De inloggegevens werden buitgemaakt door meer dan 420.000 websites te compromitteren via een sql-injectie, schrijft de New York Times. Het hoge tempo en de enorme reikwijdte van de operatie was mogelijk door gebruik te maken van een botnet. De bots in dat net registreerden welke websites de gekaapte pc's bezochten en bestookten die websites direct met een sql-injectie.

De zaak werd ontdekt door beveiligingsfirma Hold Security, dat vorig jaar nog de diefstal van miljoenen gegevens bij Adobe blootlegde. Onafhankelijke onderzoekers hebben eveneens naar de gegevens gekeken, en als origineel bestempeld. Hold Security wil nog niet zeggen welke websites zijn getroffen.

Websites gekraakt van multinationals

Het gaat soms om websites van zeer grote en respectabele bedrijven en organisaties. Hold Security heeft in dat geval een non-disclosure agreement getekend, wat betekent dat geheimhouding is overeengekomen. In andere gevallen gaat het om kleine websites. In veel gevallen wil het beveiligingsbedrijf de namen niet geven omdat de kwetsbaarheid in de websites nog steeds bestaat.

De inloggegevens zijn nog niet te gelde gemaakt door de criminelen, zegt Hold. Wel worden social media-accounts van mensen misbruikt om spam door te sturen. Ook dat levert geld op, maar lang niet zo veel als verkoop van de gegevens op de zwarte markt.

Lees ook: Grootste dataroof ooit = wachtwoordenstress in kwadraat op Computerworld. De auto is hét nieuwe connected device