Sikkerhetsforsker Troy Hunt har lagt til lekkede brukernavn og passord fra rap-mixtape-nettstedet DatPiff til Have I been Pwned. I november dukket det opp data fra nesten 7.5 millioner medlemmer på et hackerforum.
Det Det skriver Hunt på Twitter. Det er ikke klart nøyaktig når datainnbruddet skjedde, men passordene og brukernavnene til nesten 7.5 millioner DatPiff-medlemmer dukket opp på forskjellige hackingfora i løpet av 2020 og 2021 og ble solgt i lukket sløyfe. I tillegg til passord og brukernavn inneholder databasen også e-postadresser og svar på sikkerhetsspørsmål.
Hunt har nå lagt til dataene i Have I been Pwned slik at brukere kan se om dataene deres har blitt lekket. 81 prosent av dataene var allerede lagret i HIBP. Dette er klartekstdata som opprinnelig ble hashed med MD5. Det er en gammeldags hashing-algoritme fra 1990-tallet, som har vært foreldet i årevis, fordi det er ganske enkelt å knekke MD5-hash.
De lekkede dataene er gamle og kommer fra en databasesikkerhetskopi av nettsiden, skriver BleepingComputer. Tyven klarte å få tak i dataene ved å bruke en sårbarhet på nettstedet scanner som ga ham tilgang til serveren som inneholder dataene. Til dags dato har ikke DatPiff varslet brukere om lekkasjen og har ikke oppfordret brukere til å endre passordene sine.