Zit jouw wachtwoord tussen de half miljoen die nu op Have I Been Pwned staan?
Een grootschalige actie van een internationale politiemacht tegen het SocGholish-malwarenetwerk heeft meer dan een half miljoen gestolen wachtwoorden en 154.000 e-mailadressen opgeleverd. Die zijn gedeeld met Have I Been Pwned, zodat iedereen kan checken of hun gegevens zijn buitgemaakt. Een Nederlandse dienst spoort daarnaast nog actief de slachtoffers op om hen persoonlijk te verwittigen (via Security.nl).
De actie maakt deel uit van Operatie Endgame, een internationale operatie onder leiding van onder meer de Nederlandse politie, de FBI, de Duitse BKA en de Canadese RCMP, met ondersteuning van Europol en Eurojust. Tijdens de meest recente fase focuste de operatie op de infrastructuur van het malwareplatform SocGholish. Daarbij zijn wereldwijd bijna 15.000 besmette websites terug in orde gezet en 106 servers en domeinen uit de lucht gehaald.
Via doodnormale websites verspreid
SocGholish, ook bekend als FakeUpdates, misbruikte gehackte WordPress-websites om bezoekers een valse browserupdate voor te schotelen. Wie zo’n nepupdate installeerde, kreeg malware binnen die inloggegevens en andere gevoelige informatie kon stelen. Cybercriminelen gebruikten deze toegang vervolgens voor verdere aanvallen op systemen en organisaties.
Volgens de Nederlandse politie zijn de inloggegevens van ongeveer 1,4 miljoen websites gelekt, waardoor die kwetsbaar waren voor misbruik. Onder de getroffen websites bevonden zich onder meer sites van restaurants, garages en andere alledaagse dienstverleners.
Wachtwoorden toegevoegd aan Have I Been Pwned
De tijdens de operatie gevonden gegevens zijn overgedragen aan Have I Been Pwned. Daarbij zaten meer dan 500.000 niet eerder geregistreerde wachtwoorden en 154.000 e-mailadressen van getroffen gebruikers. Van die e-mailadressen bleek ongeveer 86 procent al eerder in andere datalekken voor te komen. De nieuwe wachtwoorden zijn toegevoegd aan de database Pwned Passwords. Check dus even of het jouwe erbij zit. Is dat zo, verander dan dat wachtwoord op alle accounts waar je het hebt gebruikt.
Slachtoffers actief geïnformeerd
Ook het Dutch Institute for Vulnerability Disclosure (DIVD) heeft gegevens ontvangen van de autoriteiten. Die organisatie gaat slachtoffers informeren over de situatie. De politie roept websitebeheerders op om direct maatregelen te nemen, zoals het wijzigen van wachtwoorden, het inschakelen van multifactorauthenticatie (MFA), het verwijderen van onbekende accounts en het up-to-date houden van WordPress-installaties.
Strijd gaat verder
Volgens de Nederlandse politie is de ontmanteling van de infrastructuur slechts het begin van verdere acties tegen de criminelen achter SocGholish. De toegang tot geïnfecteerde systemen wegnemen, voorkomt niet alleen verdere datadiefstal, maar beperkt ook het risico dat die systemen worden ingezet voor andere aanvallen op bedrijven.
