Skip to the content.

DIVD-2021-00012 - Warehouse Botnet

Our referenceDIVD-2021-00012
Case leadLennaert Oudshoorn
AuthorFrank Breedijk
Researcher(s)
CVE(s)
  • n/a
Productn/a
Versionsn/a
Recommendation Change your passwords, check if credentials have been abused, check your computer and consider reinstalling it, make sure your antivirus is up to date...
StatusOpen

English below

Samenvatting

Tijdens een onderzoek naar open database servers in Nederland heeft een van onze onderzoekers een database van criminelen met buitgemaakte gebruikersnamen en wachtwoorden aangetroffen. Omdat de database niet beveiligd was, is het ons gelukt alle gestolen data uit de te downloaden zodat wij de slachtoffers kunnen informeren.

Wat kunt u doen?

Wijzig uw wachtwoorden

De gebruikersnaam/wachtwoord combinaties uit de lijst kunt u niet langer veilig gebruiken. Wijzig deze wachtwoorden, niet alleen op de site waar ze voor bestemd zijn, maar op elke site waar u dit wachtwoord gebruikt. We beseffen ons dat dit veel werk is, maar criminelen proberen deze combinaties op allerlei sites uit, dit staat bekend als ‘credential stuffing’.

Controleer op misbruik

Ga na of deze wachtwoorden tussen nu en de datum van stelen gebruikt kunnen zijn om u schade te berokkenen, b.v. door producten op uw naam te bestellen

Controleer uw computer en overweeg een herinstallatie

Deze gebruikersnamen en wachtwoorden zijn gestolen met behulp van een virus of ander soort malware. Of, om het simpeler te zeggen, uw computer is gehackt. Indien u nog steeds dezelfde computer gebruikt als op het tijdstip dat uw wachtwoorden gestolen zijn, dan raden wij u aan deze opnieuw te (laten) installeren.

Gebruik up-to-date antivirus

Uw gegevens zijn gestolen via een virus of ander soort kwaadaardige software. Een up-to-date antivirus product help u hiertegen te beschermen.

Gebruik een password manager en unieke wachtwoorden per site

Als u wachtwoorden in uw browser opslaat dan zijn deze door malware gemakkelijk te stelen. Dat is in dit geval ook gebeurt. Password manager zoals 1Password, Dashland, Robopass, KeePass, LastPass etc zijn beter beschermd tegen malware. Door het gebruik van een password manager kunt u een uniek wachtwoord per site gebruiken. Dit maakt uw wachtwoord minder waard voor criminelen en het betekent dat u in het geval van het lekken van een wachtwoord deze slechts op een enkele site hoeft te wijzigen in plaats van overal waar u hetzelfde wachtwoord gebruikt.

Aboneer u op haveibeenpwned.com en scatteredsecrets.com

Deze twee projecten houden databases bij met gestolen en gelekte wachtwoorden en sturen u een waarschuwing indien uw data hierin verschijnt.

Wat doen wij?

Deze database bevatte miljoenen gebruikersnamen en wachtwoorden. De server is inmiddels offline.

We hebben een kopie van de database naar haveibeenpwned.com en scattersecrets.com verstrekt zodat zij ons kunnen helpen met het waarschuwen van slachtoffers.

We hebben een kopie van de database overgedragen aan de Nederlandse politie

De komende dagen sturen wij e-mails om slachtoffers te waarschuwen. Als er meerdere van uw email adressen in de database voorkomen, dan krijgt u meerdere emails.

Timeline

DateDescription
begin 05-2021 Vermoedelijke periode dat het botnet actief was.
20-05-2021 DIVD Onderzoeker vindt de open database.
24-05-2021 Hosting provider genotificeerd over deze database op hun infrastructuur.
26-05-2021Database offline gehaald door de hosting provider.
26-05-2021Data gedeeld met Scatteredsecrets.
27-05-2021Kopie van de database gedeeld met de Nederlandse politie
2-6-2021DIVD CSIRT stuur notificaties uit naar de slachtoffers

English

Summary

During an investigation into open database servers in The Netherlands, one of our researchers has discovered a database full of usernames and passwords that criminals have stolen from their victims’ browsers. Because the database was unprotected, we managed to extract the stolen data in order for us to notify the victims.

What you can do

Change your passwords

The username-password combinations from the list below are no longer safe to use. You should change these passwords on every site you use them. We know that is a lot of work, but criminals often try out username and password combinations on other sites as well; this is known as credential stuffing.

Check if the passwords have been abused

Check if the password has been abused between the date they were stolen and now. E.g., for ordering products or services in your name.

Check your computer and consider reinstalling it

These passwords were stolen using a virus or other type of malicious program. Or, to put it more plainly: the computer these passwords were stolen from was hacked. If you still use the same computer as you were on the day the passwords were stolen, we recommend that you get it reinstalled.

Make sure your antivirus is up to date.

Your data was stolen with a virus or another type of malicious software. Using an up-to-date antivirus program helps to protect you from future threats.

Start using a password manager and unique passwords per site

When you store passwords in your browser, a hacker that has compromised your computer can easily access them. This is what has happened in this case as well. Password managers like 1Password, Dashlane, Robopass, KeePass, LastPass, etc, are much harder to crack. Additionally, they allow you to use a unique password for each site. People often use the same few passwords for many different sites. This means that if such a site or your computer gets compromised, that password has to be changed on multiple sites at the same time. Using a unique password for each site makes the life of these criminals harder and means you do not have to change this many passwords if this ever happens again.

Subscribe to haveibeenpwned.com and scatteredsecrets.com

These two projects keep track of databases with stolen and leaked credentials and send out a warning to you in case your data turns up in one.

What we are doing

The database we discovered contained millions of username-password combinations. The server has been taken offline.

We have provided a copy of the database to haveibeenpwned.com and scatteredsecrets.com to help us warn other victims.

We have provided a copy of the database to the Dutch police.

We are notifying the victims via email; if multiple of your email addresses have been found in the database, you will get multiple emails.

Timeline

DateDescription
early 05-2021Assumed period the botnet was active.
20-05-2021DIVD Researcher finds the open database.
24-05-2021 Hosting provider notified of this database on their infrastructure.
26-05-2021Database taken offline by hosting provider.
26-05-2021 Data shared with Scatteredsecrets.
27-05-2021 A copy of the database was shared with the Dutch police
2-6-2021 DIVD CSIRT has started to send notification emails to victims