Have I Been Pwned voegt wachtwoorden van 7,5 miljoen DatPiff-leden toe

Beveiligingsonderzoeker Troy Hunt heeft uitgelekte gebruikersnamen en wachtwoorden van rapmixtapewebsite DatPiff toegevoegd aan Have I been Pwned. In november verschenen gegevens van bijna 7,5 miljoen leden op een hackerforum.

Dat schrijft Hunt op Twitter. Het is niet duidelijk wanneer het datalek precies plaatsgevonden heeft, maar de wachtwoorden en gebruikersnamen van bijna 7,5 miljoen DatPiff-leden verschenen in de loop van 2020 en 2021 op verschillende hackersfora en gingen rond in gesloten verkoop. In de database zitten naast wachtwoorden en gebruikersnamen ook e-mailadressen en antwoorden op beveiligingsvragen.

Hunt heeft de gegevens nu toegevoegd aan Have I been Pwned, zodat gebruikers kunnen zien of hun gegevens uitgelekt zijn. 81 procent van de gegevens was al ondergebracht in HIBP. Het gaat om plaintextgegevens die oorspronkelijk gehasht waren met MD5. Dat is een ouderwets hashingalgoritme uit de jaren negentig, dat al jarenlang achterhaald is, omdat het vrij eenvoudig is om MD5-hashes te kraken.

De uitgelekte gegevens zijn oud en afkomstig van een databaseback-up van de website, schrijft BleepingComputer. De dief wist de gegevens te bemachtigen door gebruik te maken van een websitekwetsbaarheidsscanner die hem toegang gaf tot de server waar de gegevens op stonden. Tot op heden heeft DatPiff gebruikers niet op de hoogte gebracht van het lek en heeft het gebruikers niet opgeroepen hun wachtwoorden te vervangen.

Door Stephan Vegelien

Redacteur

Feedback • 05-01-2022 13:00
30 • submitter: wessel-m

05-01-2022 • 13:00

30 Linkedin

Submitter: wessel-m

Lees meer

Wachtwoordendatabase Have I Been Pwned bevat twaalf miljard records Nieuws van 2 januari 2023
Hacker lekt telefoonnummers en e-mailadressen van 5,4 miljoen Twitter-accounts Nieuws van 24 juli 2022
Sinds verplichte tweestapsverificatie 50 procent minder gehackte Google-accounts Nieuws van 8 februari 2022
Gegevens van 4600 hulpvragers Nederlandse Rode Kruis gestolen bij cyberaanval Nieuws van 26 januari 2022
Data van 'zeer kwetsbare personen' is gestolen bij aanval op Rode Kruis Nieuws van 20 januari 2022
Accountgegevens buitgemaakt bij hack en ransomwareaanval OpenSubtitles.org Nieuws van 19 januari 2022
Britse politie geeft Have I Been Pwned 226 miljoen nieuwe wachtwoorden Nieuws van 20 december 2021
Thingiverse-database met gegevens van 228.000 gebruikers circuleert op internet Nieuws van 14 oktober 2021
FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned Nieuws van 28 mei 2021
Meer producten en artikelen
Websites en communities Datalek

Reacties (30)

-Moderatie-faq
30
30
15
4
0
11
Wijzig sortering
Martinique
5 januari 2022 14:52
Misschien goed om te weten. Je kunt in een on-prem Active Directory of in Azure AD de HIBP database ook gebruiken zodat je gebruikers geen pwnded passwords kunnen gebruiken bij een password change.
tc982
@Martinique5 januari 2022 19:36
Heb je ergens een link? Lijkt me wel interessant.
Martinique
@tc9825 januari 2022 20:05
Ehm er zijn meerdere routes:

https://jacksonvd.com/checking-for-breached-passwords-ad-using-k-anonymity/
https://safepass.me
https://www.google.com/search?q=active+directory+hibp

En hier nog algemene achtergrond info van Troy Hunt himself:
https://www.troyhunt.com/...flareprivacyandkanonymity

[Reactie gewijzigd door Martinique op 5 januari 2022 20:09]

banaj
5 januari 2022 14:16
Troy Hunt heeft uitgelekte gebruikersnamen en wachtwoorden van rapmixtapewebsite DatPiff toegevoegd
[..] Dat schrijft Hunt op Twitter.
Dat schrijft hij helemaal niet :) HIBP voegt geen wachtwoorden toe, alleen emails. Een alarm betekent dus dat je email in de lek zat, niet autoamtisch dat je hash gestolen en / of gekraakt is. Lees meer hier. Hij schrijft dat de emails van DatPiff zijn toegevoegd.

