FYI.

This story is over 5 years old.

​De website 'Have I Been Pwned?' vertelt jou of je gegevens ooit gestolen zijn

Tory Hunt heeft een database met honderden miljoenen gestolen gebruikersaccounts, waar normale mensen kunnen checken of ze gehackt zijn.
11.3.16
Troy Hunt, eigenaar van Have I Been Pwned? Beeld eigendom van Troy Hunt

Troy Hunt heeft een database met 292,434,781 gestolen gebruikersaccounts.

De verbijsterende hoeveelheid gehackte data bevat onder andere informatie gevonden via 92 verschillende websites, zoals Adobe (152.445.165 accounts), Snapchat (4.609.615 accounts), en Youporn (1.327.567 accounts).

Maar, zoals je misschien al weet, Hunt verspreidt of verkoopt deze data niet. In plaats daarvan is het de ruggengraat van Have I Been Pwned (HIBP), een website met als doel slachtoffers van datadiefstal. ("Pwned" betekent dat je gehackt bent of je digitale veiligheid is geschonden – mocht je niet bekend zijn met de term.)

Advertentie

Het idee is simpel: vul je e-mailadres in HIPB in, verifieer dat het jouw e-mailadres is, en dan doorzoekt de website z'n enorme database en laat je zien of je het slachtoffer bent geworden van datadiefstal. Je kan ook aangeven dat je een melding wilt krijgen wanneer je e-mailadres in de toekomst in de database van Hunt verschijnt.

Veel van de originele datadiefstallen bevatten ook gevoelige informatie, zoals creditcardinformatie en wachtwoorden, maar Hunt bewaart alleen de gebruikersnamen en e-mailadressen, zodat mensen kunnen uitzoeken of zij het slachtoffer waren van datadiefstal.

HIBP heeft gemiddeld 10.000 bezoekers per dag, en 350.000 mensen hebben zich ingeschreven om een melding te krijgen als hun informatie verschijnt bij een nieuwe datadiefstal.

Hunt begon de site eind 2013. Op dat moment analyseerde Hunt, een Australische expert in online veiligheid, trends in datadiefstallen, zoals het veelvoorkomende hergebruik van wachtwoorden bij verschillende datadumps. Hij kreeg het idee toen hij opmerkte dat een groot aantal mensen slachtoffer wordt van deze diefstallen, mensen die geen idee hadden dat hun online veiligheid in gevaar was gebracht.

"De grootste katalysator was waarschijnlijk Adobe," zegt Hunt. In oktober 2013 zijn 153 miljoen Adobe-accounts gestolen, inclusief e-mailadressen, gebruikersnamen, beveiligde en gewone wachtwoorden. De datadump van Adobe was natuurlijk niet de enige grote dump die rond die tijd circuleerde: data van Gawker, Yahoo en Sony werden ook onderling uitgewisseld.

Een van de datasets die Hunt had afgewezen en had gerapporteerd was van een Nederlands financiëel systeem

"Ik vroeg me af hoeveel mensen zich er eigenlijk bewust van waren hoe wijd dit werd verspreid op het internet, en op hoeveel plekken hun data nu zichtbaar is," zegt Hunt. Dit leidde ertoe dat hij de eerste stappen ging zetten voor HIBP, en hij codeerde de eerste versie ervan terwijl hij in een vliegtuig zat.

Datadiefstal komt tegenwoordig enorm vaak voor. Wanneer iemand slachtoffer is geworden bestaat er een kans dat hackers inloggen op hun accounts, financiële informatie stelen of iets anders uitspoken. Vaak stellen gehackte bedrijven hun klanten zelfs pas na een lange tijd op de hoogte van de diefstal, waardoor zij er mogelijk helemaal geen weet van hebben. Wanneer je het direct weet kun je er tenminste alles aan doen om je data alsnog te beveiligen, door bijvoorbeeld wachtwoorden opnieuw in te stellen.

Advertentie

"Ik wil dat mensen er bewust van zijn dat ze hun wachtwoord moeten vervangen, en dat ze moeten oppassen voor ongewone verzoeken," zegt Hunt.

