Saugumo tyrinėtojas Troy'us Huntas prie „Have I been Pwned“ pridėjo nutekintus naudotojų vardus ir slaptažodžius iš repo rinkinių svetainės „DatPiff“. Lapkričio mėnesį programišių forume pasirodė duomenys iš beveik 7.5 milijono narių.
Kad Hunt rašo Twitter. Tiksliai neaišku, kada įvyko duomenų pažeidimas, tačiau beveik 7.5 milijono „DatPiff“ narių slaptažodžiai ir naudotojų vardai 2020 ir 2021 m. pasirodė įvairiuose įsilaužimo forumuose ir buvo parduodami uždaru ciklu. Be slaptažodžių ir vartotojo vardų, duomenų bazėje taip pat yra elektroninio pašto adresai ir atsakymai į saugos klausimus.
„Hunt“ dabar pridėjo duomenis prie „Have I been Pwned“, kad vartotojai galėtų pamatyti, ar jų duomenys nebuvo nutekinti. 81 procentas duomenų jau buvo saugomi HIBP. Tai yra paprasto teksto duomenys, kuriems iš pradžių buvo pritaikyta maiša naudojant MD5. Tai senamadiškas 1990-ųjų maišos algoritmas, kuris daugelį metų buvo pasenęs, nes gana lengva nulaužti MD5 maišą.
Nutekėję duomenys yra seni ir gaunami iš atsarginės svetainės duomenų bazės kopijos, rašo „BleepingComputer“. Vagis sugebėjo gauti duomenis pasinaudodamas svetainės pažeidžiamumu scanner, kuris suteikė jam prieigą prie serverio, kuriame yra duomenys. Iki šiol „DatPiff“ nepranešė vartotojų apie nutekėjimą ir neragino vartotojų keisti slaptažodžių.