Il ricercatore di sicurezza Troy Hunt ha aggiunto nomi utente e password trapelati dal sito Web di mixtape rap DatPiff a Have I been Pwned. A novembre, i dati di quasi 7.5 milioni di membri sono apparsi su un forum di hacker.
Che Hunt scrive su Twitter. Non è chiaro esattamente quando si è verificata la violazione dei dati, ma le password e i nomi utente di quasi 7.5 milioni di membri di DatPiff sono apparsi su vari forum di hacking nel corso del 2020 e del 2021 e sono stati messi in vendita a ciclo chiuso. Oltre a password e nomi utente, il database contiene anche indirizzi e-mail e risposte a domande di sicurezza.
Hunt ha ora aggiunto i dati a Have I been Pwned in modo che gli utenti possano vedere se i loro dati sono trapelati. L'81% dei dati era già archiviato in HIBP. Si tratta di dati in chiaro che erano stati originariamente sottoposti a hash con MD5. Questo è un algoritmo di hashing vecchio stile degli anni '1990, che è obsoleto da anni, perché è abbastanza facile decifrare gli hash MD5.
I dati trapelati sono vecchi e provengono da un backup del database del sito Web, scrive BleepingComputer. Il ladro è riuscito a impossessarsi dei dati sfruttando una vulnerabilità del sito web scanner che gli ha dato accesso al server contenente i dati. Ad oggi, DatPiff non ha notificato agli utenti la fuga di notizie e non ha esortato gli utenti a modificare le proprie password.