Een bericht in de New York Times over de diefstal van 1,2 miljard wachtwoorden door cybercriminelen houdt de gemoederen nog altijd bezig, maar de schrijfster van het stuk blijft achter haar verhaal staan. Via de New York Times en de eigen website meldde Hold Security de "grootste datadiefstal ooit".

Cybercriminelen zouden bij meer dan 400.000 websites hebben ingebroken en daar tal van databases met gebruikersgegevens hebben buitgemaakt. De gestolen gegevens zouden vervolgens voor het versturen van spam gebruikt zijn. Ondanks de impact en het grote aantal gecompromitteerde logins zijn nog altijd geen derde partijen, zoals Computer Emergency Reponse Teams (CERTs), door het Amerikaanse beveiligingsbedrijf ingelicht.

Ook hebben veel mensen twijfels over de werkwijze van Hold Security. Het bedrijf vraagt 120 dollar per jaar aan websites die willen weten of ze in de database van gehackte websites voorkomen. De dienst is de eerste 60 dagen gratis voor consumenten, maar die moeten dan wel hun wachtwoorden op een website van de IT-beveiliger invoeren, waarna de hashes ervan worden verstuurd. Een Nederlandse onderzoeker vond dat de werkwijze zelfs op een marketingstunt leek.

Nicole Perlroth van The New York Times, auteur van het stuk, is het niet met de kritiek eens. "In cybersecurity heeft elk bedrijf publicitaire redenen om naar buiten te treden. Maar ik ben blij dat ze het hebben gedaan, want de dreiging is reëel. Ik heb wachtwoorden van mijzelf gezien in die database, en die waren niet oud. En spam is wel degelijk schadelijk. Ondanks alle kritiek heeft niemand ons van fouten kunnen betichten", zo laat ze tegenover de Volkskrant weten.