Wachtwoorden van meer dan half miljoen Belgen liggen op straat en daar kunnen hackers hun slag mee slaan

Meer dan een half miljoen Belgische bedrijfs- en privémailadressen en de bijhorende wachtwoorden. Dat is de vangst van een hackerscollectief* dat aan data van RaidForums kon geraken. RaidForums is een online marktplaats waar hackers gestolen gegevens onderling verhandelen. Vorig jaar haalden de FBI en Europol het platform offline. Maar ondanks die ingreep, liggen verschillende data nu wel openbaar op straat. 

VRT NWS kon een uitgebreide lijst inkijken van meer dan 500.000 e-mailadressen en hun wachtwoorden. Daar zitten veel e-mailadressen van bedrijven en instellingen bij, waaronder adressen van universiteitsmedewerkers van de UGent en de KU Leuven, maar ook gegevens uit eigen huis.

De kans is groot dat de gegevens uit een oude, collectieve hack van een populaire website komen. Welke site de rode draad vormt, kunnen we niet achterhalen. Mogelijk gaat het om een site zoals Dropbox waar medewerkers vaak met hun bedrijfsaccount inloggen.

Wellicht gaat het ook om oude wachtwoorden. Zoals gezegd, werd RaiderForums vorig jaar al offline gehaald. De wachtwoorden zijn dus vermoedelijk ouder dan een jaar. Bovendien zitten in de lijst ook namen van mensen die niet langer actief zijn, onder wie bijvoorbeeld een collega die in 2020 overleden is. Volgens haveibeenpwned.com, een site die nagaat of je gegevens bij een hack betrokken waren, werden de gegevens ook rond die periode gestolen.

De KU Leuven verzekert ons dat zij beschermd zijn en werken met tweestapsverificatie. Wie wil inloggen op accounts van de universiteit, moet zijn identiteit nog eens extra bevestigen via een app of sms-code

Daarnaast worden medewerkers ook verplicht om hun wachtwoord om de zoveel tijd te wijzigen. Ook VRT heeft een soortgelijk beleid. "Wie wil inloggen op zijn account, moet via een beveiligde app zijn identiteit bevestigen", zegt VRT-woordvoerder Barbara Callier. "Daarnaast moeten medewerkers regelmatig hun wachtwoord aanpassen, dat aan strenge regels moet voldoen. Als we zo’n melding krijgen, waarschuwen we ook de betrokken medewerkers en vragen we om extra waakzaam te zijn, voor bijvoorbeeld phishing. We houden onze systemen ook goed in de gaten en grijpen in bij verdacht gedrag."

De kans dat iemand met de wachtwoorden rechtstreeks op een bedrijfsaccount kan inloggen, is dus eerder klein.

UGent neemt notie van het lek, maar wenst verder niet te communiceren over haar veiligheidsbeleid.

Toch is het lek niet zonder gevaar. In de eerste plaats omdat iemands wachtwoord ook geldig kan zijn voor andere sites. Bedrijven kunnen medewerkers dan wel verplichten hun wachtwoord te wijzigen, sommige mensen blijven datzelfde wachtwoord wel gebruiken voor persoonlijke zaken zoals privémailadressen als Gmail, sociale media of webwinkels.

Die websites werken in de meeste gevallen ook zonder tweestapsverificatie. Cybercriminelen hebben bovendien tools om na te gaan of eenzelfde wachtwoord ook op andere websites geldig is. 

Daarnaast kunnen de criminelen ook geloofwaardigere phishingberichten uitsturen. Een mail waarin iemand je oud wachtwoord meedeelt en de boodschap dat je gevaar loopt en dringend beveiligingsmaatregelen moet nemen, veroorzaakt vaak paniek. Wanneer daar vervolgens een link bij zit die je omleidt naar een geloofwaardige site die nog meer gegevens verzamelt, ben je vaak nog slechter af.  

Ook data van privémailadressen zaten bij de hack. Wil je weten of jouw gegevens bij een datalek zitten? Surf dan naar haveibeenpwned.com