image

Bestand met 5 miljoen Gmail-wachtwoorden online verschenen

woensdag 10 september 2014, 10:52 door Redactie, 13 reacties

Op een Russisch forum is een bestand met de wachtwoorden van 5 miljoen Gmail-adressen verschenen waarvan een groot deel nog zou werken. Waar de e-mailadressen en wachtwoorden precies vandaan komen is onbekend, maar mogelijk gaat het om een compilatie van verschillende gehackte websites.

Volgens de gebruiker die het bestand online zette zou 60% van Gmail-wachtwoorden nog steeds werken, zo meldt het Russische Cnews. Via de gestolen inloggegevens is het niet alleen mogelijk om de inbox van Gmail-gebruikers te bekijken, maar kan er ook toegang tot andere Google-diensten worden gekregen. Eerder deze week verschenen er ook bestanden online met de inloggegevens van 4,66 miljoen Mail.Ru-accounts en 1,26 miljoen Yandex-accounts.

Reacties (13)
10-09-2014, 11:13 door Anoniem
Waar de e-mailadressen en wachtwoorden precies vandaan komen is onbekend, maar mogelijk gaat het om een compilatie van verschillende gehackte websites.
Mag ik hieruit opmaken dat het om websites gaat die bij google gehost worden, of moet ik me hier wat anders bij voorstellen?
10-09-2014, 11:19 door Anoniem
Op het internet geven meerdere gebruikers aan dat hun wachtwoord niet met hun gmail wachtwoord overeen komt, maar met een wachtwoord die ze gebruikte voor derde sites.

Zo blijkt maar weer: niet je wachtwoorden hergebruiken.
10-09-2014, 12:41 door Ignitem
Heeft iemand een link naar dit bestand of althans een overzicht van de compromitteerde e-mailadressen?
10-09-2014, 12:47 door Anoniem
[Verwijderd door moderator]
10-09-2014, 12:58 door Anoniem
@Ignitem: Je gaat er vanuit dat accounts die niet in het bestand voorkomen niet compromised zijn ? De kans bestaat dat de hackers over nog veel meer wachtwoorden beschikken. Wat dat betreft kan je, indien je vraag t.b.v. je werkgever is, beter een generiek advies afgeven om wachtwoorden aan te passen.
10-09-2014, 13:18 door Anoniem
Volgens de russische fora zijn verschillende wachtwoorden tot 7 à 8 jaar oud en niet afkomstig van google, maar gemined vanop andere sites.
10-09-2014, 15:34 door Briolet
Hoe kun je een GMail wachtwoord nu van een andere site 'minen'?

Dat wachtwoord kan toch alleen bij Google bekend zijn. Bovendien loopt webmail bij google via HTTPS en gmail via een cliënt via SSL, dit onderscheppen van de inlog met Google lukt ook niet eenvoudig.
10-09-2014, 16:10 door Vandy
Door Briolet: Hoe kun je een GMail wachtwoord nu van een andere site 'minen'?

Dat wachtwoord kan toch alleen bij Google bekend zijn. Bovendien loopt webmail bij google via HTTPS en gmail via een cliënt via SSL, dit onderscheppen van de inlog met Google lukt ook niet eenvoudig.
MITM? Valse certificaten (DigiNotar)?

Maar het klinkt inderdaad meer alsof er een koppeling is gemaakt tussen de (gestolen / gelekte) inloggegevens van bijvoorbeeld pietjepuk.nl, waar iemand als username henkjansen@gmail.com had en wachtwoord Poekie123, en men er dan maar automatisch van uitgaat dat Poekie123 ook wel het wachtwoord zal zijn om op de gmail in te loggen.
10-09-2014, 16:41 door Anoniem
Wel eens van een Hoax gehoord !
11-09-2014, 10:25 door Anoniem
Door Briolet: Hoe kun je een GMail wachtwoord nu van een andere site 'minen'?

Ehhh...... Er verschijnen wel vaker lijsten met inloggegevens op de interwebz. Wellicht iemand die deze lijsten heeft verzameld en gecombineerd tot deze lijst????
11-09-2014, 13:31 door Anoniem
Door Anoniem: Volgens de russische fora zijn verschillende wachtwoorden tot 7 à 8 jaar oud en niet afkomstig van google, maar gemined vanop andere sites.

Zie bijvoorbeeld ook de analyse op http://mashable.com/2014/09/10/5-million-gmail-passwords-leak/

Door Briolet: Hoe kun je een GMail wachtwoord nu van een andere site 'minen'?

Dat wachtwoord kan toch alleen bij Google bekend zijn. Bovendien loopt webmail bij google via HTTPS en gmail via een cliënt via SSL, dit onderscheppen van de inlog met Google lukt ook niet eenvoudig.

Op andere sites is de username vaak een e-mail adres. Als iemand daar zijn gmail-adres opgeeft, dan staat dat op de lijst van die site (bv. friendster, filedropper, xtube en freebiejeebies). Als je daar hetzelfde wachtwoord gebruikt hebt als voor je gmail-account en je hebt geen 2-factor, dan heb je een probleem. Anders is het een kwestie van het account bij die andere club opzeggen.

Peter
11-09-2014, 14:09 door Anoniem
deze HTTPS en SSL zijn al in 30seconde te hacken als je de goede software gebruikt dat weten we al van 2009 en misschien nog eerder ;-P
11-09-2014, 16:49 door Anoniem
Door Anoniem: deze HTTPS en SSL zijn al in 30seconde te hacken als je de goede software gebruikt dat weten we al van 2009 en misschien nog eerder ;-P

o nee we hebben een deskundige in huis!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.