Datalekzoekmachine Have I Been Pwned heeft 2 miljard gecompromitteerde e-mailadressen en 1,3 miljard gestolen wachtwoorden aan de al beschikbare data toegevoegd, zo laat oprichter Troy Hunt weten. Het gaat om inloggegevens afkomstig van credential stuffing-lijsten, die werden verzameld en gedeeld door een cybersecuritybedrijf.

Bij credential stuffing worden eerder gelekte of gestolen e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven geen maatregelen tegen dergelijke geautomatiseerde aanvallen nemen.

Cybersecuritybedrijf Synthient vond op internet meerdere lijsten die criminelen voor het uitvoeren van credential stuffing-aanvallen gebruiken. Het bedrijf deelde de lijsten met Have I Been Pwned. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt of op andere wijze is gecompromitteerd, bijvoorbeeld door malware. In totaal bleken de lijsten bijna 2 miljard gecompromitteerde e-mailaccounts te bevatten en 1,3 miljard gestolen wachtwoorden.

De bijna 2 miljard e-mailadressen zijn toegevoegd aan Have I Been Pwned. 76 procent van de e-mailadressen was al bij de datalekzoekmachine bekend. Naast de zoekmachine biedt Have I Been Pwned ook een dataset genaamd Pwned Passwords. Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. Van de 1,3 miljard gestolen wachtwoorden waren er 625 miljoen nog niet bekend.