124 miljoen door malware gestolen wachtwoorden toegevoegd aan HIBP

In dit artikel:

Troy Hunt van Have I Been Pwned (HIBP) heeft recent 124 miljoen unieke wachtwoorden en 56 miljoen e-mailadressen uit zogeheten "stealer logs" aan zijn dienst toegevoegd. Stealer logs ontstaan wanneer infostealer‑malware inloggegevens van slachtoffers verzamelt (site, gebruikersnaam, wachtwoord) en die bestanden vervolgens naar aanvallers stuurt; de gegevens duiken daarna vaak op Telegram, fora of andere kanalen op. Beveiligingsonderzoekers wisten een aantal van die logs te bemachtigen en leverden ze aan HIBP aan.

Van de 56 miljoen e‑mailadressen bleek ongeveer 86% al eerder in HIBP te staan. De 124 miljoen wachtwoorden zijn toegevoegd aan HIBP’s Pwned Passwords‑database, een collectie van gelekte wachtwoorden en -hashes die beheerders en gebruikers kunnen gebruiken om te controleren of gebruikte wachtwoorden in bekende datalekken voorkomen. Door zo’n vergelijking kunnen organisaties en individuen snel vaststellen of er risico is door wachtwoordhergebruik of zwakke combinaties.

Hoewel opname in HIBP niet per se betekent dat een specifiek account direct is overgenomen, vergroot blootstelling wel het risico op misbruik. Het is verstandig wachtwoorden die in Pwned Passwords voorkomen te wijzigen, unieke sterke wachtwoorden te gebruiken (bij voorkeur via een wachtwoordmanager) en waar mogelijk tweefactorauthenticatie in te schakelen.