De Collection-datadump bevat intussen gegevens van 2,2 miljard unieke online accounts.
Beeld: Security-expert Troy Hunt, die het lek ontdekte, vond ook zijn eigen gegevens in de databank.
De grootste datadump ooit van gelekte gebruikersgegevens is een feit. Het begon half januari, toen security-expert Troy Hunt op de filesharing-clouddienst MEGA een lek ontdekte met 773 miljoen unieke e-mailadressen en 22 miljoen unieke wachtwoorden in meer dan 1 miljard unieke combinaties. Alles samen bevatte het lek zo’n 87 GB aan gegevens. Hunt noemde het lek Collection #1. Eind januari werd onder de noemer Collection #2-5 nog eens 845 GB aan data online gedumpt. Rekening houdend met duplicaten schatten analisten de omvang van de volledige Collection-datadump op 2,2 miljard unieke combinaties.
De meeste data zijn afkomstig van eerdere grote datalekken, zoals die bij Yahoo, Dropbox en LinkedIn. Het gaat in veel gevallen om gegevens van enkele jaren oud. Onderzoekers hebben evenwel 750 miljoen gegevens aangetroffen die nog niet eerder aan hun database met gelekte wachtwoorden en gebruikersnamen werden toegevoegd. Ongeacht waar de gegevens vandaan komen, is het een waardevolle verzameling voor (onervaren) hackers die via credential stuffing op goed geluk op online accounts proberen in te breken. De cyberaanval bestaat eruit dat de hacker via bekende combinaties van emailadressen en wachtwoorden op een hoop websites probeert in te loggen.
Het feit dat de informatie ondanks haar omvang zomaar te grabbel ligt, doet vermoeden dat de verzameling al enige tijd de ronde doet in de hackerwereld. Waarschijnlijk hadden de ervaren hackers, de kerels die er echt munt uit willen slaan, de gegevens al jaren in hun bezit. Wanneer ze met de beschikbare gegevens alles hebben geprobeerd bij de grootste diensten, vinden ze het niet langer de moeite om de data nog voor zichzelf te houden.
Wie wil controleren of zijn of haar gegevens in één of meer van de collecties voorkomen – en die kans is reëel – kan gebruikmaken van de diensten Have I Been Pwned? of de Identity Leak Checker van Hasso Plattner Institute. Het advies om je te beschermen tegen datalekken luidt nog steeds: gebruik overal een uniek en complex wachtwoord en bewaar je wachtwoorden bij voorkeur in een digitale kluis als LastPass of 1Password. Schakel waar mogelijk tweestapsverificatie in. Zo ben je nog beter beschermd tegen credential stuffing.
