16.000.000.000 wachtwoorden gelekt.

quote:

Op vrijdag 20 juni 2025 09:39 schreef Marsenal het volgende:
Ik gebruik iets van 20 wachtwoorden ofzo, heb helemaal geen zin om deze te wijzigen. Is er ergens extra bevestiging van dit bericht?

Ik ga ook niet al mijn pws vervangen, maar wel de belangrijke. Is sowieso goed om eens in de zoveel tijd te doen.

Shit, daar gaat m'n 1234

quote:

Op donderdag 19 juni 2025 19:06 schreef bondage het volgende:

[..]

Ik las in de bron iets over infostealers dus lijkt via malware op de devices van gebruikers buitgemaakt te zijn en niet bij de bedrijven zelf.

Geen enkel bedrijf slaat de wachtwoorden op, ze slaan alleen de hashes op. En van een hash kun je geen wachtwoord terug halen.

Alla, als er een te kleine hash werd gebruikt kun je met brute force nog wachtwoorden terug berekenen. Maar niet 16 miljard, daar zijn computers te langzaam voor, en quantum computers nog veel te duur en slecht verkrijgbaar voor.

Dus moeten die wachtwoorden client-side zijn opgepikt, de letters die iemand intikt, ergens met behulp van een man-in-the-middle attack.

Wat uiterst belangrijk in dit verhaal is (maar wat niet verteld wordt), is welke web browser hier voor verantwoordelijk is geweest.

quote:

Op vrijdag 20 juni 2025 09:39 schreef Marsenal het volgende:
Ik gebruik iets van 20 wachtwoorden ofzo, heb helemaal geen zin om deze te wijzigen. Is er ergens extra bevestiging van dit bericht?

Wat mensen niet beseffen is dat het helemaal niet zo hoeft te zijn dat er 16 miljard wachtwoorden gestolen zijn, en dat er helemaal geen datalek was.

Wat wel kan zijn is dat juist in de afgelopen dagen heel veel computers onwetend geïnfecteerd zijn met malware dat in staat is om passwords af te vangen. En dat die malware een half uur voor dit bericht gepubliceerd werd is geactiveerd. Waardoor miljoenen mensen nu snel hun password gaan aanpassen. En de malwareontwikkelaars JUIST nu alle nieuwe passwords van al die mensen aan het afvangen is. Dan is juist iedereen die zijn password naar aanleiding van dit bericht verandert de l*l.

Ook een belangrijke overweging om te maken...

Je kan niet wantrouwig genoeg zijn, als je het over beveiliging van je persoonsgegevens hebt.

Ik zie nog steeds niets op Tweakers of zo.

Er is ook helemaal niet zo veel haast bij om je passwords te gaan vervangen als dat het zou lijken. Denk eens over het getal 16 miljard na. Hoe lang gaat het duren om misbruik te maken van 16 miljard accounts?

Natuurlijk is één en ander wel afhankelijk van hoe rijk, invloedrijk en machtig je bent. Als ze Rutte z'n wachtwoorden hebben, dan is de kans miljarden malen groter dat ze zijn accounts zullen misbruiken, dan dat ze mijn of jouw account zullen misbruiken.

Dus niet direkt reden tot paniek. Tenzij je rijk, invloedrijk en/of machtig bent.

Dit lijkt een herhaling van nieuws van 3 à 6 maanden terug te zijn: https://news.ycombinator.com/item?id=44322961

Ik gebruik voor elk user account dat ik aanmaak een unieke gmail email. Als je bijvoorbeeld een account 'ikke@gmail.com' hebt, dan kun je een ongelimiteerd aantal 'ikke+[iets]@gmail.com' gebruiken. Bijvoorbeeld 'ikke+123inkt@gmail.com', 'ikke+fok@gmail.com', etc.

Hoef je niks anders voor te doen dan dat email te bedenken, want je gmail email is een catch-all adres. Alles dat naar 'ikke+[whatever]@gmail.com' gestuurd wordt komt gewoon aan op 'ikke@gmail.com'. Maar als iemand een email naar bijvoorbeeld 'ikke+fok@gmail.com' heeft gestuurd, dan zie je dat in je email programma.

