Als je er recent achter bent gekomen (eventueel via het door een Nederlander in elkaar gezette Gotcha.pw) dat je email adres en het bijbehorende wachtwoord gelekt zijn heb je het hopelijk al allemaal aangepast. Het risico is duidelijk: de database met alle gelekte, gestolen en anderszins verzamelde gebruikersnamen en wachtwoorden zijn in handen van scriptkiddies en hackers.
Als je er tussen staat en niets hebt gedaan of dezelfde combinatie ook gebruikt om ergens anders in te loggen zou je nog wel eens onaangenaam verrast kunnen worden. Die lijst zwerft rond en de enige manier om daar iets aan te doen is om ‘m ongeldig te maken. Aanpassen dus.
RTL Nieuws kwam vandaag met het bericht dat er een variant van Gotcha is gevonden (ze zeggen niet waar) die niet alleen de eerste twee of drie karakters van een mailadres en wachtwoord laat zien, maar de hele combinatie. De maker van de website vraagt dan heel flauw 10 euro in cryptovaluta om je gegevens van die lijst te halen, maar dat slaat natuurlijk nergens op. Die database aan gegevens zit op zo veel plekken dat het zinloos is om specifiek van *die* lijst af te komen. Doe anders dit als je ziet dat je in de database staat:
In het bericht over de nieuwe ‘zoekmachine’ staat ook dat ondanks de leeftijd van sommige email/wachtwoordcombinaties sommigen daarvan nog steeds blijken te werken. Dat zou kunnen betekenen dat de mensen wiens gegevens gepakt zijn die accounts helemaal bij ‘jammer’ hebben opgeschreven, maar realistischer is dat de bepaalde service of website waar de gegevens vandaan zijn gehaald gewoon niet meer gebruikt wordt en dat men dus vergeten is dat het adres en het wachtwoord daar ook gebruikt werden.
Het wordt al een tijdje geroepen: als je al jarenlang hetzelfde wachtwoord gebruikt op de interwebs wordt het tijd voor iets anders. En als je gegevens in deze grote database van hacks zitten is het zeker tijd, want ook de mensen die toegang hebben tot de lijst kunnen met speels gemak even tientallen sites af met die combinatie om te zien of ze daar ook binnenkomen.
Al die verhalen over nieuwe websites met wachtwoorden maken voor het ‘criminele’ verhaal niet veel uit, maar naarmate die lijst met 1,4 miljard gebruikersnamen en wachtwoorden van LinkedIn, Playstation, eBay en Dropbox steeds verder naar de oppervlakte komen en (bijna) iedereen er bij kan wordt de kans wel groter dat iemand die je wil fucken toegang zou kunnen krijgen tot je gegevens. En waar Joppie hacker misschien niet de moeite neemt om jou specifiek uit te pluizen wil iemand anders daar misschien wel een avond tegenaan gooien. En het ergste? Dan ben je het nog zelf schuld ook. Je bent vaak genoeg gewaarschuwd. Doe er wat aan.
[Afbeeldingen © Nicola De Mitri – Adobe Stock]
