Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox, Playstation en eBay publiceren, dat kan toch niet legaal zijn? Nou ja, zoals ik het bij Gotcha zie wel.

In maart blogde ik over de dienst HaveIBeenPwned.com van de Amerikaan Troy Hunt. Die biedt een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf). Dat is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Ga je wachtwoorden als zodanig bekend maken, dan wordt het spannender. Dat kan ik nog net billijken als je dit alleen aan de eigenaar zelf bekend maakt, al dan niet tegen betaling, maar dan moet er wel enige fatsoenlijke identiteitscontrole op zitten.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

Arnoud

23 reacties

  1. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

    Als de database een uniek werk is. Ja.. maar dat is hij in dit geval niet. In dit geval gaat het om een lijst die je in een paar minuten op het internet open en bloot zonder enige encryptie of beveiliging kan vinden. En die op zo’n manier verspreid word (torrent) dat het onbeschikbaar maken ervan erg lastig is.

    Dan voelt elke extra beveiligingsmaatregel aan de kant van de database een beetje als een poort zonder hek (zeg maar: https://elitefeet.com/wp-content/uploads/wooden-gate-no-fence.jpg)

    1. De site doet het nu wel en heb mijn domein maar eens gecontroleerd. In totaal 6 accounts gelekt waarvan ik allang wist dat ze uitgelekt waren. 🙂 Meerdere accounts die gerelateerd zijn aan NeoPet, eentje voor LinkedIn en een vreemde account met een wachtwoord dat begint met 72.

      Ik heb nooit een wachtwoord gebruikt dat met 72 begint dus mogelijk heeft iemand een nep-account aangemaakt met een email adres op mijn domein om wat voor reden dan ook. Je ziet soms vreemde dingen online gebeuren. Zo worden er op mijn domein diverse vreemde subdomeinen aangeroepen die beginnen met een cijfer (2, 3, etc.) of zelfs vreemde lettercombinaties zoals atkaaedlsnyxhcu.example.com en andere rare woorden. Ook wel eens de smtp/imap/email subdomeinen voorbij zien komen wat best wel comisch is want die komen dan weer van hackers. IP adres is gelogd, dus blokkeren maar…

      Maar soms komt er ook een verzoek naar een domein binnen dat helemaal niet van mij is! Zo staat 0x1x1(dot)com in mijn domeinnaam-overzicht en die is niet van mij. (Kennelijk een Chinese hacker die toegang wil tot mijn server.)

      Hoe dan ook, ik vind het nog best meevallen, aangezien ik heel veel aliassen op mijn domein gebruik voor email. Ieder bedrijf waar ik een account aanmaak heeft een eigen alias binnen mijn mailbox. Een catch-all vangt het allemaal op en als een bedrijf wordt gehackt dan weet ik dat vrij snel.

      Zo ook met de Linkedin hack van een tijdje geleden. Ik wist meteen dat ze gehackt waren omdat spammers de mailinglist gebruikten voor spam. Spam op mijn Linkedin alias? Hup! Nieuwe alias voor LinkedIn en het oude adres naar dev/null verwijzen. 🙂

      En wachtwoorden? Tja, ik gebruik een setje van 10 wachtwoorden voor honderden sites. Alleen, iedere site heeft weer wel een eigen email alias van mij zodat mijn LinkedIn adres niet bij Facebook te gebruiken is. Dan moeten ze mijn Facebook adres weten! Op zich ook redelijk veilig. Wel regelmatig wachtwoorden vervangen maar wat ik zie van die gehackte accounts is dat ze mijn wachtwoord hebben van 8 jaar geleden. Geen probleem dus…

  2. Hoi Arnoud,

    Is hij hiermee niet in strijd met de aankomende GDPR wetgeving? Hij verzamelt en verwerkt namelijks persoonsgegevens (een emailadres valt daar onder). Hiervoor moet hij dus a) de toestemming vragen aan de eigenaar en b) de eigenaar in kennis stellen wat hij precies met zijn gegevens gaat doen.

    Lijkt me in dat opzicht nogal raar om te claimen dat dit legaal is. Misschien per definitie tot 24/5 ja, maar vanaf dan?

    1. In de blog geef ik aan waarom ik geen strijd zie met de AVG/GDPR. Het is onjuist dat er toestemming nodig is, omdat de dienst de grondslag eigen gerechtvaardigd belang (artikel 6 sub f) hanteert. Op basis van de daarbij behorende privacy-afweging kom ik tot de conclusie dat dit belang prevaleert boven de privacy van betrokkenen. Informeren van betrokkenen is inderdaad nodig, maar ik denk dat hier de uitzondering van artikel 14 lid 5 punt b opgaat: het is disproportioneel veel moeite om iedereen te berichten over het wachtwoord.

  3. Ook je argument dat er maar een bepaald deel zichtbaar is, raakt kant nog wal.

    Als gebruiker A al jouw persoonlijke gegevens publiceert, met bankrekeningnr, creditcardnr, woonplaats, maar telkens de eerste helft vervangt door een sterretje, dan is het ok?

