Vrijwel dagelijks verschijnen er nieuwe collecties online met duizenden - soms miljoenen - gestolen of gelekte e-mailadressen en wachtwoorden. Hackers jatten ze van sociale media of vinden ze op slecht beveiligde websites. Jouw gegevens zitten daar waarschijnlijk ook bij. Wij kochten voor een paar euro een database met miljoenen wachtwoorden en ontdekten dat je veel meer weggeeft dan je denkt als je account wordt gestolen.
Kees heeft niet heel lang nagedacht over zijn wachtwoorden. Voor vrijwel iedere website waar hij zich heeft geregistreerd gebruikt hij dezelfde combinatie van letters en cijfers: welkom123. Ik ken Kees niet persoonlijk, maar ik krijg een behoorlijk uitgebreide inkijk in zijn privéleven door simpelweg op zijn mailadres te klikken op de website Dehashed.com.
Ik weet welke mailadressen en wachtwoorden hij gebruikt. Kees was actief op softwareforum MajorGeeks. Hij is single en zoekt naar een nieuwe liefde via dating-sites Zoosk en Badoo. Dankzij zijn IP-adres - ook te vinden in onze gekochte database - weet ik precies waar hij woont.
De persoonsgegevens van Kees liggen op straat. We noemen hem alleen bij zijn voornaam om zijn privacy nog enigszins te beschermen. Maar hij is geen uitzondering. Van vrijwel iedereen zijn inmiddels één of meerdere accounts gestolen. Met enige regelmaat verschijnen er nieuwsberichten over datalekken, waarbij hackers er met miljoenen accounts vandoor zijn gegaan. We weten daardoor allemaal wel dat we beter met onze wachtwoorden moeten omgaan. Toch doen we dat vaak niet.
Misschien omdat we denken dat de wachtwoorden alleen toegankelijk zijn voor hackers in zwarte hoodies, die zich verstoppen in de donkere krochten van het dark web. Maar in werkelijkheid zijn die miljoenen wachtwoorden net zo makkelijk te raadplegen als elke andere website.
Iedereen kan je wachtwoorden vinden
In Dehashed.com, een zoekmachine voor gestolen inloggegevens, hoef je alleen maar iemands naam of mailadres in te tikken om gevoelige gegevens te vinden. Je krijgt meteen alle sites te zien waarop die persoon zich heeft geregistreerd, en alle wachtwoorden die daarbij zijn gebruikt. Dehashed heeft op die manier bijna zesduizend databases met zo’n negen miljard e-mailadressen, wachtwoorden, IP-adressen en gebruikersnamen verzameld en doorzoekbaar gemaakt. Voor vier dollar per week kun je er ongelimiteerd in rondsnuffelen.
Er is een levendige handel in wachtwoorden gaande. Dat werkt zo: je inloggegevens worden door hackers gejat van sites zoals LinkedIn, Adobe, Facebook, MyFitnessPal of verschillende fora. Soms komt er geen hack aan te pas en kunnen de gegevens eenvoudig worden gedownload, omdat de beheerder van de website te lui is geweest om de database met registratiegegevens goed te beveiligen. De gestolen of gelekte accounts worden vervolgens verzameld, beveiligde wachtwoorden (zover mogelijk) gekraakt, de gegevens geordend en uiteindelijk als kant-en-klare pakketten gedeeld of verhandeld via online fora zoals Raidforums.
De forumleden verkopen en ruilen de wachtwoorden alsof het gewilde voetbalplaatjes zijn. Alleen gaat het in dit geval om de privé informatie van miljoenen personen. Om een voorbeeld te geven: voor niet veel meer dan twee euro kan iedereen er de ‘Collection #1 - #5’-database kopen, een gigantische verzameling van 773 miljoen persoonlijke inloggegevens.
Op de hackers-fora wordt ook gehandeld in specifiek Nederlandse accounts en ‘leads’ (persoonsinformatie). “Hey, ik ben op zoek naar een habbo.nl database. Stuur me een bericht als je me kan helpen”, schrijft gebruiker paashaas3 bijvoorbeeld. Hij zoekt vaker naar Nederlandse en Belgische accounts, en deelt soms ook databases. Er zijn meer Nederlandse hackers actief. Ze delen wachtwoorden of gestolen Netflix en Spotify accounts. Waarom? We hebben paashaas3, rivaldo, zwaargewichttt en Mon55ter benaderd, maar ze hebben (nog) niet gereageerd op onze vragen.
Goudmijn voor criminelen
Niet alleen individuen zijn slachtoffer van grootschalige wachtwoord-diefstal. De mailadressen en wachtwoorden van complete organisaties - universiteiten, politie, media, ministeries - worden gestolen. Die collecties zijn een goudmijn voor criminelen. Via jouw accounts versturen deze criminelen berichten naar iedereen in jouw adresboek of vriendenlijst op Facebook waarin ze om geld vragen. Vaak in slecht Nederlands, maar zo nu en dan trapt iemand in die scam.
De gelekte en gestolen wachtwoorden worden ook gebruikt om mensen af te persen. Criminelen sturen je dan een e-mail en beweren dat ze allemaal gevoelige informatie over je hebben. Als ‘bewijs’ sturen ze een (oud) wachtwoord mee. Betaal je niet onmiddellijk, dan dreigen ze die informatie naar je familieleden en collega’s te sturen. In werkelijkheid hebben de criminelen helemaal geen gevoelige informatie, maar alleen je wachtwoord uit een van de databases gevist.