En zo kun je dus zien of jouw email tegen je wil is doorgegeven, of dat de database van het bedrijf waar je die email hebt opgegeven is gehacked.

Zo heb ik dus bij 123inkt het email '[privéinfo]+123inkt@gmail.com' gebruikt. En tot mijn verbazing kreeg ik een jaar later ineens phishing en afpersings emails met dat email adres.

Dus 123inkt heeft mijn email adres weggegeven, waar ik geen toestemming voor heb gegeven. Of 123inkt is gehacked, wat ze niet hebben gemeld.

123inkt staat nu dus op mijn zwarte lijst, ik vertrouw ze niet meer. Ze hebben mij als klant verloren.

Daarom is het zo veel beter voor bedrijven om het meteen te melden wanneer ze gehacked zijn, want dat is de enige manier om tenminste nog iets van hun reputatie te redden.

quote:

Op vrijdag 20 juni 2025 11:29 schreef RetepV het volgende:
Daarom is het zo veel beter voor bedrijven om het meteen te melden wanneer ze gehacked zijn, want dat is de enige manier om tenminste nog iets van hun reputatie te redden.

Dat heeft Last Pass ook de nek om gedaan. Die waren niet erg scheutig met informatie toen ze gehackt werden en ze kwamen er pas veel later mee over de brug dat er daadwerkelijk versleutelde wachtwoorden waren buitgemaakt

quote:

Op vrijdag 20 juni 2025 11:56 schreef Jordy-B het volgende:

[..]
Dat heeft Last Pass ook de nek om gedaan. Die waren niet erg scheutig met informatie toen ze gehackt werden en ze kwamen er pas veel later mee over de brug dat er daadwerkelijk versleutelde wachtwoorden waren buitgemaakt

Er was daar fundamenteel zoveel fout dat het bijna crimineel is, wat daar gebeurde is dat je eigenlijk inlogde op 1 grote sleutelkluis waar je dan alleen toegang had tot je eigen spulletjes, wat er gebeurde was dat de grote sleutelkluis compromised raakte, inclusief al die gebruikers. Vanuit een security perspectief heeft elke kluis zijn eigen sleutel die doorgaans gebaseerd is op een door een gebruiker aangemaakte key, op die manier kan dus ook de gene die de kluis in bewaring heeft niet bij de passwords of data. Dit is ook het principe wat de meeste privacy diensten zoals Proton en Tutanota aanhouden, op het moment dat je de dienst gebruikt word de data aan jouw kant unencrypted en om die reden zijn opsporingsdiensten kansloos met data verzoeken, ze kunnen hooguit een encrypted zipje geven en met de woorden: Veel plezier, wij hebben de key ook niet.

quote:

Op vrijdag 20 juni 2025 12:03 schreef raptorix het volgende:

[..]
Er was daar fundamenteel zoveel fout dat het bijna crimineel is, wat daar gebeurde is dat je eigenlijk inlogde op 1 grote sleutelkluis waar je dan alleen toegang had tot je eigen spulletjes, wat er gebeurde was dat de grote sleutelkluis compromised raakte, inclusief al die gebruikers. Vanuit een security perspectief heeft elke kluis zijn eigen sleutel die doorgaans gebaseerd is op een door een gebruiker aangemaakte key, op die manier kan dus ook de gene die de kluis in bewaring heeft niet bij de passwords of data. Dit is ook het principe wat de meeste privacy diensten zoals Proton en Tutanota aanhouden, op het moment dat je de dienst gebruikt word de data aan jouw kant unencrypted en om die reden zijn opsporingsdiensten kansloos met data verzoeken, ze kunnen hooguit een encrypted zipje geven en met de woorden: Veel plezier, wij hebben de key ook niet.

En dan wil ik er ook nog even op wijzen dat het ook mogelijk is om een password store te maken die helemaal client-side opslag heeft. Het is niet nodig om die gegevens centraal op te slaan. Het kan decentraal op de devices van de gebruiker zelf. Moet je alleen regelmatig even syncen. En dat is een kleine moeite voor het zelf behouden van je eigen data.

