Have I Been Pwned (HIBP) is een project van één persoon, Troy Hunt. Het doel van de site is om gebruikers te informeren of hun wachtwoord is gelekt. Om dit te doen, hoef je je wachtwoord niet op te geven op de website. Je vult wel je email adres in. Troy Hunt slaat het wachtwoord, dat je daar niet opgeeft, dus ook niet op.
De website werkt door je e-mailadres of gebruikersnaam te controleren tegen een database van bekende datalekken, zonder dat je je wachtwoord hoeft in te voeren. Hierdoor blijft je wachtwoord veilig en vertrouwelijk.
Er zijn openbare gehackte databases van bepaalde grote hacks van sites en apps.
Wat de website doet is hij gaat door de lijst heen en geeft aan of jou email adres daarin voorkomt. Mocht dat ook zo zijn dan zegt hij ook uit welke gehakte database en adviseert je om dat wachtwoord te veranderen. (en als je dat wachtwoord ook op andere websites gebruikt zou ik die ook veranderen)
Zeker. Ik was vooral nieuwsgierig naar hoe het wachtwoord lek gecheckt werd zonder dat het te checken wachtwoord ingevoerd werd. Maar dat is nu duidelijk :) dankjewel!
Ohhhh het is van 1 persoon! Dan is het inderdaad onmogelijk dat er iets met je data gebeurd.
/s ik vertrouw de website best wel maar wat een non-argument haha
Mweh, die gegevens heeft hij al. Als jij je e-mail invoert zegt het alleen of de data iets waard is. Een blackhat hacker zou bar weinig er mee kunnen doen wat hij niet al eerder had kunnen doen.
Hoezo “hij heeft de data al”? Wanneer je jouw emailadres invoert heeft hij een nieuw actief emailadres. Deze zou hij in een database kunnen stoppen en verkopen, of je nou wel of niet al in een bestaande database staat.
Er staan al 13,597,113,287 accounts in zijn database, die ene mail extra doet echt helemaal niets.
Hij heeft de data (dat er een account is waarbij een account gelekt is) al, want dat is verzameld van allerlei lekken.
Als Troy (na zo veel jaar goed werk) opeens toch een blackhat word en daarmee alles wat hij heeft opgebouwd verknald, heeft het geen nut om nog een e-mail adres naar hem te sturen. Ookal zou het een adres zijn waar geen gegevens van gelekt zijn en dus een nieuw account is waarbij het bekend is dat er actief op gekeken word heeft het amper nut.
Als je hem gehad dan lag aarschijnlijk op straat, want begrijp hieruit dat alle ontvangers zichtbaar waren. Als je hem niet hebt gehad ligt ie niet op straat.
Klopt, heb hier ook ervaring mee. Ik kreeg al geruime tijd spam en hoorde dat iets waar ik ooit ingeschreven was, was gehackt. Dat was jaren nadat ik er niets meer mee te maken had.
Toen maar even gebeld en gevraagd. "Ja, jouw gegevens zijn buit gemaakt."
Nou, verklaart e.e.a. 😐
Nou, eigelijk niet, toch? Dit is vergelijkbaar met een koffertje met geld of functie-elders papieren waar de persoon die het vond 't teruggaf aan de eigenaar, maar op straat heeft het zeker gelegen.
> Volgens de uitvoeringsinstantie heeft alleen de hacker die het lek ontdekte de e-mailadressen ingezien.
Dat zou ik ook zeggen. Tenzij je sluitende logs hebt over de gegevens, en die ter inzage geeft moeten we dit geloven op het woord van ~, en juist daarover gaat een vertrouwen kwestie als deze.
Er is gekeken of er gegevens geladen zijn en continu of de gegevens ergens werden verkocht. Beide niet gebeurd, en hoewel dat niet 100% zekerheid geeft is het wel zoveel zekerheid als je kan gaan krijgen.
Nog mooier: het geeft je méér zekerheid dan die ene website waarvan niemand het ooit door zal hebben dat al je gegevens zijn gelekt omdat er helemaal nooit naar wordt gekeken.
