Bij een grootschalige vermeende hack die in augustus aan het licht kwam, zouden 1,3 miljoen Nederlandse accounts zijn buitgemaakt. De hack werd eerder bestempeld als de ‘grootste hack ooit’; er zouden in totaal 1,2 miljard logingegevens zijn buitgemaakt.

Het Nationaal Cyber Security Centrum kreeg de 1,3 miljoen Nederlandse accounts in handen van Hold Security, het bedrijf dat het lek ontdekte en in augustus in de openbaarheid bracht. De 1,3 miljoen gegevens zijn afkomstig van in totaal 420.000 websites die zouden zijn gehackt. Daaronder zijn 5600 websites met een ‘.nl’-extensie die zouden zijn gehackt. Sommige daarvan zijn mogelijk nog kwetsbaar.

Het gaat voor een groot deel om de combinatie van een e-mailadres en een wachtwoord. Het NCSC benadrukt dat dat niet betekent dat de mailaccounts zijn gekraakt, maar dat het gaat om accounts op andere websites. Het is onduidelijk of het gaat om 1,3 miljoen unieke e-mailadressen, of dat er ook doublures in de lijst staan.

Het NCSC gaat via hostingproviders en de SIDN de getroffen websites informeren. De bedoeling is dat internetproviders als Ziggo en UPC klanten die op de lijst staan informeren. De overheidsorganisatie heeft overigens alleen de e-mailadressen ontvangen; de wachtwoorden zijn niet meegestuurd.

Het lek dat in augustus aan het licht kwam werd aanvankelijk ‘de grootste hack ooit’ genoemd; er zouden 1,2 miljard accounts en 500 miljoen e-mailadressen zijn buitgemaakt. Er zijn echter sceptische reacties: zo geeft Hold Security weinig informatie over de hack en het bedrijf heeft een betaalde dienst waar gebruikers kunnen opvragen of hun website is gekraakt.

Update, 19.35: Xs4all heeft een e-mailcheck online gezet waarmee klanten kunnen controleren of hun xs4all.nl-adres is buitgemaakt. E-mailadressen eindigend op @cistron.nl en @demon.nl staan volgens Xs4all niet op de lijst aangeleverd door het NCSC.