Meer dan 1 miljoen Belgische wachtwoorden zomaar op het internet: “Gevaarlijk als dit in verkeerde handen valt”
De wachtwoorden van meer dan 1 miljoen Belgen circuleren vrij op het internet. Zorgwekkend, want het gaat onder meer om inloggegevens van accounts die verbonden zijn aan banken, politieke partijen, het leger en overheidsinstellingen. Een “bezorgde gebruiker” bundelde die in een wereldwijde zoekmachine en trekt nu aan de alarmbel. “Als een gelijkaardige zoekmachine in verkeerde handen komt, kunnen de gevolgen heel ernstig zijn”, zegt Sammy Soetaert, een Belgische technologiejournalist die contact had met de man.
De voorbije jaren zijn de wachtwoorden van in totaal meer dan 1,4 miljard accounts uit de hele wereld gelekt op het internet. Afgelopen week gebeurde het nog bij de populaire fitness-app MyFitnessPal: de wachtwoorden van 150 miljoen gebruikers stonden plots zomaar op het internet na een datalek.
Veel mensen gebruiken hetzelfde wachtwoord voor al hun accounts op het internet – Facebook, LinkedIn, Twitter, Strava en Het Nieuwsblad bijvoorbeeld – en daar ligt net het gevaar van de vele lekken. Wie één wachtwoord te pakken krijgt, kan zich dan aanmelden bij alle websites waar de eigenaar van het e-mailadres geregistreerd is.
Een internetgebruiker heeft alle wachtwoorden die de voorbije jaren gelekt zijn, nu samengebracht op één website. Hij bouwde een zoekmachine, zeg maar het ‘Google van de wachtwoorden’. Daarop bevinden zich de e-mailadressen van minstens één miljoen Belgen, kwam de Belgische technologiejournalist Sammy Soetaert te weten.
Soetaert contacteerde de man – die benadrukt dat hij geen hacker maar een bezorgde gebruiker is – en mocht een uur lang zoeken naar Belgische domeinnamen in de database, met opmerkelijke resultaten. “Minstens één miljoen Belgische accounts staan open en bloot online”, zegt hij. “Heel wat van die accounts behoren toe aan gevoelige domeinnamen, zoals die van banken, overheidsinstellingen, politieke partijen, bedrijven, het leger en de nucleaire waakhond in ons land. Als het wachtwoord in verkeerde handen komt, bijvoorbeeld van terroristen, zou dat ernstige gevolgen kunnen hebben.”
Bezorgde gebruiker
De zoekmachine die de man gebouwd heeft staat wel online, maar is niet actief. “Voorlopig werkt de zoekmachine niet omdat hij wacht op juridisch advies. Hij benadrukt dat hij geen hacker is, maar een bezorgde gebruiker. Het doel van de man is niet om de gegevens openbaar te maken, wel om mensen erop te wijzen hoe belangrijk het is dat ze voorzichtig omspringen met hun gegevens op het internet. “Hij wil hen wijzen op hun laksheid. Mensen lopen het risico op identiteitsdiefstal, maar ook voor bijvoorbeeld Defensie en politieke partijen kan het grote gevolgen hebben.”
Uit ons land prijken meer dan een miljoen accounts in de zoekmachine, tegenover 3,3 miljoen uit Nederland, maar dat gaat alleen om de e-mailadressen die eindigen op de extensie .be. Het aantal Belgen in de zoekmachine ligt dus vermoedelijk nog een stuk hoger, want populaire sites als Gmail en Hotmail hebben .com als extensie. Enkele bedrijven hebben de man al gecontacteerd met de vraag om de zoekfunctie in te schakelen, zodat ze kunnen zien of hun domeinnaam er in voorkomt.
De ‘bezorgde gebruiker’ is een Nederlandstalig iemand, zegt Soetaert. “Hij vertrouwde me toe dat hij een programmeur is en vreest dat mensen met slechte bedoelingen een gelijkaardige zoekmachine zouden kunnen maken.”
Zo voorkom je problemen
Om te vermijden dat een gelekt wachtwoord immense gevolgen heeft, doe je er goed aan om zorgvuldig om te springen met de wachtwoorden. Met als belangrijkste regel: gebruik voor elk account een ander wachtwoord. “De fout die veel mensen maken, is dat ze er één of twee gebruiken op alle sites”, zegt Eddy Willems, beveiligingsexpert van G Data.
Veel wachtwoorden hebben op veel websites is moeilijk om ze allemaal te onthouden. Willems ziet daar oplossingen voor. “Je doet er goed aan om letters, hoofdletters, cijfers en leestekens te combineren. Als je daar dan een zin mee maakt waarin je telkens een woord verandert, blijft het eenvoudig.”
Willems geeft een voorbeeld. “Gebruik bijvoorbeeld IkhouvanBrico2x! als wachtwoord bij Brico. Daar staan alle soorten van tekens in en Brico kan je telkens veranderen door de naam van de website in kwestie. Er zit veel variatie en het is in je eigen taal, dus wordt het voor hackers erg moeilijk.”
Nog tips
Andere tips zijn bijvoorbeeld om elk jaar al je wachtwoorden te veranderen. Een Password Manager gebruiken waarin je al je wachtwoorden opslaat. “In dat laatste geval moet je slechts één wachtwoord onthouden. Maar als je dat vergeet, wordt het moeilijk.”
Willems heeft ook pen en papier nog niet opgegeven. “Om helemaal zeker te zijn: schrijf elk wachtwoord op een papier en verstop het ergens thuis. Je zou ervan schrikken hoeveel mensen dat nog doen.”
Twee-factor-authenticatie
Volgens de beveiligingsexpert is de ideale manier om je account te beveiligen een redelijk nieuwe: twee-factor-authenticatie. “Dan moet je je wachtwoord ingeven en vervolgens nog een code ingeven die je op je smartphone te zien krijgt. Als je dat hebt, zijn hackers altijd gezien. Veel grote websites als Facebook en Google gebruiken dat al, maar het probleem is dat ze het niet verplichten. Als ze dat zouden doen, zouden een heleboel problemen meteen opgelost zijn.”
Ben je benieuwd of jouw gegevens al gelekt zijn op het internet? Dat kan je uitzoeken op deze website.
Bron Nieuwsblad 02/04/2018