Inhoud
- Have I Been Pwned-maker Troy Hunt heeft de datalek van Collection # 1 aangekondigd.
- De verzameling bestanden bevat miljoenen gecompromitteerde e-mailadressen en wachtwoorden.
- De gecompromitteerde gegevens zijn vermoedelijk afkomstig uit 2000 databases.
Datalekken zijn tegenwoordig zo gewoon geworden dat we ze bijna gevoelloos zijn geworden. Beveiligingsonderzoeker en maker van Have I Been Pwned, Troy Hunt, heeft zojuist een datalek gemeld dat lang pijn zal doen: verzameling # 1.
Collectie # 1 is een enorm bestand dat onlangs is geüpload naar cloudopslagservice Mega. Het bestand beschikt over 12.000 afzonderlijke bestanden die 87 GB aan gegevens bevatten.
Wat staat er in de gegevens, vraagt u zich misschien af? 772.904.991 unieke e-mailadressen en 21.222.975 unieke wachtwoorden. Een belangrijk probleem is dat de gestolen wachtwoorden beschermende hashing hebben gekraakt. Dat is de reden waarom de wachtwoorden worden weergegeven als platte tekst in plaats van cryptografisch te worden gehasht wanneer de websites werden overtreden.
Nu e-mailen 768.253 personen die zich hebben aangemeld voor meldingen en nog 39.923 die domeinen volgen ...
- Troy Hunt (@troyhunt) 16 januari 2019
Deze gekraakte wachtwoorden zorgen voor een tweede probleem, een praktijk genaamd credential stuffing. Het vullen van referenties is wanneer geschonden combinaties van gebruikersnaam of e-mail / wachtwoord vervolgens worden gebruikt om in het account van iemand anders te komen. Aanvallers hoeven geen brute kracht te gebruiken of wachtwoorden te raden - ze kunnen gewoon de aanmeldingen automatiseren.
Het vullen van referenties is met name van belang voor gebruikers die dezelfde combinatie van gebruikersnaam en wachtwoord gebruiken op verschillende websites.
Het is gewoon zo dat collectie # 1 bijna 2,7 miljard combinaties bevat. Het is ook zo dat ongeveer 140 miljoen e-mailadressen en 10 miljoen wachtwoorden uit collectie # 1 nieuw zijn in de Have I Been Pwned-database.
Laten we ook het gedecentraliseerde karakter van collectie # 1 niet vergeten. Eerdere inbreuken hadden meestal een gemeenschappelijke zilveren voering: elke inbreuk kon aan één website worden gebonden. Niet zo met deze inbreuk, die bestaat uit inbreuken in 2.000 databases.
In dit geval is de enige mogelijke zilveren voering dat Hunt niet weet of elke inbreuk in collectie # 1 legitiem is. Hunt zei echter ook dat dit "de grootste inbreuk ooit is die in HIBP wordt geladen".
Wat moet ik doen?
Ga eerst naar Have I Been Pwned en typ je e-mailadres in. De site laat u weten of een account dat dat e-mailadres gebruikt, is gecompromitteerd.
Als je Have I Been Pwned al hebt gebruikt, had je een melding van de inbreuk moeten ontvangen. Bijna de helft van de gebruikers van de site zit vast in de inbreuk, dus houd daar rekening mee als u lid bent.
Klik daar opwachtwoorden tab bovenaan Have I Been Pwned. Pwned Passwords laat u weten of uw wachtwoord is gecompromitteerd en helpt u om sterke wachtwoorden te gebruiken.
Als u een gecompromitteerd e-mailadres en gecompromitteerde wachtwoorden heeft, is het tijd om uw wachtwoordprocedures op te ruimen. Als een site dit ondersteunt, gebruikt u tweefactorauthenticatie. Het is misschien niet waterdicht, maar tweefactorauthenticatie helpt de meesten af te raden die toegang tot uw account willen.
U kunt ook voorkomen dat u hetzelfde wachtwoord op meerdere sites gebruikt. Het is verleidelijk om voor het gemak hetzelfde wachtwoord te gebruiken, maar de oefening is een gevaarlijk tweesnijdend zwaard.
Gebruik ten slotte een wachtwoordbeheerder. 1Password, Dashlane en LastPass zijn drie van de meer populaire opties die er zijn, hoewel je ook de beproefde methode van pen en papier kunt gebruiken.
Oh, en verander je wachtwoord. Verander absoluut je wachtwoord. Maak het iets complexs, iets dat niet in een woordenboek te vinden is.
