelijk? Er zijn al genoeg systemen die dit standaard aanbieden. Per account/leverancier een ander email adres.
04-12-2023, 11:29 door Anoniem
Door Anoniem:
Door Anoniem:misschien wordt het tijd voor een E-Mail alias?

Die vraag stel je aan jezelf hopelijk? Er zijn al genoeg systemen die dit standaard aanbieden. Per account/leverancier een ander email adres.

Haha! Ja, inderdaad! Ik vroeg het aan mezelf, er zijn inderdaad veel diensten die het standaard aanbieden, heel fijn.
Ik heb alleen zelf nooit ingesteld, had ik veel eerder moeten doen.
04-12-2023, 11:35 door Anoniem
Door Anoniem: Mailadressen worden verzameld op gehackte windows desktops.

Wow. Wat een domme opmerking.
Grootschalige emailadressen lekken zijn voornamelijk bij bedrijven, dat is precies wat deze website ook inzichtelijk gemaakt. LinkedIN is een mooi voorbeeld. Hint: dat draait niet op een windows desktop.

En dan zijn er nog de lijsten van de honderden of duizenden malafide bedrijfjes die data verhandelen van iedereen die in candy crush of wordfeud leuk even hun email intypen omdat ze dan gratis 2 zetten krijgen.

En dan maar verbaasd zijn dat je een spam allende binnenkrijgt...
04-12-2023, 14:13 door _R0N_
Door Anoniem:
Door Anoniem: Gefeliciteerd!
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Mailadressen worden verzameld op gehackte windows desktops.

Nou uhh nee.
Mailadressen worden verzameld uit inloggegevens die lekken voornamelijk bij websites, databases en bedrijven die hun security niet op orde hebben.
04-12-2023, 14:17 door Anoniem
Het Nederlandse Openbaar Ministerie wilde dit niet doen en besloot een eigen online check te maken waarmee mensen kunnen kijken of ze van de Genesis Market slachtoffer zijn geworden.
Ja en dank zij die intelligentie van die mensen begreep je dus niet dat als je het mailadres verwijderd had je wel of
niet slachtoffer was.
04-12-2023, 16:51 door Anoniem
Door Anoniem:
Door Anoniem: Gefeliciteerd!
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Mailadressen worden verzameld op gehackte windows desktops.

Nee, het was geen Windows-fout in mijn geval, ik gebruik geen Windows OS, ik gebruik LMDE6 (GNU+Linux) en heb daarop geen E-Mail client, de E-Mail (Protonmail) gebruik ik extern via de website (gebruik het niet vaak, heb voor correspondentie Molly/Signal en Briar) icm. Keepass en een Yubikey voor 2FA.
Vaak log ik in via de website met mijn telefoon, dit is een Pixel 6a met GrapheneOS, ik draai alleen veilige transparante FOSS en geen Google Play Services, het lag dus niet aan het besturingsysteem of één of andere spyware, mijn apparaten zijn wel veilig.
Ik heb verder niks van het lekken gemerkt via mijn E-Mails en dergelijke, wel weet ik dat het mijn ISP was aangezien zij me een brief daarover hadden gestuurd en ik had mijn E-Mail adres inderdaad aangemeld bij deze ISP. (Delta)
Het was al een tijdje geleden.
Het kan letterlijk de beste overkomen en het was totaal buiten mijn schuld om, maar het zijn inderdaad meestal externe bedrijven die dit lekken, ook mijn woningbouwvereniging heeft ooit mijn gegevens gelekt, niet echt handig vandaar dat ik mijn BSN nummer en andere informatie op mijn ID-kaart altijd zwart maak op kopieën, dus de schade is beperkt gebleven, wel moet men altijd alert blijven op oa. phishingmails aangezien deze ook zonder datalek kunnen ontvangen worden.
Als iemand zelf geen spyware op zijn of haar computer heeft kan het zijn dat een E-Mail contact dat wel heeft, (ooms, zussen, etc) en ook op de PC van diegene staan ook uw contactgegevens, op deze manier kan het ook evt. lekken.
04-12-2023, 17:00 door Anoniem
HIBP, a.k.a. de meest onethische zoekmachine. Hij verzameld gestolen data, in de normale wereld zouden we dat volgens mij heling noemen. Dan gaat ie er nog geld aan verdienen ook, probeer dat eens in de echte wereld met gestolen waar.

Of heeft hij, zoals het volgens mij hoort onder de AVG, aan iedereen netjes gevraagd of de persoonsgegevens in zijn database opgenomen mogen worden?
04-12-2023, 17:05 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem: Gefeliciteerd!
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Mailadressen worden verzameld op gehackte windows desktops.

Nou uhh nee.
Mailadressen worden verzameld uit inloggegevens die lekken voornamelijk bij websites, databases en bedrijven die hun security niet op orde hebben.

Ik ben niet de originele poster, maar Windows kan inderdaad óók spyware bevatten en E-Mail adressen lekken, maar het zijn voor het meerendeel inderdaad bedrijven (oa. webshops en dergelijke) die onzorgvuldig omgaan met de metadata hun klanten, maar het was geen domme opmerking ofzo, integendeel, Windows is wat desktops betreft wel een beetje de koploper wanneer het gaat om spyware, computervirussen en dergelijke.
05-12-2023, 00:41 door Anoniem
Door Anoniem: HIBP, a.k.a. de meest onethische zoekmachine. Hij verzameld gestolen data, in de normale wereld zouden we dat volgens mij heling noemen. Dan gaat ie er nog geld aan verdienen ook, probeer dat eens in de echte wereld met gestolen waar.
Bovenstaande lijkt voor mij af te komen van iemand die niet gehinderd is door kennis van zaken, wellicht heeft dat iets te maken met het gebruik van de term "zoekmachine"...

Voor degenen die nooit de Have I Been Pwned website hebben bezocht / getest, het is niet zo dat je de complete database kan bekijken. De houder van een domeinnaam kan een verzoek doen om een lijst van e-mailadressen op dat domein te zien met de bron van het lek, maar dan wordt er bijv. een e-mail gestuurd naar een (technisch) admin e-mailadres met een link die je gedurende korte tijd (10 minuten of zoiets, meen ik te herinneren) kan gebruiken.

Ook is het mogelijk om een seintje te krijgen wanneer een e-mailadres in een nieuw lek voorkomt. Grote / belangrijke organisaties kunnen best wel wat geld over hebben voor deze dienstverlening. En als dat voldoende is zodat Troy Hunt er niet geld op verliest of de enige (prive) persoon is die er wat mee kan, het zij zo.
05-12-2023, 07:50 door Anoniem
Door Anoniem:
Door Anoniem: Mailadressen worden verzameld op gehackte windows desktops.

Wow. Wat een domme opmerking.
Grootschalige emailadressen lekken zijn voornamelijk bij bedrijven, dat is precies wat deze website ook inzichtelijk gemaakt. LinkedIN is een mooi voorbeeld. Hint: dat draait niet op een windows desktop.

En dan zijn er nog de lijsten van de honderden of duizenden malafide bedrijfjes die data verhandelen van iedereen die in candy crush of wordfeud leuk even hun email intypen omdat ze dan gratis 2 zetten krijgen.

En dan maar verbaasd zijn dat je een spam allende binnenkrijgt...

Ik vind het jammer en watvresoectloos om zo te reageren.
Waarom niet gewoon als uitleg Uw mening of als uitleg als U deskundig bent wat uitleg en achtergrond informatie geven?
Dan laat U de ander wat in zijn/ haar waarde.
Hij/ zij reageert toch met zijn/ haar beste weten?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.