Beveiligingsdeskundige Troy Hunt heeft ruim 26 miljoen nieuwe unieke e-mailadressen toegevoegd aan zijn dienst Have I Been Pwned, waarmee gebruikers kunnen zien of zij slachtoffer zijn geworden van een datalek. Dat laat de onderzoeker weten op zijn blog.
Hunt kwam de complete database op het spoor via een artikel op HackRead, dat beweerde dat op het internet 3.000 databases met in totaal 200 miljoen unieke accounts was verschenen. Na wat speuren stuitte hij op het .zip-bestand met een grootte van 8,8 GB. De bestanden bevatten volgens Hunt grotendeels e-mailadressen en wachtwoorden.
Door data uit eerdere datalekken eruit te filteren, bracht Hunt het aantal unieke e-mailadressen terug tot 80 miljoen. Daarvan was ongeveer twee derde (66 procent) al vindbaar in Have I Been Pwned, zijn dienst om te controleren of je e-mailadres in een (bekend) datalek is voorgekomen.
Dat betekent dat het lek ruim 26 miljoen e-mailadressen bevat die nog niet bij Hunt bekend waren.
Herkomst
Uit wat voor soort lek of lekken de totaal 80 miljoen e-mailadressen afkomstig zijn, is niet bekend. Het zou kunnen zijn dat het bestand van 8,8 GB een verzameling van allerlei verschillende datalekken bevatte. Het kan ook zijn dat de lijst (deels) gefabriceerd is.
Normaal wijst Hunt met zijn dienst Have I Been Pwned bij een match een specifiek datalek aan. Daarmee kun je bij die dienst direct je gegevens wijzigen als jouw e-mailadres voorkomt in een bepaalde database. Omdat Hunt de exacte bron van het lek niet kon achterhalen, kan hij die service met dit lek niet bieden.
Wel deelde de beveiligingsexpert op zijn blog een lijst met domeinen die in het bestand voorkwamen. Daarmee kunnen mensen zelf controleren of zij een account hebben bij een van de getroffen diensten.
In de lijst komen ook een aantal Nederlandse domeinen voor. Het gaat om ShopZoekPaleis.nl, Channels.nl, FreeFloat.nl, Netwerk-Psychotherapie.nl, VeilinghuisPeerdeman.nl en vvDeSfeermakers.nl.
Hoewel in het lek gegevens terugkwamen die eerder al bij Have I Been Pwned terecht zijn gekomen, benadrukte Hunt dat hij niet zeker weet of het lek in zijn geheel of in delen legitiem is.