Verander nu je wachtwoord: 3,3 miljoen Nederlandse wachtwoorden eenvoudig te vinden
VIDEO'SEen grote hoeveelheid e-mailadressen en 3,3 miljoen wachtwoorden van Nederlanders liggen op straat. Ze blijken sinds eind vorig jaar betrekkelijk eenvoudig in te zien in lijsten die online circuleren. Een hacker maakt ze vandaag via een speciale zoekmachine zelfs nog toegankelijker: een 'Google' voor wachtwoorden.
Delen per e-mail
Uit onderzoek van deze krant blijkt dat medewerkers van veel grote Nederlandse (overheids)organisaties en bedrijven massaal in de lijsten voorkomen, waaronder organisaties die vitale functies vervullen. Ook staan er parlementariërs en bekende Nederlanders in de lijst. ,,Schrikken, want deze wachtwoorden gebruikte ik voor andere accounts nog steeds”, zegt ex-Tweede Kamerlid Sharon Gesthuizen.
De gegevens zijn waarschijnlijk afkomstig uit tientallen grote datalekken van de afgelopen jaren. Onder meer van LinkedIn, Dropbox, Playstation, Uber (bij Uber ging het niet om wachtwoorden) en eBay is bekend dat gegevens zijn gelekt, en daarover is al veel gepubliceerd. Maar waar die enorme lijsten eerst vooral in de krochten van het internet en tegen (forse) betaling beschikbaar waren, worden ze nu steeds makkelijker en openbaar beschikbaar.
Video: Openbare zoekmachine voor wachtwoorden: data-analist Thomas Boeschoten legt uit. Tekst gaat verder onder de video.
Variëren helpt nauwelijks
De database die deze krant inzag, bevat in totaal 1,4 miljard e-mailadressen en wachtwoorden uit de hele wereld. Online verschijnen nu ook zoekmachines die dergelijke enorme bestanden zorgwekkend gemakkelijk te doorzoeken maken.
Hoe weet ik of mijn wachtwoord is gelekt?
Op de website haveibeenpwned.com kun je controleren in welke lekken en hacks jouw e-mail voorkomt. Wil je ervoor zorgen dat je gegevens veilig zijn? Op laatjeniethackmaken.nl staan goede tips.
Zelfs als mensen periodiek hun wachtwoord veranderen, is dat vaak een variant van het eerdere wachtwoord
De organisaties die zijn gehackt, zoals LinkedIn, hebben toentertijd allemaal hun gebruikers geïnformeerd over de hacks en de wachtwoorden laten aanpassen. ,,Maar het blijft een gevaar, omdat mensen heel vaak wachtwoorden hergebruiken. Mensen staan op zoveel websites geregistreerd, dat ze vaak geen idee meer hebben hoeveel, vaak met hetzelfde wachtwoord”, zegt Herbert Bos, hoogleraar Systems en Network Security, aan de VU in Amsterdam. ,,Zelfs als je een beetje varieert met de cijfers in je wachtwoord, kunnen kwaadwillenden dat via geautomatiseerde programma’s snel achterhalen. En als mensen je e-mail en een wachtwoord hebben, hebben ze je identiteit.”
Dat houdt in dat criminelen of andere kwaadwillenden accounts kunnen misbruiken door er nog meer persoonlijke informatie uit te halen of er bijvoorbeeld aankopen mee proberen te doen. Op techwebsites melden verschillende reageerders dat onbekenden met hun wachtwoorden hebben ingelogd op bijvoorbeeld wehkamp.nl en daar artikelen hebben besteld, als betaaloptie werd dan voor ‘betalen achteraf’ gekozen.
(Lees verder onder de afbeelding)
Mijn wachtwoord is gelekt! Moet ik me nu zorgen maken?
Veel gelekte wachtwoorden zijn al verouderd. Maar als je je wachtwoord lange tijd niet hebt gewijzigd, of je gebruikt het voor meerdere accounts, dan kan een kwaadwillende mogelijk nog steeds bij je gegevens. Dat gebeurt vaak automatisch door computers massaal gebruikersnamen en wachtwoorden te laten uitproberen. Zo ontdekken hackers waar ze toegang hebben en wat ze ermee kunnen doen. Bijvoorbeeld om via je mail of sociale media spam te versturen. Of ze vragen via jouw sociale media aan je vrienden om geld over te maken naar hun rekeningnummer. Heb je misschien een kopie van je paspoort of creditcardgegevens online opgeslagen? Dan worden die gegevens gebruikt om producten te kopen. Er is zelfs een levendige handel in gestolen creditcardgegevens.
