Grootste datadump ooit breidt uit tot 2,2 miljard unieke accounts

De grootste datadump ooit van gelekte gebruikersgegevens is aanzienlijk groter dan eerst gedacht. Nadat half januari Collection #1 online verscheen, werd nu ook Collection #2-5 gepubliceerd.

Collection #1 bevatte zo’n 773 miljoen unieke e-mailadressen en 22 miljoen unieke wachtwoorden in meer dan 1 miljard unieke combinaties. Alles samen zo’n 87 GB aan gelekte gegevens. Het was daarmee al de grootste datadump ooit en neemt alleen maar in omvang toe nu ook Collection #2 tot #5 online verschenen.

Collection #2-5 telt nog eens 845 gigabyte aan gelekte data. Rekening houdend met duplicaten, schatten analisten van het Duitse Hasso Plattner Institute (HPI) dat de totale omvang van de Collection-datadump op 2,2 miljard unieke combinaties uitkomt. Bijna drie keer zoveel als de originele Collection #1.

Ook nieuwe data

De meeste data zijn afkomstig van eerdere grote datalekken, zoals die bij Yahoo, Dropbox en LinkedIn. Het gaat in veel gevallen om gegevens van enkele jaren oud. Wired meldt dat de HPI-onderzoekers evenwel ook 750 miljoen gegevens aantroffen, die nog niet eerder aan hun database met gelekte wachtwoorden en gebruikersnamen toegevoegd.

David Jaeger, onderzoeker bij HPI, vermoedt daarom dat minstens een deel van de dataset bestaat uit de wachtwoorddatabases van kleinere websites die slachtoffer zijn gevallen van automatische hackaanvallen.

Ongeacht waar de gegevens vandaan komen, is het een waardevolle verzameling voor (onervaren) hackers die via credential stuffing op goed geluk proberen in te breken op online accounts door gekende combinaties in te geven.

Gratis verspreid

Volgens cybersecuritybedrijf Recorded Future werd Collection #1-5 waarschijnlijk samengesteld door een hacker die onder het pseudoniem “C0rpz” opereert. C0rpz zou de informatie hebben doorverkocht aan andere hackers, die de collecties nu gratis verspreiden via clouddienst Mega en torrentwebsites. Recorded Future is niet 100% zeker van de attributie en onderzoekt ook nog de piste van een gekende Russische hacker.

Het feit dat de informatie ondanks de omvang gratis te grabbel ligt, doet Jaeger vermoeden dat de verzameling al enige tijd de ronde doet in de hackerwereld. “Waarschijnlijk hadden de ervaren hackers, de kerels die er echt munt uit willen slaan, het al jaren in bezit”, zegt hij tegen Wired. “Na een tijdje hebben ze alles geprobeerd bij de grootste diensten, dus is het niet logisch om [de data] nog langer bij te houden. Ze verkopen het voor een klein bedrag.”

Onder een bepaald prijspunt worden gestolen data volgens Jaeger sneller voor andere informatie geruild, waardoor de waarde nog verder daalt. “Misschien is het waardeloos voor de mensen die deze datadumps oorspronkelijk hebben gemaakt, maar voor willekeurige hackers kan het nog steeds voor veel services worden gebruikt”, waarschuwt Jaeger nog.

Controleren

Wie wil controleren of zijn gegevens in één of meer van de collecties voorkomen – wat waarschijnlijk het geval zal zijn – kan gebruik maken van de Identity Leak Checker van Hasso Plattner Institute. Security-expert Troy Hunt voegde eerder al Collection #1 toe aan zijn website Have I Been Pwned.

Het advies luidt zoals steeds: gebruik overal een uniek en complex wachtwoord en bewaar je wachtwoorden bij voorkeur in een wachtwoordkluis zoals LastPass of 1Password. Schakel waar mogelijk ook altijd tweestapsverificatie in om je nog beter te beschermen tegen credential stuffing.