Wachtwoorden vertellen veel
Zoals gezegd zijn het niet alleen criminelen en hackers die jouw inloggegevens kunnen doorzoeken. Iedereen kan een database met wachtwoorden kopen en door jouw gegevens snuffelen. Dat lijkt misschien niet problematisch als het om oude wachtwoorden gaat, maar wachtwoorden en gebruikersnamen vertellen veel over een persoon. Niet alleen omdat iemand de naam van z’n partner of kinderen als wachtwoord heeft ingevuld. Het laat ook zien hoe iemand over wachtwoorden denkt en of hij/zij bijvoorbeeld steeds hetzelfde trucje gebruikt om een wachtwoord te maken (zoals margriet123, margriet456).
Vooral het combineren van gegevens levert veel op. Weet je iemands naam, dan kun je waarschijnlijk meerdere mailadressen vinden. En daarmee weet je ook bij welke websites die persoon zich allemaal heeft geregistreerd. Gebruikt die persoon een uniek wachtwoord, dan kun je door daar op te zoeken weer andere accounts vinden. Met het IP-adres kun je niet alleen iemands locatie achterhalen, maar ook andere inloggegevens vanaf die locatie vinden.
Met deze gelekte of gestolen wachtwoorden kun je een compleet profiel van iemand samenstellen of - als die persoon zijn of haar wachtwoorden niet heeft aangepast - zelfs toegang krijgen tot persoonlijke accounts.
Voorkomen kan niet
Hoe voorkom je dat jouw inloggegevens op straat belanden en iedereen door je wachtwoorden kan snuffelen? Kort gezegd: niet. “Accepteer dat je gegevens kunnen uitlekken. De enige manier om dit te voorkomen is door je gegevens nergens online in te vullen. En zelfs dan kan het zijn dat ze alsnog opduiken”, zegt cybercrime-onderzoeker Elmer Lastdrager van de Universiteit Twente. “Denk aan een hotel dat gehackt wordt en waarbij de klantendatabase gestolen wordt. Praktisch gezien kun je wel het risico kleiner maken, maar je blijft afhankelijk van de beveiliging van alle organisaties die jouw gegevens bewaren.”
Zijn je gegevens eenmaal gelekt, dan kan iemand ze gebruiken om in te loggen op websites waar je hetzelfde wachtwoord gebruikt, zegt Lastdrager. Zijn eigen login-gegevens werden gestolen tijdens de Dropbox-hack in 2012. Met de gelekte informatie kunnen criminelen nog veel meer persoonlijke gegevens achterhalen en die op brutale wijze misbruiken. “Je kunt je indenken dat je telefonisch benaderd wordt door oplichters die zich voordoen als bijvoorbeeld de bank. Als ze weten wie je bent en waar je woont, zullen mensen eerder geneigd zijn om ze te geloven.”
Waar je je gegevens ook invult, ga er dus vanuit dat ze uiteindelijk in een openbare database met gelekte en gestolen wachtwoorden verschijnen. Je kunt wel een aantal maatregelen nemen om de schade te beperken.
"Ontwikkel een betere cyberhygiëne"
Ten eerste is het goed om regelmatig te checken of je wachtwoorden zijn gelekt. Dat kan via Have I Been Pwned, waar je je ook kunt aanmelden voor een automatische waarschuwing als je e-mailadres in een datalek voorkomt. Op dezelfde site kun je controleren of dat unieke wachtwoord dat je had bedacht al is gelekt of gekraakt. Ook de politie heeft een wachtwoordtool. Daarin staan data die de politie bij invallen is tegengekomen, vertelt Ruud Paulusse, adviseur bij de politie. “Soms worden bij een inval computers in beslag genomen. Die worden natuurlijk gekraakt en onderzocht. Af en toe komen we daarin e-mailadressen tegen”, legt hij uit. Met de tool van de politie kun je zien of jouw e-mailadres en wachtwoord daar tussen zitten.
En dan de open deur: neem een wachtwoordmanager zoals Lastpass of 1Password. Daarmee kun je gemakkelijk unieke en sterke wachtwoorden creëren voor iedere website waar je je registreert. Mochten je inloggegevens een keer online verschijnen, dan is de schade in elk geval beperkt omdat hackers daarmee slechts toegang krijgen tot één website. Daarnaast is een uniek en sterk wachtwoord veel moeilijker te kraken.
Echter, als een hacker een onbeveiligde database met sterke wachtwoorden te pakken krijgt, dan helpt een sterk wachtwoord niet. Gebruik daarom liever niet je persoonlijke mailadres, maar maak voor iedere site een nieuw (of tijdelijk) e-mailadres aan, en gebruik een VPN (een versleutelde verbinding waarbij het dataverkeer wordt omgeleid via een server om je IP-adres niet te onthullen) en uniek wachtwoord om je te registreren.
Verder is het belangrijk om tweestapsverificatie in te schakelen. Daarbij gebruik je een verificatieapp om in te loggen, of krijg je een code toegestuurd naar je telefoon. Dat is niet honderd procent veilig als gevolg van SIM-swap-fraude. Nog beter is het om een fysieke beveiligingssleutel te kopen.
Ontwikkel een betere “cyberhygiëne”, adviseert Lastdrager. “Denk dus goed kritisch na wanneer je je gegevens ergens online invult.”
Illustraties door Tijmen Snelderwaard
Wil je op de hoogte blijven van dit onderzoek?
Elke week sturen we je onderzoeksverhalen, tips van de redactie, en verhalen die je nog van ons kan verwachten.
