Gmail, iCloud en Netflix: meer dan 150 miljoen wachtwoorden liggen vrij op internet
Een recent ontdekt lek op een onbeveiligde server heeft geleid tot de blootstelling van ongeveer 149,4 miljoen inloggegevens. Het Zwitserse portaal 20 Minuten bracht het naar buiten, na melding door veiligheidsexpert Jeremiah Fowler. Het lek treft een breed scala aan online diensten wereldwijd en laat opnieuw zien hoe kwetsbaar persoonlijke gegevens online kunnen zijn.
Een groot deel van de accounts betreft 48 miljoen Gmail-accounts en 17 miljoen Facebook-logingegevens. Daarnaast zijn 1,4 miljoen .edu‑adressen (onderwijsadressen) gelekt. Ook diensten zoals Instagram, Netflix, Yahoo, iCloud en OnlyFans komen voor in de dataset; voor deze diensten wordt gesproken over miljoenen, maar exacte aantallen zijn niet beschikbaar.
Hoe groot is het lek
Het lek omvat in totaal 149,4 miljoen records, wat het in schaal doet denken aan een eerder groot lek van november vorig jaar waarbij ongeveer 1,3 miljard wachtwoorden werden gecompromitteerd. In het huidige dossier staat ook het Raiffeisenbank e-bankingadres vermeld, dat al jaren niet meer in gebruik is; actieve rekeningen bij Raiffeisenbank zijn inmiddels beschermd met Multi-Factor-Authenticatie (MFA).
Welke diensten zijn getroffen
De gelekte e-mail- en sociale platforms omvatten Gmail, Facebook, Instagram, Yahoo en iCloud. Betaal- en abonnementsdiensten in de lijst zijn onder andere Netflix en OnlyFans. Verder werden bekende e‑commerce en Zwitserse platforms als Zalando, Ricardo en Ticketcorner in de dataset gevonden. In Nederland wordt Bluewin genoemd. Ook zijn er gegevens van elektronicaketens zoals MediaMarkt en banken zoals Raiffeisenbank aangetroffen.
Wat betekent dit voor Zwitserland
Hoewel het lek wereldwijd reikt, heeft het ook specifieke gevolgen voor Zwitserland. Volgens 20 Minuten bevat de database veel datasets met de .ch‑extensie (Zwitserse domeinen), waardoor Zwitserse internetgebruikers in het bijzonder risico lopen. Zwitserse platforms als Ricardo, Bluewin en Ticketcorner worden expliciet genoemd naast internationale diensten.
Fowler zegt dat het geen rechtstreekse inbraak in de IT-systemen van de genoemde bedrijven betreft. De gegevens zouden via schadelijke software op apparaten van gebruikers zijn verzameld (malware), wat weer vragen oproept over de bescherming van persoonlijke apparaten tegen dit soort aanvallen.
Tips van experts
Experts raden verschillende maatregelen aan om online accounts beter te beschermen. Het Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft zijn advies over het regelmatig wisselen van wachtwoorden bijgesteld en raadt dat niet langer aan als algemene oplossing. In plaats daarvan bevelen ze het gebruik van password apps of password managers aan, of dat nu ingebouwd is in Apple- of Google‑mobiele besturingssystemen of als losse applicatie. Het inschakelen van tweefactorauthenticatie waar mogelijk wordt sterk aangeraden om extra beveiliging te bieden.
Waar je op moet letten en voorzorgsmaatregelen
Het grootste gevaar is dat criminelen gelekte gebruikersnaam/wachtwoordcombinaties gebruiken voor credential stuffing: ze proberen die combinaties op meerdere diensten uit. Dat onderstreept waarom unieke wachtwoorden per dienst belangrijk zijn en waarom het gebruik van sterke, door gespecialiseerde apps gegenereerde wachtwoorden verstandig is. Die aanpak kan helpen de mogelijke schade van zo’n datalek flink te beperken.
De informatie is relevant voor zowel individuen als organisaties die afhankelijk zijn van de bescherming van persoonlijke gegevens. Het toont ook aan dat eindgebruikers zich meer bewust moeten zijn van hoe ze hun digitale identiteit kunnen beschermen.