Wachtwoorden

Wachtwoorden 3,3 miljoen Nederlanders vindbaar met zoekmachine

FERM
- 30 March 2018

Vanochtend werd in diverse media bericht over een nieuwe lijst met gelekte inloggegevens van Nederlandse personen en organisaties. Het AD berichtte hier als eerste over [1].
[genummerde externe hyperlinks vind je onderaan dit bericht]
 
We benadrukken dat het hier gaat om een verzameling van oude wachtwoordlekken. Northwave, één van onze security partners, meldt ons dat voor er zover bekend zijn geen nieuwe gegevens aan zijn toegevoegd [6]. Dat betekent dat de gelekte inloggegevens soms al jaren op straat lagen en al gewijzigd hadden moeten zijn. Dat laat onverlet dat er met deze berichtgeving opnieuw de aandacht op deze lekken gevestigd is, omdat het kwaadwillenden op ideeën kan brengen.

Snelle check

Op http://www.haveibeenpwned.com kun je controleren of je inloggegevens in een eerder lek zijn voorgekomen. Via de optie ‘Domain Search’ kun je snel en eenvoudig zoeken op de e-mailadressen van je bedrijf door de domeinnaam van je bedrijf in te vullen. Hiervoor dien je wel een aantal verificaties uit te voeren om aan te tonen dat je hiertoe geautoriseerd bent.

Deze controle is ook specifiek relevant voor de privé e-mailadressen van de medewerkers in je organisatie. Mocht uit een controle blijken dat je inloggegevens gelekt zijn, verander deze dan zo snel mogelijk!
 
We adviseren om te zorgen voor een degelijke password policy. Maak medewerkers bewust van het gevaar van het hergebruiken van wachtwoorden, zet waar mogelijk twee-factorauthenticatie aan en lees ons eerdere artikel over wachtwoorden en andere tips voor verbetering van je beveiliging. 

De feiten

  • Nederlandse media [1,2] hebben vandaag veel aandacht voor wachtwoorden die op straat zijn komen te liggen door datalekken. Aanleiding hiervoor is een 'hacker' die een database heeft met 1,4 miljard mailadressen en wachtwoorden vanuit de hele wereld
  • Een controle op e-mailadressen die in de dataset beschikbaar zijn, wordt via een 'zoekmachine' later op de dag aangeboden. Hierin zal naar verluidt geen volledig e-mailadres of wachtwoord terug te vinden zijn, slechts een beperkt aantal karakters.
  • Het nieuws lijkt los te staan van maar heeft zeker overlap met de bekendmaking vandaag van een nieuwe datalek van fitness app 'MyFitnessPal' [3].

Analyse

  • FERM heeft geen toegang tot de database. Het is onduidelijk of deze database puur een verzameling is van bekende datalekken zoals LinkedIn (2012) of volledige nieuwe, alsnog onbekende datalekken bevat. Mogelijk gaat om een verzameling van gegevens uit eerder gepubliceerde datalekken.
  • In veel buitgemaakte databases zijn wachtwoorden versleuteld. Afhankelijk van de versleuteling is het voor een malafide actor niet gemakkelijk om het echte wachtwoord te achterhalen.
  • Mocht het wachtwoord toch worden achterhaald, dan kan de combinatie van e-mailadres en wachtwoord gebruikt worden om bij andere toepassingen in te loggen.
  • Een zoekmachine om te controleren of uw inloggegevens gelekt zijn is op zich niet nieuw. Dergelijke zoekmachines bestaan al en worden o.a. gebruikt om slachtoffers te helpen (bijvoorbeeld www.haveibeenpowned.com).

Advies

Het standaardadvies is nog altijd van kracht, onder meer te vinden in de factsheets van het NCSC [4,5].

  • Gebruik geen zakelijk e-mailadres voor privétoepassingen (zoals websites of apps).
  • Gebruik voor elke toepassing een uniek wachtwoord.
  • Maak waar mogelijk gebruik van tweefactorauthenticatie.
  • Als er signalen zijn dat een gebruikte toepassing slachtoffer is van een datalek, verander dan zo snel mogelijk uw wachtwoord voor die dienst.

Bronnen

[1] https://www.ad.nl/binnenland/wachtwoorden-3-3-miljoen-nederlanders-vindbaar-met-zoekmachine~aef1faf3/
[2] https://nos.nl/artikel/2225011-zoekmachine-met-wachtwoorden-en-mailadressen-van-nederlanders.html
[3] https://nos.nl/artikel/2224996-datalek-myfitnesspal-gegevens-van-150-miljoen-gebruikers-op-straat.html
[4] https://www.ncsc.nl/actueel/factsheets/factsheet-gebruik-tweefactorauthenticatie.html
[5] https://www.ncsc.nl/actueel/factsheets/factsheet-help-mijn-gegevens-zijn-gelekt.html
[6] www.northwave.nl