FBI deelt 630 miljoen bij verdachte aangetroffen wachtwoorden met HIBP
De FBI heeft 630 miljoen wachtwoorden die het op systemen van een verdachte heeft aangetroffen gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Van de 630 miljoen wachtwoorden waren er 46 miljoen nog niet bij de zoekmachine bekend, zo laat Troy Hunt weten, ontwikkelaar van HIBP. Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt.
De dienst biedt daarnaast ook "Pwned Passwords", een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving. De afgelopen jaren hebben politiediensten, waaronder de FBI en het Britse National Crime Agency, tientallen miljoenen gevonden wachtwoorden met HIBP gedeeld.
Onlangs ontving Hunt 630 miljoen wachtwoorden van de FBI, gevonden op de apparaten van een verdachte. "De data lijkt afkomstig te zijn van zowel het open web als Tor-gebaseerde marktplaatsen, Telegram-kanalen en infostealer-malware", aldus Hunt. Infostealers zijn malware speciaal ontwikkeld voor het stelen van wachtwoorden en andere inloggegevens. Details over de zaak van de verdachte zijn niet door Hunt gegeven. Hij voegt toe dat van de 630 miljoen ontvangen wachtwoorden er 46 miljoen nog niet in de Pwned Passwords-dataset voorkwamen.
P.S. Ik gebruik HIBP niet en hoop ook dat dat niet voor mij gedaan wordt. Mijn wachtwoorden zijn volledig random en ik verander ze alleen als ik weet van een breach daarvan.
Weet je uberhaubt wel hoe HIBP werkt? Hoe weet je dan dat die breach er is; door netjes van de blauwe ogen van de leverancier af te gaan?
Weet je uberhaubt wel hoe HIBP werkt? Hoe weet je dan dat die breach er is; door netjes van de blauwe ogen van de leverancier af te gaan?
Volgens mij werkt het zo https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/. Maar dan met passwords in plaats van e-mail addresses zoals in het onderwerp van het security.nl artikel staat.
Hoe je er ook naar kijkt, die database van Troy Hunt geeft een aanvaller extra informatie die hij eerder niet had. Stel dat een aanvaller twijfelt tussen wachtwoord "A" en wachtwoord "B". Gooi ze door HIBP en je weet welke het niet is. Waardoor je in een keer in kan loggen in plaats van twee pogingen te doen. Dat is hoe ik het snap.
Voor de politiediensten is HIBP helemaal een geschenk. Het is gewoon een gigantische rainbow table voor 95% van de wachtwoorden op internet. Maar gewone burgers schieten er niets mee op. Ze worden er zelfs minder veilig door.
Ik bedacht mij dat het gewoon een shadow file is. Maar met de shadow file op internet in de cloud van HIBP. Met het verschil dat dit helemaal niet nodig is voor de veiligheid van je account.
Als bijvoorbeeld mijn provider een breach heeft, dan mag ik hopen dat ik dat zie als ik mijn berichten check. En dat ze mij dwingen mijn wachtwoorden te wijzigen. Dit is al een keer gebeurd bij KPN en XS4All en dat was goed geregeld. Troy Hunt kwam er niet aan te pas.
Anoniem 12:52
Weet je uberhaubt wel hoe HIBP werkt? Hoe weet je dan dat die breach er is; door netjes van de blauwe ogen van de leverancier af te gaan?
Volgens mij werkt het zo https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/. Maar dan met passwords in plaats van e-mail addresses zoals in het onderwerp van het security.nl artikel staat.
Hoe je er ook naar kijkt, die database van Troy Hunt geeft een aanvaller extra informatie die hij eerder niet had. Stel dat een aanvaller twijfelt tussen wachtwoord "A" en wachtwoord "B". Gooi ze door HIBP en je weet welke het niet is. Waardoor je in een keer in kan loggen in plaats van twee pogingen te doen. Dat is hoe ik het snap.
Voor de politiediensten is HIBP helemaal een geschenk. Het is gewoon een gigantische rainbow table voor 95% van de wachtwoorden op internet. Maar gewone burgers schieten er niets mee op. Ze worden er zelfs minder veilig door.
Ik bedacht mij dat het gewoon een shadow file is. Maar met de shadow file op internet in de cloud van HIBP. Met het verschil dat dit helemaal niet nodig is voor de veiligheid van je account.
Als bijvoorbeeld mijn provider een breach heeft, dan mag ik hopen dat ik dat zie als ik mijn berichten check. En dat ze mij dwingen mijn wachtwoorden te wijzigen. Dit is al een keer gebeurd bij KPN en XS4All en dat was goed geregeld. Troy Hunt kwam er niet aan te pas.
Anoniem 12:52
Je snapt dus duidelijk niet hoe het werkt. Om te beginnen is dit data die al bij aanvallers bekend is (het komt immers uit datalekken voort; en wie zit er achter datalekken?)
Daarbij doe je ook de onjuiste aanname dat er binnen HIBP een relatie is tussen gebruikersnaam en wachtwoord; en dat is er niet. Wat je kan doen met het datalake van wachtwoorden binnen HIBP is kijken of het wachtwoord wat jij hebt bedacht; gegenereerd of vanaf je geboorte al gebruikt voorkomt in algemeen in roulatie zijnde wachtwoorden bestanden. Daar wordt jij mee geholpen omdat je daardoor rekening kan houden dat je misschien een ander wachtwoord moet gebruiken omdat hij voorkomt in gebruikte lijsten en daarmee JUIST gebruikt wordt bij brute force aanvallen.
Hetzelfde ook voor een email adres. En daar krijg je andersom de informatie: dus het emailadres is gelekt bij Adobe, Pornhub of wat voor datalek dan ook.
Maar nognmaals: er is geen correlatie tussen emailadressen en wachtwoorden.
Door te zeggen dat jij er geen gebruik van maakt (prima, eigen keuze) heb je misschien wel een enorme blindspot over datalekken waarin jou emailadres is gelekt; of of wachtwoorden die jij gebruikt niet voorkomen in password files.
Door te zeggen dat jij er geen gebruik van maakt (prima, eigen keuze) heb je misschien wel een enorme blindspot over datalekken waarin jou emailadres is gelekt; of of wachtwoorden die jij gebruikt niet voorkomen in password files.
Bedankt voor de uitgebreide reactie. Ik heb de site van HIBP nooit bezocht (bewust). Omdat ik het niet wil promoten.
Er is wel een correlatie tussen emailadressen en wachtwoorden want wat als er een nieuwe hashfunctie komt (SHA4)? Dan moeten alle hashes opnieuw berekend worden voor de API van HIBP. Dus ergens zijn de ongehashte emailadressen en wachtwoorden beschikbaar. Hopelijk offline, maar het is een hoop data dus misschien ook in de cloud.
Mijn grote bezwaar in het voorbeeld van Mozilla is dat de hexstring '567159' mijn computer verlaat. Als een aanvaller die string in handen krijgt, kan hij 2^24 - 1 van de 2^24 resultaten uitsluiten voor je wachtwoord of je emailadres.
Verder denk ik dat er een aparte API is voor politiediensten. Hoe veilig is deze API als er miljoenen agenten over de wereld gebruik van kunnen maken? Ik heb liever dat de hele database er niet is. Ik ben niet overtuigd dat het wat toevoegt als je random wachtwoorden genereert zoals ik.
Anoniem 12:52
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?