Op Gegevenslek.nl onderzochten we de diepgaande Naz.API lijst, een significant voorbeeld van credential stuffing. Terwijl de wereld van digitale beveiliging wordt overspoeld met lijsten van inloggegevens, staat de Naz.API lijst op zichzelf door zijn omvang en impact.
De Aanleiding
Een toonaangevend technologiebedrijf ontdekte de lijst na een bug bounty melding. Ondanks dat het bericht al enkele maanden oud was, was de inhoud ervan zorgwekkend genoeg om direct actie te ondernemen.
Wat er is gevonden: 70 miljoen E-mailaddressen
- 319 Bestanden: De totale grootte bedroeg maar liefst 104GB.
- 70.840.771 Unieke E-mailadressen: Een enorme hoeveelheid getroffen gebruikers.
- Impact op HIBP-abonnees: 427.308 individuen die geregistreerd staan, waren getroffen.
- Nieuwe Ontdekkingen: 65,03% van de adressen was al bekend, wat betekent dat een derde van de lijst uit nieuwe data bestond.
De Bron van de Data
De gegevens waren afkomstig uit ‘stealer logs’, verzameld door malware van gecompromitteerde machines. Deze logs waren afkomstig van de nu opgeheven website illicit.services, die zoekresultaten aanbood voor andermans gegevens op een nooit eerder geziene manier.
De Echtheid van de Data
Om de legitimiteit van de verzamelde gegevens te bevestigen, namen we verschillende stappen:
- Validatie: Er zijn verschillende technieken gebruikt om te verifiëren of de accounts daadwerkelijk bestonden.
- Feedback van Abonnees: Door direct contact op te nemen met getroffen HIBP-abonnees konden we de nauwkeurigheid van de gegevens bevestigen.
- Persoonlijke Bevinding: Zelfs mijn eigen gegevens waren aanwezig in de dataset, wat de impact van de lijst verder benadrukte.
Conclusie
De Naz.API-gegevens benadrukken het aanhoudende probleem van wachtwoordhergebruik en de noodzaak van sterke beveiligingsmaatregelen. Het volgen van best practices zoals het gebruik van een wachtwoordmanager en het inschakelen van tweefactorauthenticatie kan deze risico’s aanzienlijk verminderen. Als je in deze data voorkomt en nog geen gebruik maakt van deze maatregelen, laat dit dan een dringende oproep tot actie zijn.
Bron: https://www.troyhunt.com/inside-the-massive-naz-api-credential-stuffing-list/