Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Collection#1: datalek van historische omvang

'Dataset waarschijnlijk bedoeld voor credential stuffing-aanvallen'

Dit artikel delen:

Computable Expert

mr. Jeffrey De Graaf
Managing Director Emea, KNOWBE4. Expert van Computable voor het topic Security.

We staan nog maar aan het begin van 2019 en hebben nu al te maken met een datalek van astronomische proporties. De Australische beveiligingsexpert Troy Hunt, beheerder van de website Have I Been Pwned, stuitte halverwege januari op het grootste lek dat hij ooit gezien had. Niet in een hoekje van het darkweb, maar op clouddienst Mega; vervolgens vond hij op een populair hackerforum 87 GB aan ‘gestolen’ data.

De inhoud van de bestanden is op z’n zachtst gezegd uitzonderlijk:

  • 2.692.818.238 rijen aan e-mailadressen en wachtwoorden
  • 1.160.253.228 unieke combinaties van e-mailadressen en wachtwoorden
  • 772.904.991 miljoen unieke e-mailadressen
  • 21.222.975 unieke wachtwoorden

Dit monster draagt de naam Collection#1 en is volgens Hunt eigenlijk een verzameling van meer dan tweeduizend datalekken. Zo’n 140 miljoen e-mailadressen en meer dan tien miljoen wachtwoorden zijn nieuw in de database van Hunt, wat betekent dat ze niet uit eerdere datalekken afkomstig zijn.

Credential stuffing

"De aanval heeft de meeste kans van slagen bij personen die hetzelfde wachtwoord voor meerdere sites en diensten gebruiken"

De opbouw van de bestanden in Collection#1 doet vermoeden dat deze dataset bedoeld is om zogenoemde credential stuffing-aanvallen uit te voeren. Bij degelijke aanvallen testen hackers razendsnel (en volautomatisch) combinaties van gebruikersnamen en wachtwoorden op een bepaalde site of sociaal netwerk. Het heeft de meeste kans van slagen bij personen die hetzelfde wachtwoord voor meerdere sites en diensten gebruiken.

Bovenstaande is zorgwekkend. Met zoveel buitgemaakte data is er kans dat er een e-mailadres of wachtwoord van u bij zit. Ook collega’s en gebruikers van het netwerk binnen uw organisatie lopen mogelijk gevaar. Collection#1 is er niet eentje om de schouders over op te halen. De wachtwoorden in de dataset zijn niet versleuteld maar plain text, dus zelfs amateurs kunnen ermee aan de slag. En waar zo’n schat aan gegevens meestal duur verkocht wordt, was deze data gratis te downloaden.

Moedeloos

Hoewel het nieuws over Collection#1 mogelijk moedeloos maakt, is de kans dat u slachtoffer wordt van dit enorme datalek wel degelijk te verkleinen. Sowieso heeft u meer grip op uw digitale veiligheid dan u misschien denkt. De harde waarheid is dat de meesten van ons simpelweg de moeite niet nemen om een aantal elementaire maatregelen te treffen.

Wat te doen om uzelf en collega’s binnen uw organisatie tegen dit datalek te beschermen? Het zijn geen baanbrekende adviezen, maar ik blijf erop hameren:

  • Check via Have I Been Pwned of uw e-mailadres en wachtwoorden die u gebruikt in de geactualiseerde database van Troy Hunt voorkomen. Zo ja, wijzig de betrokken wachtwoorden dan onmiddellijk
  • Gebruik nooit hetzelfde wachtwoord voor meerdere sites en diensten!
  • Neem een wachtwoordmanager (zoals 1Password of LastPass)
  • Stel tweestapsverificatie in voor zoveel mogelijk accounts
  • Zorg dat iedereen in de organisatie met enige regelmaat security awareness-training volgt
"Hackers kunnen voorlopig hun lol op"

We weten de omvang van Collection#1, maar kunnen nog niet zeggen hoe groot de gevolgen van dit historische datalek zullen zijn. Hackers kunnen voorlopig hun lol op, en ik vrees dat it’ers en beveiligingsexperts een aanzienlijk deel van komend jaar met de nasleep bezig zijn.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-02-19T10:48:00.000Z Jeffrey De Graaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.