Zoekmachine geeft toegang tot miljoen gelekte Belgische wachtwoorden
Wie voldoende tijd op het internet spendeert, zal ooit gehackt worden of toch zeker zijn gegevens gelekt zien. Op het dark web circuleren zeker 1,4 miljard accounts afkomstig van hacks bij onder meer Yahoo, LinkedIn, Dropbox en vele andere online diensten. Een nieuwe zoekmachine, Gotcha.pw, maakt die gelekte accounts eenvoudig doorzoekbaar en zou volgens bronnen een miljoen Belgische wachtwoorden bevatten.
De zoekmachine werd gemaakt door een programmeur die opereert onder het pseudoniem d0gberry. Nadat een van zijn eigen accounts werd gehackt, trok hij op onderzoek uit. Het koste hem naar eigen zeggen amper een half uurtje zoeken op het dark web om gigabytes aan gehackte wachtwoorden aan te treffen, vrij beschikbaar voor iedereen die weet waar te zoeken. D0gberry besloot om een zoekmachine te maken die de accounts makkelijk doorzoekbaar maakt, om zo bewustwording te creëren bij het publiek. “Bedrijven beloven altijd dat ze je privacy hoog in het vaandel dragen, maar op het einde van de rit ben jij de enige die het de cyberdieven lastiger kan maken”, schrijft hij op zijn website.
Niet nieuw
Helemaal nieuw is de zoekmachine van d0gberry niet. Securityonderzoeker Troy Hunt biedt al langer een gelijkaardige dienst aan met de website haveibeenpwned.com, waarin ondertussen al bijna 5 miljard gelekte accounts zijn opgenomen. Toch zijn er enkele belangrijke verschillen tussen beide zoekmachines. Waar Hunt alleen resultaten geeft op basis van een volledig e-mailadres en geen wachtwoorden toont, kan je via Gotcha.pw zoeken op enkel een e-maildomein en worden wachtwoorden gecensureerd getoond met de twee eerste karakters zichtbaar. Dat gaat volgens sommige experts te ver. Ethisch hacker Inti De Ceukelaire uitte op Twitter kritiek op de zoekmachine van d0gberry en stelt dat het achterhalen van wachtwoorden zo veel toegankelijker wordt gemaakt.
#Gotcha gaat te ver. Ook al zijn de wachtwoorden gelekt en dus vindbaar, dit maakt password guessing véél toegankelijker. Daarbij zitten de gekraakte wachtwoorden dus ook ergens plaintext in een database. GDPR gewijs geen goed idee!https://t.co/rw1YlaQb9m
— Inti De Ceukelaire (@intidc) April 5, 2018
Wachtwoord veranderen
Voor wie zijn e-mailadres door de zoekmachine haalt en merkt dat hij een paar treffers heeft, is nu een goed moment om je wachtwoord te veranderen.