Nieuwsprivacy

Honderden miljoenen inloggegevens liggen op straat, ook van Nederlandse sites

Ruim 226 miljoen inloggegevens van 23 duizend websites liggen op straat. Dat meldt de Australische beveiligingsonderzoeker Troy Hunt. Van de websites hebben er 155 een domeinnaam die eindigt op .nl.

Digitale-veiligheidsexperts raden aan om wachtwoorden nooit voor meerdere sites te hergebruiken.Beeld AFP

Dat maakt het zeer waarschijnlijk dat ook de inloggegevens van Nederlanders gelekt zijn. De kraak valt net buiten de top-10 grootste (bekende) datalekken ooit. 

De inloggegevens zijn naar alle waarschijnlijkheid niet allemaal in één keer gekraakt. Op ondergrondse webfora is er een levendige handel in databases met inloggegevens. Die kunnen vervolgens weer samengevoegd worden om zo een steeds grotere verzameling te vormen, die ook steeds meer geld waard is.

Hookers.nl

De bron van de gegevens is Cit0Day.in, een malafide dienst die hackers tegen betaling gebruikersnamen en wachtwoorden van specifieke personen gaf. De dienst is sinds september offline, waarna de data op een Russisch hackersforum terecht kwam, schrijft techwebsite ZDNet.

Tussen de gekraakte sites zitten geen hele grote namen. Het zijn vooral sites van kleine ondernemers, hobbysites en fora. Die maken vaak gebruik van kant-en-klare software. Wanneer daar een achterdeurtje in gevonden wordt, kan dat worden toegepast op alle sites die van de software gebruik maken. Beheerders van kleinere sites hebben bovendien minder tijd en geld voor hun digitale beveiliging dan grote techbedrijven.

Hookers.nl, een forum voor bezoekers van prostituees, is daar een voorbeeld van. Van de site zijn 287.560 accounts in de Cit0Day-database opgenomen, maar de hack van die specifieke site werd vorig jaar al bekend. De hacker zei destijds tegen de NOS dat hij een al bekend beveiligingsgat in de software van het forum had misbruikt.

Ook de sites van onder anderen een bloemist in Dronten (1.497 inlogs) en het dorp De Noord bij Heerhugowaard (5.378 accounts) zijn in het lek te vinden.

Hergebruikte wachtwoorden 

Meestal zijn hackers niet geïnteresseerd in de accounts van die specifieke sites. Een hack orkestreren om op naam van een ander bloemen te bestellen is weinig lucratief. Ze hopen echter dat de gekraakte inloggegevens ook hergebruikt worden op belangrijkere sites. Denk aan e-mail-inboxen, werksystemen of gegevensopslagdiensten als Dropbox.

Digitale-veiligheidsexperts raden daarom aan om wachtwoorden nooit voor meerdere sites te hergebruiken. Wachtwoordmanagers zijn daarvoor een handig hulpmiddel. Toegang verliezen tot Hookers.nl is vervelend, maar overkomelijk. Onprettiger wordt het als een kwaadwillende hacker zo niet alleen achterhaalt dat je op een seksforum zit, maar daar ook nog eens de inhoud van je Google Drive aan kan koppelen omdat daar hetzelfde wachtwoord op zit.

Wie zich zorgen maakt, kan op Troy Hunts website HaveIBeenPwned.com controleren of zijn e-mailadres in een bekendgemaakte kraak voorkomt.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden