Der Sicherheitsforscher Troy Hunt hat durchgesickerte Benutzernamen und Passwörter von der Rap-Mixtape-Website DatPiff zu Have I been Pwned hinzugefügt. Im November tauchten in einem Hackerforum Daten von fast 7.5 Millionen Mitgliedern auf.
Dass Hunt schreibt auf Twitter. Es ist nicht klar, wann genau die Datenpanne aufgetreten ist, aber die Passwörter und Benutzernamen von fast 7.5 Millionen DatPiff-Mitgliedern tauchten im Laufe der Jahre 2020 und 2021 in verschiedenen Hacking-Foren auf und wurden in geschlossener Schleife zum Verkauf angeboten. Die Datenbank enthält neben Passwörtern und Benutzernamen auch E-Mail-Adressen und Antworten auf Sicherheitsfragen.
Hunt hat die Daten jetzt zu Have I been Pwned hinzugefügt, damit Benutzer sehen können, ob ihre Daten durchgesickert sind. 81 Prozent der Daten waren bereits in HIBP untergebracht. Dies sind Klartextdaten, die ursprünglich mit MD5 gehasht wurden. Das ist ein altmodischer Hashing-Algorithmus aus den 1990er Jahren, der seit Jahren veraltet ist, weil es ziemlich einfach ist, MD5-Hashes zu knacken.
Die durchgesickerten Daten sind alt und stammen aus einem Datenbank-Backup der Website, schreibt BleepingComputer. Dem Dieb gelang es, an die Daten zu gelangen, indem er eine Sicherheitslücke auf der Website nutzte scanner, der ihm Zugriff auf den Server verschafft hat, der die Daten enthält. Bis heute hat DatPiff die Benutzer nicht über das Leck informiert und die Benutzer nicht aufgefordert, ihre Passwörter zu ändern.