Een onbeveiligde database met ruim 149 miljoen inloggegevens heeft wekenlang opengestaan op het internet. Cybersecurity-onderzoeker Jeremiah Fowler ontdekte het lek, dat volgens experts mogelijk afkomstig is van infostealer-malware. De database bleef een maand online voordat de hosting provider actie ondernam.
De omvang van het datalek is aanzienlijk: 96,73 gigabyte aan gevoelige informatie, vrij toegankelijk voor iedereen met een webbrowser en slechte bedoelingen. Het bestand bevatte niet alleen e-mailadressen en wachtwoorden, maar ook bankgegevens, creditcardlogins en toegangscodes tot cryptocurrency-portefeuilles. Fowler, een gespecialiseerd cybersecurity-onderzoeker, deelde zijn bevindingen met ExpressVPN.
Wat stond er precies in het gelekte bestand?
Bij analyse van een steekproef uit de database trof Fowler duizenden bestanden aan met complete inlogsets: e-mailadressen, gebruikersnamen, bijbehorende wachtwoorden én de websites waar deze combinaties gebruikt worden. Die laatste detail maakt het lek bijzonder gevaarlijk, omdat aanvallers precies weten waar ze elke gestolen login kunnen inzetten.
De getroffen diensten lezen als een who’s who van populaire online platforms. Social media-accounts van Facebook, Instagram, TikTok en X (voorheen Twitter) staan in de database, net als profielen van datingapps. Zelfs gevoelige accounts van zowel creators als gewone gebruikers van OnlyFans werden blootgelegd. Streamingdiensten ontkwamen evenmin aan de dans: Netflix, Disney+ en het populaire gamingplatform Roblox verschijnen in de gelekte gegevens.
Bijzonder zorgwekkend is de aanwezigheid van gebruikers met .gov-domeinnamen in hun e-mailadres – een duidelijke link met overheidsinstellingen. Hoewel het niet noodzakelijk om hooggeplaatste ambtenaren hoeft te gaan, maakt dit detail het lek politiek en maatschappelijk gevoeliger. Ook ruim 1,4 miljoen e-mailadressen met .edu-domeinnamen duiken op, wat wijst op getroffen studenten en medewerkers van onderwijsinstellingen.
De concrete cijfers
De verdeling over e-mailproviders geeft een helder beeld van de impact. Gmail-gebruikers zijn veruit het zwaarst getroffen met 48 miljoen blootgelegde adressen. Yahoo volgt met 4 miljoen, Outlook met 1,5 miljoen en iCloud met 900.000 accounts.
Voor specifieke platforms zijn de aantallen al even schrijnend: 17 miljoen Facebook-accounts, 6,5 miljoen Instagram-profielen, 780.000 TikTok-gebruikers en 3,4 miljoen Netflix-abonnees. Het cryptoplatform Binance zag 420.000 accounts in de database opduiken, terwijl OnlyFans met 100.000 getroffen accounts te maken kreeg.
Een maand lang open en bloot
Nadat Fowler de database had ontdekt, verliep de afhandeling zorgwekkend traag. De onderzoeker waarschuwde de hosting provider, maar het duurde bijna een volledige maand voordat de database daadwerkelijk offline werd gehaald. Dat roept ongemakkelijke vragen op. Hoeveel kwaadwillenden hebben in die periode de gegevens gedownload? Die vraag blijft onbeantwoord.
De provider weigerde bovendien te onthullen wie de eigenaar van het domein was, wat de transparantie niet ten goede komt. Nog problematischer is dat de database tussen het moment van ontdekking en het offline halen actief werd bijgewerkt met nieuwe gegevens. Dat wijst op een operationeel systeem dat actief in gebruik was – mogelijk om gestolen credentials te verzamelen en te ordenen.
De langdurige blootstelling vergroot de kans dat het bestand al is gekopieerd en elders opnieuw zal opduiken, mogelijk in een andere vorm of als onderdeel van een grotere database. Cybercriminelen delen dergelijke verzamelingen regelmatig via ondergrondse forums en verkopen ze door aan andere malafide actoren.
Infostealer-malware als waarschijnlijke bron
Volgens de analyse lijkt het bestand te zijn samengesteld met gegevens afkomstig van zogeheten infostealer-malware. Deze schadelijke software werkt stilletjes op de achtergrond van geïnfecteerde apparaten en registreert continu wat gebruikers intypen, welke websites ze bezoeken en welke inloggegevens ze gebruiken.
De malware kan op verschillende manieren op een apparaat terechtkomen. Veelvoorkomende infectievectoren zijn kwaadaardige e-mailbijlagen die onschuldig lijken, frauduleuze browserextensies die nuttige functies beloven, nepversies van populaire software-updates en misleidende online advertenties. Eenmaal geïnstalleerd is de malware hardnekkig: zelfs als gebruikers al hun wachtwoorden wijzigen, registreert de software gewoon de nieuwe inloggegevens en stuurt die door naar de aanvallers.
Dit verklaart waarom simpelweg je wachtwoorden veranderen na zo’n datalek niet voldoende is als je apparaat nog steeds geïnfecteerd is. De oplossing vereist eerst een grondige scan en opschoning van het systeem voordat nieuwe wachtwoorden veilig kunnen worden ingesteld.
