Datalekzoekmachine Have I Been Pwned bestaat 10 jaar: 12,8 miljard 'pwned' accounts
Precies tien jaar geleden lanceerde de Australische beveiligingsonderzoeker Troy Hunt de zoekmachine Have I Been Pwned, waarmee gebruikers kunnen kijken of hun e-mailadres in een bekend datalek voorkomt. Sindsdien bevat de zoekmachine e-mailadressen van 12,8 miljard 'pwned' accounts, afkomstig van 731 gecompromitteerde websites en verzamelde datasets. Hunt ontvangt e-mailadressen en wachtwoordhashes die bij deze websites zijn gestolen en voegt die toe aan zijn zoekmachine.
Deze gegevens worden soms ook door opsporingsdiensten verstrekt, die slachtoffers van datalekken naar de zoekmachine verwijzen. Recentelijk deed de FBI dit met gegevens van slachtoffers van de Genesis Market, een online marktplaats die op grote schaal in gestolen persoonsgegevens handelde. Het Nederlandse Openbaar Ministerie wilde dit niet doen en besloot een eigen online check te maken waarmee mensen kunnen kijken of ze van de Genesis Market slachtoffer zijn geworden.
"Internationaal wordt bij dit soort datadiefstallen standaard doorverwezen naar de website Have I Been Pwnd. Dat is een private Australische website waar de FBI ook in dit onderzoek hun onderzoeksdata aan heeft verstrekt. Wij hebben ervoor gekozen om zelf de regie te houden", zo stelde Ruben van Well, teamleider van het cybercrimeteam van de politie Rotterdam, eerder dit jaar. De Nederlandse overheid maakt echter zelf wel gebruik van Have I Been Pwned. Zo wordt er actief gekeken of er geen e-mailadressen van overheidsdomeinen in bekende datalekken voorkomen.
Een aantal jaren geleden had Hunt nog gekeken of hij de zoekmachine kon verkopen, maar dat ging niet door. Recentelijk kondigde de onderzoeker verschillende abonnementen aan voor het monitoren van domeinen via Have I Been Pwned. Inmiddels werken er meerdere personen voor de zoekmachine.
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Die vraag stel je aan jezelf hopelijk? Er zijn al genoeg systemen die dit standaard aanbieden. Per account/leverancier een ander email adres.
Die vraag stel je aan jezelf hopelijk? Er zijn al genoeg systemen die dit standaard aanbieden. Per account/leverancier een ander email adres.
Haha! Ja, inderdaad! Ik vroeg het aan mezelf, er zijn inderdaad veel diensten die het standaard aanbieden, heel fijn.
Ik heb alleen zelf nooit ingesteld, had ik veel eerder moeten doen.
Wow. Wat een domme opmerking.
Grootschalige emailadressen lekken zijn voornamelijk bij bedrijven, dat is precies wat deze website ook inzichtelijk gemaakt. LinkedIN is een mooi voorbeeld. Hint: dat draait niet op een windows desktop.
En dan zijn er nog de lijsten van de honderden of duizenden malafide bedrijfjes die data verhandelen van iedereen die in candy crush of wordfeud leuk even hun email intypen omdat ze dan gratis 2 zetten krijgen.
En dan maar verbaasd zijn dat je een spam allende binnenkrijgt...
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Nou uhh nee.
Mailadressen worden verzameld uit inloggegevens die lekken voornamelijk bij websites, databases en bedrijven die hun security niet op orde hebben.
niet slachtoffer was.
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Nee, het was geen Windows-fout in mijn geval, ik gebruik geen Windows OS, ik gebruik LMDE6 (GNU+Linux) en heb daarop geen E-Mail client, de E-Mail (Protonmail) gebruik ik extern via de website (gebruik het niet vaak, heb voor correspondentie Molly/Signal en Briar) icm. Keepass en een Yubikey voor 2FA.
Vaak log ik in via de website met mijn telefoon, dit is een Pixel 6a met GrapheneOS, ik draai alleen veilige transparante FOSS en geen Google Play Services, het lag dus niet aan het besturingsysteem of één of andere spyware, mijn apparaten zijn wel veilig.
