Have I been pwned?

Meerdere ongeruste lezers gaven aan dat zij volgens de website www.haveibeenpwned.com slachtoffer waren geworden van een datalek bij een dienst waar ze ooit gebruik van hebben gemaakt. Zonder achtergrondinformatie raak je van zo'n ontdekking wellicht snel in paniek. Sommigen dachten zelfs dat hun eigen computer was gehackt, maar daar is hier gelukkig geen sprake van. Maar hoe zit het dan wel?

Zijn je persoonlijke gegevens gelekt?

Via www.haveibeenpwned.com is te achterhalen of je slachtoffer bent geworden van een lek bij een bedrijf of organisatie waar je in het verleden persoonlijke gegevens hebt achtergelaten (bijvoorbeeld voor de aankoop van een product, de registratie van software, de deelname aan een forum e.d.). De website controleert of je e-mailadres voorkomt in de databases van bij hun bekende hacks. Wordt je e-mailadres aangetroffen dan geeft de website aan bij welke diensten deze is gelekt en om welke gegevens het gaat (zie afbeelding). Deze gegevens zijn ooit openbaar geworden en sindsdien ergens in een donker steegje van internet te downloaden. In theorie zou dus Jan en alleman daar misbruik van gemaakt kunnen hebben, maar dat hóeft niet!

TIP: De door deze website gehanteerde database bevat lang niet alle hacks. Het is daarom verstandig ook te controleren of je e-mailadres voorkomt in een vergelijkbare database van de Nederlandse politie (www.politie.nl).

Om welke gegevens gaat het?

De website geeft per dienstverlener aan welke gegevens in ieder geval zijn gelekt. Meestal gaat het alleen om je e-mailadres, accountnaam en wachtwoord, het is echter ook mogelijk dat er meer persoonlijke gegevens zijn gelekt zoals je adres, bank- en/of creditcard-gegevens, geboortedatum e.d. Hoe meer gegevens zijn gelekt, hoe interessanter het voor kwaadwillenden is om er misbruik van te maken. Ook wanneer alleen je aanmeldgegevens worden vermeld, moet je er rekening mee houden dat er (door simpelweg op het account in te loggen) nog meer gegevens achterhaald kunnen zijn!

Gelekt? Wijzig zo snel mogelijk je wachtwoord!

Zijn je gegevens gelekt dan is het in ieder geval belangrijk dat het wachtwoord van het betreffende account direct wordt gewijzigd zodat er geen misbruik meer van kan worden gemaakt. Waarschijnlijk heeft de betreffende dienstverlener je daar destijds reeds attent op gemaakt en heb je het wachtwoord al gewijzigd. Heb je hetzelfde (of een sterk gelijkend) wachtwoord bij meerdere websites toegepast dan is het verstandig om ook deze direct aan te passen.

Gebruik voor elke website een ander wachtwoord

De belangrijkste les is in ieder geval dat je voor elk nieuw account een ander wachtwoord opgeeft. Zo voorkom je dat kwaadwillenden toegang krijgen tot andere diensten waar je hetzelfde wachtwoord voor gebruikt. Gebruik dus niet uit gemakzucht bij elke webshop hetzelfde wachtwoord! Zit je niet te wachten op het bijhouden van zo'n grote hoeveelheid wachtwoorden dan doe je er wellicht verstandiger aan elke keer een willekeurig wachtwoord te gebruiken, en bij terugkeer een nieuw wachtwoord aan te vragen...

TIP: Wordt tweestapsverificatie aangeboden (waarbij naast een wachtwoord een tweede controle wordt toegepast), maak daar dan gebruik van!