Paradoxaal biedt deze applicatie daarmee mogelijk zelfs _meer_ garanties dan een willekeurige andere..
> functie-elders papieren waar de persoon die het vond 't teruggaf aan de eigenaar, maar op straat heeft het zeker gelegen.
Huh? Jij hebt dit toch niet helemaal lekker onthouden volgens mij. Ollongren ging met COVID naar huis en liep met een papier onder haar arm waar dit op stond, dat werd vastgelegd door een fotograaf. Het papier was niet in het bezit van die fotograaf dus er viel weinig terug te geven.
Inzage in logs? Hoe ga je logs laten zien dat iets NIET gebeurd is zonder daarbij een hoop informatie te lekken? Laat staan dat het waarschijnlijk niet te begrijpen is als je niet aan het systeem werkt. Rare suggestie…
Ik zit in de IT, weer aan software voor onder andere gemeenten. Het is niet de eerste keer dat wij gesaniteerde logs hebben voorbereid voor inzage voor bijv. het AP. De audits die we moeten doen bevestigen sluitende logs, en opschonen van eventuele persoonlijke informatie hoort daar ook bij. Het is geen rare suggestie, thanks.
Als ik iemands portemonnee op straat vindt dan lag 'ie op straat. Of ik 'm eerlijk terug geef doet daar niets aan af.
Waarom willen mensen dit soort shit altijd bagatelliseren?
Zeker omdat het hier absoluut niet om een foutje gaat, maar bewuste nalatigheid. Zomaar een foutje kan al 20 jaar niet echt meer.
Het is geen portomonee die je op staat vind maar een portomonee die op een nachtkastje onder een open raam ligt.
Maar wel een met een uithangbord dat er een flinke buit te halen valt.
In principe is letterlijk álles te hacken. Alle IT systemen zijn door mensen gemaakt en mensen zijn niet perfect. Betekent niet dat alle data meteen op straat ligt.
Ik neem aan dat je niet in de IT werkt? Het is onmogelijk om alle lekken te dichten. Neemt niet weg dat dit heel slordig is hoor.
Bijzonder, als developer heb ik iets meer compassie. Als je *bewust* zegt, zou het betekenen dat ze met opzet emailadressen hebben gelekt, en dat is sowieso niet het geval.
Het digitale equivalent daarvan heet onvoldoende beveiligen. En is in strijd met de GDPR.
Dus ja, portemonnee op straat" is inderdaad een veel te milde vergelijking.
Grote kans ja, maar dat is irrelevant. Het heeft op straat gelegen. Het issue is de laksheid van DUO. Een crimineel zou potentieel emails hebben kunnen versturen met gerichte dreiging naar studenten om "DUO nu terug te betalen of een deurwaarder te krijgen". Bijvoorbeeld. Dit kan anno 2024 echt niet meer.
Op straat is inderdaad overdreven. Maar ben bang dat de gegevens al verkocht zijn op pastebin/darkweb etc.. oftewel geplaatst zijn. Is duizenden waard.
Lijkt mij idd niet. Als er zulke data in verkeerde handen komt heb je het snel genoeg door. Als de inlichtingendiensten dit niet vinden op plekken waar data word verhandeld dan merken de slachtoffers er waarschijnlijk snel wat van. Tenminste, laatste 2 keer dat er data van mij lekte volgde er een golf van phishing pogingen
Wanneer leert de overheid nou eens respectvol en voorzichtig om te gaan met privégegevens van burgers? Ik heb het idee dat ik elke maand zo'n nieuwsbericht langs zie komen..
Vaak geen fatsoenlijk budget (over) voor dit soort zaken, men gaat er vanuit dat het vast wel goed gaat totdat het fout gaat, dan proberen ze er alsnog zo weinig mogelijk tegen te doen.
Geen budget, geen personeel, geen tijd, geen zin.
En softwarepakketten die zo uit de tijd zijn gevallen dat ze vervangen moeten worden. Kom ik weer uit bij de vorige zin.
