Gebruikersaccounts van datingsite Badoo.com zouden op straat liggen. Het gaat om 127.343.437 inschrijvingen met onder meer e-mailadres, gebruikersnaam en gekraakte wachtwoorden van gebruikers.
Daarnaast zit er in de database informatie over geslacht, voor- en achternaam, geboortedatum en enkele andere, voor de website LeakedSource onduidelijke getallen. Volgens de 'zoekmachine voor gelekte records' waren de wachtwoorden slechts beveiligd met een md5-hash en waren de hashes niet gesalt. LeakedSource claimt dat de gegevens bij Badoo vandaan komen, hoewel er geen manier is om dat te verifiëren. Het is ook mogelijk dat de gegevens bij elkaar zijn gezocht uit databases van andere datalekken.
Vice's Motherboard kreeg van Leaked Source drie datasets met elk tienduizend records. Voor zover Motherboard kon achterhalen, waren 54 van de honderd geteste accounts actief op Badoo. Van de geteste accounts waren 23 wel aangemaakt, maar de betreffende gebruikers klikten nooit op de link in de activatiemail. Wat er met de overige 23 van de honderd is, is onbekend, maar vermoedelijk zijn die niet vindbaar in de database van Badoo.
Badoo zegt dat het niet gehackt is geweest en dat er geen gegevens zijn gestolen. Het datingbedrijf zou zijn gewezen op een datalek, maar dit datalek zou niet hebben bestaan, zegt een woordvoerder van Badoo tegen Motherboard.
Een datadump kan makkelijk hergebruikt worden doordat veel mensen op verschillende plekken dezelfde logingegevens gebruiken. Zo blijken bijna 29.000 e-mailadressen uit de dump ook terug te vinden te zijn in een datadump van een andere datingsite, Zoosk.
Beveiligingsexpert Troy Hunt, ook de man die de site 'Have I been pwned' heeft, schrijft daarover op zijn Windows It Pro-blog dat enige terughoudendheid op zijn plaats is. Het aantal grote hacks dat de afgelopen tijd bekend werd, zoals de LinkedIn-hack die al in 2012 plaatsvond en een MySpace- en Tumblr-hack uit 2013, zorgt ervoor dat een site serieus in de problemen kan raken, iets wat ook een doel kan zijn.
Hij verwijst naar een gerucht dat ook Dropbox gehackt zou zijn en daar 73 miljoen gegevens zouden zijn buitgemaakt, maar dat dit onderdeel lijkt van een lastercampagne. De gegevens bleken te komen uit het Tumblr-datalek. Hunt zegt dat het niet zo moeilijk is om gebruikersnamen en andere gegevens uit oudere hacks te halen, omdat mensen hun wachtwoorden en gebruikersnamen vaak hergebruiken, waardoor het kan lijken alsof er sprake is van een nieuwe hack.
Uit de gegevens die LeakedSource heeft, blijkt in ieder geval dat het wachtwoord 123456 het populairst is met meer dan 700.000 gebruikers, maar zelfs 000000 en 111111 zijn populair met respectievelijk bijna tachtigduizend en ruim zestigduizend gebruikers. De belangrijkste leeftijdsgroep lijkt te liggen tussen de 28 en 33 jaar. De database is incompleet: Badoo heeft veel meer gebruikers dan de 127 miljoen adressen uit de database.
De site maakt melding van ruim 400.000 @live.nl-adressen. Hoewel die een Nederlands domein hebben, is niet na te gaan of het daarbij echt gaat om Nederlanders of dat het bijvoorbeeld bot- of spamaccounts zijn. Bovendien kunnen Nederlanders zich hebben ingeschreven met een .com-adres, bijvoorbeeld Hotmail.com of Gmail.com, waardoor het onduidelijk is hoeveel Nederlanders in de database zitten.