Snel veranderen
Ook het mailadres en wachtwoord van voormalig SP-Tweede Kamerlid Sharon Gesthuizen staat in de lijst. Het gaat om haar Tweede Kamer-mail. ,,Ik schrok dat jullie ze hadden gevonden. Ik gebruikte dat e-mailadres en wachtwoord een paar jaar geleden, niet voor de Tweede Kamer, maar om in te loggen bij LinkedIn. Daar heb ik het inmiddels veranderd”, zegt Gesthuizen. Even later appt ze: ,,Een snelle check leerde dat ik dat oude wachtwoord nog steeds gebruikte voor Europcar, het Rotterdamse filmfestival en een andere (belangrijke!) dienst. Dat ga ik nu dus snel veranderen.”
Ook AD-columniste en publiciste Fidan Ekiz schrok zich rot toen ze hoorde dat haar wachtwoorden online te vinden waren: ,,Je hoort vaak van die verhalen over datalekken, maar je denkt: het loopt wel los. Ik verander sommige wachtwoorden best vaak, maar niet die van slapende accounts.”
Extra pijnlijk is dat veel mensen zichzelf op de sites met hun zakelijke e-mail hebben geregistreerd. Dat houdt in dat er ook talloze mailadressen van bijvoorbeeld de ministeries van Buitenlandse Zaken en Defensie, de kerncentrale in Borssele en het Openbaar Ministerie in de database staan. Het wachtwoord dat daarbij staat, is niet per se het wachtwoord dat die personen gebruiken om op hun werksystemen in te loggen. Maar dat die e-mailadressen op straat liggen, maakt hen extra kwetsbaar.
Hoe kies ik een veilig wachtwoord?
Het is belangrijk om een veilig wachtwoord te kiezen, maar vergeet niet dat zelfs het sterkste wachtwoord vroeg of laat via een hack op straat kan komen te liggen. Neem dus altijd extra maatregelen, zoals tweestapsverificatie.
- Gebruik voor elk platform een ander wachtwoord
- Verander regelmatig van wachtwoord
- Zorg dat een wachtwoord langer is dan acht tekens
- Het kan geen kwaad om wat langere wachtwoorden te gebruiken
- Zet geen herkenbare, makkelijk te raden elementen in het wachtwoord
Inlichtingendiensten waarschuwen ervoor dat pogingen van buitenlandse staten of cybercriminelen om te infiltreren in systemen, steeds vaker via persoonlijke mailadressen plaatsvinden. Ook waarschuwde de dienst recent nog voor spionagepogingen via LinkedIn-connecties. Dat kan makkelijker plaatsvinden als iemands account is gehackt.
Van het ministerie van Defensie staan honderden mailadressen van medewerkers in de database. Het ministerie weet dat er in het verleden gegevens van werknemers in hacks zijn buitgemaakt. ,,We hebben onze werknemers toen met klem verzocht hun wachtwoorden te wijzigen en ze meegegeven dat het niet wenselijk is om defensiegegevens zoals een mailadres te gebruiken voor commerciële accounts, maar verboden is het niet”, zegt een woordvoerder.
Het Nationaal Cyber Security Centrum (NCSC), de overheidsorganisatie die de cruciale, digitale infrastructuur van Nederland in de gaten houdt, zegt dat het verstandig is om voor privédiensten een privé e-mailadres te gebruiken. ,,Het uitlekken van de gegevens zorgt ervoor dat er mogelijk onbedoeld inzicht kan worden verkregen in de medewerkers van een bepaalde organisatie.”
In de lijst staan ook tientallen mailadressen van EPZ, dat de kerncentrale in Borssele exploiteert. Een woordvoerder meldt dat het bedrijf ‘snel op de hoogte was van de hack’ en zijn werknemers heeft geïnformeerd. ,,Bij EPZ inloggen met alleen die gegevens is niet mogelijk.”
Wat is tweestapsverificatie en hoe stel je het in?
Bij tweestapsverificatie moet iemand die wil inloggen niet alleen met een wachtwoord, maar ook met een tweede manier aantonen dat hij mag inloggen. Zo wordt het lastiger om in te breken, zelfs als iemand het wachtwoord weet. Tweestapsverificatie is standaard bij banken. Bij de meeste e-mailproviders of socialemedianetwerken kun je het instellen onder de veiligheidsinstellingen. Je koppelt dan je telefoon aan je account. Als iemand wil inloggen verschijnt er een melding op je telefoon waarop je kunt aangeven dat jij het bent. Google Authenticator is zo’n app.
