Verzameling van 226 miljoen gestolen e-mailadressen toegevoegd aan HIBP
Een verzameling van 226 miljoen gestolen e-mailadressen en 40 miljoen wachtwoorden, afkomstig van mogelijk 23.000 gecompromitteerde websites, is aan datalekzoekmachine Have I Been Pwned toegevoegd. De dataverzameling is afkomstig van Cit0day, een inmiddels uit de lucht gehaalde website.
Deze website bood tegen betaling toegang tot gestolen databases met e-mailadressen, gebruikersnamen en plaintext wachtwoorden. Volgens de website beschikte het over 23.000 gestolen databases. Cit0day werd in september door de Amerikaanse autoriteiten offline gehaald, waarna de complete databaseverzameling op allerlei fora en Telegramkanalen verscheen.
Zowel e-mailadressen als wachtwoorden zijn aan Have I Been Pwned toegevoegd, zo laat oprichter en onderzoeker Troy Hunt weten. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 226 miljoen gestolen e-mailadressen was 65 procent al via een ander datalek bij Have I Been Pwned bekend.
Naast het zoeken op gelekte e-mailadressen biedt Have I Been Pwned ook een service genaamd "Pwned Passwords". Dit is een verzameling van wachtwoorden die bij websites zijn gestolen. Gebruikers kunnen op wachtwoorden zoeken of die gecompromitteerd zijn of de volledige verzameling als wachtwoordhash downloaden. De dataverzameling van Cit0day bevatte 40 miljoen wachtwoorden die aan Pwned Passwords zijn toegevoegd. Het gaat om wachtwoorden die plaintext door websites waren opgeslagen of waarvan de hash is gekraakt.
Mijn e-mailadres bleek ook in de dataverzameling van Cit0day te zitten.
De waslijst van gecomprimeerde sites wordt intussen wel groter.
Hij geeft hier namelijk aan dat mijn mailadressen niet voorkomen.
Overigens slecht dat derde partijen toegang hebben tot jouw zoekopdracht. Waaronder dus ook google.
Zo kun je nooit de extracts maken voor je eigen domeinen en zien welke debiel zijn website en database weer niet veilig hadden tesamen met een debiel geinstalleerde plugin die er nooit op had mogen staan.
Nu moet je maar hopen dat de clones op andere websites de juiste data zijn en niet meer informatie bevatten dan alleen usr/pwd.
Zo kun je nooit de extracts maken voor je eigen domeinen en zien welke debiel zijn website en database weer niet veilig hadden tesamen met een debiel geinstalleerde plugin die er nooit op had mogen staan.
Nu moet je maar hopen dat de clones op andere websites de juiste data zijn en niet meer informatie bevatten dan alleen usr/pwd.
Zoek eens een ander lijdend voorwerp op, joh.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.