Een voorbeelden van hoe het kan is Yivi: https://yivi.app/

Yivi is geen password store op zich, overigens, ik haalde het alleen aan als voorbeeld van hoe apps gewoon de gegevens op je telefoon kunnen houden en niet ergens in de VS of China op een server. Maar toch zal ik er even over uitwijden.

Yivi is een authenticatie app, en KAN wel gebruikt worden voor authenticatie op websites. Maar met Yivi hoef je niet eens passwords meer te gebruiken. Je authenticeert jezelf met een minimale set privégegevens die op zichzelf al geauthenticeerd zijn. Zelfs Yivi heeft geen mogelijkheden om jouw store in te zien.

Het enige dat Yivi doet is, dat als jij wat gegevens aan een website doorgeeft (bijvoorbeeld je voornaam en achternaam), die website bij Yivi kan controleren dat die gegevens authentiek en onvervalst zijn, dwz. dat jij werkelijk bent wie je zegt dat je bent. En dat is genoeg authenticatie voor een account, geen password meer nodig.

Eigenlijk heb je zelfs geen account meer nodig. Want je kan kiezen om meer soorten gegevens op te slaan (adres, creditcard) en vrij te geven tijdens je authenticatie. Je kan zelfs per sessie kiezen wat je wil vrijgeven, en wanneer de website meer gegevens nodig heeft (bijvoorbeeld een verzendadres) kun je die vrijgeven wanneer dat nodig is. Dus de website hoeft helemaal niets meer op te slaan, je geeft het gewoon wanneer het nodig is (of je geeft het niet, als je dat niet wil), en alles is geauthenticeerd en er is bewezen dat jij het bent waar die informatie toe behoort en dat jij werkelijk bent wie je zegt dat je bent.

Sorry dat dit een beetje ongewild in een plug voor Yivi is geeïndigd. Maar het ging er om dat het om te beginnen al helemaal niet eens nodig is om een username en password, of zelfs maar een account, bij een website te hebben. En dat er daarmee ook niets meer te stelen valt.

Is een grote verzameling van oude wachtwoord hacks en dergelijke.
Dit “het is een nieuwe data base breach” is onzin.

Het komt dus voort uit een opeenstapeling van eerdere succesvolle hacks zoals bij Facebook aantal jaren geleden.

quote:

Op donderdag 19 juni 2025 19:04 schreef Nattekat het volgende:
Ik heb het gebruik van een wachtwoordmanager heel lang zitten uitstellen, maar het gaat gebeuren nu.

Ik kan van harte protonpass aanraden. Zelfs de free version is beter dan de betaalde versie bij andere concurrenten.

quote:

Op donderdag 19 juni 2025 22:12 schreef cosmosis het volgende:
Precies 16 Miljard? Klinkt echt heel spannend, als je in 2025 nog geen random password kluis gebruikt, verdien je het wel een beetje

Ik gebruik overal hetzelfde gelekte wachtwoord behalve voor echt belangrijke zaken als email.

quote:

Op vrijdag 20 juni 2025 10:11 schreef RetepV het volgende:

[..]
Geen enkel bedrijf slaat de wachtwoorden op, ze slaan alleen de hashes op. En van een hash kun je geen wachtwoord terug halen.

Alla, als er een te kleine hash werd gebruikt kun je met brute force nog wachtwoorden terug berekenen. Maar niet 16 miljard, daar zijn computers te langzaam voor, en quantum computers nog veel te duur en slecht verkrijgbaar voor.

Dus moeten die wachtwoorden client-side zijn opgepikt, de letters die iemand intikt, ergens met behulp van een man-in-the-middle attack.

Wat uiterst belangrijk in dit verhaal is (maar wat niet verteld wordt), is welke web browser hier voor verantwoordelijk is geweest.

Geen enkel bedrijf zou ik niet te snel zeggen, er zijn er nog genoeg die het in plain-text opslaan.

