Vijf dagen na de melding van de diefstal van 4,5 miljard accountgegevens, gekoppeld aan 500 miljoen unieke e-mailadressen en 1,2 miljard unieke e-mailadres/wachtwoord-combinaties, is bij de cyberwaakhond van de overheid geen enkele melding binnengekomen. Evenmin hebben internationale zusterorganisaties iets vernomen.

Internetdeskundige Axel Arnbak van de Universiteit van Amsterdam uit grote twijfels over de vermeende diefstal. „Het lijkt op een storm in een glas water”, zegt hij. „Dit is niet de eerder aangekondigde apocalyps op internet.”

De melding werd vorige week gedaan door het Amerikaanse bedrijf Hold Security in Milwaukee en overgenomen door de New York Times. Het bericht wekte wereldwijd grote vrees voor het weglekken van beveiligingsgegevens.

Nu het stof is neergedaald, denkt cybersecurity- en informatierechtonderzoeker Arnbak dat het om een „slim verpakte marketingtruc” gaat. Het bedrijf bood volgens hem meteen een abonnement aan om voor 120 dollar per jaar te onderzoeken of iemands naam op de lijst van gehackte accounts staat.

Arnbak zegt dat het gebruikelijk is dat kennis over gestolen data meteen wordt gedeeld met internationale beveiligingscentra, zoals de NCSC in Nederland. „Hold Security is kennelijk niet bereid de data met anderen te delen.”

Volgens hem circuleren op internet vele verouderde combinaties van inloggegevens en wachtwoorden, sommige tot wel 10 jaar oud. „Er is een simpele remedie: je wachtwoord veranderen”, zegt hij. Arnbak prijst de aanpak van de NCSC. „Deze instantie heeft zich niet gek laten maken door de eerste, alarmerende meldingen.”

Het NCSC deelt de conclusie van Arnbak vooralsnog niet dat de diefstalmelding op drijfzand berust. Wel zegt de cyberwaakhond niet veel hoop te hebben op aanvullende informatie. „We gaan niet speculeren over deze datadiefstal, maar stellen vast dat we niet zo heel veel weten.”