HIBP heeft ook Pwnd Passwords. Dat zijn echter wachtwoorden zonder zonder emails, dus geen context. Dus dan weet je nog niets, anders dat *iemand* het wachtwoord gebruikt heeft, ooit, ergens ter wereld.
L01
5 januari 2022 13:13
Zou Troy Hunt deze data dump zelf ook aanschaffen, of komen deze dumps vanzelf een keer beschikbaar voor niets?
Tijs Hofmans
@L015 januari 2022 13:27
Troy Hunt koopt zelf niks, hij beschrijft in zijn blogposts vaak wel waar hij de dumps vandaan haalt (meestal vindt ie ze omdat ie er op wordt gewezen). De meeste andere wachtwoorddatabases worden niet gekocht maar gevonden. We hebben vorig jaar een achtergrondartikel geschreven over hoe die databases werken en worden samengesteld.

[Reactie gewijzigd door Tijs Hofmans op 5 januari 2022 13:28]

The Zep Man
@L015 januari 2022 13:15
of komen deze dumps vanzelf een keer beschikbaar voor niets?
Dit soort dumps lekken soms uit (gratis te downloaden voor iedereen), en soms zijn ze voor wisselgeld te koop. Ik denk dat Hunt ook wel het e.e.a. cadeau krijgt.

[edit]
Even opgezocht. In dit geval is de data dump voor 8 EUR te koop (als je de betreffende site éénmaal bezoekt en enkel deze dump koopt). De dump wordt aangeboden sinds 7 december. Als Hunt hem nog niet had, dan durf ik te wedden dat iemand deze dump hem gratis zou geven. Er zijn voldoende IT-beveiligingsbedrijven waar dit soort dumps verzameld worden, en daar zullen voldoende mensen zijn die deze minimale moeite voor het grotere goed doen.

Uiteraard betreft die dump nog geen bruikbare wachtwoorden, maar dat is een peulenschil om te achterhalen met MD5.

[Reactie gewijzigd door The Zep Man op 5 januari 2022 13:24]

banaj
@L015 januari 2022 14:18
Ja, voor niets of weinig al vanaf 7 december beschikbaar in dit geval:

https://raidforums.com/Thread-datpiff-com-7-7m-MD5
GarBaGe
5 januari 2022 13:18
Versleuteling is encryptie.
MD5 is geen encryptie algoritme, maar een hashing algoritme.
joeri1
@GarBaGe5 januari 2022 13:25
Het was een encryptie algoritme. Toen MD5 bedacht werd was de bedoeling het in te zetten voor encryptie. Helaas bleken er designfouten aanwezig te zijn waardoor MD5 makkelijk te kraken was. Het werkt wel goed als hash om bestandsintegriteit te controleren, daar wordt het dan nog veelvoudig voor gebruikt.

Oeps, verkeerd begrepen.

[Reactie gewijzigd door joeri1 op 5 januari 2022 14:10]

AndrewF
@joeri15 januari 2022 13:37
Dat denk ik niet. MD5 is altijd een one-way hashing algoritme geweest. Nooit een 2-way encryption algoritme.

https://en.wikipedia.org/wiki/MD5

[Reactie gewijzigd door AndrewF op 5 januari 2022 13:37]

ultimasnake
@joeri15 januari 2022 13:31
Volgens mij kan je md5 nog steeds niet kraken, alleen bruteforce alles er tegen aangooien tot je een Matchende hash maakt (of zoals ik in een andere post zei, querien tegen bestaande sets)
uiltje
@ultimasnake5 januari 2022 15:15
MD5 is gebroken wat betreft collision resistance. Niet dat je daar wat aan hebt als je het over wachtwoorden hebt, maar het algoritme is dus wel stuk. Je kan prima een password-hash zoals PBKDF2 gebruiken met MD5 en dan is er weinig aan de hand. Natuurlijk is het altijd een beter idee om e.g. SHA-256 of SHA-512 te gebruiken.
StefanTs
@joeri15 januari 2022 13:33
Bij encryptie is de oorspronkelijke data terug te halen, dat is zelfs het doel. Bij een hash is dat niet het geval, zoals md5. Of download jij van je Linux iso enkel de md5 om daar je hele image uit te toveren?
Het kraken van een hash komt neer op het genereren van een tekenreeks die dezelfde hash oplevert. Niet het terughalen van de oorspronkelijke data.
Jism
@GarBaGe5 januari 2022 13:21
En in 2022 not done wat betreft toepassing(en).

Iedere GPU kan je inzetten om MD5 te bruteforcen tegenwoordig.
himlims_
@Jism5 januari 2022 13:34
https://hashcat.net/hashcat/
Single Core
@Jism5 januari 2022 13:35
Je kan iedere GPU en CPU inzitten om ieder hashing algoritme te gaan bruteforcen. De vraag is hoe lang het duurt om wachtwoord x te bruteforcen. En bij MD5 is dit niet erg lang. Tenzij het een lang wachtwoord is, plus MD5 heeft nog enkele andere "fouten" in zen algoritme zitten.
ultimasnake
@Jism5 januari 2022 13:30
En zelfs dat is niet altijd meer nodig, er zijn zat sites waar al tich hashes in een seconde kan worden gequeried
jp
@Jism5 januari 2022 20:25
MD5 is goed genoeg om snel intern een checksum te berekenen of een object gewijzigd is, om eens wat te noemen. Als je het gebruikt voor wachtwoorden of iets ben je... moedig.
Lisadr
5 januari 2022 13:11
https://haveibeenpwned.com/

