Op het dark web, een verborgen deel van het internet waar je alleen met speciale browsers toegang toe hebt, had de Nederlandstalige man de wachtwoorden van meer dan 1,4 miljard accounts op het internet gevonden. Zelf heeft hij daarvoor niet gehackt, benadrukt hij, de gegevens stonden allemaal al vrij op het internet. “Na een half uur zoeken had ik alles bijeen”, liet hij weten aan technologiejournalist Sammy Soetaert.

Met de wachtwoorden, die horen bij accounts op websites als LinkedIn en MyFitnessPal, maakte hij een zoekmachine die het toelaat om snel te zoeken door de beschikbare accounts. Hij gaf Soetaert er even toegang toe, en de resultaten voor ons land waren bijzonder zorgwekkend. De wachtwoorden van de accounts van meer dan 1 miljoen Belgen staan er zomaar in. En dat gaat dan alleen nog maar op e-mailadressen die eindigen op .be. Het aantal Belgische accounts ligt dus nog een pak hoger, want vele duizenden landgenoten hebben een e-mailadres bij Gmail en Hotmail dat eindigt op de extensie .com.

Opvallend was dat er zich onder de e-mailadressen heel wat accounts bevonden met een domeinnaam die behoort aan overheidsinstellingen, Defensie, de nucleaire waakhond, banken of politieke partijen.

Waarschuwen

De “bezorgde gebruiker”, die zich op het internet d0gberry laat noemen, maakte de zoekmachine naar eigen zeggen om de mensen te waarschuwen dat het wachtwoord van een of meerdere van hun accounts zomaar op het internet te vinden is. Dat is gevaarlijk, zeker voor mensen die op Facebook hetzelfde wachtwoord gebruiken als bij hun online banking, om maar een voorbeeld te geven. Dat zou mensen met slechte bedoelingen toegang geven tot erg veel accounts.

Groot was de verrassing dan ook toen d0gberry besloot om de zoekmachine donderdag plots online te gooien. “De website heeft een Belgisch portaal gekregen, waarop meteen te zien is welke Belgische domeinnamen er zoal op te vinden zijn”, zegt Soetaert. “De site staat open en bloot online. Uitleg waarom hij dat gedaan heeft, heb ik niet gekregen. Misschien was de weerbots niet voldoende. Zijn doel is alleszins hetzelfde: de mensen waarschuwen dat ze hun wachtwoord moeten veranderen.”

De e-mailadressen en wachtwoorden op de website zijn verborgen, maar d0gberry heeft ze wel degelijk allemaal volledig gevonden op het internet. Ze kunnen dus ook in de handen van mensen met slechte bedoelingen zijn beland.

Zo voorkom je problemen

Om te vermijden dat een gelekt wachtwoord immense gevolgen heeft, doe je er goed aan om zorgvuldig om te springen met de wachtwoorden die je gebruikt. Met als belangrijkste regel: gebruik voor elk account een ander wachtwoord. “De fout die veel mensen maken, is dat ze er één of twee gebruiken op alle sites”, zegt Eddy Willems, beveiligingsexpert van G Data.

Veel wachtwoorden hebben op veel websites is moeilijk om ze allemaal te onthouden, maar Willems ziet daar oplossingen voor. “Je doet er goed aan om letters, hoofdletters, cijfers en leestekens te combineren. Als je daar dan een zin mee maakt waarin je telkens een woord verandert, blijft het eenvoudig.”

Willems geeft een voorbeeld. “Gebruik bijvoorbeeld IkhouvanBrico2x! als wachtwoord bij Brico. Daar staan alle soorten van tekens in en Brico kan je telkens veranderen door de naam van de website in kwestie. Er zit veel variatie en het is in je eigen taal, dus wordt het voor hackers erg moeilijk.”

Nog tips

Andere tips zijn bijvoorbeeld om elk jaar al je wachtwoorden te veranderen - “maar dat is wel veel werk” - of een Password Manager gebruiken waarin je al je wachtwoorden opslaat. “In dat laatste geval moet je slechts één wachtwoord onthouden. Maar als je dat vergeet, wordt het moeilijk.”

Willems heeft ook pen en papier nog niet opgegeven. “Om helemaal zeker te zijn: schrijf elk wachtwoord op een papier en verstop het ergens thuis. Je zou ervan schrikken hoeveel mensen dat nog doen.”

Twee-factor-authenticatie

Volgens de beveiligingsexpert is de ideale manier om je account te beveiligen een redelijk nieuwe: twee-factor-authenticatie. “Dan moet je je wachtwoord ingeven en vervolgens nog een code ingeven die je op je smartphone te zien krijgt. Als je dat hebt, zijn hackers altijd gezien. Veel grote websites als Facebook en Google gebruiken dat al, maar het probleem is dat ze het niet verplichten. Als ze dat zouden doen, zouden een heleboel problemen meteen opgelost zijn.”

Hier vind je de zoekmachine.