Sikkerhedsforsker Troy Hunt har tilføjet lækkede brugernavne og adgangskoder fra rap-mixtape-webstedet DatPiff til Have I been Pwned. I november dukkede data fra næsten 7.5 millioner medlemmer op på et hackerforum.
Det Det skriver Hunt på Twitter. Det er ikke klart, præcist hvornår databruddet fandt sted, men adgangskoder og brugernavne på næsten 7.5 millioner DatPiff-medlemmer dukkede op på forskellige hackingfora i løbet af 2020 og 2021 og blev solgt i lukket kredsløb. Ud over adgangskoder og brugernavne indeholder databasen også mailadresser og svar på sikkerhedsspørgsmål.
Hunt har nu tilføjet dataene til Have I been Pwned, så brugere kan se, om deres data er blevet lækket. 81 procent af dataene var allerede gemt i HIBP. Dette er klartekstdata, der oprindeligt blev hashed med MD5. Det er en gammeldags hashing-algoritme fra 1990'erne, som har været forældet i årevis, fordi det er ret nemt at knække MD5-hash.
De lækkede data er gamle og kommer fra en database-backup af hjemmesiden, skriver BleepingComputer. Det lykkedes tyven at få fat i dataene ved at bruge en sårbarhed på et websted scanner, der gav ham adgang til serveren, der indeholdt dataene. Til dato har DatPiff ikke underrettet brugere om lækagen og har ikke opfordret brugerne til at ændre deres adgangskoder.