Update| Ethical hacker heeft 1,6 miljard wachtwoorden en maakt ze vandaag publiek

UPDATE 18.30 uur | De klokkenluider d0gberry – de naam verwijst naar  een karakter uit Much ado about nothing, een stuk van Shakespeare – heeft aan het AD laten weten dat hij zijn zoekrobot niet online zal zetten. Blijkbaar heeft hij dat vandaag wel even gedaan om een paar journalisten de kans te geven om het programma te bekijken. Hij vreest echter dat er juridische implicaties kunnen zijn. Hij vindt ook dat hij zijn doel inmiddels bereikt heeft en dat veel mensen zich bewust zijn geworden van het probleem.


Datajournalist van het AD Thomas Boeschoten heeft deze week minstens een nachtje slecht geslapen. Hij kreeg midden in de nacht een tweet met de vraag of de drie wachtwoorden die de auteur vermeldde van hem waren. Dat was zo! De hacker die het pseudoniem d0gberry gebruikt, stuurde daarop een tweede tweet met de wachtwoorden van een reeks andere collega’s van Boeschoten.

D0gberry is gelukkig een ethical hacker die de gegevens niet kwaadwillig zal gebruiken. Hij heeft de data ook niet gestolen maar de wizzkid heeft een soort zoekmachine ontworpen waarmee hij al die wachtwoorden opvist.

Het AD kreeg inzage

De redactie van het AD kreeg inzage in die zoekmachine en ze schrokken zich rot. D0gberry heeft 1,6 miljard wachtwoorden bemachtigd en 3,3 miljoen daarvan zijn van Nederlanders. Volgens de krant zitten er onder meer 1368 e-mailadressen van personeel van het ministerie van defensie in en die zijn opgelijst met de relevante wachtwoorden. Er staan ook een tiental emailadressen in van personeel van de kerncentrale van Borssele.

Ook de financiële sector ontsnapt niet aan de verzameling van d0gberry. Bij ING zijn 3475 personen betrokken. Bij  Rabo 2032, Achmea 1680, Interpolis 642 en bij NN 496.

Ook anderen kunnen dit

Hacker d0gberry is ervan overtuigd dat als hij dit kan, dan kunnen anderen dat ook. Hij gaat er zelfs van uit dat anderen het ook effectief doen. Hij pleit er sterk voor dat iedereen zijn wachtwoorden zo snel mogelijk aanpast.

Vanmiddag zet d0gberry zijn zoekmachine online. Dat doet hij opdat iedereen zou kunnen zien of zijn gegevens en de bijhorende wachtwoorden publiek zijn. Samen met het AD heeft d0gberry de gegevens gecensureerd. Je kan enkel de twee eerste twee tekens van e-mailadres en de eerste drie van het wachtwoord bekijken.

Tweestapsverificatie

Het AD pleit er ook voor dat iedereen een tweestapsverificatie zou instellen. Naast een wachtwoord heb je dan nog een tweede verificatie nodig. Wie over zeer recente toestellen beschikt heeft die tweede stap misschien al ingebouwd via biometrische identificatie.

Thomas Boeschoten legt het ganse verhaal uit in een filmpje op de website van het AD. De krant publiceert ook een handige grafiek met de meest opvallende datahacks uit het verleden.

©2018 | Financelab – Corporate Journalism & Copywriting for the financial industry & retail

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.