image

Honderd miljoen wachtwoorden toegevoegd aan Have I Been Pwned

woensdag 17 januari 2024, 15:40 door Redactie, 15 reacties

Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts. De inloggegevens werden onder andere door malware buitgemaakt en in een verzamelde dataset op internet aangeboden en gebruikt voor het uitvoeren van credential stuffing-aanvallen, aldus beveiligingsonderzoeker en HIBP-oprichter Troy Hunt.

Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen gecompromitteerde e-mailadressen was een derde nog niet eerder in een bekend datalek voorgekomen. Iets wat volgens Hunt statistisch belangrijk is. "Het is niet de gewone verzameling van opnieuw gebruikte lijsten met een nieuwe strik eromheen die als het volgende belangrijke ding wordt aangeboden. Het is een aanzienlijke hoeveelheid nieuwe data."

Veel lijsten met gestolen inloggegevens die op internet worden aangeboden bestaan uit eerder gedeelde gegevens die opnieuw worden verpakt. In dit geval gaat het om een aanzienlijke hoeveelheid nieuwe data, mede verkregen door malware die inloggegevens op besmette computers kon stelen. De "Naz.API" dataset, zoals de gestolen data wordt genoemd, bestaat uit e-mailadressen en wachtwoorden.

De e-mailadressen zijn aan Have I Been Pwned toegevoegd, de wachtwoorden aan Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving.

Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. De honderd miljoen unieke wachtwoorden komen 1,3 miljard keer voor in de verzamelde datalekken, wat volgens Hunt laat zien dat mensen vaak hetzelfde wachtwoord voor meerdere online diensten gebruiken.

Reacties (15)
17-01-2024, 16:02 door Anoniem
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts.
En op basis waarvan heeft hij toestemming om deze persoonsgegevens te verwerken?
17-01-2024, 17:06 door Anoniem
Leuk maar ik heb werkelijk geen idee welk account dit zou moeten zijn. Het mailadres waarop ik de melding kreeg gebruik ik al jaren dus heb hier niks aan.

Hopelijk gebruikt Dashlane de lijst ook, dan kan ik tenminste zien om welk wachtwoord het gaat...
17-01-2024, 17:08 door Anoniem
Gewoon een vraag maar wat is naz.api? Waar staat het voor? Waar komt het vandaan?
17-01-2024, 17:43 door Anoniem
Door Anoniem:
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts.
En op basis waarvan heeft hij toestemming om deze persoonsgegevens te verwerken?
Die vraag wordt behandeld op:
https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/

De korte versie is necesarry evil to counter bigger evil
Hij geniet samenwerking met alphabet agencies die ook dataset aanleveren als mede europol en interpol.

Als je echt niet je data op die site wilt hebben dan stuur een verwijder verzoek maar het zou stupide zijn gezien de informatie al gelekt is beschikbaar staat door mensen die het misbruiken en dit een van de weinige services is waar je datalek geschiedenis kan bijhouden. Je datalek is niet magisch weg als je je ogen ervoor sluit.

Door Anoniem: Gewoon een vraag maar wat is naz.api? Waar staat het voor? Waar komt het vandaan?
Gewoon een idee klik eens op de link in het bericht je komt dan vanzelf uit bij de info die je zoekt.
17-01-2024, 20:08 door Anoniem
Door Anoniem: Gewoon een vraag maar wat is naz.api? Waar staat het voor? Waar komt het vandaan?

Daar was ik ook benieuwd naar.
17-01-2024, 20:17 door Anoniem
Meer nieuws hier:
https://news.ycombinator.com/item?id=39028122

Ook over de echte NAZ.api lijst.
Interwebz is a scary place sometimes.
17-01-2024, 20:48 door Anoniem
Door Anoniem:
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts.
En op basis waarvan heeft hij toestemming om deze persoonsgegevens te verwerken?

Vraag je dat ook aan de hackers die de gegevens stelen?
18-01-2024, 09:18 door Saph
Door Anoniem: Gewoon een vraag maar wat is naz.api? Waar staat het voor? Waar komt het vandaan?
Gewoon een idee klik eens op de link in het bericht je komt dan vanzelf uit bij de info die je zoekt.[/quote]
Daar wordt je ook niet perse wijzer van, ik zie zo snel niet waar ik als persoon zou kunnen achterhalen welke diensten er van mij daadwerkelijk inzitten.
18-01-2024, 09:43 door Anoniem
Ik zou het wel fijn vinden als er een uitleg zou komen hoe ik **veilig** kan achterhalen op, wellicht op de originele dump site, waar ik allemaal in sta. Ik ben op zo'n algemeen e-mailadres geraakt, wie weet sta ik er 1 of wellicht meerdere keren in.
18-01-2024, 10:14 door Anoniem
Soms is het ook wel bekend. Op dat en dat forum is er twee maal een data breach geweest in juli 2022 bijv.
Meestal krijg je dan ook een verzoek om je wachtwoord te wijzigen.

