Honderd miljoen wachtwoorden toegevoegd aan Have I Been Pwned

[Captain Kirk]

Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts. De inloggegevens werden onder andere door malware buitgemaakt en in een verzamelde dataset op internet aangeboden en gebruikt voor het uitvoeren van credential stuffing-aanvallen, aldus beveiligingsonderzoeker en HIBP-oprichter Troy Hunt.

Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen gecompromitteerde e-mailadressen was een derde nog niet eerder in een bekend datalek voorgekomen. Iets wat volgens Hunt statistisch belangrijk is. "Het is niet de gewone verzameling van opnieuw gebruikte lijsten met een nieuwe strik eromheen die als het volgende belangrijke ding wordt aangeboden. Het is een aanzienlijke hoeveelheid nieuwe data."

Veel lijsten met gestolen inloggegevens die op internet worden aangeboden bestaan uit eerder gedeelde gegevens die opnieuw worden verpakt. In dit geval gaat het om een aanzienlijke hoeveelheid nieuwe data, mede verkregen door malware die inloggegevens op besmette computers kon stelen. De "Naz.API" dataset, zoals de gestolen data wordt genoemd, bestaat uit e-mailadressen en wachtwoorden.

De e-mailadressen zijn aan Have I Been Pwned toegevoegd, de wachtwoorden aan Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving.

Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. De honderd miljoen unieke wachtwoorden komen 1,3 miljard keer voor in de verzamelde datalekken, wat volgens Hunt laat zien dat mensen vaak hetzelfde wachtwoord voor meerdere online diensten gebruiken.

 

bron: https://www.security.nl