Donderdag 29/10/2020

Hackers

Gegevens van 117 miljoen Linkedin-gebruikers te koop

De top van Linkedin bij de beursgang in 2011.Beeld epa

Hackers hebben 117 miljoen Linkedin-wachtwoorden en e-mailadressen te koop aangeboden. Voor vijf bitcoins, omgerekend ongeveer tweeduizend euro, kunnen belangstellenden het pakket met inloggegevens downloaden.

De gegevens zijn buitgemaakt tijdens een hack in juni 2012. Aanvankelijk werd gedacht dat het toen om 'slechts' 6,5 miljoen gebruikers ging die werden getroffen door de hack. De gegevens zouden door Russische cybercriminelen zijn gestolen.

Woensdag werd technologiewebsite Motherboard echter benaderd door een hacker met de schuilnaam 'Peace' die verklaarde dat hij in totaal 117 miljoen gegevens in handen heeft. Gelijktijdig bood Peace de gegevens aan op TheRealDeal, een online marktplaats op het dark net. Op dit afgeschermde gedeelte van het internet kunnen mensen bijvoorbeeld drugs of wapens verhandelen, zonder dat dit door veiligheidsdiensten wordt opgemerkt of is terug te vinden.

Het pakket aan gegevens bevat mailadressen en de bijbehorende 'gehashte' wachtwoorden, een soort cijfer- en letterbrij die door een algoritme is gecreëerd. Deze hashes zijn gemakkelijk te kraken, omdat Linkedin een verouderde en veelgebruikte versleuteltechniek gebruikte, SHA1 genaamd.

'Je moet je wachtwoord zien als een soort legobouwwerk en de hash als de legoblokjes', vertelt Jaap-Henk Hoepman van het Privacy en Identity Lab van de Radboud Universiteit. 'Als ik jou deze blokjes geef zonder dat je weet wat het gebouw is, dan kom je daar niet achter: je zou zoveel verschillende gebouwen met dezelfde steentjes kunnen bouwen. Wel kun je veel voorkomende gebouwen proberen te bouwen of alle mogelijke bouwsels uitproberen om te kijken of het klopt. Met wachtwoorden werkt dit precies zo.'

De zwakte van hashfunctie is dus dat vaakvoorkomende wachtwoorden dezelfde hash-code hebben. Het wachtwoord 123456 (het meestgebruikte Linkedin-wachtwoord, zie onderaan) kent dus voor alle gebruikers dezelfde cijfer en letterbrij. Daarnaast zijn er voor minder voorkomende hashes programmaatjes die de hashes vergelijken met woorden, namen of plaatsen. Deze kunnen miljoenen gegevens per seconde 'raden'.

Veel websites voegen om de gebreken van hashing te ondervangen aan wachtwoorden een zogenaamde salt-waarde toe. Hiermee wordt een wachtwoord voor iedere website anders gehasht: een wachtwoord op Facebook ziet er dan anders uit dan op Linkedin. 'Dit is een techniek die al twintig tot dertig jaar gebruikt wordt. Het is een onvergeeflijke fout van Linkedin dat ze deze techniek niet hebben toegepast.'

Mensen die de gegevens in handen krijgen, kunnen nu inloggen bij accounts waarvan het wachtwoord niet is veranderd. Dat is niet alleen schadelijk voor de privacy van de gebruikers, maar kan ook gebruikt worden om in te loggen bij andere websites of phisingmail te verspreiden, vertelt Hoepman. 'Stel je voor dat je de gegevens hebt van het hoofd P&O van Philips, dan is het heel gemakkelijk om een bericht met malware te sturen naar de CEO. Mensen vertrouwen berichten die ze van bekenden via Linkedin ontvangen."

In 2012 heeft Linkedin de wachtwoorden opnieuw ingesteld van de gebruikers van wie toen gedacht werd dat de gegevens gestolen waren. Nu, vier jaar na de hack, heeft Linkedin ook de wachtwoorden ongeldig gemaakt van de miljoenen gebruikers die hun account voor de hack in 2012 registreerden en het wachtwoord sindsdien niet hebben aangepast. Of de gegevens in de tussentijd zijn misbruikt, is onduidelijk.

Populairste wachtwoorden

De tien meest voorkomende wachtwoorden worden door bijna 1,5 miljoen mensen gebruikt.

Beeld De Volkskrant
Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234