Le chercheur en sécurité Troy Hunt a ajouté des noms d'utilisateur et des mots de passe divulgués du site Web de mixtapes de rap DatPiff à Have I been Pwned. En novembre, les données de près de 7.5 millions de membres sont apparues sur un forum de hackers.
Ceci Hunt écrit sur Twitter. On ne sait pas exactement quand la violation de données s'est produite, mais les mots de passe et les noms d'utilisateur de près de 7.5 millions de membres de DatPiff sont apparus sur divers forums de piratage au cours de 2020 et 2021 et ont été mis en vente en boucle fermée. En plus des mots de passe et des noms d'utilisateur, la base de données contient également des adresses e-mail et des réponses aux questions de sécurité.
Hunt a maintenant ajouté les données à Have I been Pwned afin que les utilisateurs puissent voir si leurs données ont été divulguées. 81% des données étaient déjà hébergées dans HIBP. Il s'agit de données en clair qui ont été initialement hachées avec MD5. C'est un algorithme de hachage à l'ancienne des années 1990, qui est obsolète depuis des années, car il est assez facile de déchiffrer les hachages MD5.
Les données divulguées sont anciennes et proviennent d'une sauvegarde de la base de données du site Web, écrit BleepingComputer. Le voleur a réussi à mettre la main sur les données en utilisant une vulnérabilité de site Web scanner qui lui a donné accès au serveur contenant les données. À ce jour, DatPiff n'a pas informé les utilisateurs de la fuite et n'a pas exhorté les utilisateurs à changer leurs mots de passe.