75.000 Telenet-adressen en wachtwoorden circuleren online
Op internet circuleert een lijst van iets meer dan 75.000 Telenet e-mailadressen en wachtwoorden. Al gaat het niet om een datalek bij Telenet zelf.
De lijst, die Data News kon inkijken, staat op een openbare webpagina en telt 76.698 gegevens, waarvan zeker 75.552 unieke mailadressen. Allemaal met een bijhorend wachtwoord.
Het gaat voor alle duidelijkheid niet om een lek bij Telenet, of noodzakelijk om wachtwoorden van Telenet-accounts. Al kan dat wel het geval zijn. De lijst is een verzameling van verschillende datalekken die vervolgens zijn gefilterd op Belgische gebruikers, in dit geval specifiek klanten van Telenet. Zulke lijsten worden vaak verkocht onder hackers en internetcriminelen, maar na verloop van tijd duiken ze soms ook op bij publieke websites, zoals hier het geval is.
4-5 jaar oud
Twee mensen op de lijst bevestigen aan onze redactie dat de gegevens vermoedelijk 4-5 jaar oud zijn, afgaande op het wachtwoord dat ze toen gebruikten. Het gaat onder meer om wachtwoorden die gebruikt werden op LinkedIn, MyHeritage, MyFitnessPal en Adobe, sites en tools die al enkele jaren geleden werden gehackt.
Hoe lang de lijst zelf al circuleert is onbekend, maar ze wordt momenteel gelinkt door HaveIbeenpwned.com, een website waar gebruikers hun mailadres kunnen opgeven om te weten of hun adres in grote datalekken circuleerde. Zelf deelt de site geen wachtwoorden, maar als het gaat om gegevens die op een publieke website staan, dan krijgt wiens gegevens op zo’n lijst opduiken wel een link naar die bron voor volledige transparantie.
Telenet zegt aan onze redactie dat het intussen de gegevens heeft gecontroleerd. Slechts een klein deel van de wachtwoorden komt overeen met het huidige wachtwoord voor hun Telenet-mailbox. Die klanten worden proactief gecontacteerd door Telenet.
Balans tussen informeren en blootstellen
Data News nam ook contact op met Troy Hunt, oprichter van HaveIbeenpwned, met de vraag waarom zijn site linkt naar die gegevens, waardoor slachtoffers ook gegevens van andere slachtoffers kunnen inkijken. Hij benadrukt dat zo’n lijsten vaak maar tijdelijk online staan en getroffen gebruikers meer context geven.
“Zo’n lijst is een ongecontroleerde verzameling van data en blijft meestal maar kort online staan. Ze zijn ook relatief klein, in die zin dat het niet om miljoenen gegevens gaat en die verwerking gebeurt automatisch,” vertelt Troy Hunt, oprichter van HaveIbeenpwned, aan Data News.
Hunt geeft aan dat het een kwestie van balanceren is, gezien hij de site al jaren als eenmansproject runt. “Ik kan niet alle data manueel controleren op hun echtheid, dus ofwel ga ik mensen niet informeren, of je wijst hen meteen naar de bron. Dat laatste creëert een risico omdat hun gegevens mogelijk meer worden blootgesteld, maar het blijft de beste balans tussen mensen informeren en, meestal tijdelijk, hun data blootstellen.”
Wie wil weten of zijn of haar e-mailadres en bijhorend wachtwoorden ooit betrokken waren bij datadiefstal, kan dat op de website van HaveIbeenpwned invoeren. Het is tegelijk aan te raden om voor elke dienst een verschillend wachtwoord op te geven en die wachtwoorden regelmatig te veranderen, net om te voorkomen dat een lek zoals deze lijst, met gegevens van 4-5 jaar oud, vandaag nog kan misbruikt worden.
Fout opgemerkt of meer nieuws? Meld het hier