Habe ich Pwned hinzugefügt Passwörter von 7.5 Millionen DatPiff-Mitglieder

Der Sicherheitsforscher Troy Hunt hat durchgesickerte Benutzernamen und Passwörter von der Rap-Mixtape-Website DatPiff zu Have I been Pwned hinzugefügt. Im November, Daten von fast 7.5 Millionen Mitglieder sind in einem Hacker-Forum aufgetaucht.

Dass Hunt schreibt auf Twitter. Es ist nicht genau klar, wann die Datenschutzverletzung aufgetreten ist, aber die Passwörter und Benutzernamen von fast 7.5 Millionen DatPiff-Mitglieder erschienen im Laufe des Jahres in verschiedenen Hacking-Foren 2020 und 2021 und ging im geschlossenen Kreislauf in den Verkauf. Neben Passwörtern und Benutzernamen, die Datenbank enthält auch E-Mail-Adressen und Antworten auf Sicherheitsfragen.

Hunt hat die Daten jetzt zu Have I been Pwned hinzugefügt, damit Benutzer sehen können, ob ihre Daten durchgesickert sind. 81 Prozent der Daten waren bereits in HIBP gespeichert. Dies sind Klartextdaten, die ursprünglich mit MD5 gehasht wurden. Das ist ein altmodischer Hashing-Algorithmus aus den 1990er Jahren, was seit Jahren obsolet ist, weil es ganz einfach ist, MD5-Hashes zu knacken.

Die durchgesickerten Daten sind alt und stammen aus einem Datenbank-Backup der Website, BleepingComputer schreibt. Dem Dieb gelang es, an die Daten zu gelangen, indem er einen Website-Schwachstellen-Scanner verwendete, der ihm Zugriff auf den Server mit den Daten verschaffte. Miteinander ausgehen, DatPiff hat die Benutzer nicht über das Leck informiert und die Benutzer nicht aufgefordert, ihre Passwörter zu ändern.