image

Estse politie deelt 655.000 e-mailadressen met Have I Been Pwned

maandag 11 juni 2018, 12:19 door Redactie, 6 reacties

De politie van Estland heeft een dataset van 655.000 e-mailadressen met de website Have I Been Pwned gedeeld, zodat die de eigenaren kan waarschuwen. Have I Been Pwned is een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen.

De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. De website wordt beheerd door beveiligingsonderzoeker Troy Hunt. De Estse politie zocht zijn hulp bij het waarschuwen van personen die het slachtoffer van verschillende datalekken waren geworden.

De politie van Estland vermoedt dat gegevens uit deze datalekken zijn gebruikt om toegang tot mailaccounts en accounts van cryptobeurzen en clouddiensten te krijgen. Het onderzoek naar deze inbraken loopt, maar de Estse politie heeft sterke vermoedens dat de accounts zijn gehackt via wachtwoorden die op andere plekken zijn gestolen. De aanvallers hadden het waarschijnlijk op wallets voor cryptovaluta voorzien.

"De Estse politie heeft ervoor gekozen om de data via Have I Been Pwned beschikbaar te maken, aangezien ze er niet langer van zeker zijn dat de rechtmatige eigenaren toegang tot de getroffen e-mailaccounts hebben. Ze willen ook geen precedent scheppen door e-mails van deze aard naar burgers te versturen, aangezien ze zeer waarschijnlijk in phishingaanvallen worden nagebootst", aldus Hunt.

Wat de Estse politie wel gaat doen is mensen oproepen om via de website Have I Been Pwned te controleren of hun accounts gecompromitteerd zijn. 41 procent van de e-mailadressen uit de dataset van de Estse politie kwam al voor in een ander datalek dat door de website was geïndexeerd.

Reacties (6)
11-06-2018, 14:13 door Anoniem
Hele slechte actie van de Estse politie. Estland is een Europees land waar ook de strenge privacy wetten gelden. Troy Hunt is een Amerikaan die het niet nauw neemt met privacy. Alles wat Hunt aan persoonsgegevens ontvangt en maar een beetje vermoeden is dat het gelekt zou verzamelt hij buiten de Europese wetten om.

De Ests politie had de persoonsgegevens nooit mogen doorgeven aan Hunt. Dat de persoonsgegevens toch al gelekt zouden zijn doet er niet toe. Dat Hunt ook goede bedoelingen met die persoonsgegevens heeft doet er ook niet toe.

De Este politie had contact moeten opnemen met de contactpersonen van de domeinen. Die hadden dan de eigenaren van de mailadressen kunnen inlichten of de accounts preventief kunnen blokkeren. Dat was al normaal voordat Hunt de media op zocht en is nog steeds de enige juiste weg. Wel een weg die veel tijd kost. Een goede domeineigenaar zal die berichten goed aanpakken.

Een andere mogelijkheid is het aanschrijven. Het is fout om aan te nemen dat dat als phishing zal worden gezien. De politie hoeft geen urls in de mail te plaatsen en ook niet om informatie te vragen. Waar de politie waarschijnlijk bang voor is zijn de klachten dat ontvangers ongewenst mail ontvangen en de politie de schuld geven. Wat juridisch voor problemen gaat zorgen. Of dat de politie heel veel vragen terug krijgt waar ze op moeten antwoorden, waar ze geen tijd of geen zin in hebben.

Nu heet een Amerikaan onbevoegd nog meer persoonsgegevens ontvangen en legt de Estse politie het probleem bij de personen van wie de gegevens gelekt zijn. Dit is geen oplossing maar een te makkelijke en onzorgvuldige werkwijze van de Estse politie.
11-06-2018, 14:57 door Anoniem
Door Anoniem: Hele slechte actie van de Estse politie. Estland is een Europees land waar ook de strenge privacy wetten gelden. Troy Hunt is een Amerikaan die het niet nauw neemt met privacy. Alles wat Hunt aan persoonsgegevens ontvangt en maar een beetje vermoeden is dat het gelekt zou verzamelt hij buiten de Europese wetten om.

....

Het is een Australier. Wel even wat anders.
11-06-2018, 15:37 door Anoniem
Door Anoniem: Hele slechte actie van de Estse politie. Estland is een Europees land waar ook de strenge privacy wetten gelden. Troy Hunt is een Amerikaan die het niet nauw neemt met privacy.
Nee, hij is een Australiër. Twee klikken om erachter te komen: https://www.troyhunt.com/about/
11-06-2018, 18:14 door karma4 - Bijgewerkt: 11-06-2018, 18:15
Nog steeds een dienst buiten de EU.
Voldoet troy hunt aan de gdpr? Is er een dpo?
Indien dat geverifieerd is door ... dan mag het.
Heeft de este tegenhanger van het ap de zaken onderzocht?
Heb je als nl er een probleem met deze estse zaak (jouw email zit er bij) dan mag je het hier bij het ap als klacht indienen.
11-06-2018, 21:29 door Anoniem
Mensen zouden moeten stoppen met het kijken naar Have I Been Pwned. Die gegevens zijn sowieso verouderd en geven een gevoel van scheinveiligheid. Als Have I Been Pwned jouw gegevens niet kan vinden, wil dat niet zeggen dat ze niet gelekt zijn. Gebruik een passwordmanager zodat je overal een ander wachtwoord gebruikt en wijzig deze met enige regelmaat.
11-06-2018, 22:07 door Anoniem
Door Anoniem:
Door Anoniem: Hele slechte actie van de Estse politie. Estland is een Europees land waar ook de strenge privacy wetten gelden. Troy Hunt is een Amerikaan die het niet nauw neemt met privacy.
Nee, hij is een Australiër. Twee klikken om erachter te komen: https://www.troyhunt.com/about/
Oh boehoe. Het punt is dat hij geen Europeaan is en zich ook niets aan trekt van de Europese privacywetten of privacy in het algemeen. Troy Hunt wil zo veel mogelijk persoonsgegevens hebben om er aandacht mee te genereren zodat hij in het nieuws komt en voor duizenden dollars aan snoepreisjes en congressen kan om daar te spreken. Hij leeft van het verzamelen van gelekte persoonsgegevens. Het is schandelijk dat de Estse politie persoonsgegevens van Europeanen aan hem geeft en zo opzettelijk recht op privacy negeert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.