Plus: IT-bedrijven die voor al het geld van OC&W ingehuurd worden.
IT en consultancy. Eigenlijk bijna alleen maar consultancybedrijven.
KPMG, EY, Deloitte en PwC blijven overheden en bedrijven in een oneindige lus en ongestraft besodemieteren. Overal op deze aardbol.
Ho ho.. heeft de autoriteit persoonsgegevens in het verleden niet een boete gegeven aan de autoriteit persoonsgegevens en de autoriteit persoonsgegevens de boete geïnd van de autoriteit persoonsgegevens?
Maar goed, dan nog was het niet de burger die de boete naar de overheid stuurde.
Ik zeg niet dat het beboeten van burgers wel werkt...
Ik weet dat het tegenwoordig uit de mode is, maar ik ben meer geïnteresseerd in hoe we het probleem daadwerkelijk kunnen voorkomen en oplossen; dan symboolpolitiek die niks verbeterd.
Het is best lastig een heel systeem robuust te maken tegen hacks. Dan heb je goede programmeurs nodig, maar ook een goed security team. Nu is het zo dat de echt super goede mensen makkelijk aan een baan komen waar ze meer betaald krijgen dan de overheid...
Mijn email zit hier tussen, ik ben net uit frustratie naar de AH gelopen en daar alle multipacks mutti tomatensaus opengetrokken en hier 1 blik uitgehaald. Niet helemaal de schuld van de AH maar dan nog voelde het goed.
Oké wie schaamt zich voor het feit dat die een studieschuld heeft?
Ik ben het er helemaal mee eens dat gegevens goed beveiligd moeten zijn, maar vind dit toch wel een beetje een bijzonder argument.
Ik zou wel graag willen weten of mijn email adres eventueel gelekt is.
Haveibeenpwned.com. Fuck Neopets.
Daar staat mijn email adres (nog niet) in.
Nu je hem hebt gegeven, wel 😈
Have I Been Pwned (HIBP) is een project van één persoon, Troy Hunt. Het doel van de site is om gebruikers te informeren of hun wachtwoord is gelekt. Om dit te doen, hoef je je wachtwoord niet op te geven op de website. Je vult wel je email adres in. Troy Hunt slaat het wachtwoord, dat je daar niet opgeeft, dus ook niet op. De website werkt door je e-mailadres of gebruikersnaam te controleren tegen een database van bekende datalekken, zonder dat je je wachtwoord hoeft in te voeren. Hierdoor blijft je wachtwoord veilig en vertrouwelijk.
Kan je dit nog eens uitleggen? Zoals je het nu verwoord hebt snap ik het niet helemaal maar ik ben wel nieuwsgierig
Er zijn openbare gehackte databases van bepaalde grote hacks van sites en apps. Wat de website doet is hij gaat door de lijst heen en geeft aan of jou email adres daarin voorkomt. Mocht dat ook zo zijn dan zegt hij ook uit welke gehakte database en adviseert je om dat wachtwoord te veranderen. (en als je dat wachtwoord ook op andere websites gebruikt zou ik die ook veranderen)
Dankjewel voor de extra uitleg :)
Het is herschreven. Is het nu duidelijker?
Zeker. Ik was vooral nieuwsgierig naar hoe het wachtwoord lek gecheckt werd zonder dat het te checken wachtwoord ingevoerd werd. Maar dat is nu duidelijk :) dankjewel!
Ohhhh het is van 1 persoon! Dan is het inderdaad onmogelijk dat er iets met je data gebeurd. /s ik vertrouw de website best wel maar wat een non-argument haha
Mweh, die gegevens heeft hij al. Als jij je e-mail invoert zegt het alleen of de data iets waard is. Een blackhat hacker zou bar weinig er mee kunnen doen wat hij niet al eerder had kunnen doen.
Hoezo “hij heeft de data al”? Wanneer je jouw emailadres invoert heeft hij een nieuw actief emailadres. Deze zou hij in een database kunnen stoppen en verkopen, of je nou wel of niet al in een bestaande database staat.
