Sekuriteitsnavorser Troy Hunt het uitgelekte gebruikersname en wagwoorde van die rap-mixtape-webwerf DatPiff by Have I been Pwned bygevoeg. In November het data van byna 7.5 miljoen lede op 'n kuberforum verskyn.
Wat Hunt skryf op Twitter. Dit is nie duidelik presies wanneer die data-oortreding plaasgevind het nie, maar die wagwoorde en gebruikersname van byna 7.5 miljoen DatPiff-lede het in die loop van 2020 en 2021 op verskeie inbraakforums verskyn en in geslote lus te koop gegaan. Benewens wagwoorde en gebruikersname, bevat die databasis ook e-posadresse en antwoorde op sekuriteitsvrae.
Hunt het nou die data by Have I been Pwned gevoeg sodat gebruikers kan sien of hul data uitgelek is. 81 persent van die data is reeds in HIBP gehuisves. Dit is gewone teksdata wat oorspronklik met MD5 gehash is. Dit is 'n outydse hashing-algoritme uit die 1990's, wat al jare uitgedien is, want dit is redelik maklik om MD5-hashes te kraak.
Die uitgelekte data is oud en kom van 'n databasisrugsteun van die webwerf, skryf BleepingComputer. Die dief het daarin geslaag om die data in die hande te kry deur 'n webwerf-kwesbaarheid te gebruik scanner wat hom toegang gegee het tot die bediener wat die data bevat. Tot op hede het DatPiff nie gebruikers van die lekkasie in kennis gestel nie en het gebruikers nie aangemoedig om hul wagwoorde te verander nie.