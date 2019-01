Beeld AD

Dat ontdekte de Australische cyberveiligheidsexpert Troy Hunt, die details over zijn vondst in een blogpost uiteen zet. Na meerdere tips trof hij de enorme dataverzameling aan op clouddienst MEGA. Er werd naar gelinkt vanaf een ‘populair openbaar forum’, schrijft Hunt. Inmiddels zijn de gegevens van MEGA verwijderd.

Collection #1 is een enorme vergaarbak aan data, afkomstig van een groot aantal afzonderlijke lekken, volgens Hunt. Een deel van de mailadressen en wachtwoorden kwam eerder in de openbaarheid, maar er zitten ook gegevens bij die niet eerder openbaar zijn gemaakt. Ook een mailadres met een oud wachtwoord van de Australiër zelf stond er tussen. Beide waren correct, schrijft hij.

Er staat weliswaar aangegeven vanaf welke websites de gelekte gegevens zouden komen, maar of dit ook werkelijk de bronnen zijn, is niet geverifieerd. Ook is niet zeker of alle data echt zijn. ‘Vaak zie je bij dit soort grote verzamelingen dat ook een deel onzin is’, aldus Dave Maasland, directeur van cyberbeveiligingsbedrijf ESET Nederland.

Niet versleuteld

Vooral dat een groot deel van de wachtwoorden niet is versleuteld, maar gewoon als tekst in de verzameling terug te vinden is, vindt Maasland zorgelijk. ‘Kom je in dit lek voor, dan bestaat de kans dat ergens jouw wachtwoord rondzweeft, gewoon in plain text.’ Dat kan ertoe leiden dat kwaadwillenden op accounts kunnen inloggen. Maar ook als een wachtwoord inmiddels is veranderd, kan het volgens hem iets zeggen over hoe iemand wachtwoorden opbouwt.

Ook een los e-mailadres kan informatie prijsgeven, bijvoorbeeld om gerichter phishingmailtjes te kunnen sturen, vervolgt hij. Als uit een lek nou blijkt dat een mailadres voor LinkedIn wordt gebruikt, dan kan een cybercrimineel hier mailtjes naar sturen uit naam van LinkedIn in een poging gegevens af te troggelen. ‘Daar trap je sneller in dan als je zogenaamd een mailtje van de Rabobank krijgt, terwijl je bij ABN Amro zit.’

Om jezelf zo goed mogelijk te beschermen tegen de gevolgen van datalekken, raadt Maasland een wachtwoordmanager aan. Die genereert automatisch verschillende wachtwoorden, slaat deze op in een digitale kluis waar je met één wachtwoord bij kunt, waar ze eenvoudig te beheren zijn. ‘Mocht iemand nou echt denken dat dit te ingewikkeld is, dan is het zelfs beter om wachtwoorden fysiek in een notitieboekje te schrijven dan om overal hetzelfde wachtwoord te gebruiken’, voegt hij toe.

Hunt heeft alle mailadressen en wachtwoorden toegevoegd aan het door hem opgerichte www.haveibeenpwned.com. Hier kunnen mensen zelf zoeken of ze voorkomen in datalekken. ‘In dat geval moet je sowieso actie ondernemen’, volgens Maasland. Hoeveel Nederlanders er precies tussen zitten, is moeilijk te bepalen. ‘Ik kan alleen zeggen dat er met dit gigantische aantal zeker weten Nederlanders tussen zitten.’