image

Politiediensten delen 30 miljoen e-mailadressen en wachtwoordhashes met HIBP

donderdag 30 mei 2024, 08:06 door Redactie, 9 reacties

Politiediensten hebben dertig miljoen e-mailadressen en wachtwoordhashes die bij een internationale operatie tegen verschillende botnets werden gevonden gedeeld met datalekzoekmachine Have I Been Pwned. Het gaat om 16,5 miljoen e-mailadressen en 13,5 miljoen wachtwoordhashes. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt.

Van de 16,5 miljoen e-mailadressen was 72 procent al via een ander datalek bekend. Dat houdt in dat 4,5 miljoen e-mailadressen nog onbekend waren, zo stelt Troy Hunt, oprichter van Have I Been Pwned. In het verleden hebben politiediensten vaker e-mailadressen en wachtwoorden gedeeld die bij operatie werden aangetroffen. Hunt merkt op dat de gedeelde wachtwoordhashes niet gekoppeld zijn aan de e-mailadressen.

Naast het kunnen zoeken op e-mailadressen biedt Have I Been Pwned ook Pwned Passwords, een verzameling van wachtwoordhashes die bij websites of op systemen zijn buitgemaakt. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. Van de 13,5 miljoen wachtwoordhashes waren er 8,9 miljoen al bekend bij de zoekmachine.

De Pwned Password-dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun Active Directory-omgeving. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen.

Reacties (9)
30-05-2024, 08:52 door Anoniem
Hoeveel cybercriminelen zitten er al vast?
Dweilen met de spreekwoordelijke kraan open.

Wat een geweldige tijden waren de lock-downs voor de cybercrimineel.

Gaat de beoogde MP hier het verschil maken?

Wanneer gaat de wal het schip keren?
30-05-2024, 09:54 door Anoniem
Volgens mij deed de Nederlandse Politie ook mee aan dit onderzoek. Het is daarom erg opvallend dat een Nederlandse politieorganisatie besluit om persoonsgegevens van slachtoffers te delen. Eerder deed de FBI dat al, waarna Arnoud Engelfriet naar de juridische aspecten keek in zijn blog op https://blog.iusmentis.com/2021/06/01/fbi-deelt-voortaan-uitgelekte-wachtwoorden-met-have-i-been-pwned-mag-dat-van-de-avg/. Tijd voor een nieuwe vraag, nu ook de Nederlandse politie besluit om dit soort persoonsgegevens te delen?

Overigens lijkt het erop dat de informatie uit deze dataset op de website van de politie zelf gecontroleerd kan worden: https://www.politie.nl/informatie/checkjehack.html/.
30-05-2024, 10:57 door Anoniem
Door Anoniem: Volgens mij deed de Nederlandse Politie ook mee aan dit onderzoek. Het is daarom erg opvallend dat een Nederlandse politieorganisatie besluit om persoonsgegevens van slachtoffers te delen. Eerder deed de FBI dat al, waarna Arnoud Engelfriet naar de juridische aspecten keek in zijn blog op https://blog.iusmentis.com/2021/06/01/fbi-deelt-voortaan-uitgelekte-wachtwoorden-met-have-i-been-pwned-mag-dat-van-de-avg/. Tijd voor een nieuwe vraag, nu ook de Nederlandse politie besluit om dit soort persoonsgegevens te delen?

Overigens lijkt het erop dat de informatie uit deze dataset op de website van de politie zelf gecontroleerd kan worden: https://www.politie.nl/informatie/checkjehack.html/.
Een los emailadres is niet gevoelig persoonsgegeven, vind persoonlijk dat hier het hogere doel (van zelf kunnen checken of je 'slachtoffer' bent) het aanleveren door de deze politiediensten rechtvaardigd.
Delen zou ik het niet noemen: het is niet dat de hele dataset als een makkelijk pakketje voor willekeurig elke internetgebruiker daar te downloaden valt. Bovendien.. die data circuleert nu toch echt óók al op het darkweb..
Dat de dataset verzameld en raadpleegbaar via HIBP gecheckt kan worden past bij de nobele doelstellingen van HIBP.
Er zijn veel particulieren en organisaties extra geholpen door de dienst die daar geleverd wordt.
30-05-2024, 12:55 door Anoniem
Politie is weer lekker markt verstorend bezig, waarom geven ze deze schat aan informatie alleen aan Microsoft?!? (Have I Been Pwned is van MS) Alsof het een taak van de politie is om het bijna monopoly van Micro$soft te beschermen.

Dit soort info zouden ze moeten delen met al dit soort diensten, zoals ook: https://scatteredsecrets.com
30-05-2024, 13:29 door Anoniem
Door Anoniem:
Door Anoniem: Volgens mij deed de Nederlandse Politie ook mee aan dit onderzoek. Het is daarom erg opvallend dat een Nederlandse politieorganisatie besluit om persoonsgegevens van slachtoffers te delen. Eerder deed de FBI dat al, waarna Arnoud Engelfriet naar de juridische aspecten keek in zijn blog op https://blog.iusmentis.com/2021/06/01/fbi-deelt-voortaan-uitgelekte-wachtwoorden-met-have-i-been-pwned-mag-dat-van-de-avg/. Tijd voor een nieuwe vraag, nu ook de Nederlandse politie besluit om dit soort persoonsgegevens te delen?

Overigens lijkt het erop dat de informatie uit deze dataset op de website van de politie zelf gecontroleerd kan worden: https://www.politie.nl/informatie/checkjehack.html/.
Een los emailadres is niet gevoelig persoonsgegeven, vind persoonlijk dat hier het hogere doel (van zelf kunnen checken of je 'slachtoffer' bent) het aanleveren door de deze politiediensten rechtvaardigd.
Delen zou ik het niet noemen: het is niet dat de hele dataset als een makkelijk pakketje voor willekeurig elke internetgebruiker daar te downloaden valt. Bovendien.. die data circuleert nu toch echt óók al op het darkweb..
Dat de dataset verzameld en raadpleegbaar via HIBP gecheckt kan worden past bij de nobele doelstellingen van HIBP.
Er zijn veel particulieren en organisaties extra geholpen door de dienst die daar geleverd wordt.


Nee, het is alleen maar Microsoft die de gehele dataset krijgt op leuke dingen mee te doen....What could possibly go wrong?
spoiler: https://arstechnica.com/information-technology/2024/04/microsoft-blamed-for-a-cascade-of-security-failures-in-exchange-breach-report/
30-05-2024, 14:00 door Anoniem
Door Anoniem:
Een los emailadres is niet gevoelig persoonsgegeven, vind persoonlijk dat hier het hogere doel (van zelf kunnen checken of je 'slachtoffer' bent) het aanleveren door de deze politiediensten rechtvaardigd.
Delen zou ik het niet noemen: het is niet dat de hele dataset als een makkelijk pakketje voor willekeurig elke internetgebruiker daar te downloaden valt. Bovendien.. die data circuleert nu toch echt óók al op het darkweb..
Dat de dataset verzameld en raadpleegbaar via HIBP gecheckt kan worden past bij de nobele doelstellingen van HIBP.
Er zijn veel particulieren en organisaties extra geholpen door de dienst die daar geleverd wordt.

Een veel gehoord argument, maar juridisch weinig steekhoudend. Het overnemen van (niet-openbare) gegevens uit 'illegale bron' is in Nederland strafbaar (Artikel 139g Wetboek van strafrecht). Daarnaast heeft de AP recent nog laten weten dat óók als informatie openbaar gemaakt is, dat er nog steeds een grondslag nodig is voordat deze gegevens verwerkt mogen worden (Handreiking scraping door particulieren en private organisaties).

De enige (mogelijk) steekhoudende argumentatie is een algemeen en gerechtvaardigd belang vanuit HIBP om deze gegevens te verwerken. Helaas mis ik nog steeds een goede analyse van de belangen aan beide kanten. Ik zie de Europese meldplicht voor datalekken als belangrijk onderdeel van deze belangenafweging. HIBP en andere partijen stellen dat zij invulling geven aan het notificeren van slachtoffers. Echter is die verplichting al neergelegd bij de organisaties die persoonsgegevens verwerken. Dit is in veel gevallen dubbel op, waardoor er mijns inziens géén noodzaak meer is voor private partijen om dit op te pakken. De privacy inbreuk voor slachtoffers, door het verder verzamelen van deze (illegaal verkregen) persoonsgegevens, valt voor mij dan ook zwaarder dan het 'recht' van een private organisatie om zo'n database aan te leggen.

Als HIBP in Nederland gevestigd zou zijn is de kans groot dat dit strafbaar zou zijn. Vergelijkbaar verwacht ik dat de verwerking van persoonsgegevens onrechtmatig zou zijn als HIBP onder de AVG zou vallen. De reden dat daar nu geen sprake van is, komt omdat het een Australische organisatie is en niet alle verwerkingen onder de AVG vallen.

De echte test zou een aangifte en onderzoek vanuit het OM zijn naar dit soort diensten. Het Nederlandse ScatteredSecrets zou een mooie case zijn. Zij doen in feite hetzelfde doen als HIBP, maar vallen wél onder het Nederlandse straf- en privacyrecht.
30-05-2024, 20:01 door Anoniem
Door Anoniem: Volgens mij deed de Nederlandse Politie ook mee aan dit onderzoek. Het is daarom erg opvallend dat een Nederlandse politieorganisatie besluit om persoonsgegevens van slachtoffers te delen. Eerder deed de FBI dat al, waarna Arnoud Engelfriet naar de juridische aspecten keek in zijn blog op https://blog.iusmentis.com/2021/06/01/fbi-deelt-voortaan-uitgelekte-wachtwoorden-met-have-i-been-pwned-mag-dat-van-de-avg/. Tijd voor een nieuwe vraag, nu ook de Nederlandse politie besluit om dit soort persoonsgegevens te delen?

Overigens lijkt het erop dat de informatie uit deze dataset op de website van de politie zelf gecontroleerd kan worden: https://www.politie.nl/informatie/checkjehack.html/.
Waar staat dat de Nederlandse politie deze gegevens met HIBP heeft gedeeld?

Het is een internationale actie dus de data is bij meer politie organisaties in andere landen in bezit, die dit met HIBP gedeeld kunnen hebben.
30-05-2024, 22:41 door Anoniem
Door Anoniem: Waar staat dat de Nederlandse politie deze gegevens met HIBP heeft gedeeld?

Het is een internationale actie dus de data is bij meer politie organisaties in andere landen in bezit, die dit met HIBP gedeeld kunnen hebben.
Het staat er niet super duidelijk, maar dit is een citaat van het persbericht van de politie zelf:
https://www.politie.nl/nieuws/2024/mei/30/11-meerdere-botnets-ontmanteld-in-grootste-internationale-operatie-tegen-ransomware-ooit.html
Alle slachtofferdata van de botnets uit deze actie, worden gedeeld met No More Leaks. Hierdoor worden klanten of medewerkers van aangesloten bedrijven gewaarschuwd als hun inloggegevens onveilig zijn of als uitgelekt bekend staan. Alle slachtofferdata wordt ook beschikbaar gesteld via het NCSC, internationale partners en via organisaties als DIVD, HaveIBeenPwned en Spamhaus. [...]
31-05-2024, 13:32 door Anoniem
Have I Been Pwned is NIET van Microsoft, lees https://haveibeenpwned.com/About
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.