En wat ik aangaf; malware en andere manieren zoals phishing zijn hier hoofdzakelijk het probleem. En natuurlijk gebruikers die overal dezelfde wachtwoorden gebruiken, éénmaal gelekt kunnen ze dan ook op andere plekken inloggen met die gegevens.

Grootste probleem is de gebruiker die niet goed met wachtwoorden omgaat, ten prooi valt aan malware of in phishing trapt.

quote:

Op zaterdag 21 juni 2025 10:49 schreef bondage het volgende:

[..]
Geen enkel bedrijf zou ik niet te snel zeggen, er zijn er nog genoeg die het in plain-text opslaan.

En wat ik aangaf; malware en andere manieren zoals phishing zijn hier hoofdzakelijk het probleem. En natuurlijk gebruikers die overal dezelfde wachtwoorden gebruiken, éénmaal gelekt kunnen ze dan ook op andere plekken inloggen met die gegevens.

Grootste probleem is de gebruiker die niet goed met wachtwoorden omgaat, ten prooi valt aan malware of in phishing trapt.

Ik denk dat Hackers adresgegevens en telefoonnummer tegenwoordig interessanter vinden dan je wachtwoord, voor mensen die nogal privacy bewust zijn zou ik dan ook afraden om e-commerce bestellingen bij je huis te laten bezorgen.

Toch wel bizar dat het ze blijft lukken, vooral bij deze bedrijven.

Wel handig als je op FOK! je wachtwoord typt wordt het automatisch weggehaald.

**********

quote:

Op zaterdag 21 juni 2025 11:38 schreef SuperNeger het volgende:
Wel handig als je op FOK! je wachtwoord typt wordt het automatisch weggehaald.

**********

Berenpak2!

quote:

Op donderdag 19 juni 2025 22:09 schreef AchJa het volgende:

[..]
Tepelsalssigarenpeuken!

Dolle Dries

quote:

Op zaterdag 21 juni 2025 10:49 schreef bondage het volgende:

[..]
Geen enkel bedrijf zou ik niet te snel zeggen, er zijn er nog genoeg die het in plain-text opslaan.

Ik kan me dat niet zo goed voorstellen. Omdat die bedrijven software inkopen en niet zelf door een amateur in elkaar laat hacken. En geen enkele software leverancier slaat passwords in plain text op. Al sinds de jaren '70 worden passwords als hashes opgeslagen en gebruikt men Kerberos of vergelijkbare systemen voor authenticatie.

Maar browsers handelen kale toetsenbordaanslagen af. En de operating systems waar die browsers op draaien ook. De attack-vector ligt dus daar, meest waarschijnlijk tussen het OS en de browser in. Man-in-the-middle.

Ik heb op Windows wel eens een programma geschreven dat zichzelf on-the-fly inhaakte in DLL entrypoints en zo alle data kon afvangen. Het was verrassend makkelijk. Wat ook belangrijk was, was dat ik mijn 'malicious' code ook in het geheugenblok van de DLL kon zetten, want geheugen werd in blokken gealloceerd en er was dus extra ongebruikte ruimte. En het hele OS wist er vervolgens niets van af. In mijn geval was het een downloader, die gewoon in de achtergrond software ging downloaden en installeren.

Dat werkte toen zelfs nog in Windows XP. Ik zit al lang niet meer in Windows software, maar ik ben benieuwd of het nog steeds zo makkelijk is.

Microsoft had het heel makkelijk kunnen oplossen door een hash te maken van het geheugenblok waar de DLL in geladen was, en die hash regelmatig te controleren. Want er is geen reden voor het geheugenblok van een DLL om te veranderen, wanneer die eenmaal is ingeladen.

De techniek die ik gebruikte, was overigens exact dezelfde techniek die McAfee gebruikte voor zijn virusscanner. Het was dus volledig 'legaal', EN compleet onveilig. Oh ja, EN McAfee detecteerde het niet eens, omdat die dacht dat het zijn eigen code was.

Alla, ik dwaal af.

Mijn punt was dat ik wel heel, heel zeker weet dat die passwords aan de client-zijde worden gescand door malicious software.

