Infostealer-malware steelt half miljard wachtwoorden van besmette pc's
Criminelen zijn erin geslaagd om door middel van infostealer-malware bijna een half miljard wachtwoorden te stelen. De e-mailadressen van de betreffende accounts zijn met datalekzoekmachine Have I Been Pwned gedeeld, zo laat oprichter Troy Hunt weten. Infostealer-malware is ontwikkeld om inloggegevens van geïnfecteerde pc's te stelen om daarna naar de aanvaller terug te sturen. Aanvallers beschikken vaak over logbestanden met grote hoeveelheden gecompromitteerde accounts.
Begin deze maand ontving Hunt een dataset van anderhalve gigabyte, met daarin 23 miljard logregels afkomstig van infostealer-malware. In totaal bleek het om 493 miljoen unieke paren van websites, e-mailadressen en bijbehorende wachtwoorden te gaan. Het ging in totaal om 284 miljoen unieke e-mailadressen. Sommige e-mailadressen werden voor meerdere websites gebruikt.
Infostealer-malware steelt gebruikersnamen en wachtwoorden voor elke website waarop een slachtoffer vanaf een besmette computer inlogt. Zodoende zijn er meer combinaties van websites en e-mailadressen dan unieke e-mailadressen. De 284 miljoen e-mailadressen zijn toegevoegd aan Have I Been Pwned (HIBP). Via de zoekmachine kunnen gebruikers kijken of hun e-mailadres in een bekend datalek voorkomt. 69 procent van de e-mailadressen was al via een ander datalek bekend.
244 miljoen wachtwoorden
Naast de mogelijkheid om e-mailadressen in bekende datalekken te zoeken biedt HIBP ook een dienst genaamd 'Pwned Passwords'. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt.Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Hunt besloot de wachtwoorden uit de dataset toe te voegen aan Pwned Passwords. Het ging daarbij om 244 miljoen unieke wachtwoorden die nog niet in de database van de dienst voorkwamen. Vorige maand voegde Hunt ook al een groot aantal e-mailadressen en wachtwoorden aan Have I Been Pwned toe die van infostealer-malware afkomstig waren.
Als ik wil weten of mijn wachtwoord erin zit: Pnwd Passwords.
Dat boeit me beide niet. Ik wil weten van welke emails welke wachtwoorden er gelekt zijn. Niet 1 van die 2. Hoe doe ik dat?
Als ik wil weten of mijn wachtwoord erin zit: Pnwd Passwords.
Dat boeit me beide niet. Ik wil weten van welke emails welke wachtwoorden er gelekt zijn. Niet 1 van die 2. Hoe doe ik dat?
Want? Als je emailadres gelekt is -> alert zijn op phishing/fraude of emailadres wisselen.
Als je wachtwoord gelekt is; wachtwoord wijzigen bij de betreffende dienst. Ik ga er natuurlijk wel netjes van uit dat je overal een ander wachtwoord gebruikt; toch?
Of ben ik achterdochtig?
Als ik wil weten of mijn wachtwoord erin zit: Pnwd Passwords.
Dat boeit me beide niet. Ik wil weten van welke emails welke wachtwoorden er gelekt zijn. Niet 1 van die 2. Hoe doe ik dat?
Want? Als je emailadres gelekt is -> alert zijn op phishing/fraude of emailadres wisselen.
Als je wachtwoord gelekt is; wachtwoord wijzigen bij de betreffende dienst. Ik ga er natuurlijk wel netjes van uit dat je overal een ander wachtwoord gebruikt; toch?[/quote]
Als ALLEEN m'n email gestolen is boeit me dat niet (dan krijg is SPAM: no shit).
ALLEEN op wachtwoord zoeken is ook niet zo nuttig: is dat wachtwoord dan van mij gestolen of gebruikt iemand anders 'm ook (twee hele risico's).
Ik wil weten of er een email van mij INCLUSIEF CORRESPONDERED wachtwoord inzit....
ALLEEN op wachtwoord zoeken is ook niet zo nuttig: is dat wachtwoord dan van mij gestolen of gebruikt iemand anders 'm ook (twee hele risico's).
Ik wil weten of er een email van mij INCLUSIEF CORRESPONDERED wachtwoord inzit....
En je hoort het zelf te weten. Een belangrijk advies is al sinds jaar en dag om niet hetzelfde wachtwoord voor meerdere accounts te gebruiken. Als je voor elk account een ander wachtwoord gebruikt dan zie je heel simpel aan het het wachtwoord om welk account het gaat. Als jij je zaken zelf goed voor elkaar hebt dan hoeft HIBP dit helemaal niet voor je op te hoesten. Je hebt kennelijk zelf iets te verbeteren.
Lastig? Natuurlijk, meerdere wachtwoorden onthouden, en sterke ook, is knap lastig. Daar is gelukkig een oplossing voor: gebruik een wachtwoordmanager. Zo'n programma kan per account een ander sterk wachtwoord voor je genereren dat je zelf niet hoeft te onthouden, je moet alleen voor een sterk master-wachtwoord zorgen. Ik gebruik zelf KeePassXC. Dat heeft de mogelijkheid ingebouwd om je wachtwoorden met een druk op de knop met HIBP te controleren: je krijgt een keurig lijstje van de accounts waar iets mee is.
Het is al langer bekend dat infostealers op veel systemen aanwezig zijn. Die verzamelen accountgegevens en sturen dat naar de criminelen achter de database. Zoals het er naar uitziet, is dit een verzameling van gegevens uit diverse infostealers. Onze organisatie heeft de lijst van HIBP gekregen en veel accounts bestaan niet (meer), zijn oude lekken (mei 2023) waar we al van op de hoogte waren, accounts die nooit kunnen hebben bestaan (gezien ons formaat van accounts).
Ongeveer 30% van de accounts waren "nieuw", waarbij al een aantal gedetecteerd waren omdat de aanvallers niet door de MFA heen kwamen, en er dus voor zorgden dat het wachtwoord van de gebruiker werd gereset.
Peter
ALLEEN op wachtwoord zoeken is ook niet zo nuttig: is dat wachtwoord dan van mij gestolen of gebruikt iemand anders 'm ook (twee hele risico's).
Ik wil weten of er een email van mij INCLUSIEF CORRESPONDERED wachtwoord inzit....
Het zou wel echt heel bijzonder zijn als je random gegenereerde complexe password van 30 karakters toevallig ook door iemand anders wordt gebruikt. Het kan, maar niet aannemelijk. En zelfs in dat geval kun je hem aanpassen. Snap niet waarom je wil dat een dienst de combinatie tussen wachtwoord en email (of gebruikersnaam) aan elkaar koppelt. Dat zou hacker-hemel zijn natuurlijk...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
