• Home
  • Blog
  • Grote verkoopsite met gestolen wachtwoorden offline gehaald

Grote verkoopsite met gestolen wachtwoorden offline gehaald

16-06-2021
Geen reacties
Nieuws

Marktplaats gestolen wachtwoordenDe FBI heeft onlangs een grote online marktplaats met gestolen wachtwoorden van internet gehaald. Het gaat om Slillp, een van de grootste illegale online handelsplaatsen ter wereld. De FBI werkte samen met onder meer de Nederlandse, Duitse en Roemeense politie en nam een groot aantal servers in diverse datacentra in beslag.

Meer dan 1.400 verkopers

De website Slillp had meer dan 1.400 verkopers die in totaal 80 miljoen wachtwoorden te koop aanboden. Dat ging om de inloggegevens voor honderden verschillende websites en online diensten, waaronder webshops, betaaldiensten en banken. De FBI focuste vanaf eind 2020 zijn aandacht op deze specifieke marktplaats omdat het de grootste was in zijn soort. Door het oprollen ervan is aan cybercriminelen een flinke slag toegebracht, zo zeggen de opsporingsdiensten zelf.

Schade van honderden miljoenen euro's

Volgens de FBI is inmiddels bekend dat de schade die met de verkochte wachtwoorden is veroorzaakt in de honderden miljoenen dollars loopt. En dat is alleen nog maar in de Verenigde Staten. De kans is groot dat mensen van over de hele wereld slachtoffer zijn geworden en dus ook dat de totale schadepost nog vele malen groter is. Tot nu toe konden 12 mensen worden geaaresteerd die bij Slillp betrokken waren. Het onderzoek is nog in volle gang en het is daardoor ook nog niet bekend of er nog meer arrestaties zullen worden verricht.

Hoe werden deze wachtwoorden gestolen?

Malafide partijen konden dus vele miljoenen inloggegevens stelen van allerlei verschillende websites. Maar hoe werden die wachtwoorden en gebruikersnamen eigenlijk gestolen? Dat kan op veel verschillende manieren zijn gebeurd. Dit zijn de meest voorkomende:

1. Website gehackt

Wanneer een hacker toegang tot een webserver heeft gekregen betekent dit vaak ook dat die bij allerlei gevoelige gegevens kan, zoals bijvoorbeeld bij alle gebruikersgegevens in de database. Zolang de wachtwoorden in die database heel veilig zijn versleuteld hoeft dat geen ramp te zijn, want in die toestand kan er nog niets mee gedaan worden. Als het echter mogelijk is om de versleutelde wachtwoorden om te zetten naar de echte wachtwoorden kunnen de gegevens worden gebruikt om zelf in te loggen. Nog altijd zijn er sites die wachtwoorden gewoon meteen als tekst (dus niet versleuteld) opslaan en daarmee kan een hacker natuurlijk meteen heel veel schade veroorzaken.

Oplossing: hier kun je helaas zelf niets aan doen, want het is de website die deze beveiliging in orde moet maken.

2. Wachtwoorden onderschept

Wanneer een hacker zichzelf op een openbaar netwerk nestelt en meeluistert met de andere gebruikers kan hij alle gegevens die worden ontvangen verstuurd makkelijk onderscheppen. Daaronder valt ook het verkeer dat wordt gebruikt om in te loggen op bepaalde online diensten. Als die gegevens niet versleuteld worden zijn ze kinderlijk eenvoudig te stelen en op te slaan in een database die weer op platforms zoals Slillp kunnen worden doorverkocht.

Oplossing: dit kun je voorkomen door altijd een VPN te gebruiken als je verbinding maakt met een openbaar netwerk.

3. Te makkelijke wachtwoorden

Het is natuurlijk heel belangrijk om veilige wachtwoorden te gebruiken, want daarmee zorg je ervoor dat ze niet makkelijk te raden zijn. Wanneer dat wel het geval is dan kunnen je accounts ook gecompromitteerd worden zonder dat er gegevens gestolen of uitgelekt hoeven te zijn. Dat is met name gevaarlijk als je hetzelfde wachtwoord (of wachtwoorden die er sterk op lijken) op meerdere websites gebruikt. Wanneer een hacker eenmaal weet welk wachtwoord er bij je gebruikersnaam of e-mailadres hoort kan hij die gegevens zelf gebruiken of doorverkopen.

Oplossing: gebruik nooit makkelijk te onthouden wachtwoorden maar kies voor een betekenisloze reeks getallen, letters en andere tekens.

4. Te korte wachtwoorden

Hoe korter je wachtwoorden zijn, hoe groter de kans dat die inmiddels al te vinden is een zogenaamde 'lookup table'. Daarin staat een schier onbeperkt aantal combinaties van karakters versleuteld in zodat een versleuteld wachtwoord er mee vergeleken kan worden. Ook wachtwoorden die niet makkelijk leesbaar maar wel heel kort zijn kunnen op die manier toch vrij vlot geraden worden.

Oplossing: kies altijd een lang wachtwoord want hoe langer dat is, hoe kleiner de kans dat hij al in zo'n lookup table is te vinden.

Reageer op deze blog

Velden met * zijn verplicht

Rubrieken

Wij gebruiken cookies We kunnen deze plaatsen voor analyse van onze bezoekersgegevens, om onze website te verbeteren, gepersonaliseerde inhoud te tonen en om u een geweldige website-ervaring te bieden. Voor meer informatie over de cookies die we gebruiken opent u de instellingen. Bekijk onze cookiepagina
Accepteer alles
Weigeren