Volledig scherm
© AD

Zoekmachine met 3,3 miljoen Nederlandse wachtwoorden massaal geraadpleegd

De veelbesproken zoekmachine voor wachtwoorden gotcha.pw, die vorige week werd aangekondigd in deze krant, staat sinds donderdagmiddag online. Na een paar uur waren er al 8 miljoen zoekopdrachten uitgevoerd. 

Iedereen kan in de zoekmachine controleren of zijn of haar wachtwoord gelekt is. De e-mailadressen en wachtwoorden zijn wel gedeeltelijk afgeschermd, zodat ze voor de eigenaar wel herkenbaar zijn maar niet misbruikt kunnen worden door kwaadwillenden.

De zoekmachine heeft al eerder kort online gestaan, maar toen de link uitlekte via journalisten besloot programmeur D0gberry om de zoekfunctie weer uit te schakelen. Hij vreesde voor juridische gevolgen. Die vrees is nu weggenomen. 1,4 miljard wachtwoorden waarvan minstens 3,3 miljoen Nederlandse staan in de database. Als je die opzoekt in de zoekmachine, krijg je alleen een deel van het e-mailadres en de eerste twee tekens van een wachtwoord te zien.

Om wat voor wachtwoorden gaat het?
De gegevens zijn waarschijnlijk afkomstig uit tientallen grote datalekken van de afgelopen jaren. Onder meer van LinkedIn, Dropbox, Playstation en eBay is bekend dat gegevens zijn gelekt, en daarover is al veel gepubliceerd. Het zijn vaak verouderde wachtwoorden die mensen voor sociale media en online diensten gebruiken, en dus niet noodzakelijk voor hun e-mailadres zelf. Toch is bekend dat veel mensen dezelfde wachtwoorden voor verschillende platformen gebruiken. Iedereen wordt dan ook aangeraden om hun wachtwoord te wijzigen en verdere maatregelen te nemen, zoals tweestapsverficatie. Onderaan dit artikel staan volop tips om jezelf beter te beschermen.

Quote

De rest van de wereld heeft nog wel een wa­ke-up­call nodig

Tipgever D0gberry

ICT-jurist Arnoud Engelfriet kan geen reden bedenken waarom deze zoekmachine, in haar huidige vorm, de Nederlandse wet overtreedt: ,,Je moet de privacy waarborgen, en dat is hier het geval omdat slechts de helft van een e-mailadres en twee tekens van het wachtwoord getoond worden. Daarmee is het tevens niet strafbaar: dat zou het pas zijn als gehele wachtwoorden werden getoond. Om het helemaal netjes te doen, moet de werkelijke database wel zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk.'' Dat kan bijvoorbeeld door alléén de eerste twee tekens van een wachtwoord, en niet het hele wachtwoord, op internet op te slaan.

Volledig scherm
Screenshot van de 'Google voor wachtwoorden'. Op de zoekterm belastingdienst.nl in de database worden 317 emailadressen getoond met hun wachtwoord. © AD
Quote

Ik zou het ook prettig vinden om te weten dat iemand anders mijn wachtwoord aan het opzoeken was

Tipgever D0gberry

Toen de zoekmachine vrijdag online stond, waren de servers al snel overbelast. ,,Het draaide op een server van 10 dollar, dus die crashte toen er afgelopen vrijdag plots 1,3 miljoen zoekvragen op werden gedaan'', vertelt D0gberry aan deze krant. Na de publicatie die door ruim een miljoen mensen werd gelezen op AD.nl, zochten Nederlanders massaal via Google naar tips voor bijvoorbeeld tweestapsverificatie en sterke wachtwoorden. Een website met tips voor internetveiligheid, laatjeniethackmaken.nl, werd sinds vrijdag door ruim 350.000 mensen geraadpleegd.

D0gberry is nog niet klaar met wat hij zijn ‘internetveiligheidscampagne’ noemt. ,,In Nederland was het een enorm succes, maar de rest van de wereld heeft nog wel een wake-upcall nodig’’, licht D0gberry zijn beweegredenen toe. ,,Nog steeds zijn er te veel mensen vatbaar voor misbruik. Hun identiteit wordt gestolen, op hun naam worden aankopen gedaan of spam verstuurd en soms kunnen mensen gechanteerd worden. Maar mensen ondernemen vaak pas actie als ze al te laat zijn. Daarom laat ik ze met mijn zoekmachine letterlijk (een deel van) hun wachtwoord zien. Daar kan een kwaadwillende niks mee, maar wie zijn eigen wachtwoord herkent zal wel gewaarschuwd zijn. Daarna veranderen ze pas iets!''

