Gotcha.pw: zoekmachine met miljoenen wachtwoorden online geplaatst

DRM browser W3C, cyberaanval

Er is een nieuwe zoekmachine met gelekte Nederlandse wachtwoorden online verschenen. Het gaat om Gotcha.pw, waar je kunt zoeken naar e-mailadressen. Is er een gelekt wachtwoord aan het adres gekoppeld, dan worden de eerste twee tekens van het wachtwoord getoond.

Ook kun je domeinnamen invullen in de zoekmachine. In dat geval worden de eerste tekens van getroffen e-mailadressen en wachtwoorden in beeld gebracht. Een organisatie kan zo in een keer zien van welke werknemers de wachtwoorden op straat liggen.

In de zoekmachine staan onder meer wachtwoorden van de Co├Ârdinator Terrorismebestrijding. Of het om actuele of oude wachtwoorden gaat, is onduidelijk.

Oude lekken

De wachtwoorden in de zoekmachine zijn overigens niet allemaal van nieuwe datalekken. Zo staan er wachtwoorden in van LinkedIn en Myspace, die al jaren geleden gehackt werden. De beheerder van de site, die zichzelf d0gberry noemt, heeft wachtwoorden uit eerdere lekken verzameld en in een zoekmachine gebundeld.

Dit doen andere zoekmachines, bijvoorbeeld Have I Been Pwned, ook. En ook de Nederlandse politie heeft een vergelijkbare dienst. Verschil is echter dat Gotcha.pw ook twee tekens van het wachtwoord toont.

D0gberry wilde de zoekmachine al eerder online plaatsen, vertelde hij vorige week in het AD. Toen wilde hij volledige wachtwoorden tonen, maar daarmee zou hij strafbaar zijn. Doordat nu alleen de eerste twee tekens getoond worden, vermijdt de beheerder dit mogelijk.