Twee van de grootste datalekken van vorig jaar, waarbij gegevens van 235 miljoen mensen werden gestolen, zijn aan de zoekmachine Have I Been Pwned toegevoegd. Het gaat om de inbraken bij MyFitnessPal, een app van sportkledingfabrikant Under Armour, en dna-testdienst MyHeritage.

Bij MyFitnessPal wisten criminelen 144 miljoen unieke e-mailadressen en gebruikersnamen te stelen, alsmede ip-adressen en met sha-1 en bcrypt gehashte wachtwoorden. De data van MyFitnessPal-gebruikers werd begin dit jaar op internet te koop aangeboden, zo meldt onderzoeker Troy Hunt, beheerder van Have I Been Pwned.

Via de zoekmachine kunnen gebruikers in meer dan 6,7 miljard gestolen records zoeken of hun data ooit bij een website is gestolen. Van de ruim 144 miljoen gestolen e-mailadressen van MyFitnessPal-gebruikers was 59 procent al via een ander datalek bij Have I Been Pwned bekend.

Dna-testdienst MyHeritage meldde vorig jaar juni dat het in 2017 getroffen was door een datalek waarbij gegevens van 92 miljoen gebruikers waren buitgemaakt. Het ging om meer dan 92 e-mailadressen en gesalte sha-1 wachtwoordhashes. Ook gegevens van dit datalek werden begin dit jaar op internet te koop aangeboden, aldus Hunt. Van de ruim 92 miljoen gestolen e-mailadressen was 61 procent al via een ander datalek bij Have I Been Pwned bekend.

In de praktijk blijkt dat aanvallers de wachtwoordhashes proberen te kraken, om zo het wachtwoord te achterhalen en voor credential stuffing te gebruiken. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is mogelijk doordat gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.