Hoe Hunt aan de data komt verschilt per keer. Soms stuurt iemand die op de data is gestuit het direct naar Hunt, en andere keren krijgt hij een kopie toegestuurd van iemand die verwikkeld is in de illegale uitwisseling van gestole data.

"Er wordt enorm veel gestolen data uitgewisseld," zegt Hunt terwijl hij het vergelijkt met het verzamelen van spelkaarten. Deze mensen hebben zelf misschien geen slechte bedoelingen met de data, maar willen het gewoon verzamelen, ruilen en archiveren.

"Soms duurt het vier, vijf jaar voordat ik de data krijg, of voordat het publiekelijk gaat circuleren," zegt Hunt.

Soms krijgt Hunt de data direct van de hackers zelf.

"Eerlijk gezegd maakt dat me echt pissig," zegt Hunt, die de hackers wil vragen wat er mis met ze is. "Met het beheren van deze service zie ik vaak de duistere kant van het web, en dus ook de duistere mensen," zegt hij.

Het lijkt zichzelf tegen te spreken – een hacker die een dataset steelt, en het dan naar Hunt stuurt die de slachtoffers ervan op de hoogte stelt. Maar hackers kunnen allerlei motieven hebben, zoals roem of geld.

"Het is bekendheid, kudos, een naam maken," voegt Hunt toe.

De website heeft datasets uit diefstallen van Forbes, Comcast en Patreon, maar ook van persoonlijke services zoals AdultFriendFinder, YouPorn en vreemdgangerservices zoals Ashley Madison.

Advertentie

De publicatie van gigabytes aan gebruikersdata van Ashley Madison vond Hunt een van de schadelijkste dumps. "Volgens mij is er nog geen andere datadump geweest waar mensen zelfmoord om hebben gepleegd," zegt hij. Het recordaantal van 30 miljoen gebruikersaccounts werd in 2015 online gedumpt.

Een andere dump die er uitsprong was die van VTech, het speelgoedbedrijf uit Hong Kong, die niet alleen gebruikersinformatie bevatte, maar ook foto's van kinderen.

"Ik heb nog geen andere datadump gezien die impact had op kinderen op zo'n manier," laat Hunt weten.

Er zijn ook datadumps geweest waarvan Hunt besloot het niet te hosten.

"Ik heb datasets ook wel eens afgewezen, of het gerapporteerd aan de bedrijven," zegt hij.

Een van die bedrijven was een een Nederlands financiëel systeem dat transacties tussen baken faciliteerde. Hunt ontving de data, nam contact op met het bedrijf, en stelde voor dat zij hun klanten informeerde.

Een van de redenen hiervoor was de kans op rechtzaken als hij het niet rapporteerde.

"Ik wil deze service blijven beheren, en wil niet in kwaad daglicht komen te staan bij organisaties waardoor zij mogelijk rechtelijke stappen gaan ondernemen," zegt Hunt. In zulke gevallen wil hij dat het bedrijf niet voor het eerst over een dump hoort nadat het publiekelijk geplaatst is op HIBP.

Tot nog toe zijn er geen rechtszaken aangespannen tegen Hunt, maar rechtelijke instanties hebben hem wel eens gevraagd meer informatie te geven over wat er precies bekend was geworden bij de diefstal van een dataset.

"Ik heb verzoeken gehad van de FBI, Australische Federale Politie, andere rechtelijke instanties en individuele professionals die een rechtszaak wilde aanspannen. Geen van hen was boos om wat ik doe met Have I Been Pwned. De meesten [wilden] meer over de data te weten komen," vertelt hij.

Wanneer Hunt wordt gevraagd wat hij heeft geleerd na jaren gestolen data te verzamelen, zegt hij dat het vooral gratis of goedkope sites zijn geweest die verschrikkelijk slechte beveiligd waren.

"Het kan gewoon neit zo zijn dat degene die de ontwikkeling van deze websites beheren niet op de hoogte waren" van het enorme aantal datadiefstallen die tegenwoordig gaande zijn, zegt Hunt.

"Iedere dag is er weer een nieuw slachtoffer. Het frustreert me enorm."