Lek in Pwnedlist maakte 886 miljoen accountgegevens toegankelijk
Pwnedlist is een database waarin inloggegevens die op internet uitlekken worden verzameld. Gebruikers kunnen hierdoor eenvoudig controleren of hun accounts zijn gekraakt door cybercriminelen. De database blijkt echter een ernstig beveiligingslek te hebben bevat. Aanvallers konden de database misbruiken om geautomatiseerd waarschuwingen te ontvangen zodra nieuwe inloggegevens zijn uitgelekt die zij kunnen misbruiken.
Dit meldt beveiligingsonderzoeker Brians Krebs in een blogpost. Krebs zegt een tip ontvangen te hebben van Bob Hodges, een lezer van zijn blog en security onderzoeker uit het Amerikaanse Boston. Hodges wilde een alerts instellen voor een aantal .edu en .com domeinnamen die hij beheerd, zodat hij automatisch wordt gewaarschuwd indien inloggegevens met betrekking tot deze domeinen uitlekken.
Vertificatieproces functioneert niet
Dit bleek niet mogelijk te zijn. Tijdens zijn zoektocht naar een workaround stuitte Hodges echter op iets vreemds. Het verificatieproces van Pwnedlist bleek in zijn geheel niet te functioneren, wat misbruik van de database relatief eenvoudig maakt. De website bleek in de praktijk niet te controleren of e-mailadressen en domeinnamen die een gebruiker wil monitoren ook daadwerkelijk onder zijn beheer staan.
Krebs heeft de proef op de som genomen en wist in korte tijd alert meldingen in te stellen voor het domein Apple.com. Dit had wat voeten in aarde, aangezien zijn account al lange tijd gedeactiveerd bleek te zijn. Na activatie van zijn account ontving Krebs echter binnen 12 uur een rapport met ruim 100.000 inloggegevens voor accounts die eindigen op ‘apple.com’. Deze data is opgeslagen in platte tekst en beschikbaar als spreadsheet. De beveiligingsonderzoeker wijst erop dat de impact van dit lek enorm kan zijn. Zo zouden cybercriminelen de database kunnen uitbuiten door een rapport op te vragen met alle 886 miljoen accountgegevens die Pwnedlist inmiddels heeft verzameld.
Definitief offline
Het lek is door Krebs gemeld aan InfoArmor, het bedrijf Pwnedlist. Het bedrijf heeft de website direct offline gehaald in een reactie op de melding van Krebs. Inmiddels is de site weer beschikbaar. In een nieuwe verklaring op de site meldt InfoArmor dat Pwnedlist vanaf 16 mei 2016 definitief offline wordt gehaald. Commerciële klanten worden doorverwezen naar de website van InfoArmor.
Meer over
Lees ook
Webshops en financieel dienstverleners zijn het vaakst slachtoffer van datadiefstal
Webshops en financieel dienstverleners zijn het vaakst slachtoffers van cybercriminelen die data stelen. 48% van de e-commerce/online winkels en 41% van de financiële dienstverlenende organisaties is in de afgelopen 12 maanden door cybercrime financieelgerelateerde informatie kwijtgeraakt. Dit blijkt uit onderzoek van Kaspersky Lab onder IT-profes1
Gegevensverlies door Internet of Things baren consumenten veel zorgen
Consumenten maken zich veel zorgen over Internet of Things. 64% van de huiseigenaren stelt 'extreem bezorgd' te zijn over gegevensverlies of -diefstal door Internet of Things. 26% is 'enigzins bezorgd'. Dit blijkt uit onderzoek van Fortinet onder 1.801 huiseigenaren met verstand van techniek. De consumenten zijn gevraagd naar Internet of Things in1
NCSC: 'Ook accountgegevens van Nederlandse bedrijven onder gestolen gegevens Duitsland'
Begin deze maand maakt de Duitse overheid bekend dat een botnet 18 miljoen accountgegevens heeft weten te bemachtigen van burgers. Het gaat hierbij om e-mailadressen en wachtwoorden van zowel bedrijven als burgers. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat hierbij ook Nederlandse accountgegevens zijn aangetroffen. De organisatie w1