Mijn data is gelekt in Collection #1. Wat kan ik doen?

januari 17, 2019

Troy Hunt is de hedendaagse privacy en veiligheidsexpèrt en hij heeft een blogpost gepubliceerd over de zogeheten Collection #1 – een grote database met meer dan 700 miljoen unieke e-mailadressen en meer dan 1,1 biljoen unieke login-wachtwoordcombinaties die recentelijk boven water kwamen op het Internet. Hieronder leggen we uit of dit ook voor jou geldt en wat je eraan kunt doen.

Datalekken en inbreuken komen voor – nogal vaak, en soms gaat het over grote lekken en inbreuken. Malefactors verzamelen die gelekte informatie, maken databases aan met login- en wachtwoordinformatie. Sommige proberen uit iedere lek informatie toe te voegen aan deze databases, en die moeite resulteert in gigantische databases zoals die van Collection #1, geanalyseerd door Troy Hunt.

Dit is niet slechts één gigantisch lek (zoals die van Yahoo! met logininformatie van biljoenen gebruikers), dit is een verzameling informatie van meer dan 2000 lekken, sommige gaan zelfs terug tot 2008, terwijl sommige recenter zijn.

Verbazingwekkend genoeg lijkt Collection #1 geen logins en wachtwoorden te bevatten van bekende lekken zoals die van LinkedIn in 2012 en beide Yahoo inbreuken (zie hier onze post over Yahoo inbreuk #1, en hier nog een over inbreuk #2)

Hoe kan ik zien of ik getroffen ben door Collection #1?

Om te zien of jouw logininformatie in de database zit, kun je haveibeenpwned.com gebruiken. Voer het e-mailadres in waar je accounts aan gekoppeld zijn – en dan kun je zien of dat e-mailadres in een gelekte database zit waar haveibeenpwned.com zich van bewust is.

Als je e-mailadres onderdeel is van Collection #1 – dan krijg je een melding op haveibeenpwned. Als je dit niet krijgt – dan heb je geluk, en dan hoef je niets te doen. Maar indien je wel een melding krijgt, dan begint het pas naar te worden.

Wat moet ik doen als mijn account genoemd wordt in Collection #1 database?

Als je e-mailadres erbij staat, dan is het duidelijk een signaal dat je er iets aan moet doen. De service vertelt je echter niet op welke accounts gekoppeld aan dit e-mailadres inbreuk is gepleegd. Was het een account op een cryptovaluta-website, of een online bibliotheekaccount, of een account bij een kattenliefhebbers-community? Dat gezegd hebbende, heb je twee opties, afhankelijk van het feit of je hetzelfde wachtwoord op meerdere services hebt gebruikt of niet.

Optie 1: je hebt één wachtwoord gebruikt voor meerdere accounts gekoppeld aan dit e-mailadres. In dat geval wordt het een flinke klus, want om je veiligheid te waarborgen, moet je langs alle accounts om een voor een de wachtwoorden te veranderen. Let op dat alle wachtwoorden lang en uniek moeten zijn. Mocht je gewend zijn om één wachtwoord te onthouden, dan wordt het onthouden van een hoop nieuwe haast onmogelijk, dus het is waarschijnlijk een goed idee om een wachtwoord manager te gebruiken.

Optie 2: je hebt unieke wachtwoorden voor deze accounts gekoppeld aan je e-mailadres gebruikt. Goed nieuws, dan is het iets gemakkelijker. Natuurlijk kun je ook alle wachtwoorden veranderen – maar dit is niet nodig. Je kunt proberen erachter te komen welk wachtwoord blootgesteld is door het gebruik van een andere functie van haveibeenpwned, namelijk Pwned Passwords.

Je kunt een wachtwoord van een van je accounts invoeren en zien of het genoemd wordt in de haveibeenpwned database van gelekte wachtwoorden – in tekstformaat of als hash. Mocht een van je wachtwoorden boven water komen op haveibeenpwned, ook als is het er maar één, verander het dan. Zo niet, dan is het veilig. Ga dan door met het controleren van je andere wachtwoorden.

Natuurlijk betekent dit dat je haveibeenpwned vertrouwt, en het is logisch om dit niet te doen. Daarom kun je er ook een SHA-1 hash van je wachtwoord invoeren – en daarmee krijg je hetzelfde resultaat als met je wachtwoord zelf. Er zijn verschillende onlinebronnen die een SHA-1 hash voor je aanmaken voor de informatie die je invoert (hier, ik heb ze voor je gegoogeld). Op die manier hoef je je wachtwoorden niet bloot te stellen aan haveibeenpwned, waardoor je je niet extra paranoïde hoeft te voelen.

Algemeen advise over over het veiligstellen van je data en niet getroffen te worden door data-inbreuken

We hebben talloze lekken gezien de afgelopen jaren en het is vrijwel zeker dat er meerdere zullen plaatsvinden in de toekomst. Daarom zullen nieuwe grote databases zoals Collection #1 van tijd tot tijd steeds opdoemen, en malefactors zullen er dankbaar gebruik van maken om in te breken in accounts. Om de kans om getroffen te worden door zulke inbreuken, raad ik aan het volgende te doen:

  • Gebruik lange en unieke wachtwoorden voor ieder account apart. Op die manier, als er inbreuk op een bepaalde service heeft plaatsgevonden, dan hoef je slechts één wachtwoord te veranderen.
  • Schakel authenticatie op basis van twee factoren in indien mogelijk. Hiermee kunnen hackers niet in je account komen, zelfs als ze je login en wachtwoorden in handen krijgen.
  • Gebruik veiligheidsoplossingen zoals Kaspersky Security Cloud die je kunnen waarschuwen over recente inbreuken.
  • Gebruik een wachtwoord manager die helpt bij het creëren van unieke en sterke wachtwoorden zonder dat je ze in je geheugen hoeft op te slaan. Password managers kunnen ook gemakkelijk je wachtwoord/en veranderen indien je dit nodig hebt. Kaspersky Password Manager neemt beide taken op zich en voert ze op efficiënte manier uit.