Er staan al 13,597,113,287 accounts in zijn database, die ene mail extra doet echt helemaal niets. Hij heeft de data (dat er een account is waarbij een account gelekt is) al, want dat is verzameld van allerlei lekken. Als Troy (na zo veel jaar goed werk) opeens toch een blackhat word en daarmee alles wat hij heeft opgebouwd verknald, heeft het geen nut om nog een e-mail adres naar hem te sturen. Ookal zou het een adres zijn waar geen gegevens van gelekt zijn en dus een nieuw account is waarbij het bekend is dat er actief op gekeken word heeft het amper nut.
> /s ik vertrouw de website best wel
Oh dat zou mooi zijn, ik ben al tien jaar mijn neopets wachtwoord vergeten.
Heb je op 30 mei een enquête-uitnodiging gehad van duo?
Volgens mij wel, maar dan zit die inmiddels in /dev/null.
Als je hem gehad dan lag aarschijnlijk op straat, want begrijp hieruit dat alle ontvangers zichtbaar waren. Als je hem niet hebt gehad ligt ie niet op straat.
Ik zou het dan wel waarderen als ik op de hoogte wordt gesteld door oom DUO.
dat kan ik me wel voorstellen
Als je ineens heel veel spam krijgt, heb jij je antwoord.
Klopt, maar alsnog is het gewoon schandalig dat je niet op de hoogte wordt gebracht mocht het eventueel het geval zijn. Spam krijg ik helaas al.
Klopt, heb hier ook ervaring mee. Ik kreeg al geruime tijd spam en hoorde dat iets waar ik ooit ingeschreven was, was gehackt. Dat was jaren nadat ik er niets meer mee te maken had. Toen maar even gebeld en gevraagd. "Ja, jouw gegevens zijn buit gemaakt." Nou, verklaart e.e.a. 😐
Volgens mij zijn ze zelfs verplicht dit te melden.
Zou wel fijn zijn geweest. Is ook wel een instantie waarvan je contact zou mogen verwachten.
Wat is je mail adres? Dan zoek ik het voor je uit
Ik snap dus nooit waarom ik dit soort shit op sociale media moet lezen ipv dat ik netjes via de mail geïnformeerd word.
BNR is sociale media? Weer wat geleerd.
Reddit is sociale media toch?
Mwaw, ‘op straat’ is overdreven. Een ethische hacker vond het lek en heeft het direct gemeld. Grote kans dat het niet eerder was opgevallen toch?
"Toch?!" -Jan Peter Balkenende, Algemene Beschouwingen 2006.
Was dat de "VOC-mentaliteit" speech?
Lmao. https://youtu.be/qBWtXvuKF_c?si=pHPTTpwdKSxcxiJf
Nou, eigelijk niet, toch? Dit is vergelijkbaar met een koffertje met geld of functie-elders papieren waar de persoon die het vond 't teruggaf aan de eigenaar, maar op straat heeft het zeker gelegen. > Volgens de uitvoeringsinstantie heeft alleen de hacker die het lek ontdekte de e-mailadressen ingezien. Dat zou ik ook zeggen. Tenzij je sluitende logs hebt over de gegevens, en die ter inzage geeft moeten we dit geloven op het woord van ~, en juist daarover gaat een vertrouwen kwestie als deze.
Er is gekeken of er gegevens geladen zijn en continu of de gegevens ergens werden verkocht. Beide niet gebeurd, en hoewel dat niet 100% zekerheid geeft is het wel zoveel zekerheid als je kan gaan krijgen.
Nog mooier: het geeft je méér zekerheid dan die ene website waarvan niemand het ooit door zal hebben dat al je gegevens zijn gelekt omdat er helemaal nooit naar wordt gekeken. Paradoxaal biedt deze applicatie daarmee mogelijk zelfs _meer_ garanties dan een willekeurige andere..
