Tientallen miljoenen Twitter logins werden onlangs verhandeld in de digitale onderwereld, maar Twitter beweert dat zij niet zijn gehackt.

Hoe zouden de logins dan toch onderschept kunnen zijn? Een mogelijkheid: wachtwoordhergebruik. In andere woorden: als bij andere datalekken gegevens zijn buitgemaakt van mensen die voor Twitter hetzelfde wachtwoord gebruiken.

“We zijn er van overtuigd dat de gebruikersnamen en wachtwoorden niet zijn onderschept via een datalek van Twitter – er is nooit een inbraak in onze systemen geweest. We hebben zelfs ons best gedaan om accounts te beschermen door te checken of data uit de recente lekken met onze data overeenkwam,” schrijft een woordvoerder van Twitter aan Motherboard in een email. Michael Coates, een informatiebewaker van Twitter, tweette dat het bedrijf de wachtwoorden opslaat met het robuuste algoritme bcrypt.

Wanneer iemand een wachtwoord hergebruikt op verschillende websites, dan hoeft een hacker alleen maar te kijken of een combinatie van wachtwoord en email van een gehackte site ook werkt op een andere site. Als er dan verder geen extra beveiliging op zit, zijn ze binnen. Je wachtwoorden nooit hergebruiken is een van de simpelste methodes voor extra beveiliging, maar ook een die veel mensen negeren.

“Verschillende webservices hebben de afgelopen weken gezien dat er miljoenen wachtwoorden waren gestolen. We raden mensen aan om een uniek en sterk wachtwoord in te stellen voor Twitter,” voegde de woordvoerder van Twitter toe.

We zijn er onlangs achter gekomen dat het LinkedIn-datalek uit 2012 veel groter was dan voorheen gedacht; het lek bevatte in totaal 177 miljoen gehashte wachtwoorden (die heel makkelijk waren te kraken). MySpace lekte 362 miljoen volledige gegevens, al hadden ze wel de wachtwoorden beveiligd door ze allemaal in kleine letters te zetten. Hackers kregen het ook voor elkaar om 65 miljoen gehashte wachtwoorden van Tumblr te rippen. En een paar dagen geleden zijn er ook nog 100 miljoen accounts van VK, de Russische versie van Facebook, in de verkoop gezet op het darkweb.

Het risico van wachtwoordhergebruik [lijkt] ondertussen overduidelijk.

Sommige datalekken hebben ertoe geleid dat allerlei prominente profielen ook doelwit werden op andere sites. Mark Zuckerberg van Facebook bleek hetzelfde wachtwoord te hebben gebruikt voor zijn Twitter- en Pinterest-account als voor zijn LinkedIn. Ook de social media accounts van Kylie Jenner, Lana Del Rey en Drake zijn gehackt.

Gek genoeg stonden veel emailadressen die betrokken waren bij het Twitter-datalek niet op Have I Been Pwnd, een site die een database bijhoudt van alle accounts die ooit zijn gehackt. Als Twitter zelf dus nooit gehackt is, zou dit betekenen dat er hacks bestaan die Have I Been Pwned nog niet kent. De site bevat nog geen data van VK.com.

LeakedSource, een andere notificatieservice, gelooft dat de individuele Twitter-gebruikers waren geïnfecteerd met malware en dat hun logins via die weg zijn onderschept. Er bestaat ook nog de kans dat er een of andere derde partij dat toegang had tot de data van Twitter de informatie heeft gestolen en het lek heeft veroorzaakt.

Maar ongeacht de precieze details van het Twitter-datalek, blijkt het risico van wachtwoordhergebruik ondertussen overduidelijk. Als de hacks van afgelopen weken mensen nog niet hebben overtuigd van de gevaren, dan weet ik het ook niet meer.

Alles wat je hoeft te doen is een kleine pijnloze stap nemen om je digitale veiligheid drastisch te verbeteren. Neem even een uurtje van je dag om een wachtwoordmanager te downloaden, zoals LastPass of KeePass, die unieke wachtwoorden voor je genereren voor elke website. Sla deze vervolgens veilig op en verander al je logins.

Doe het nou maar, het zal je niet berouwen.