Hacker deelt wachtwoorden 3,3 mln. Nederlanders

30 maart 2018

De wachtwoorden van ongeveer 3,3 miljoen Nederlanders liggen op straat. Het gaat om wachtwoorden van onder meer politici, bekende Nederlanders, medewerkers van banken en personeel van Defensie en de exploitant van kerncentrale Borssele. Vanmiddag publiceert een hacker, die bij het Algemeen Dagblad aan de bel trok, een zoekmachine. Daarin kan op basis van een e-mailadres gecontroleerd worden of het wachtwoord is gekraakt.

Uit het artikel in het AD blijkt dat medewerkers van veel grote Nederlandse (overheids)organisaties en bedrijven massaal in de lijsten voorkomen. 'De gegevens zijn waarschijnlijk afkomstig uit tientallen grote datalekken van de afgelopen jaren. Onder meer bij LinkedIn, Dropbox, Playstation, Uber en eBay is bekend dat gegevens zijn gelekt, en daarover is al veel gepubliceerd', schrijft AD.

Het gaat vermoedelijk om lijsten die eerder op het darkweb circuleerden en alleen tegen betaling beschikbaar waren. De database die de krant inzag, bevat in totaal 1,4 miljard mailadressen en wachtwoorden van mensen uit verschillende landen.

In de lijst staan ook tientallen mailadressen van EPZ, exploitant van de kerncentrale in Borssele. Een woordvoerder meldt aan AD dat het bedrijf ‘snel op de hoogte was van de hack’ en zijn werknemers heeft geïnformeerd en dat inloggen met alleen die gegevens niet mogelijk is.

Zoekmachine hacker d0gberry

De hacker die de gegevens van de 3,3 miljoen Nederlander openbaarde, noemt zich d0gberry. Hij of zij meldde zich bij AD-redacteur Thomas Boeschoten. Die meldt: 'Onze redactie kreeg inzage in de zoekmachine die d0gberry heeft gebouwd. Het is een soort Google voor wachtwoorden. En er zitten angstaanjagend veel gegevens in. Tik bijvoorbeeld mindef.nl, en je krijgt 1368 e-mailadressen van personeel van het ministerie van Defensie te zien, met de bijbehorende wachtwoorden.'

In een opsomming deelt de krant dat in de lijst ruim vijfduizend wachtwoorden en mailadressen voorkomen van Rabobank en ING. Ook UWV, Rijkswaterstaat het ministerie van Defensie worden genoemd. Ook blijken verschillende universiteiten en onderwijsinstellingen en media de klos te zijn. 

Volgens Boeschoten wil d0gberry laten zien hoe eenvoudig het is om achter gekraakte wachtwoorden te komen. Vanmiddag zet d0gberry zijn zoekmachine online. Daarin kan iedereen opzoeken of zijn gegevens gelekt zijn, en met welk wachtwoord. 

Dat gebeurt overigens niet op de website van het AD. Boeschoten: 'Wij willen wel berichten over een misstand als schending van privacy, maar niet het platform bieden waarop dit gebeurt. Op aandringen van ons heeft d0gberry zijn lijsten gecensureerd: alleen de eerste twee tekens van een e-mailadres en de eerste drie van het wachtwoord zijn zichtbaar.'

Uber

Uber laat in een reactie op het artikel in AD en Computable weten dat bij hen geen wachtwoorden zijn gelekt. Het gaat om andere gegevens. 

Eind 2017 reageerde het bedrijf op een incident uit 2016, dat aanvankelijk stil werd gehouden, waarbij de gegevens van 57 miljoen gebruikers wereldwijd, waaronder namen, emailadressen en mobiele telefoonnummers werden buitgemaakt.

https://www.computable.nl/artikel/nieuws/security/6329745/250449/hacker-deelt-wachtwoorden-van-33-mln-nederlanders.htm