Als je elders ook dat wachtwoord hebt gebruikt, moet je het daar ook doen.
Soms wordt er dan een veiliger inlog gebruikt. Captcha en/of 2FA.

Een mail adres is meestal na een hack twee weken niet te gebruiken.

Via mail doorlinken naar een chat, kan ook onveilig zijn,
Alleen al vanwege de spam, die je later overspoelen kan.

Noch verschaffers noch klanten werken over het algemeen met best policies.

Het kan zoveel beter, maar toch maar lekker de eindgebruiker de schuld in de schoenen schuiven, als het kan.

Ook onze overheid is daar goed in, de echte grootgraaier/data breacher blijft dan meestal buiten schot,
of diens schuld wordt geschiklt en men kan op dezelfde voet vaak verder.

Dat systeem of die usance doorbreek je maar niet zo gauw even een twee drie.

#laufer
18-01-2024, 13:53 door Anoniem
Door Anoniem: Ik zou het wel fijn vinden als er een uitleg zou komen hoe ik **veilig** kan achterhalen op, wellicht op de originele dump site, waar ik allemaal in sta. Ik ben op zo'n algemeen e-mailadres geraakt, wie weet sta ik er 1 of wellicht meerdere keren in.

Dat is nu precies haveibeenpwnd, of begrijp ik je vraag nu verkeerd? Als je email adres gevonden wordt geeft hij keurig aan in welke datasets dat is gevonden.
18-01-2024, 16:00 door linuxpro
Door Anoniem:
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts.
En op basis waarvan heeft hij toestemming om deze persoonsgegevens te verwerken?

Serieus? welke persoonsgegevens dan? Een wachtwoord wat verder nergens aan gekoppeld is behalve aan het feit dat het ergens in buitgemaakt lijkt mij niet dat daar ook maar enige toestemming voor nodig is.
18-01-2024, 16:02 door gbrugman
Door Anoniem: Meer nieuws hier:
https://news.ycombinator.com/item?id=39028122

Ook over de echte NAZ.api lijst.
Interwebz is a scary place sometimes.

En ook hier https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale/
18-01-2024, 17:07 door Anoniem
Door Anoniem:
Door Anoniem:
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts.
En op basis waarvan heeft hij toestemming om deze persoonsgegevens te verwerken?
Die vraag wordt behandeld op:
https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/

De korte versie is necesarry evil to counter bigger evil
Hij geniet samenwerking met alphabet agencies die ook dataset aanleveren als mede europol en interpol.
Wat het nog steeds niet legaal maakt om:
- Aan heling te doen (gestolen goederen te verkrijgen)
- Die gesloten data te verwerken zonder toestemming van de gebruiker
- Daar commercieel aan mee te cashen


Als je echt niet je data op die site wilt hebben dan stuur een verwijder verzoek maar het zou stupide zijn gezien de informatie al gelekt is beschikbaar staat door mensen die het misbruiken en dit een van de weinige services is waar je datalek geschiedenis kan bijhouden. Je datalek is niet magisch weg als je je ogen ervoor sluit.
Het gaat me niet om mijn data, dat zal me echt een zorg zijn. Het gaat me erom dat de praktijken op z'n minst shady zijn, maar waarschijnlijk gewoon een hele berg regels overtreden, en dat ze ondertussen met hun illegale en onethische praktijken overal op een voetstuk geplaatst worden. Dat kan ik echt niet rijmen.
18-01-2024, 23:43 door Anoniem
Door Anoniem:
Door Anoniem: Ik zou het wel fijn vinden als er een uitleg zou komen hoe ik **veilig** kan achterhalen op, wellicht op de originele dump site, waar ik allemaal in sta. Ik ben op zo'n algemeen e-mailadres geraakt, wie weet sta ik er 1 of wellicht meerdere keren in.

Dat is nu precies haveibeenpwnd, of begrijp ik je vraag nu verkeerd? Als je email adres gevonden wordt geeft hij keurig aan in welke datasets dat is gevonden.

Bij een normale breach wel, maar niet bij zo'n collectie breach als dit. Ik heb geen idee uit welke originele bron deze collectie is gemaakt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.