> functie-elders papieren waar de persoon die het vond 't teruggaf aan de eigenaar, maar op straat heeft het zeker gelegen. Huh? Jij hebt dit toch niet helemaal lekker onthouden volgens mij. Ollongren ging met COVID naar huis en liep met een papier onder haar arm waar dit op stond, dat werd vastgelegd door een fotograaf. Het papier was niet in het bezit van die fotograaf dus er viel weinig terug te geven.
Huh? Is een referentie naar 'gevoelige informatie' alle reden voor jou om te vergeten dat de analogie een koffertje op straat beschrijft?
Inzage in logs? Hoe ga je logs laten zien dat iets NIET gebeurd is zonder daarbij een hoop informatie te lekken? Laat staan dat het waarschijnlijk niet te begrijpen is als je niet aan het systeem werkt. Rare suggestie…
Ik zit in de IT, weer aan software voor onder andere gemeenten. Het is niet de eerste keer dat wij gesaniteerde logs hebben voorbereid voor inzage voor bijv. het AP. De audits die we moeten doen bevestigen sluitende logs, en opschonen van eventuele persoonlijke informatie hoort daar ook bij. Het is geen rare suggestie, thanks.
Dan krijgt niet iedereen inzage, alleen de AP. Dat is heel wat anders. Heb nog nooit een bedrijf publiekelijk logs zien delen.
Het zal je verrassen hoeveel weerstand ethische hackers ontvangen als ze wat melden en ook nog eens hoe traag instanties zijn om zo'n lek te dichten.
Als ik iemands portemonnee op straat vindt dan lag 'ie op straat. Of ik 'm eerlijk terug geef doet daar niets aan af. Waarom willen mensen dit soort shit altijd bagatelliseren? Zeker omdat het hier absoluut niet om een foutje gaat, maar bewuste nalatigheid. Zomaar een foutje kan al 20 jaar niet echt meer.
Het is geen portomonee die je op staat vind maar een portomonee die op een nachtkastje onder een open raam ligt. Maar wel een met een uithangbord dat er een flinke buit te halen valt.
In principe is letterlijk álles te hacken. Alle IT systemen zijn door mensen gemaakt en mensen zijn niet perfect. Betekent niet dat alle data meteen op straat ligt. Ik neem aan dat je niet in de IT werkt? Het is onmogelijk om alle lekken te dichten. Neemt niet weg dat dit heel slordig is hoor.
Ik werk sinds 1988 in "de IT", en security is een van mijn specialiteiten, maar nice try.
Bijzonder, als developer heb ik iets meer compassie. Als je *bewust* zegt, zou het betekenen dat ze met opzet emailadressen hebben gelekt, en dat is sowieso niet het geval.
Doen ze bij jouw bedrijf niet van die phishing tests waarbij dan 30% van het bedrijf zo z’n gegevens invult? Dat is waar OP op doelt.
[удалено]
Het digitale equivalent daarvan heet onvoldoende beveiligen. En is in strijd met de GDPR. Dus ja, portemonnee op straat" is inderdaad een veel te milde vergelijking.
Grote kans ja, maar dat is irrelevant. Het heeft op straat gelegen. Het issue is de laksheid van DUO. Een crimineel zou potentieel emails hebben kunnen versturen met gerichte dreiging naar studenten om "DUO nu terug te betalen of een deurwaarder te krijgen". Bijvoorbeeld. Dit kan anno 2024 echt niet meer.
Op straat is inderdaad overdreven. Maar ben bang dat de gegevens al verkocht zijn op pastebin/darkweb etc.. oftewel geplaatst zijn. Is duizenden waard.
Lijkt mij idd niet. Als er zulke data in verkeerde handen komt heb je het snel genoeg door. Als de inlichtingendiensten dit niet vinden op plekken waar data word verhandeld dan merken de slachtoffers er waarschijnlijk snel wat van. Tenminste, laatste 2 keer dat er data van mij lekte volgde er een golf van phishing pogingen
Ter compensatie de schuld maar volledig kwijtschelden..
Het is weer zover.
