De online paniek explodeerde binnen een paar uur toen tientallen kranten het nieuws over een vermeende diefstal van 183 miljoen Gmail-accounts opnieuw lanceerden, waarbij ze spraken over “een van de ergste schendingen uit de geschiedenis“. Google ontkende dit echter resoluut en legde uit dat geen van zijn systemen was geschonden. Maar wat betekent dit allemaal? Laten we bij het begin beginnen.
Het begon allemaal met een aankondiging van Troy Hunt, de maker van de site Ben ik gepwndwaarmee gebruikers worden gewaarschuwd als hun wachtwoord op internet is terechtgekomen. Hunt heeft aan zijn database een enorm archief toegevoegd dat wordt gedeeld door het dreigingsinformatiebureau Synthient, dat bestaat uit miljarden inloggegevens die in de loop van de tijd zijn verzameld via malware, phishing en inbreuken op duizenden verschillende sites. Vandaar het misverstand: de gegevens komen niet uit Gmail, maar uit een optelsom van eerdere lekken, vaak jaren oud.
91% van de gegevens was al bekend
Volgens Hunt zelf was 91% van de 183 miljoen inloggegevens al aanwezig Ben ik gepwnd voor een lange tijd. Slechts ongeveer 16 miljoen adressen zijn ‘nieuw’, maar niet gekoppeld aan een recente of gerichte aanval op Google. Het gaat dus om een historische collectie, en niet om een ‘verse diefstal’.
Google herhaalde dat zijn verdedigingssystemen robuust blijven en dat gebruikers worden beschermd door automatische controles op gecompromitteerde wachtwoorden. Het bedrijf gebruikt regelmatig dit soort databases om het opnieuw instellen van blootgestelde wachtwoorden te forceren, waardoor een potentieel risico wordt omgezet in een preventiemiddel.
Berichten over een “Gmail-beveiligingsinbreuk die gevolgen heeft voor miljoenen gebruikers” zijn vals. De verdediging van Gmail is sterk en gebruikers blijven beschermd.
— Nieuws van Google (@NewsFromGoogle) 27 oktober 2025
De bron van de gegevens
De dataset, genaamd Synthient Stealer Log Threat Data, werd verzameld door Synthient LLC, een bedrijf gespecialiseerd in cyberbeveiliging. Het bijna een jaar durende project hield toezicht op gesloten forums, Telegram-kanalen en darkweb-markten, waarbij miljarden records werden verzameld en gewist.
Na het elimineren van duplicaten en valse positieven, leverde Synthient een Ben ik gepwnd 183 miljoen e-mail-wachtwoordcombinaties, waarvan ongeveer 16 miljoen nog nooit eerder zijn gezien. Het doel: gebruikers laten controleren of hun accounts in verkeerde handen zijn gevallen.
Een archief van 3,5 terabyte
De verzameling in kwestie weegt ongeveer 3,5 terabyte en bevat gegevens van gebruikers van diensten als Gmail, Outlook, Yahoo Mail, iCloud en Facebook. Dit is geen directe inbreuk op bedrijfssystemen, maar gestolen inloggegevens van geïnfecteerde apparaten: kwaadaardige software die getypte toetsaanslagen registreert of wachtwoorden leest die in browsers zijn opgeslagen.
Dit type verzameling is bijzonder verraderlijk, omdat het vaak om gebruikers gaat die zich er niet van bewust zijn dat er actieve malware op hun computer of smartphone staat. Sommige bestanden bevatten zelfs sessiecookies en digitale portemonneesleutels, waardoor het dringend nodig is om gecompromitteerde inloggegevens onmiddellijk te wijzigen.
Hoe u kunt controleren of u getroffen bent en hoe u uzelf kunt beschermen
Degenen die bang zijn om in de database te staan, hebben toegang Ben ik gepwnd op deze link en voer uw e-mailadres in de zoekbalk in. Als de site u een rood bericht laat zien, betekent dit dat uw e-mailadres bij minstens één overtreding aanwezig is. In het geval dat het adres in gevaar komt, wordt aanbevolen om onmiddellijk het wachtwoord te wijzigen, tweefactorauthenticatie te activeren, bij voorkeur via app- of hardwaresleutels, om een extra beveiligingsniveau toe te voegen en een volledige antivirusscan op de apparaten uit te voeren.
Mogelijk bent u ook geïnteresseerd in:
