Beveiligingsonderzoeker Troy Hunt heeft gelekte gebruikersnamen en wachtwoorden van de rapmixtape-website DatPiff toegevoegd aan Have I been Pwned. In november verschenen gegevens van bijna 7.5 miljoen leden op een hackerforum.
ZIJN Hunt schrijft op Twitter. Het is niet precies duidelijk wanneer het datalek plaatsvond, maar de wachtwoorden en gebruikersnamen van bijna 7.5 miljoen DatPiff-leden verschenen in de loop van 2020 en 2021 op verschillende hackforums en gingen in een gesloten lus in de verkoop. Naast wachtwoorden en gebruikersnamen bevat de database ook e-mailadressen en antwoorden op beveiligingsvragen.
Hunt heeft de gegevens nu toegevoegd aan Have I been Pwned, zodat gebruikers kunnen zien of hun gegevens zijn gelekt. 81 procent van de gegevens was al in HIBP ondergebracht. Dit zijn platte tekstgegevens die oorspronkelijk waren gehasht met MD5. Dat is een ouderwets hash-algoritme uit de jaren negentig, dat al jaren achterhaald is, omdat het vrij eenvoudig is om MD1990-hashes te kraken.
De gelekte gegevens zijn oud en komen uit een databaseback-up van de website, schrijft BleepingComputer. De dief wist de gegevens te bemachtigen door gebruik te maken van een kwetsbaarheid op een website scanner die hem toegang gaf tot de server die de gegevens bevat. Tot op heden heeft DatPiff gebruikers niet op de hoogte gebracht van het lek en heeft het gebruikers er niet op aangedrongen hun wachtwoord te wijzigen.