24 miljard records blootgelegd: Waarom je VPN je niet zal redden

24 miljard records blootgelegd: Waarom je VPN je niet zal redden

Onderzoekers van Cybernews hebben een van de grootste onbeveiligde databases ooit ontdekt, met 24 miljard records met gebruikersnamen, e-mailadressen, wachtwoorden in platte tekst en inlog-URL's. Dit datalek met miljarden blootgestelde inloggegevens is geen traditionele bedrijfshack. Het is een samengestelde, openbaar toegankelijke voorraad gestolen inlogdata die onbeschermd online staat, klaar voor iedereen met de juiste tools om uit te buiten. Als je denkt dat je VPN-abonnement je tegen dit soort blootstelling beschermt, dwingen de details van deze ontdekking tot een serieuze herbezinning.

Wat de database met 24 miljard records daadwerkelijk bevat

De omvang van deze database is moeilijk te bevatten. Vierentwintig miljard records betekent niet dat er 24 miljard unieke personen zijn getroffen. Dit soort samengestelde lekdatabases bevat doorgaans gegevens uit honderden afzonderlijke inbreuken over vele jaren, waardoor de inloggegevens van dezelfde persoon tientallen keren in verschillende items kunnen voorkomen.

Wat deze specifieke blootstelling zo gevaarlijk maakt, is de aanwezigheid van wachtwoorden in platte tekst. Veel databases slaan wachtwoorden op als gehashte waarden, wat op zijn minst een barrière opwerpt voordat de gegevens kunnen worden gebruikt. Platte-tekstwachtwoorden vereisen geen kraakwerk. Een aanvaller kan een gebruikersnaam pakken, die koppelen aan het bijbehorende wachtwoord, en direct proberen in te loggen.

De database bevatte ook inlog-URL's, de specifieke webadressen die bij elke set inloggegevens horen. Dit detail wordt onderschat. In plaats van een lijst met e-mail-wachtwoordcombinaties waarvoor een aanvaller nog moet uitzoeken bij welke dienst ze horen, biedt deze database aanvallers een directe kaart: hier is het account, hier moet je inloggen, en hier is het wachtwoord. Die mate van specificiteit vermindert de afstand tussen een uitgelekt record en een succesvolle accountovername dramatisch.

Hoe credential stuffing uitgelekte wachtwoorden omzet in accountovernames

Credential stuffing is de belangrijkste manier waarop dit soort databases worden ingezet als wapen. Geautomatiseerde tools lopen razendsnel combinaties van gebruikersnaam en wachtwoord af en testen ze tegelijkertijd op inlogpagina's van honderden diensten. Omdat veel mensen wachtwoorden hergebruiken voor verschillende accounts, kan een credential dat van één dienst is gelekt, accounts op totaal verschillende platforms ontsluiten.

De aanwezigheid van inlog-URL's in deze database maakt zelfs die geautomatiseerde stap efficiënter. Aanvallers hoeven niet te raden welke diensten een slachtoffer gebruikt. De data vertelt het hen. Eén enkel blootgesteld record kan leiden tot een gecompromitteerde bankrekening, e-mailinbox of bedrijfs-VPN-portal als het slachtoffer dat wachtwoord elders heeft hergebruikt.

Dit is geen theoretisch risico. Credential-stuffingaanvallen zijn in verband gebracht met accountovernames bij financiële instellingen, streamingdiensten, e-commerceplatforms en bedrijfssystemen. De hoeveelheid beschikbare credentialdata is inmiddels zo groot dat zelfs matig uitgeruste aanvallers zulke campagnes op schaal kunnen uitvoeren.

Het is ook goed om op te merken dat social-engineeringtechnieken zich ontwikkelen in het kielzog van diefstal van inloggegevens. Aanvallers combineren uitgelekte data steeds vaker met gerichte phishingcampagnes. Als een kwaadwillende het e-mailadres, de bijbehorende dienst en het wachtwoord van een slachtoffer kent, heeft die voldoende context om overtuigende vervolgaanvallen op te zetten, waaronder AI-ondersteunde phishing-aanvallen die steeds moeilijker te onderscheiden zijn van legitieme communicatie.

