Honderd miljoen wachtwoorden toegevoegd aan Have I Been Pwned
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn honderd miljoen unieke wachtwoorden toegevoegd, alsmede 71 miljoen e-mailadressen van gecompromitteerde accounts. De inloggegevens werden onder andere door malware buitgemaakt en in een verzamelde dataset op internet aangeboden en gebruikt voor het uitvoeren van credential stuffing-aanvallen, aldus beveiligingsonderzoeker en HIBP-oprichter Troy Hunt.
Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 71 miljoen gecompromitteerde e-mailadressen was een derde nog niet eerder in een bekend datalek voorgekomen. Iets wat volgens Hunt statistisch belangrijk is. "Het is niet de gewone verzameling van opnieuw gebruikte lijsten met een nieuwe strik eromheen die als het volgende belangrijke ding wordt aangeboden. Het is een aanzienlijke hoeveelheid nieuwe data."
Veel lijsten met gestolen inloggegevens die op internet worden aangeboden bestaan uit eerder gedeelde gegevens die opnieuw worden verpakt. In dit geval gaat het om een aanzienlijke hoeveelheid nieuwe data, mede verkregen door malware die inloggegevens op besmette computers kon stelen. De "Naz.API" dataset, zoals de gestolen data wordt genoemd, bestaat uit e-mailadressen en wachtwoorden.
De e-mailadressen zijn aan Have I Been Pwned toegevoegd, de wachtwoorden aan Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Deze dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving.
Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. De honderd miljoen unieke wachtwoorden komen 1,3 miljard keer voor in de verzamelde datalekken, wat volgens Hunt laat zien dat mensen vaak hetzelfde wachtwoord voor meerdere online diensten gebruiken.
Hopelijk gebruikt Dashlane de lijst ook, dan kan ik tenminste zien om welk wachtwoord het gaat...
https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/
De korte versie is necesarry evil to counter bigger evil
Hij geniet samenwerking met alphabet agencies die ook dataset aanleveren als mede europol en interpol.
Als je echt niet je data op die site wilt hebben dan stuur een verwijder verzoek maar het zou stupide zijn gezien de informatie al gelekt is beschikbaar staat door mensen die het misbruiken en dit een van de weinige services is waar je datalek geschiedenis kan bijhouden. Je datalek is niet magisch weg als je je ogen ervoor sluit.
Daar was ik ook benieuwd naar.
https://news.ycombinator.com/item?id=39028122
Ook over de echte NAZ.api lijst.
Interwebz is a scary place sometimes.
Vraag je dat ook aan de hackers die de gegevens stelen?
Daar wordt je ook niet perse wijzer van, ik zie zo snel niet waar ik als persoon zou kunnen achterhalen welke diensten er van mij daadwerkelijk inzitten.
Meestal krijg je dan ook een verzoek om je wachtwoord te wijzigen.
Als je elders ook dat wachtwoord hebt gebruikt, moet je het daar ook doen.
Soms wordt er dan een veiliger inlog gebruikt. Captcha en/of 2FA.
Een mail adres is meestal na een hack twee weken niet te gebruiken.
Via mail doorlinken naar een chat, kan ook onveilig zijn,
Alleen al vanwege de spam, die je later overspoelen kan.
Noch verschaffers noch klanten werken over het algemeen met best policies.
Het kan zoveel beter, maar toch maar lekker de eindgebruiker de schuld in de schoenen schuiven, als het kan.
Ook onze overheid is daar goed in, de echte grootgraaier/data breacher blijft dan meestal buiten schot,
of diens schuld wordt geschiklt en men kan op dezelfde voet vaak verder.
Dat systeem of die usance doorbreek je maar niet zo gauw even een twee drie.
#laufer
Dat is nu precies haveibeenpwnd, of begrijp ik je vraag nu verkeerd? Als je email adres gevonden wordt geeft hij keurig aan in welke datasets dat is gevonden.
Serieus? welke persoonsgegevens dan? Een wachtwoord wat verder nergens aan gekoppeld is behalve aan het feit dat het ergens in buitgemaakt lijkt mij niet dat daar ook maar enige toestemming voor nodig is.
https://news.ycombinator.com/item?id=39028122
Ook over de echte NAZ.api lijst.
Interwebz is a scary place sometimes.
En ook hier https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale/
https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/
De korte versie is necesarry evil to counter bigger evil
Hij geniet samenwerking met alphabet agencies die ook dataset aanleveren als mede europol en interpol.
- Aan heling te doen (gestolen goederen te verkrijgen)
- Die gesloten data te verwerken zonder toestemming van de gebruiker
- Daar commercieel aan mee te cashen
Als je echt niet je data op die site wilt hebben dan stuur een verwijder verzoek maar het zou stupide zijn gezien de informatie al gelekt is beschikbaar staat door mensen die het misbruiken en dit een van de weinige services is waar je datalek geschiedenis kan bijhouden. Je datalek is niet magisch weg als je je ogen ervoor sluit.
Dat is nu precies haveibeenpwnd, of begrijp ik je vraag nu verkeerd? Als je email adres gevonden wordt geeft hij keurig aan in welke datasets dat is gevonden.
Bij een normale breach wel, maar niet bij zo'n collectie breach als dit. Ik heb geen idee uit welke originele bron deze collectie is gemaakt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.