    Als gebruiker B dan jouw gegevens publiceert met de laatste helft in sterretjes in het ook ok?

    De geest van de GDPR wetgeving is de bescherming van de natuurlijke personen. Welk algemeen nut ze zouden kunnen hebben door hun wachtwoord deels te publiceren ontgaat mij volledig. Zoals haveibeenpwned.com het doet hoort het: zonder wachtwoorden. Dit zou Mr. d0gberry wel eens heel duur te komen staan.

    1. Voor mij is cruciaal dat déze specifieke set van halve gegevens te beperkt is om evident tot identificatie te komen en misbruik te maken van de wachtwoorden. Als er meer informatie staat, zoals in jouw voorbeeld, dan komt dat anders te liggen en dan zullen halve teksten ook problematisch zijn. Maar specifiek in deze zoekmachine vind ik dit gebruik van sterretjes een adequate anonimisering.

      1. Inderdaad. Bovendien is het ook nog zo dat een aardig deel van de uitgelekte wachtwoorden verouderd is. Zie bijv. Wim ten Brink hierboven: de site liet een wachtwoord zien dat hij 8 jaar geleden gebruikte en inmiddels allang niet meer. Dit i.t.t. andere dingen, zoals bijv. je bankrekeningnummer of woonplaats. Wachtwoorden zijn dingen die een aardig deel van de mensen sneller wijzigt dan overstappen naar een andere bank of verhuizen (en in dat laatste geval kun je ook nog binnen de woonplaats verhuizen, waardoor ie hetzelfde blijft).

      2. Ik heb overigens ook op de site gezocht op het domein van een voormalige werkgever waar ik 5 jaar geleden heb gewerkt. (En die voor de verandering niet failliet is gegaan na mijn vertrek!) Daar bleken uiteindelijk 8 accounts op te staan! Voor een bedrijf met minder dan 50 werknemers is dat behoorlijk veel.

        Maar omdat ik bekend ben met het bedrijf kan ik ook de namen herkennen van de accounts aangezien het mijn collega’s waren. En anders kun je ze mogelijk terugvinden op de bedrijfspagina op LinkedIn of so. Dat zou het al een stuk makkelijker maken, alleen zijn hun e-mailadressen sowieso niet moeilijk te raden. Lastiger wordt het mer hun wachtwoorden, want 2 letters is niet genoeg.

        Maar ik ben eigenlijk meer nieuwsgierig naar waar die accounts vandaan komen! Komen ze van de Linkedin hack? Of van de Adobe? Of via andere bronnen? Dat zou redelijk nuttige informatie zijn, maar brengt op zich weer meer risico’s met zich mee dat privacy wordt geschaadt. Het is dus uiteindelijk lastig te bepalen hoeveel informatie je mag tonen voordat je in overtreding bent…

  4. Bij mij staat er dat ze geen gegevens hebben gevonden bij https://gotcha.pw terwijl ik bij de dienst van https://ismijndatagelekt.nl een rapport met wachtwoorden ontving van drie registraties en https://haveibeenpwned.com me weet te vertellen dat ik in vier verschillende datalekken voorkom? Als ze laten zien hoeveel tekens het wachtwoord heeft en de eerste twee letters tonen? Is dat dan ook niet gevaarlijk?? Als iemand weet dat mijn huisdier wolfje heet en hij het wachtwoord wo met vier puntjes ziet dan snapt die ook wel dat dit mijn wachtwoord is. Wat vinden jullie daarvan ??

  5. Hmm. Dit is behoorlijk gevaarlijk. Ik zie wel dat @ictrecht er 3x in staat. En google daarna op “m.van @ictrecht.nl” En je hebt vermoedelijk zijn voornaam (past bij het wachtwoord) en achternaam (inlognaam), en zie je dat hij waarschijnlijk een nogal dom wachtwoord hanteert. Ik mag hopen dat hij zijn wachtwoord al heeft veranderd?

  6. Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

    Nee, flikker op met deze website, dat scriptkiddo kutjong heeft het zojuist tig keer makkelijker gemaakt die oude wachtwoorden te kraken door ze maar gewoon met de eerste tekens en de totale lengte zichtbaar online te slingeren, zonder enige vorm van verificatie (bijv of jij wel dat email adres bent)

    Al met al moet deze site zo snel mogelijk uit de lucht gehaald worden, leuk dat wat ie doet op papier door de beugel kan, in de praktijk geeft het alleen maar blijk van hoe ver dit joch verwijderd is van een security professional, de meest debiele actie om aandacht te krijgen in tijden, laat dat kind lekker op faceboek dan hoeft ie zich hier niet mee bezig te houden, als ie denkt dat hij hiermee een leuke baan als security pro heeft verzekerd komt ie nog van een koude kermis thuis.

