FBI deelt 630 miljoen bij verdachte aangetroffen wachtwoorden met HIBP
De FBI heeft 630 miljoen wachtwoorden die het op systemen van een verdachte heeft aangetroffen gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Van de 630 miljoen wachtwoorden waren er 46 miljoen nog niet bij de zoekmachine bekend, zo laat Troy Hunt weten, ontwikkelaar van HIBP. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt.
De dienst biedt daarnaast ook "Pwned Passwords", een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. De afgelopen jaren hebben politiediensten, waaronder de FBI en het Britse National Crime Agency, tientallen miljoenen gevonden wachtwoorden met HIBP gedeeld.
Onlangs ontving Hunt 630 miljoen wachtwoorden van de FBI, gevonden op de apparaten van een verdachte. "De data lijkt afkomstig te zijn van zowel het open web als Tor-gebaseerde marktplaatsen, Telegram-kanalen en infostealer-malware", aldus Hunt. Infostealers zijn malware speciaal ontwikkeld voor het stelen van wachtwoorden en andere inloggegevens. Details over de zaak van de verdachte zijn niet door Hunt gegeven. Hij voegt toe dat van de 630 miljoen ontvangen wachtwoorden er 46 miljoen nog niet in de Pwned Passwords-dataset voorkwamen.
P.S. Ik gebruik HIBP niet en hoop ook dat dat niet voor mij gedaan wordt. Mijn wachtwoorden zijn volledig random en ik verander ze alleen als ik weet van een breach daarvan.
Weet je uberhaubt wel hoe HIBP werkt? Hoe weet je dan dat die breach er is; door netjes van de blauwe ogen van de leverancier af te gaan?
Weet je uberhaubt wel hoe HIBP werkt? Hoe weet je dan dat die breach er is; door netjes van de blauwe ogen van de leverancier af te gaan?
Volgens mij werkt het zo https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/. Maar dan met passwords in plaats van e-mail addresses zoals in het onderwerp van het security.nl artikel staat.
Hoe je er ook naar kijkt, die database van Troy Hunt geeft een aanvaller extra informatie die hij eerder niet had. Stel dat een aanvaller twijfelt tussen wachtwoord "A" en wachtwoord "B". Gooi ze door HIBP en je weet welke het niet is. Waardoor je in een keer in kan loggen in plaats van twee pogingen te doen. Dat is hoe ik het snap.
Voor de politiediensten is HIBP helemaal een geschenk. Het is gewoon een gigantische rainbow table voor 95% van de wachtwoorden op internet. Maar gewone burgers schieten er niets mee op. Ze worden er zelfs minder veilig door.
Ik bedacht mij dat het gewoon een shadow file is. Maar met de shadow file op internet in de cloud van HIBP. Met het verschil dat dit helemaal niet nodig is voor de veiligheid van je account.
Als bijvoorbeeld mijn provider een breach heeft, dan mag ik hopen dat ik dat zie als ik mijn berichten check. En dat ze mij dwingen mijn wachtwoorden te wijzigen. Dit is al een keer gebeurd bij KPN en XS4All en dat was goed geregeld. Troy Hunt kwam er niet aan te pas.
Anoniem 12:52
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?