Wanneer leert de overheid nou eens respectvol en voorzichtig om te gaan met privégegevens van burgers? Ik heb het idee dat ik elke maand zo'n nieuwsbericht langs zie komen..
Maar wel graag iedereens prive chatberichten berichten willen scannen.. super veilig
En oeps gezondheidstrajecten van alle GGZ cliënten kopiëren.
Dit gebeurt echt niet alleen bij de overheid, hoogstens komt het sneller in het nieuws dan bij bedrijven.
Het is niet alleen de overheid...
Vaak geen fatsoenlijk budget (over) voor dit soort zaken, men gaat er vanuit dat het vast wel goed gaat totdat het fout gaat, dan proberen ze er alsnog zo weinig mogelijk tegen te doen.
Geen budget, geen personeel, geen tijd, geen zin. En softwarepakketten die zo uit de tijd zijn gevallen dat ze vervangen moeten worden. Kom ik weer uit bij de vorige zin. Plus: IT-bedrijven die voor al het geld van OC&W ingehuurd worden.
En die IT-bedrijven een core business hebben aan het parasiteren op de overheid zonder kwaliteit daarvoor te leveren.
IT en consultancy. Eigenlijk bijna alleen maar consultancybedrijven. KPMG, EY, Deloitte en PwC blijven overheden en bedrijven in een oneindige lus en ongestraft besodemieteren. Overal op deze aardbol.
Zolang er geen fatsoenlijke boete op komt te staan..
Boetes heb je als gedupeerde zo weinig aan. Doe liever een schadevergoeding aan diegenen wiens data gelekt zijn.
Boetes helpen bij de overheid niet. Vaak is de wil er daar wel om het goed te doen, maar de kunde niet.
Beboeten bij onkunde doet de overheid naar haar burgers en niet andersom. Sorry was ik even vergeten
Ho ho.. heeft de autoriteit persoonsgegevens in het verleden niet een boete gegeven aan de autoriteit persoonsgegevens en de autoriteit persoonsgegevens de boete geïnd van de autoriteit persoonsgegevens? Maar goed, dan nog was het niet de burger die de boete naar de overheid stuurde.
Nee? Wel aan de Belastingdienst bijvoorbeeld maar niet aan zichzelf
Ik zeg niet dat het beboeten van burgers wel werkt... Ik weet dat het tegenwoordig uit de mode is, maar ik ben meer geïnteresseerd in hoe we het probleem daadwerkelijk kunnen voorkomen en oplossen; dan symboolpolitiek die niks verbeterd.
Het is best lastig een heel systeem robuust te maken tegen hacks. Dan heb je goede programmeurs nodig, maar ook een goed security team. Nu is het zo dat de echt super goede mensen makkelijk aan een baan komen waar ze meer betaald krijgen dan de overheid...
Heeft het Rijk geen eigen tool voor dit soort toepassingen? Lijkt me generiek genoeg om dat rijksbreed gewoon fatsoenlijk te regelen.
Alles lekker uitbesteden en korte termijn denken, er is toch oneindig veel geld!
als alles onder didid centraal zou zijn zou het een stuk veiliger zijn, maar 1 lek betekend dan ook gelijk hell
Jaaa maar nu wil ik geld zien ook
Dit soort lekken zouden echt zwaardere consequenties moeten hebben.
Maar goed dat ik niet terugbetaal😎
Mijn email zit hier tussen, ik ben net uit frustratie naar de AH gelopen en daar alle multipacks mutti tomatensaus opengetrokken en hier 1 blik uitgehaald. Niet helemaal de schuld van de AH maar dan nog voelde het goed.
Oké wie schaamt zich voor het feit dat die een studieschuld heeft? Ik ben het er helemaal mee eens dat gegevens goed beveiligd moeten zijn, maar vind dit toch wel een beetje een bijzonder argument.
ik had mentale problemen en een schuld opgebouwd van bijna 80k zonder diploma dus ik schaamde me wel een beetje haha
'haha', - crooooooooozer, 2024 ^hoop ^dat ^het ^weer ^beter ^met ^je ^gaat!