Iedereen wiens e-mailadres in de zoekmachine is opgezocht, ontvangt binnenkort een waarschuwingsbericht. ,,Het is natuurlijk prima als iemand zijn eigen e-mailadres opzoekt, maar zelf zou ik het ook prettig vinden om te weten dat iemand anders interesse heeft in mijn gegevens’’, vertelt D0gberry. 

Vandaag lanceert D0gberry zijn zoekmachine naast Nederland ook in België en binnenkort in Duitsland. 

Wil je nu aan de slag met je digitale veiligheid? Onder de video staan verschillende tips.

Hoe weet ik of mijn wachtwoord is gelekt?
Op de websites gotcha.pw en haveibeenpwned.com kun je controleren in welke lekken en hacks jouw e-mail voorkomt. Wil je ervoor zorgen dat je gegevens veilig zijn? Op laatjeniethackmaken.nl staan goede tips.

Mijn wachtwoord is gelekt! Moet ik me nu zorgen maken?
Veel gelekte wachtwoorden zijn al verouderd. Maar als je je wachtwoord lange tijd niet hebt gewijzigd, of je gebruikt het voor meerdere accounts, dan kan een kwaadwillende mogelijk nog steeds bij je gegevens. Dat gebeurt vaak automatisch door computers massaal gebruikersnamen en wachtwoorden te laten uitproberen. Zo ontdekken hackers waar ze toegang hebben en wat ze ermee kunnen doen. Bijvoorbeeld om via je mail of sociale media spam te versturen. Of ze vragen via jouw sociale media aan je vrienden om geld over te maken naar hun rekeningnummer. Heb je misschien een kopie van je paspoort of creditcardgegevens online opgeslagen? Dan worden die gegevens gebruikt om producten te kopen. Er is zelfs een levendige handel in gestolen creditcardgegevens.

Hoe kies ik een veilig wachtwoord?
Het is belangrijk om een veilig wachtwoord te kiezen, maar vergeet niet dat zelfs het sterkste wachtwoord vroeg of laat via een hack op straat kan komen te liggen. Neem dus altijd extra maatregelen, zoals tweestapsverificatie.

- Gebruik voor elk platform een ander wachtwoord

- Verander regelmatig van wachtwoord

- Zorg dat een wachtwoord langer is dan acht tekens, of gebruik een wachtwoordzin (een zin die je eenvoudig kunt onthouden)

- Het kan geen kwaad om wat langere wachtwoorden te gebruiken

- Zet geen herkenbare, makkelijk te raden elementen in het wachtwoord

Wat is tweestapsverificatie en hoe stel je het in?
Bij tweestapsverificatie moet iemand die wil inloggen niet alleen met een wachtwoord, maar ook met een tweede manier aantonen dat hij mag inloggen. Zo wordt het lastiger om in te breken, zelfs als iemand het wachtwoord weet. Tweestapsverificatie is standaard bij banken. Bij de meeste e-mailproviders of socialemedianetwerken kun je het instellen onder de veiligheidsinstellingen. Je koppelt dan je telefoon aan je account. Als iemand wil inloggen verschijnt er een melding op je telefoon waarop je kunt aangeven dat jij het bent. Google Authenticator is zo’n app.

Hoe werkt een wachtwoordmanager?
Wachtwoordmanagers zijn een virtuele kluis op smartphone, tablet of computer waarin wachtwoorden versleuteld worden bewaard. Zo hoef je niet allemaal verschillende wachtwoorden te onthouden: je logt in met een vingerafdruk of zorgvuldig gekozen 'master password'. Voorbeelden van wachtwoordmanagers zijn 1Password, DashLane, KeePass, LastPass en M-Secure. Het nadeel: als je het ‘master password’ kwijt raakt ben je ook meteen ál je wachtwoorden kwijt!

Wat doen dieven met mijn wachtwoorden?
Zodra hackers toegang krijgen tot een grote verzameling gebruikersnamen en wachtwoorden, gaan ze onderzoeken waar ze kunnen inloggen. Dat gebeurt vaak automatisch door computers massaal gebruikersnamen en wachtwoorden te laten uitproberen. Zo ontdekken ze waar ze toegang hebben en wat ze ermee kunnen doen. Ze gaan ook gericht op zoek naar individuen: beroemdheden, personen met een belangrijke publieke functie, of mensen die ze willen chanteren of wiens identiteit ze willen stelen. Gelukkig zijn niet alle hackers zo: ethische hackers proberen juist in te breken om aan te tonen dat een systeem niet goed beveiligd is en willen mensen vooral waarschuwen.