Politie deelt hashes van gestolen inloggegevens met bedrijfsleven

De politie gaat hashes van gestolen inloggegevens delen met bedrijven. Zij kunnen de informatie gebruiken om misbruik van gestolen inloggegevens te voorkomen. Het initiatief heet No More Leaks. Een krachtig initiatief waarmee bedrijven hun beveiliging naar een hoger niveau kunnen tillen.

De politie treft steeds vaker grote datalekken aan, waarbij miljoenen inloggegevens van online accounts worden buitgemaakt. Cybercriminelen verhandelen deze inloggegevens en kunnen hier via ondergrondse marktplaatsen eenvoudig toegang toe krijgen. Met behulp van deze inloggegevens proberen aanvallers op geautomatiseerde wijze toegang te krijgen tot online accounts. Dit stelt hen onder meer in staat goederen of diensten te bestellen op naam van hun slachtoffers, of identiteitsfraude te plegen.

Preventieve aanpak

No More Leaks is een preventieve aanpak, waarmee de politie het criminele verdienmodel wil doorbreken. Het gaat om een publiek-privaat samenwerkingsverband tussen de politie en een groot aantal ondernemingen met veel online accounthouders. Als onderdeel van No More Leaks worden gestolen inloggegevens 'gehasht' verstrekt aan deelnemende partijen. Dit betekent in de praktijk dat gebruikersnamen en wachtwoorden met behulp van een wiskundige berekening worden versleuteld. Deelnemende ondernemingen kunnen deze hashes als extra beveiligingsmaatregel inzetten in hun inlogproces. Komt een hash overeen? Dan krijgt de klant in kwestie een verzoek het wachtwoord te wijzigen om verdere schade te voorkomen.

Onder meer KPN, Randstad, Tweakers, Nederlandse Loterij, OneWelcome, Greenwheels en WeGo B.V hebben al toegezegd mee te doen met het initiatief. Het nationale Computer Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) en Digital Trust Center (DTC), beide onderdeel van het ministerie van Economische Zaken en Klimaat, participeert als faciliterende partij. Dat geldt ook voor branchevereniging Thuiswinkel.org. Deelname aan No More Leaks is gratis.