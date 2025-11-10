10 november 2025, Wijnand van Swaaij

Een van de grootste datalekken ooit is deze maand aan het licht gekomen. De website Have I Been Pwned, bekend om het in kaart brengen van grootschalige datalekken, heeft een nieuwe megacollectie van gelekte logingegevens ontvangen. Volgens oprichter en beveiligingsexpert Troy Hunt bevat het lek ruim twee miljard unieke e-mailadressen, waarvan 1,3 miljard zijn gekoppeld aan gestolen wachtwoorden. De databundel werd ontdekt door het beveiligingsbedrijf Synthient, dat gegevens uit verschillende oude en recente lekken heeft samengevoegd tot één gigantisch overzicht.

Wat er precies is gebeurd

De verzamelde data bestaat uit zogenoemde infostealer-gegevens: informatie die door malware rechtstreeks uit webbrowsers wordt gehaald. Zodra gebruikers een inlog opslaan in hun browser, kunnen kwaadwillenden die gegevens buitmaken wanneer de computer besmet raakt. Deze gestolen inloggegevens belanden daarna vaak op hackersfora of Telegramkanalen, waar ze door criminelen worden gedeeld of verkocht. Synthient bracht al die losse bronnen samen, waarna Have I Been Pwned de data verifieerde, opschoonde en unieke combinaties van e-mailadressen en wachtwoorden toevoegde aan zijn database.

Oude wachtwoorden duiken opnieuw op

In zijn blog beschrijft Hunt hoe hij zelf schrok van de resultaten. Bij het controleren van zijn eigen e-mailadres vond hij een inlog van een vergeten account uit de jaren negentig terug – inclusief een wachtwoord dat nog bleek te werken. Vervolgens vroeg hij volgers om hetzelfde te doen. De resultaten waren opvallend: sommigen vonden oude, ongebruikte wachtwoorden terug, anderen ontdekten dat recente logins nog steeds actief waren. Dat bewijst hoe vaak mensen wachtwoorden hergebruiken, een van de grootste beveiligingsfouten die je kunt maken. Zodra een wachtwoord eenmaal uitlekt, proberen hackers datzelfde wachtwoord op andere websites uit. Deze methode heet credential stuffing en werkt nog altijd schrikbarend goed, vooral bij gebruikers die zelden of nooit hun wachtwoorden vernieuwen.

Zo controleer je of jouw gegevens gelekt zijn

De nieuwe wachtwoorden zijn inmiddels toegevoegd aan Pwned Passwords, de database van Have I Been Pwned. Daar kun je gratis nagaan of jouw e-mailadres of wachtwoord ooit in een datalek is opgedoken. De controle is volledig anoniem: je gegevens worden niet opgeslagen of gedeeld. Ga naar haveibeenpwned.com, vul je e-mailadres in en je ziet meteen of het in de nieuwe databundel voorkomt. Je kunt ook een wachtwoord controleren via de aparte sectie “Pwned Passwords”. Krijg je daar een waarschuwing, verander dan onmiddellijk je wachtwoorden op alle websites waar je dit wachtwoord gebruikt.

Wat kun je doen om jezelf te beschermen?

Hunt benadrukt dat het niet uitmaakt of een wachtwoord nog actief is: als het ooit gelekt is, hoort het thuis in de prullenbak. “Zelfs als jouw wachtwoord niet van jou lijkt te komen — bijvoorbeeld Fido123! — is het onveilig als het in de lijst voorkomt. Het is gewoon te voorspelbaar.”

Zijn advies is duidelijk:

* Gebruik nooit meer wachtwoorden die in een datalek zijn verschenen.

* Maak gebruik van een wachtwoordmanager (zoals Bitwarden, 1Password of KeePass) om sterke, unieke wachtwoorden te genereren.

* Schakel tweestapsverificatie (2FA) in waar dat mogelijk is, zodat een hacker ook met een gelekt wachtwoord niet direct kan inloggen.

* Controleer regelmatig via Have I Been Pwned of je e-mailadres of wachtwoord ergens opduikt.



Wat dit betekent voor HCC-leden

Voor HCC-leden is dit opnieuw een wake-upcall om digitale hygiëne serieus te nemen. Veel mensen denken dat ze “niets te verbergen hebben”, maar vergeten dat gestolen inloggegevens ook kunnen worden misbruikt voor spam, oplichting of identiteitsfraude. Zeker wie actief is op fora, webshops of streamingdiensten, doet er goed aan om de eigen digitale sporen te checken. Een datalek kan iedereen overkomen — maar met een paar simpele maatregelen kun je de schade beperken. Controleer vandaag nog of jouw e-mailadres voorkomt in de nieuwe databundel.

Kortom: "wachtwoorden zijn als tandenborstels — gebruik ze vaak, deel ze nooit, en vervang ze regelmatig!"