Database met gebruikersgegevens van duizenden websites lekt uit

Abonneer je gratis op Techzine!

Een collectie van meer dan 23.000 gehackte databases is tijdelijk op een forum verschenen. De collectie kwam van de hackerwebsite Cit0day, die sinds kort offline is.

Cit0day was een website waar cybercriminelen een toegang tot de gehackte databases konden kopen, om vervolgens misbruik te maken van de gestolen persoonsgegevens. Deze gegevens bestonden uit e-mailadressen, gebruikersnamen, woonadressen en wachtwoorden. Een substantieel deel van die wachtwoorden was niet gehasht.

Beslaglegging

De website is in januari 2018 opgericht en werd sterk geadverteerd op hackforums. Op 14 september dit jaar was de website echter plotseling offline, met een melding dat de website in beslag genomen was door de FBI en het Amerikaanse Department of Justice.

Dit leidde tot geruchten dat de oprichter van de website, die het pseudoniem Xrenovi4 gebruikt, gearresteerd was. Hetzelfde is gebeurd met de oprichters van LeakedSource en WeLeakInfo, twee vergelijkbare websites.

Er gaan echter ook andere geruchten dat de website niet in handen van de Amerikaanse instanties is gevallen, maar is overgenomen door een andere hacker. Volgens KELA-productmanager en beveiligingsexpert Raveed Laeb is de FBI-melding op Cit0day gekopieerd van een andere neergehaalde website.

Daarnaast hebben de FBI en DoJ geen melding gemaakt van een arrestatie, terwijl ze normaal gesproken alleen een website neerhalen wanneer ze de makers ervan kunnen aanklagen. Toen ZDNet de FBI om commentaar vroeg, weigerde de instantie om informatie over onderzoeken te delen, vanwege intern beleid.

Databases op forum

Enkele weken later verscheen op een Russisch hackerforum een bericht met een link naar een bestand dat naar MEGA was geüpload. In het bestand waren gratis alle 23.618 gehackte databases terug te vinden.

Volgens forumgebruikers was het bestand zo’n 50GB groot en bevatte het ongeveer 13 miljard gebruikersgegevens. Ook het Italiaanse beveiligingsbedrijf D3Lab heeft aan ZDNet kunnen bevestigen dat het lek echt was.

Het bericht werd enkele uren later verwijderd, maar in de tussentijd hebben meerdere gebruikers het gedownload en verder verspreid via onder andere Telegram- en Discord-kanalen van dataverkopers. Ook werden onlangs 8949 van de uitgelekte databases opnieuw gedeeld op een ander hackerforum.

Uitgelekte gegevens

Het overgrote deel van de uitgelekte gegevens komt bij kleine, onbekende websites vandaan die vele jaren geleden gehackt waren. In de meeste gevallen waren de wachtwoorden gehasht, maar daarvan is ongeveer een derde gekraakt. Ook was er een groot aantal databases waarvan het wachtwoord überhaupt niet versleuteld was opgeslagen.

De personen die de gestolen gegevens opkopen, gebruiken ze voornamelijk voor het opzetten van spamcampagnes. Ook proberen ze de uitgelekte wachtwoorden uit op andere websites, in de hoop dat gebruikers hetzelfde wachtwoord bij meerdere websites hebben gebruikt.