Ben ik gehacked?

Dimitri van Zantvliet
2 min readSep 12, 2020

Wachtwoorden zijn geen nieuw fenomeen. Ze bestaan inmiddels 70 jaar sinds Fernando Corbato ermee begon. De bekendste en meest gebruikte wachtwoorden zijn natuurlijk “123456”, “password”, “qwerty”, etc. Ik verbaas me vaak over onze onmacht om wachtwoorden volledig uit te bannen. Mensen en wachtwoorden is een onmogelijke combinatie. Mensen en complexe wachtwoorden zo mogelijk nog meer. Het zou wellicht bij wet verboden moeten gaan worden..

Tijdens cyber security awareness sessies staan we altijd even stil bij email accounts en hun wachtwoorden voor online diensten. Het leukste is om dit van te voren van een paar mensen te checken en een van de gevonden wachtwoorden persoonlijk even te laten zien.

Ik begeef me hiermee in een grijs gebied, veel op het darkweb te vinden wachtwoorden zijn gehacked/gestolen en het verwerken van deze gegevens kan al snel als heling aangemerkt worden. Ik denk dat een paar wachtwoorden achterhalen voor educatieve doeleinden wel ok is. Let echter goed op waar u zelf de grens trekt!

“Hoe kan ik dan checken of mijn email accounts gehacked (of eigenlijk gelekt) zijn?”, vraagt men steevast. “Moet ik dan ook die pastebins op de darkweb fora doorspitten?” Dat hoeft gelukkig niet.

Hieronder een paar populaire en eenvoudige online websites om te checken of uw email accounts en/of wachtwoorden op het darkweb rondslingeren:

  • HaveIbeenPwned, de site van Troy Hunt met vandaag de dag meer dan 10 miljard gelekte accounts. Gratis email service. De gratis dienst van Mozilla, Firefox Monitor, draait ook op dezelfde engine.
  • Scattered Secrets, de online service check van onze Amsterdamse hackers Rickey Gevers en Jeroen van Beek. Ook betaalde premium dienst inclusief gekraakt wachtoord service.
  • F-Secure Identity Theft Checker, doet prima check en stuurt commerciële email er achteraan.
  • Avast Hackcheck, Avast checkt en stuurt een email als het adres of wachtwoord gevonden is
  • BreachAlarm, een dienst van de Australische Avalanche groep. Stuurt een mail als adres of wachtwoord gevonden is.

Voor de iets gevorderde zoeker met ook meer budget bieden OSINT (open source intelligence) diensten uitkomst. De meeste hebben dus wel een vorm van registratie of abonnement nodig.

  • The Breached Database Directory, 7 miljard records uit meer dan 6 duizend bestanden.
  • Dehashed, 12 miljard assets, registratie nodig (na een verschrikkelijk lange captcha) en mogelijkheid voor gratis LE (Law enforcement) licentie (ook voor overheden)
  • IntelligenceX, uitgebreide, prijzige tool met 25 Miljard records. Ik ben wel benieuwd naar hun net nieuwe identity portal

Naast bovenstaande webservices zijn er honderden tools te vinden die onderzoek kunnen doen naar mailadressen, wachtwoorden en andere informatie. Ik noem Spiderfoot, The Harvester, Maltego, enz. Hier moet je dan wel weer een gevorderde onderzoeker voor zijn.

Tips of trucs altijd welkom in de comments!

--

--

Dimitri van Zantvliet

dad, husband, friend, explorer, cyber geek, wonderer..and CISO of Dutch Railways