Een half miljoen wachtwoorden die politie en andere opsporingsdiensten aantroffen bij een operatie tegen het SocGholish-botnet, alsmede 154.000 e-mailadressen van gecompromitteerde accounts, zijn gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Daarnaast gaat het Dutch Institute for Vulnerability Disclosure (DIVD) slachtoffers van het botnet en de malware die het verspreidde informeren, waarvoor het ook informatie gebruikt die het van de autoriteiten ontving.

Het SocGholish-botnet infecteerde WordPress-sites en voorzag die van malafide code. Deze code liet bij bezoekers van de gehackte WordPress-sites een melding zien dat ze hun browser moesten updaten. De aangeboden 'update' was in werkelijkheid infostealer-malware die allerlei inloggegevens van de getroffen bezoeker buitmaakte. Bij de operatie werden meer dan honderd servers en domeinnamen die het botnet gebruikte offline gehaald. Daarbij kreeg de politie ook toegang tot gestolen wachtwoorden en e-mailadressen van gecompromitteerde accounts. De autoriteiten hebben meer dan een half miljoen niet eerder geziene wachtwoorden met HIBP gedeeld, alsmede 154.000 e-mailadressen.

Via Have I Been Pwned kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de 154.000 e-mailadressen was 86 procent al via een ander datalek bij de zoekmachine bekend. Naast de zoekmachine voor gecompromitteerde e-mailadressen biedt HIBP ook een dienst genaamd "Pwned Passwords". Dit is een verzameling van wachtwoorden en wachtwoordhashes die in datalekken voorkomen. Beheerders kunnen bijvoorbeeld via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun omgeving.

Informeren van slachtoffers

Het Dutch Institute for Vulnerability Disclosure (DIVD) meldt dat het slachtoffers van het botnet en de malware die het verspreidde gaat informeren. De organisatie ontving van de autoriteiten twee datasets. Een dataset met e-mailadressen van slachtoffers van de infostealer-malware die SocGholish verspreidde, alsmede een dataset met de gehackte WordPress-sites die voor de verspreiding van de malware werden gebruikt. Bij het informeren van slachtoffers zal het DIVD ook een aantal karakters van het gestolen wachtwoord vermelden. De organisatie merkt op dat het van de autoriteiten niet het volledige wachtwoord heeft ontvangen, maar slechts een gedeelte daarvan. Het DIVD laat daarnaast weten dat het een gerechtvaardigd belang heeft om de data te verwerken en zo slachtoffers te informeren.