Met emails en persoonlijke informatie is het wat anders. Die worden vanwege performance redenen echt zelden versleuteld opgeslagen op servers. Ik heb het maar bij 1 werkgever meegemaakt, en dat was een bedrijf dat medische gegevens opsloeg en dus aan bepaalde regels moet voldoen, waar af en toe ook een audit op werd gedaan. Emails worden dus wel massaal gestolen met die hacks.

quote:

Op zaterdag 21 juni 2025 10:57 schreef raptorix het volgende:

[..]
Ik denk dat Hackers adresgegevens en telefoonnummer tegenwoordig interessanter vinden dan je wachtwoord, voor mensen die nogal privacy bewust zijn zou ik dan ook afraden om e-commerce bestellingen bij je huis te laten bezorgen.

Hier ben ik het volledig met je eens. Phishing levert meer op dan wanneer je op accounts van mensen in kan loggen.

Overigens helpt 2FA natuurlijk ontzettend.

Maar kijk eens naar je email programma... Als je gebruik maakt van IMAP, dan is 2FA niet (goed) mogelijk. En dus is je email account inherent onveilig. Mensen zouden jouw account kunnen gebruiken om emails te sturen.

Oh ja, en met SMTP kun je alles en iedereen invullen voor afzender. Ik heb nog wel eens voor de grap emails rondgestuurd van "sinterklaas@dak.ergens.in.nl". Wordt door sommige SMTP server nog steeds gewoon geaccepteerd.

quote:

Op zaterdag 21 juni 2025 13:26 schreef RetepV het volgende:

[..]
Hier ben ik het volledig met je eens. Phishing levert meer op dan wanneer je op accounts van mensen in kan loggen.

Overigens helpt 2FA natuurlijk ontzettend.

Maar kijk eens naar je email programma... Als je gebruik maakt van IMAP, dan is 2FA niet (goed) mogelijk. En dus is je email account inherent onveilig. Mensen zouden jouw account kunnen gebruiken om emails te sturen.

Oh ja, en met SMTP kun je alles en iedereen invullen voor afzender. Ik heb nog wel eens voor de grap emails rondgestuurd van "sinterklaas@dak.ergens.in.nl". Wordt door sommige SMTP server nog steeds gewoon geaccepteerd.

Dat is wel heel slecht, SPIF/DKIM bestaat toch echt al 15 jaar.

Ik denk dat dit gewoon iemand is die de boel wil neppen.

Bedrijven die zo groot zijn als Google en Meta slaan echt de wachtwoorden niet op. Ze slaan hashes op in een database die wel erg goed beveiligd is.

Dit is gewoon FUD (Fear Uncertainty Doubt). Vraag is: wat wil die knakker daarmee bereiken?

quote:

Op donderdag 19 juni 2025 22:12 schreef cosmosis het volgende:
Precies 16 Miljard? Klinkt echt heel spannend, als je in 2025 nog geen random password kluis gebruikt, verdien je het wel een beetje

Voor de meeste mensen zijn de gevolgen dan ook helemaal niet erg.

Geen enkele “gehackt ww” waarschuwing vanuit apple bijv.
Die geven dat echt wel aan zodra dit ergens gelekt is of bekend is.

Ik gebruik geen wachtwoorden want ik heb niks te verbergen.

quote:

Op zondag 22 juni 2025 06:57 schreef niggeplease het volgende:
Ik gebruik geen wachtwoorden want ik heb niks te verbergen.

Dat is sowieso de beste oplossing.

secops kwam op mijn werk ook voorbij met dit bericht maar ze hadden eigenlijk grote twijfel of het echt was


zelf gebruik ik een passwordmanager met als 2fa methode een yubikey als dit mogelijk is(op fok niet bijvoorbeeld)

quote:

Op zondag 22 juni 2025 12:08 schreef FlippingCoin het volgende:
secops kwam op mijn werk ook voorbij met dit bericht maar ze hadden eigenlijk grote twijfel of het echt was

Bij ons ook niks van gehoord, overigens staat de boel hier wel op scherp, teams staan bijna allemaal op standby deze week.