image

Lijst met 111 miljoen e-mailadressen en wachtwoorden ontdekt

dinsdag 10 juli 2018, 10:01 door Redactie, 4 reacties

Op een Franse webserver is een lijst met 111 miljoen e-mailadressen en wachtwoorden ontdekt die aanvallers hebben gebruikt om toegang tot allerlei accounts te krijgen. Dat laat beveiligingsonderzoeker Troy Hunt weten. Het gaat om een zogeheten "credential stuffing" lijst.

Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan, aldus Hunt.

Volgens de onderzoeker is het eerste deel van het probleem eenvoudig op te lossen, mensen moeten namelijk stoppen met het hergebruiken van wachtwoorden. De oplossing voor het tweede deel is lastiger, aangezien er bij deze aanvallen iemand op een website met de juiste inloggegevens inlogt, die hier niet de eigenaar van is.

Hunt heeft de gevonden lijst met e-mailadressen aan Have I Been Pwned toegevoegd, een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. Het is onbekend waar de lijst met 111 miljoen e-mailadressen precies vandaan komt, maar hij zou uit verschillende datalekken bestaan.

Reacties (4)
10-07-2018, 10:32 door Anoniem
Voor te zien ofdat inlog pogingen wel van de persoon zelf zijn, moet er eerst informatie worden bijgehouden die we liever niet bijhouden in verband met privacy. Het zou beter te zijn om misbruik met een gehackt account tegen te werken. Denk bijvoorbeeld aan een email confirmation om bepaalde zaken aan te passen of uit te voeren.
10-07-2018, 16:27 door Anoniem
Voor te zien ofdat inlog pogingen wel van de persoon zelf zijn, moet er eerst informatie worden bijgehouden die we liever niet bijhouden in verband met privacy.

Of je implementeert multi-factor authenticatie. IP restricties. Account lockout, bij failed attempts (van verschillende accounts, afkomstig van 1 IP). Zijn zoveel zaken te doen om dit tegen te werken.
11-07-2018, 10:11 door Anoniem
Zijn dat 111 miljoen "plain text" wachtwoorden?

Ik zou toch denken/hopen dat sinds jaar en dag alleen hashes opgeslagen worden door webaccountbeheerders. Met een hash kan je niet aanloggen, die zal je eerst moeten kraken. Bij alle berichten over diefstal van wachtwoorden (niet alleen hier maar ook in andere media) mis ik steeds het onderscheid tussen hash en plain. Diefstal van gehashte (en gezouten) wachtwoorden is niet direct reden voor paniek, het kraken van een lang en fatsoenlijk gehasht wachtwoord kan jaren duren.
11-07-2018, 17:01 door Anoniem
Maar wat als je een accountnaam en wachtwoord op andere wijze kan achterhalen,
zoals wanneer een "lamer" user enumeration aan heeft laten staan bij een Word Press website configuratie.
Shodannetje eroverheen, log-in url-etje gevonden en dan "bingo- pats" binnen zijn zij.

Er is nog zo veel niet algemeen bekende onveiligheid, wat dat aangaat.
Maar inderdaad: "De mens, die vreest het meest door het lijden dat hij vreest en zelden op komt dagen".

En zo is het maar net. Goed implementeren dus en goed configureren.

Doei,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.