セキュリティ研究者のTroyHuntが、ラップミックステープのウェブサイトDatPiffからリークされたユーザー名とパスワードをHave I beenPwnedに追加しました。 7.5月には、XNUMX万人近くのメンバーからのデータがハッカーフォーラムに掲載されました。
それ ハントはツイッターに書き込みます。 データ漏えいがいつ発生したかは明確ではありませんが、約7.5万人のDatPiffメンバーのパスワードとユーザー名が、2020年から2021年にかけてさまざまなハッキングフォーラムに登場し、クローズドループで販売されました。 データベースには、パスワードとユーザー名に加えて、電子メールアドレスとセキュリティの質問への回答も含まれています。
Huntは、データが漏洩したかどうかをユーザーが確認できるように、Have I beenPwnedにデータを追加しました。 データの81%はすでにHIBPに格納されていました。 これは、元々MD5でハッシュされたプレーンテキストデータです。 これは1990年代の昔ながらのハッシュアルゴリズムであり、MD5ハッシュを解読するのは非常に簡単であるため、何年もの間廃止されてきました。
リークされたデータは古く、ウェブサイトのデータベースバックアップからのものであるとBleepingComputerは書いています。 泥棒はウェブサイトの脆弱性を利用してデータを入手することができました scanデータを含むサーバーへのアクセスを彼に与えたner。 現在まで、DatPiffはユーザーにリークを通知しておらず、ユーザーにパスワードの変更を促していません。