Säkerhetsforskaren Troy Hunt har lagt till läckta användarnamn och lösenord från rapmix-webbplatsen DatPiff till Have I been Pwned. I november dök data från nästan 7.5 miljoner medlemmar upp på ett hackerforum.
Att Det skriver Hunt på Twitter. Det är inte klart exakt när dataintrånget inträffade, men lösenorden och användarnamnen för nästan 7.5 miljoner DatPiff-medlemmar dök upp på olika hackingforum under loppet av 2020 och 2021 och började säljas i slutet kretslopp. Databasen innehåller förutom lösenord och användarnamn även e-postadresser och svar på säkerhetsfrågor.
Hunt har nu lagt till data till Have I been Pwned så att användare kan se om deras data har läckt. 81 procent av datan fanns redan i HIBP. Detta är klartextdata som ursprungligen hashades med MD5. Det är en gammaldags hashalgoritm från 1990-talet, som har varit föråldrad i flera år, eftersom det är ganska lätt att knäcka MD5-hashar.
Den läckta datan är gammal och kommer från en databassäkerhetskopiering av webbplatsen, skriver BleepingComputer. Tjuven lyckades få tag i uppgifterna genom att använda en sårbarhet på webbplatsen scanner som gav honom åtkomst till servern som innehöll data. Hittills har DatPiff inte meddelat användare om läckan och har inte uppmanat användare att ändra sina lösenord.