Op de site 'have I been pwned' van beveiligingsonderzoeker Troy Hunt zijn de inloggegevens van 65 miljoen Tumblr-gebruikers verschenen. Deze zijn afkomstig van een hack die in 2013 heeft plaatsgevonden. De wachtwoorden zijn gehasht en voorzien van een salt.
Eerder deze maand had Tumblr laten weten dat het bij de uitgelekte gegevens zou gaan om 'een aantal e-mailadressen van Tumblr-gebruikers'. Nu blijkt echter dat het om veel meer gegevens gaat. Deze werden op de site The Real Deal te koop aangeboden voor 0.4 bitcoin, omgerekend ongeveer 192 euro. De verkoper is dezelfde die ook de LinkedIn-gegevens verkocht onder de naam 'Peace'. Op de site van de onderzoeker kunnen gebruikers nagaan of hun gegevens deel uitmaken van de hack.
Het is niet duidelijk welk algoritme voor het hashen van de gegevens is gebruikt; de verkoper beweerde dat het zou gaan om het verouderde sha1-algoritme, zo laat Motherboard in een bericht weten. Het feit dat er ook een salt aan de wachtwoorden is toegevoegd, heeft het gevolg dat ze moeilijker te kraken zijn. De verkoper vraagt dan ook een relatief lage prijs voor de gegevens.
Onderzoeker Troy Hunt schat in dat de helft van de wachtwoorden inmiddels gekraakt zou kunnen zijn, omdat de gegevens al in 2013 zijn buitgemaakt. Op zijn site neemt de Tumblr-hack nu de derde plaats in van grootste hacks tot nu toe, na Adobe en LinkedIn. Hunt vermoedt zelf dat er een verband is tussen de recente grote incidenten en verwacht dat er hoogstwaarschijnlijk nog meer grote hacks bekend zullen worden in de nabije toekomst.
Voor het weekend bood verkoper 'Peace' ook een verzameling van 360 miljoen inloggegevens van MySpace-gebruikers aan via dezelfde site, waarvan er 111 miljoen een gebruikersnaam hebben. De wachtwoorden waren alleen gehasht en niet voorzien van een salt. Een analyse wees uit dat het meestgebruikte wachtwoord 'homelesspa' bleek te zijn; dit was populairder dan 'password1' of 'abc123', aldus Motherboard. De populariteit bleek het gevolg te zijn van het feit dat dit wachtwoord werd gebruikt om automatisch accounts te genereren.