Troy Hunt biztonsági kutató hozzáadta a DatPiff rap mixtape webhelyről kiszivárgott felhasználóneveket és jelszavakat a Have I been Pwned oldalhoz. Novemberben közel 7.5 millió tag adatai jelentek meg egy hacker fórumon.
Hogy – írja Hunt a Twitteren. Nem világos, hogy pontosan mikor történt az adatszivárgás, de közel 7.5 millió DatPiff-tag jelszava és felhasználóneve jelent meg különböző hacker-fórumokon 2020 és 2021 folyamán, és zárt hurokban került forgalomba. Az adatbázis a jelszavakon és felhasználóneveken kívül e-mail címeket és biztonsági kérdésekre adott válaszokat is tartalmaz.
A Hunt most hozzáadta az adatokat a Have I been Pwned-hez, így a felhasználók láthatják, hogy adataik kiszivárogtak-e. Az adatok 81 százalékát már a HIBP tárolta. Ezek egyszerű szöveges adatok, amelyeket eredetileg az MD5-tel hasheltek. Ez egy régimódi kivonatolási algoritmus az 1990-es évekből, amely évek óta elavult, mert meglehetősen könnyű feltörni az MD5 hash-eket.
A kiszivárgott adatok régiek, és a weboldal adatbázis-mentéséből származnak – írja a BleepingComputer. A tolvajnak egy weboldal sebezhetőségével sikerült megszereznie az adatokat scanner, amely hozzáférést adott neki az adatokat tartalmazó szerverhez. A DatPiff a mai napig nem értesítette a felhasználókat a szivárgásról, és nem sürgette a felhasználókat jelszavak megváltoztatására.