    Let trouwens op Arnoud, hij is nu namelijk op grond van jou verhaal verder gegaan met zn klote projectje, dus verwacht ie binnenkort waarschijnlijk ook dat je het voor hem opneemt in de onvermijdelijke rechtszaak die hier van zal komen.

    1. Klinkt leuk wat je zegt maar het is maar de vraag hoe legaal het uiteindelijk is. De gegevens die worden gebruikt zijn immers allang publiekelijk bekend en daarnaast heeft het een belangrijke waarschuwingsfunctie! Als je account ertussen staat dan heb je echt een probleem! En aangezien de site het eenvoudig maakt om ook adressen van anderen te controleren kun je die personen dus opzoeken en waarschuwen. Heb je b.v. een blog met daarbij email adressen van bezoekers dan kun je deze site gebruiken om te zien of sommige bezoekers mogelijk gehackt zijn. Die bezoekers kun je vervolgens weren en/of waarschuwen.

      Maar als jij kan vertellen op basis van welke wetgeving dit illegaal zou zijn dan horen we het graag… 🙂

    2. Rare manier van communiceren met woorden als “kutjong”. Daarnaast: hoe weet je dat het een “scriptkiddo” betreft? Zijn manier van communiceren op de site komt vrij professioneel over (daarmee zeg ik NIET dat hij een professional is, maar wél dat hij niet zomaar even snel iets online gezet heeft met een gammele tekst erbij). Daarnaast is “dogberry” een personage uit een stuk van Shakespeare. Nu kan ik niet voor elke “scriptkiddo” praten, maar ik vraag me af of de gemiddelde “scriptkiddo” zich verdiept heeft in Shakespeare.

      En w.b.t. een rechtszaak: diverse gemeenten zijn nu met hem bezig om campagnes te lanceren voor veilig internetten, dus de lokale politiek steunt hem al. Iedereen kan een rechtszaak beginnen, maar het feit dat hij politiek wordt bijgestaan maakt het wel wat lastiger. Immers, niet alleen Arnoud kan hem verdedigen in de rechtszaal, ook de gemeenten kunnen hem bijstaan en dan wordt het een stuk lastiger voor de rechter want politieke druk… Daarnaast is het ook onduidelijk welke wetgeving dit illegaal zou maken (zie ook Wims bericht).

      Trouwens, jouw taalgebruik, spelling en grammatica zijn ook niet al te best dus wie is er hier nu werkelijk een “kind”?

  7. Mijn systeem om per website een e-mail adres aan te maken betaalt zich weer uit. Adobe wordt bedankt voor het uitlekken van mijn wachtwoord. Zo kon ik op deze site naast zien welke e-mail adressen en wachtwoorden op mijn domein buit gemaakt zijn, ook bij welke partij ze vandaan zijn gekomen.

    Overigens had Adobe een vreselijke hashfunctie (of geen?) gebruikt om de wachtwoorden te beschermen in hun database. No way dat je een reeks willekeurige cijfers, letters en tekens anders met een brute force exact weet te herleiden tot het password.

    Een interessante vraag voor mij: als je daardoor schade hebt, kan je Adobe verantwoordelijk stellen voor de slechte databeveiliging?

    Niet dat ik zelf geheel vrijuit ga, ik had hetzelfde wachtwoord bij Netflix gebruikt en de hacker was slim genoeg om te zien dat hij voor de login alleen het gedeelte voor de @ in netflix hoefde te wijzigen :/ Nu overal verschillende wachtwoorden in gebruik, dus geen probleem meer.

    1. Ik vroeg me ook af hoe ze mijn wachtwoord hebben kunnen ‘unhashen’ … Lijkt me nogal een karwei om al die wachtwoorden te brute-forcen. … Tenzij … de hacker niet zozeer de DB heeft gehackt, via XSRF gewoon controle had over de pagina waar wij het wachtwoord plain-text invullen, of de applicatie had gehackt waar het wachtwoord plain-text aankomt vóórdat het wordt gehashed.

        1. Inderdaad. Ben geen fan van wachtwoorden opslaan in platte tekst, maar het is niet per se altijd een probleem. Als bijv. mijn Twitter-wachtwoord in platte tekst zou worden opgeslagen en zou uitlekken, dan is dat even schrikken. Aan de andere kant heb ik wél authenticatie in twee stappen aan, dus zo makkelijk komen ze er niet in. Zouden meer mensen moeten doen…

        2. Adobe had de passwords encrypted opgeslagen en de password hints (welke ik nooit gebruik. Als ze het afdwingen is mijn hint altijd “?” of als je mag kiezen uit een lijst met vragen (brrrr) dan kies ik een vraag en geef ik een fout antwoord.

          Nadeel van encrypten zonder salt is dat hetzelfde password altijd tot dezelfde database entry leidt. Sommige mensen zullen dus gehacked zijn door de slechte password hints van anderen met hetzelfde password. Ook is het daarmee al eenvoudiger om het encryption algoritme te vinden en zelfs als je die niet kraakt kan je daarna rainbow tables maken en brute forcen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.