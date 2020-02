Het seksuele sociale netwerk AdultFriendFinder is gehackt. Daardoor zijn meer dan 339 miljoen accounts op straat komen te liggen. Ook zijn miljoenen andere accounts gehackt, waaronder verwijderde accounts. De meeste wachtwoorden waren eenvoudig te kraken.

De hack vond plaats op het bedrijf Friend Finder Network. Dat maakt verschillende seksuele websites, met het sociale netwerk AdultFriendFinder als grootste. In totaal zijn er gegevens buitgemaakt van 412 miljoen accounts. 339 miljoen daarvan waren van gebruikers van AdultFriendFinder, 62 miljoen accounts kwamen van de webcamsite Cams.com, en nog eens 7 miljoen accounts waren afkomstig van de website van Penthouse. Ook zijn er enkele miljoenen accounts van kleinere websites gehackt. De informatie werd ontdekt door LeakedSource, dat ook toegang had tot de data zelf. Het is niet bekend wie er achter de hack zit. Volgens gegevens die ZDnet heeft ingezien gaat het vooral om gebruikersnamen en wachtwoorden, en de meest recente keer dat een gebruiker inlode. Ook was bekend of gebruikers premiumleden waren die betaalden voor lidmaatschap.

Het lijkt erop dat de websites kwetsbaar waren voor file inclusion-kwetsbaarheden. Eerder deze week trad een beveiligingsonderzoeker naar buiten die voor dat lek waarschuwde. Bij een file inclusion-kwetsbaarheid kan een aanvaller een bestand uit de output van een applicatie op de server laten komen. Op die manier wist hij de sql-databases van de drie grootste Friend Finder Network-sites uit te lezen. Het is niet bekend wie er achter de aanval zit; de beveiligingsonderzoeker ontkent dat. De wachtwoorden in de databases waren slecht beveiligd. Een klein deel was in plaintext opgeslagen, maar het merendeel was gehasht met sha-1. Dat algoritme wordt al langer als onveilig gezien. Eerder deze maand werd nog bekend dat sha-1 kon worden gekraakt met een chosen-prefix collision-aanval. LeakedSource zegt dat het al 99 procent van de wachtwoorden in de database heeft weten te kraken.