ServerPact maakt bekend er in 2015 hackers toegang hebben gekregen tot accountgegevens van ruim 73.000 leden. Daarbij zouden gebruikersnamen, geboortedata, e-mail- en ip-adressen en slecht versleutelde wachtwoorden zijn buitgemaakt.
De dienst maakte gebruik van sha1-hashes met de gebruikersnaam als salt. Het kraken van de versleutelde wachtwoorden is betrekkelijk eenvoudig en de dienst waarschuwt dan ook dat accounts mogelijk zijn gecompromitteerd.
Het is niet bekend op welke manier er is ingebroken op de servers van ServerPact, maar het Belgische bedrijf laat op Twitter weten dat de hack in februari 2015 heeft plaatsgevonden. Beveiligingsonderzoeker Troy Hunt heeft de e-mailadressen die voorkomen in de gelekte database toegevoegd aan zijn website 'Have I been pwned?', zodat de eigenaren ervan kunnen controleren of hun gegevens zijn buitgemaakt.
ServerPact gebruikte ook de url's minecraftserverlijst.nl en minecraftserverlist.eu voor zijn dienst. Het betreft waarschijnlijk dus ook accounts van die sites. De dienst stelt dat de gebruikers via een e-mail op de hoogte worden gebracht.
Update 23:10 uur: Zowel de persoon die de gegevens in handen heeft gekregen, als de eigenaar van ServerPact, hebben gereageerd naar aanleiding van de berichtgeving op Tweakers. De inbreker stelt dat hij begin 2016 middels een exploit toegang kreeg tot een backupserver van ServerPact en op die manier de database uit 2015 in handen kreeg.
Volgens de eigenaar van ServerPact ging het om een brute force-aanval op een oude phpmyadmin-omgeving, bijna twee jaar terug. De eigenaar stelt dat de hacker dit zondag bekendmaakte en dat diezelfde persoon de gegevens daarna aan ihavebeenpwned.com-eigenaar Troy Hunt heeft gestuurd. Volgens de eigenaar zijn de gegevens verder niet verspreid. Van de helft van de accounts zouden de versleutelde wachtwoorden zijn gekraakt. Het zou daarbij gaan om eenvoudige wachtwoorden.