Dankzij deze Nederlandse hacker weet je nu of je gehackte gegevens online staan

We spraken Boef, een Nederlandse hacker die zijn verzameling databases doorzoekbaar heeft gemaakt voor het publiek.

|
06 april 2016, 11:43am

Op het internet, in de wereld van hackers, geldt de uitspraak die aan Francis Bacon wordt toegeschreven nog altijd: kennis is macht. Er bestaat onder hackers een levendige ruilhandel in gehackte databases, die als een soort online pokémonkaarten onderling worden uitgewisseld. Die collectie van databases kan vervolgens gebruikt worden voor allerlei doeleinden: van het stelen van creditcardinformatie tot het doxen van andere hackers tot het gewoon willen verzamelen van zo veel mogelijk databases.

Elke keer dat je in het nieuws ziet dat er weer gegevens zijn gelekt, betekent het dat er weer een database is toegevoegd aan die collectie. Daarnaast bestaan er ook talloze databases waarvan het lekken nooit in het nieuws is geweest, ofwel omdat het bedrijf in kwestie het stilhoudt, of omdat de database voor hacker die de gegevens gestolen heeft waardevoller is als niemand weet dat hij/zij ze heeft.

Gelukkig bestaan er ook mensen die zich bewegen in dezelfde cirkels als hackers, maar andere doelen voor ogen hebben. Mensen die de databases die ze verzamelen beschikbaar maken voor normale internetgebruikers om te checken of hun gegevens onderdeel uitmaken van de online ruilhandel.

Waar haveibeenpwned zoekt in zo'n 95 databases, zoekt leaked-data in 620 databases – waar gezamenlijk ruim 370 miljoen mailadressen in staan.

De bekendste hiervan is haveibeenpwnd.com, een site die gerund wordt door beveiligingsonderzoeker Troy Hunt, waar je je mailadres kan intypen om te checken of die voorkomt in een gelekte database. Het is een sympathieke dienst, die veel mensen erop wijst dat hun gegevens minder veilig zijn dan ze zouden denken – zelfs bij grote bedrijven.

Er is echter een groot probleem aan haveibeenpwnd. "Soms duurt het vier of vijf jaar voordat ik bepaalde data krijg, of voordat de data wijder verspreid wordt," vertelde Hunt in een interview met Motherboard. Hunt heeft simpelweg niet toegang tot alle gehackte databases.

Dit komt omdat niet alle databases zomaar worden gedeeld, omdat ze nog waarde hebben op de zwarte markt, of omdat er nog geen grayhat is geweest die een database naar hem gestuurd heeft. Ook plaatst Hunt sommige databases niet omdat ze te weinig gebruikers hebben, of omdat er imagoschade kan ontstaan voor de betrokken bedrijven.

En hier komt Boef om de hoek kijken. Ik kreeg voor het eerst contact met Boef – die zijn echte naam geheim houdt – nadat ik een artikel had geschreven over AnonGreySec, een groep tieners die na een serie ddos-aanvallen ook de site van de Belastingdienst plat wilde leggen. Kort nadat het artikel gepubliceerd werd, zette Boef een dox online met alle gegevens van fl00d, de jongen waarmee ik gepraat had voor het artikel. Een paar uur daarna werd fl00d gearresteerd.

Kort na de arrestatie van fl00d sprak ik Boef via versleutelde chat – wat een beetje voelde alsof ik verzeild was geraakt in een spannende film over hackers en zo. Hij vertelde dat hij fl00d had gedoxt omdat hij niet van 'skids' houdt. 'Skids' of scriptkiddies is een term die gebruikt wordt door hackers voor vervelende pubers die met andermans technieken stennis proberen te schoppen op internet en er stoer mee doen – iets wat fl00d overduidelijk aan het doen was:

In de chat vertelde hij hoe hij achter de gegevens van fl00d was gekomen: dankzij zijn verzameling databases. Hij vertelde ook dat hij een van de greyhats is die een grote bron is van de databases die Hunt gebruikt om mensen te waarschuwen. Hoe hij eraan komt? "Een aantal hack ik zelf, en de meeste ruil ik met anderen."

Naar eigen zeggen doet hij zelf verder niks vervelends met de gegevens. In tegendeel zelfs. Vorig jaar hielp hij de politie op weg om de verantwoordelijken achter een grote aanval op internetprovider Ziggo op te pakken. Ook vertelde Boef dat hij "ernstige kwetsbaarheden vond in sites van Wehkamp, HelloFresh, Telfort en ga zo maar door." Deze kwetsbaarheden rapporteert hij dan netjes aan de bedrijven.

En nu wil Boef zijn verzameling databases inzetten voor het grote publiek. Op 5 april tweette hij over het bestaan van leaked-data.com, een site waar je net als bij haveibeenpwnd.com op je mailadressen of IP-adres kan zoeken of je ergens in een database staat. Maar waar haveibeenpwned zoekt in zo'n 95 databases, zoekt leaked-data in 620 databases – waar gezamenlijk ruim 370 miljoen mailadressen in staan.

Naast de meeste bekende databases, zoekt leaked-data ook in een aantal databases waarvan het nog niet algemeen bekend is dat ze gehackt zijn. Al geeft Boef wel toe dat zijn "leuke databases er natuurlijk niet in zitten." Met "leuke database" bedoelt hij databases waarvan de eigenaren nog niet op de hoogte zijn dat ze online staan.

De site is nog niet af, Boef werkt nog aan een betere gebruikersinterface waar je gewoon je mailadres invoert, maar je kan nu wel al checken of je mailadres ergens tussen staat. Door in de volgende URL je mailadres te plakken na "=" kan je het systeem laten zoeken in de databases. Dus voor mij zou het zijn http://leaked-data.com/?email=alejandro.tauber@vice.com

Ik heb mijn eigen emailadressen erdoorheen gehaald en daar verscheen niks, maar bij een aantal tests met willekeurige mailadressen kwamen wel resultaten. Volgens Boef kan je er vanuit gaan dat als je email ertussen staat minimaal je IP-adres, gebruikersnaam en een versleuteld wachtwoord in een database staan. En soms meer, afhankelijk van in welke database je staat.

In de praktijk zal je niet veel meer kunnen doen als je gegevens ertussen staan, behalve je wachtwoord veranderen bij alle accounts waar je hetzelfde wachtwoord voor gebruikt. Dat is namelijk een veelgemaakte fout: een hacker kan door een minder belangrijke database achter een wachtwoord komen dat je voor belangrijkere accounts gebruikt, met alle gevolgen van dien.

In een tijd waarin het steeds makkelijk wordt om systemen binnen te komen – zelfs voor tieners met off-the-shelf software – is het belangrijk dat je als gebruiker steeds beter op de hoogte bent van je veiligheid. En dus ook wanneer die veiligheid in het geding is. Al is het maar zodat je gegevens iets minder waard zijn als ze online worden uitgewisseld als Flippo's of pokémonkaartjes.