Waarom een VPN alleen je niet beschermt tegen deze dreiging

Een VPN versleutelt je internetverkeer en maskeert je IP-adres. Het is een oprecht nuttig privacyhulpmiddel om data in beweging te beschermen, zeker op openbare netwerken. Maar de dreiging van deze database met 24 miljard records heeft niets te maken met het onderscheppen van verkeer.

Je inloggegevens zijn niet gestolen terwijl ze over een netwerk reisden. Ze zijn weggenomen bij een dienst waar je ooit op inlogde, onveilig opgeslagen, en uiteindelijk samengevoegd in een verzameldatabase. Tegen de tijd dat die database beschikbaar is voor aanvallers, heeft je VPN geen rol meer te spelen. De schade is al aangericht op opslagniveau, niet op transmissieniveau.

Dit is een cruciaal onderscheid dat vaak verloren gaat in de manier waarop VPN's worden vermarkt en besproken. Een VPN kan geen gegevens beschermen die een derde partij slecht heeft opgeslagen. Het kan credential stuffing-aanvallen niet voorkomen die wachtwoorden gebruiken die je jaren geleden hebt aangemaakt. Het kan je niet waarschuwen wanneer je e-mailadres opduikt in een uitgelekte dataset. Dat zijn taken voor totaal andere tools.

Directe stappen: MFA, wachtwoordmanagers en breukmonitoring

Het goede nieuws is dat de verdediging tegen credential stuffing goed begrepen en toegankelijk is. De uitdaging is dat de meeste mensen deze nog niet volledig hebben geïmplementeerd.

• Schakel multi-factorauthenticatie in overal waar het wordt aangeboden. Zelfs als een aanvaller jouw juiste gebruikersnaam en wachtwoord heeft, vereist MFA een tweede verificatiestap die ze vrijwel zeker niet kunnen voltooien. Authenticator-apps zijn veiliger dan sms-gebaseerde codes, maar beide opties zijn enorm veel beter dan helemaal geen MFA. Geef voorrang aan je e-mailaccount, financiële accounts en elke dienst die betalingsinformatie opslaat.
• Gebruik een wachtwoordmanager om unieke wachtwoorden te genereren en op te slaan. Wachtwoordhergebruik is wat een enkele uitgelekte credential omzet in een compromittering van meerdere accounts. Een wachtwoordmanager neemt de cognitieve last weg van het onthouden van unieke, complexe wachtwoorden voor elke dienst. Als jouw inloggegevens uit één lek geen enkel ander account kunnen ontsluiten, blijft de schade van een enkele blootstelling beperkt.
• Controleer of jouw inloggegevens in bekende lekken zijn verschenen. Verschillende gerenommeerde lekmonitoringdiensten laten je toe je e-mailadres in te voeren en te zien of het is opgedoken in bekende uitgelekte datasets. Veel wachtwoordmanagers bieden deze monitoring inmiddels als ingebouwde functie. Deze check uitvoeren is een nuttige basis om je huidige blootstelling te begrijpen.
• Voer een audit uit op je bestaande accounts. Kijk naar diensten die je niet meer gebruikt en verwijder die accounts in plaats van ze simpelweg achter te laten. Slapende accounts met hergebruikte wachtwoorden zijn een risico. Minder actieve accounts betekent een kleiner aanvalsoppervlak.

Wat dit voor jou betekent

De miljarden inloggegevens die in dit datalek zijn blootgesteld, vormen een concrete, huidige dreiging, geen hypothetisch toekomstig risico. Als je accounts hebt die dateren van vóór het moment dat je goede wachtwoordhygiëne invoerde, kunnen die oude credentials al in dergelijke databases staan.

De juiste reactie is niet om je VPN-gebruik te staken of in paniek te raken. Het is om te erkennen dat privacy en veiligheid een stapel aanvullende hulpmiddelen vereist: een VPN voor verkeersbescherming, een wachtwoordmanager voor credentialhygiëne, MFA voor toegangscontrole van accounts en breukmonitoring voor situationeel bewustzijn. Geen enkel hulpmiddel dekt alles.

Neem deze week dertig minuten om je beveiligingsconfiguratie te controleren. Schakel MFA in op je meest gevoelige accounts, voer een lekcheck uit op je primaire e-mailadressen en ga na of je nog steeds wachtwoorden hergebruikt op verschillende diensten. Deze stappen doen meer om je accounts te beschermen tegen de gevolgen van een database met 24 miljard records dan welk enkelvoudig privacytool dan ook.