Ik heb verder niks van het lekken gemerkt via mijn E-Mails en dergelijke, wel weet ik dat het mijn ISP was aangezien zij me een brief daarover hadden gestuurd en ik had mijn E-Mail adres inderdaad aangemeld bij deze ISP. (Delta)
Het was al een tijdje geleden.
Het kan letterlijk de beste overkomen en het was totaal buiten mijn schuld om, maar het zijn inderdaad meestal externe bedrijven die dit lekken, ook mijn woningbouwvereniging heeft ooit mijn gegevens gelekt, niet echt handig vandaar dat ik mijn BSN nummer en andere informatie op mijn ID-kaart altijd zwart maak op kopieën, dus de schade is beperkt gebleven, wel moet men altijd alert blijven op oa. phishingmails aangezien deze ook zonder datalek kunnen ontvangen worden.
Als iemand zelf geen spyware op zijn of haar computer heeft kan het zijn dat een E-Mail contact dat wel heeft, (ooms, zussen, etc) en ook op de PC van diegene staan ook uw contactgegevens, op deze manier kan het ook evt. lekken.
Of heeft hij, zoals het volgens mij hoort onder de AVG, aan iedereen netjes gevraagd of de persoonsgegevens in zijn database opgenomen mogen worden?
Hoe dan ook vraag ik soms de email adressen van familieleden op, vaak zijn het de mensen die het minst vaardig zijn met computers of het minst privacybewust die de dupe zijn van een databreuk, al kan het iedereen gebeuren.
Mijn E-Mail adres was een keer gelekt nadat mijn ISP dat ooit gelekt heeft, volledig buiten mijn schuld om, misschien wordt het tijd voor een E-Mail alias?
Nou uhh nee.
Mailadressen worden verzameld uit inloggegevens die lekken voornamelijk bij websites, databases en bedrijven die hun security niet op orde hebben.
Ik ben niet de originele poster, maar Windows kan inderdaad óók spyware bevatten en E-Mail adressen lekken, maar het zijn voor het meerendeel inderdaad bedrijven (oa. webshops en dergelijke) die onzorgvuldig omgaan met de metadata hun klanten, maar het was geen domme opmerking ofzo, integendeel, Windows is wat desktops betreft wel een beetje de koploper wanneer het gaat om spyware, computervirussen en dergelijke.
Voor degenen die nooit de Have I Been Pwned website hebben bezocht / getest, het is niet zo dat je de complete database kan bekijken. De houder van een domeinnaam kan een verzoek doen om een lijst van e-mailadressen op dat domein te zien met de bron van het lek, maar dan wordt er bijv. een e-mail gestuurd naar een (technisch) admin e-mailadres met een link die je gedurende korte tijd (10 minuten of zoiets, meen ik te herinneren) kan gebruiken.
Ook is het mogelijk om een seintje te krijgen wanneer een e-mailadres in een nieuw lek voorkomt. Grote / belangrijke organisaties kunnen best wel wat geld over hebben voor deze dienstverlening. En als dat voldoende is zodat Troy Hunt er niet geld op verliest of de enige (prive) persoon is die er wat mee kan, het zij zo.
Wow. Wat een domme opmerking.
Grootschalige emailadressen lekken zijn voornamelijk bij bedrijven, dat is precies wat deze website ook inzichtelijk gemaakt. LinkedIN is een mooi voorbeeld. Hint: dat draait niet op een windows desktop.
En dan zijn er nog de lijsten van de honderden of duizenden malafide bedrijfjes die data verhandelen van iedereen die in candy crush of wordfeud leuk even hun email intypen omdat ze dan gratis 2 zetten krijgen.
En dan maar verbaasd zijn dat je een spam allende binnenkrijgt...
Ik vind het jammer en watvresoectloos om zo te reageren.
Waarom niet gewoon als uitleg Uw mening of als uitleg als U deskundig bent wat uitleg en achtergrond informatie geven?
Dan laat U de ander wat in zijn/ haar waarde.
Hij/ zij reageert toch met zijn/ haar beste weten?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.