Het ministerie van Defensie meldt ook dat 'alle medewerkers verplicht zijn om hun defensiewachtwoord periodiek te veranderen, dat gaat door een geautomatiseerd systeem. De kans dat de destijds gehackte gegevens toegang kunnen geven tot defensiesystemen is hierdoor uitgesloten'.
Security-expert Bos heeft daar nog wel een opmerking over: ,,Zelfs als mensen periodiek hun wachtwoord veranderen, is dat vaak een variant van het eerdere wachtwoord: bijvoorbeeld met een 1 erachter. Dat betekent dat het weten van een eerder wachtwoord het voor aanvallers veel makkelijker maakt om de rest van het wachtwoord te raden.”
Hoe werkt een wachtwoordmanager?
Wachtwoordmanagers zijn een virtuele kluis op smartphone, tablet of computer waarin wachtwoorden versleuteld worden bewaard. Zo hoef je niet allemaal verschillende wachtwoorden te onthouden: je logt in met een vingerafdruk of zorgvuldig gekozen 'master password'. Voorbeelden van wachtwoordmanagers zijn 1Password, DashLane, KeePass, LastPass en M-Secure. Het nadeel: als je het ‘master password’ kwijt raakt ben je ook meteen ál je wachtwoorden kwijt!
Hoe kwam dit verhaal tot stand?
Een van de datajournalisten van deze krant, Thomas Boeschoten, zat rechtop in zijn bed toen hij eerder deze week kort na middernacht een berichtje via Twitter kreeg: deze drie wachtwoorden, zijn die van jou? Bingo. Dat waren ze allemaal. Het bericht kwam gelukkig niet van een kwaadwillende, maar van een 'verontruste' hacker - hij noemt zich d0gberry. Enkele seconden later had Boeschoten ook wachtwoorden van zo ongeveer de hele redactie van deze krant, keurig op een lijstje.
De wachtwoorden uit dit verhaal zwerven soms al jaren rond in de krochten van het internet, en zijn dus niet door d0gberry zelf gestolen. We hebben allemaal ooit wel gehoord van hacks (computerinbraak) en lekken, maar toch passen veel mensen hun wachtwoord niet aan, of blijven ze dezelfde wachtwoorden voor verschillende doeleinden gebruiken. We lezen dan dat de gegevens 'op straat liggen', maar waar dan? Maar wie plots oog in oog staat met een lijst met al zijn wachtwoorden, schrikt zich rot. Die ervaring hadden gisteren verschillende collega's van deze krant.
Onze redactie kreeg inzage in de zoekmachine die d0gberry heeft gebouwd. Het is een soort Google voor wachtwoorden. En er zitten angstaanjagend veel gegevens in. Tik bijvoorbeeld mindef.nl, en je krijgt 1368 e-mailadressen van personeel van het ministerie van defensie te zien, met de bijbehorende wachtwoorden.
De boodschap van d0gberry: als ik dit kan, kunnen anderen dit ook. En ze zijn het waarschijnlijk aan het doen. Pas toch regelmatig je wachtwoord aan, en gebruik niet hetzelfde wachtwoord voor verschillende sites. En stel tweestapsverificatie in.
Vanmiddag zet d0gberry zijn zoekmachine online. Daarin kan iedereen opzoeken of zijn gegevens gelekt zijn, en met welk wachtwoord. D0gberry heeft de lijsten in samenspraak met deze krant gecensureerd: alleen de eerste twee tekens van een e-mailadres en de eerste drie van het wachtwoord zijn zichtbaar (maar op deze website delen we de link naar het platform niet). Het gaat d0berry erom dat iedereen nu maatregelen neemt. Want die zijn hard nodig.
Wat doen dieven met mijn wachtwoorden?
Zodra hackers toegang krijgen tot een grote verzameling gebruikersnamen en wachtwoorden, gaan ze onderzoeken waar ze kunnen inloggen. Dat gebeurt vaak automatisch door computers massaal gebruikersnamen en wachtwoorden te laten uitproberen. Zo ontdekken ze waar ze toegang hebben en wat ze ermee kunnen doen. Ze gaan ook gericht op zoek naar individuen: beroemdheden, personen met een belangrijke publieke functie, of mensen die ze willen chanteren of wiens identiteit ze willen stelen. Gelukkig zijn niet alle hackers zo: ethische hackers proberen juist in te breken om aan te tonen dat een systeem niet goed beveiligd is en willen mensen vooral waarschuwen.