Welke risico’s lopen getroffen gebruikers?
De combinatie van grote hoeveelheden gegevens, complete wachtwoorden én de bijbehorende URL’s maakt gerichte aanvallen bijzonder eenvoudig. Cybercriminelen hoeven niet meer te gissen op welke site een bepaald wachtwoord hoort – ze hebben een kant-en-klare gebruikershandleiding.
Identiteitsdiefstal staat bovenaan de lijst met risico’s. Met toegang tot e-mailaccounts kunnen aanvallers wachtwoorden van andere diensten resetten, wat een domino-effect veroorzaakt waarbij steeds meer accounts worden overgenomen. Via social media-accounts kunnen criminelen zich voordoen als de echte gebruiker en contact leggen met vrienden en familie om die vervolgens op te lichten.
Financiële fraude is een ander direct gevaar. De aanwezigheid van bankgegevens, creditcardlogins en cryptocurrency-portefeuilles in het lek maakt directe financiële schade mogelijk. Aanvallers kunnen proberen geld over te maken, online aankopen te doen of cryptovaluta over te boeken naar hun eigen wallets.
Phishing-aanvallen worden door dit datalek ook nauwkeuriger. Omdat criminelen precies weten welke diensten iemand gebruikt, kunnen ze overtuigender nepberichten sturen die afkomstig lijken van bijvoorbeeld Netflix, je bank of Facebook. De kans dat mensen erin trappen neemt daardoor toe.
Een specifiek risico geldt voor gebruikers van platformen met gevoelige content zoals OnlyFans. Zij lopen het risico op afpersing: criminelen kunnen dreigen de accountgegevens of content publiek te maken tenzij er wordt betaald. Dit type chantage, bekend als sextortion, komt steeds vaker voor en kan ernstige emotionele en sociale gevolgen hebben voor slachtoffers.
Wat kun je nu doen?
Hoewel achteraf moeilijk is vast te stellen of jouw specifieke gegevens in dit lek zitten, zijn er concrete stappen die de schade kunnen beperken en toekomstige infecties kunnen voorkomen.
Controleer je systeem door een volledige scan uit te voeren met actuele antivirussoftware. Zorg dat zowel je besturingssysteem als je beveiligingssoftware up-to-date is, omdat updates regelmatig bekende beveiligingslekken dichten. Een oudere versie van Windows of macOS kan kwetsbaarheden bevatten die infostealer-malware uitbuiten.
Wees selectief bij het installeren van software. Download alleen via officiële bronnen zoals de App Store, Google Play of de website van de softwarefabrikant zelf. Vermijd downloadlinks uit e-mails of advertenties, hoe verleidelijk die ook lijken. Let extra op bij browserextensies: controleer reviews, het aantal gebruikers en de uitgever voordat je iets installeert.
Activeer tweefactorauthenticatie (2FA) op alle accounts waar dit mogelijk is, met een sterke voorkeur voor authenticator-apps boven sms-codes. Zelfs als een aanvaller je wachtwoord heeft, vormt die tweede beveiligingslaag een cruciaal obstakel. Dit is vooral belangrijk voor je e-mailaccount, omdat toegang daartoe vaak de sleutel is tot al je andere accounts.
Monitor je accounts actief op ongebruikelijke activiteit. Vreemde inlogpogingen, berichten die je niet hebt verstuurd, onbekende transacties of instellingen die zonder jouw medeweten zijn gewijzigd zijn allemaal rode vlaggen. Neem bij het minste vermoeden onmiddellijk actie: wijzig wachtwoorden, log uit op alle apparaten en meld verdachte activiteit bij de dienstverlener.
Controleer je financiële overzichten regelmatig op onbekende transacties. Bij banken en creditcardmaatschappijen kun je vaak notificaties instellen voor elke transactie, wat verdachte activiteit snel aan het licht brengt.
Bredere context: een structureel probleem
Dit datalek is weliswaar omvangrijk, maar staat helaas niet op zichzelf. Infostealer-malware wordt steeds geavanceerder en wijdverspreid. Criminele groeperingen opereren inmiddels als volwaardige bedrijven, compleet met klantenservice en gebruikershandleidingen voor hun malware.
De traagheid waarmee de database offline werd gehaald roept ook vragen op over de verantwoordelijkheid van hosting providers. Moet er wetgeving komen die snellere actie afdwingt bij gemelde datalekken? En waarom weigerde de provider de domeineigenaar bekend te maken?
Voor gewone internetgebruikers onderstreept dit lek opnieuw hoe kwetsbaar onze digitale identiteiten zijn. Terwijl we voor steeds meer aspecten van ons leven afhankelijk worden van online diensten – van bankieren tot socializen en entertainment – blijft beveiliging een constante uitdaging.
Het goede nieuws is dat een combinatie van gezond wantrouwen, goede digitale hygiëne en gebruik van beschikbare beveiligingstools een groot verschil kan maken. Het slechte nieuws? Absolute zekerheid bestaat niet, en waakzaamheid blijft geboden.