Verder in het nieuws
-
grimmige sfeer Carnavalsorganisatie boos op politie na escalatie: 'Onschuldige vrouw met wapenstok geslagen’
De politie heeft vanavond in Oudewater (Utrecht) drie mensen aangehouden tijdens een vechtpartij waarbij tientallen mensen betrokken waren. ,,Blijf weg van de Wijdstraat en volg opdrachten van de politie op”, meldde een woordvoerder aan het begin van de avond op Twitter. -
Auschwitz-museum woest op Bol.com om verkoop 'hatelijke en gruwelijke' naziboeken
Het museum Auschwitz Memorial doet een dringende oproep aan Bol.com en Amazon om per direct te stoppen met de verkoop van ‘hatelijke, gruwelijke en antisemitische boeken’. Omstreden boeken van auteurs zoals oorlogsmisdadigers Heinrich Himmler en Julius Streicher worden verkocht in de webshop van de bedrijven. Bol.com heeft begrip voor de oproep en begrijpt het sentiment, maar laat weten de boeken niet uit de verkoop te halen. -
PREMIUM
Waarom mensen boos worden als moorkop en Zwarte Piet niet meer mogen
Carnaval 2020, die gaan ze op IKC Carrousel niet snel vergeten. De basisschool in Zevenaar werd afgelopen week bedolven onder de nijdige reacties op het plan om ‘carnaval’ voortaan ‘verkleedfeest’ te noemen. Ideetje van de oudervereniging, die carnaval te katholiek vond klinken voor een openbare school die neutraliteit wil uitstralen. -
PREMIUM
Geen regels voor kindvloggers: ‘Bij sommige ouders staan de eurotekens in de ogen’
Ze testen cosmeticaproducten, spelen met speelgoed of maken slijm. Hun video’s worden miljoenen keren bekeken en adverteerders betalen grof geld. Geen wonder dat het aantal kindvloggers met een eigen YouTube-kanaal is geëxplodeerd. Hoewel de regels voor kinderarbeid streng zijn, lijken kindvloggers vrij spel te hebben. En dat is een probleem, vinden experts. ,,Een kind is geen verdienmodel.” -
PREMIUM
Waarom je alles wil weten over André en Bridget die seksen in het flessenhok
André, Bridget én Monique veroorzaakten een nieuwsstorm die een groot deel van het land bezighield. Waarom blijven we ons toch verlekkeren aan het gekonkel van onze BN’ers? Het antwoord: we kunnen er écht weinig aan doen.
-
Carnaval-Tinder: weet jij welke plaats bij welke carnavalsnaam hoort?
Een keer per jaar, tijdens carnaval, veranderen alle plaatsen in Brabant van naam. Weet jij de weg nog te vinden tijdens carnaval? Weet jij welke gemeenten bij welke carnavalsnamen horen? Test het met onze speciale Tinder-quiz. -
PREMIUM
Deze jongens klussen maandenlang aan de mooiste en grootste praalwagen
Als morgen de carnavalsoptocht door het dorp Berghem toetert, hebben de jongeren van De Kwèkers hun mooiste werk geleverd: de grootste praalwagen uit hun bestaan. Vorig jaar vroegen carnavalsbesturen zich nog hardop af of twintigers nog wel willen investeren in de tijdrovende klus. Ja dus. -
Brandgevaar elektrische auto's in parkeergarages: ‘Het is wachten op de eerste ramp’
Elektrische auto's in ondergrondse parkeergarages brengen levensgevaarlijke risico's met zich mee doordat de auto's tijdens het laden in brand kunnen vliegen. ,,Het wachten is op de eerste ramp waarbij een grote kans is op slachtoffers‘’, zegt emeritus hoogleraar Veiligheid en Rampenbestrijding Ben Ale in een reportage van het tv-programma Kassa.
Meest gelezen
-
PREMIUM
Het stikt van de eenzame, mislukte gekken; kijk maar in mijn mailbox
-
PREMIUM
Oud-eigenaar S.E. Fireworks is gebroken man: ‘Wanneer houdt dit op?’
-
Auschwitz-museum woest op Bol.com om verkoop 'hatelijke en gruwelijke' naziboeken
-
PREMIUM
Grote zorgen om jonge vloggers: is hier sprake van kinderarbeid?
-
PREMIUM
Nijmeegse daklozen slapen mogelijk onder een grafsteen: ‘Daar komt ’s nachts niemand, de politie ook niet’
Meest gedeeld
-
PREMIUM
Energienota hoger door warmtepomp en laadpaal
-
Tientallen scholen slaan alarm: heftig geweld en toename wapens leerlingen
-
Voortaan dwangsom van 2500 euro voor ouders van jonge messenbezitters uit Rotterdam
-
PREMIUM
Eigen berekening boerenbelangenclub: ‘Boeren dragen véél minder bij aan stikstof’
-
Protestboeren willen woensdag weer de weg op: verkeershinder lijkt onvermijdelijk