Zou handig zijn als het ook in het artikel zou staan.
ToolkiT
@Lisadr5 januari 2022 14:33
Lijkt me dat dat immiddels wel een bekende site is..
En anders: https://www.google.com/search?q=have+i+been+pwned
CAPSLOCK2000
5 januari 2022 13:28
antwoorden op beveiligingsvragen.
Dit is vervelend. Want die beveiliginsgvragen gaan meestal over dingen die niet veranderen en meestal kunnen mensen niet hun eigen vragen instellen. Als zo'n antwoord eenmaal uitlekt dan heb je een probleem. Je kan het namelijk niet zomaar veranderen als je de vraag niet ook kan veranderen.
En hoeveel mensen houden uberhaupt bij welke beveilingsvragen/antwoorden ze ooit hebben gebruikt?

Mijn persoonlijke oplossing is om nooit (eerlijk) antwoord te geven op security vragen. Als ik perse iets moet invullen dan genereer ik een lang random wachtwoord en geef dat als "antwoord". Dat wachtwoord hou ik dan bij in mijn wachtwoordmanager. Dat is niet ideaal maar beter dan je account laten afhangen van vragen als "Wat is de naam van moeder?" die een antwoord hebben dat je zo op Facebook kan vinden en/of noooit kan veranderen.
Tijs Hofmans
@CAPSLOCK20005 januari 2022 13:38
Ik heb het idee dat beveiligingsvragen anno 2022 vrijwel niet meer voorkomen. Dus de enige die ik ooit heb ingevuld zijn die bij accounts die ik in 2012 heb aangemaakt voordat ik een wachtwoordmanager had. Gelukkig altijd bullshitantwoorden maar zie ze maar eens te achterhalen...
djdaan
@Tijs Hofmans5 januari 2022 13:49
Apple hamert nog heel hard op beveiligingsvragen bij een AppleID, misschien dat dat met nieuwe accounts niet zo is maar ik krijg regelmatig die vragen voor mijn neus geschoteld als ik support verleen aan Mac/iPhone users.
CH4OS
@Tijs Hofmans5 januari 2022 15:14
Het komt nog wel voor, maar sporadisch. Voornamelijk omdat het vooral een mechaniek is dat niet goed werkt. De gebruiker vergeet de antwoorden (jij gaf immers bullshit antwoorden om een voorbeeld te geven) en zou je echte antwoorden gebruiken, kunnen mensen om je heen de antwoorden ook raden, als je ze naar eer en geweten beantwoord. Bij dergelijke vragen is het juist de kunst om het antwoord plus een soort salt mee te geven ,zoals geboorte jaar toe te voegen, of leestekens. Als mensen dat niet toevoegen zijn ze een gemakkelijk doelwit en is daarmee het defect van de functie (die in theorie zeker wel kan werken) bewezen.

[Reactie gewijzigd door CH4OS op 5 januari 2022 15:17]

BushWhacker
@Tijs Hofmans5 januari 2022 16:00
Windows10 doet (of deed) dat de laatste keer dat ik die installeerde met een lokaal account.
Ik voeg altijd ramdom onzin in door op het toetsenbord te rammen :) .
Rean der Thaler
@Tijs Hofmans5 januari 2022 16:03
Bij Mojang.com is dit nog altijd het geval. Dit weekend met het account van mijn dochter willen inloggen.
Geen idee wat bij de registratie de naam van haar favoriete dier was, haar moeder heeft geen middelste naam en een favoriet team heeft ze ook niet.

Bij Microsoft ook. Twee weken terug een nieuwe account aangemaakt voor een apparaat hier in het netwerk en ja hoor, daar waren die stomme vragen weer. De naam van mijn basisschool, mijn favoriete team en de meisjesnaam van mijn moeder.

Nu zijn Mojang en Microsoft niet de minste spelers om met beveiligingsvragen te werken. Een achterhaald principe, net zoals inloggen met een e-mailadres als gebruikersnaam.
Jelster
5 januari 2022 13:50
Een rapmixtapewebsite. En zo leer je elke dag wel weer eens wat nieuws.
CH4OS
@Jelster5 januari 2022 14:29
Wat voor website het is maakt natuurlijk niets uit. Het gaat erom dat de gegevens vanaf die website gelekt zijn.
uiltje
5 januari 2022 15:22
Voor de geïnteresseerden: wat een algemeen geaccepteerde methode is is om een password-hash in te zetten. MD5 is geen password hash maar een cryptografische hash en die zijn juist gemaakt om snel te zijn. Wat je in plaats daarvan doet is dat je een password hash met salt en "work factor" gebruikt.

De salt - een publieke, willekeurige waarde die mee wordt gehashed - zorgt ervoor dat je niet snel de hash in een database of "rainbow table" kan opzoeken. De "work factor" of "iteration count" zorgt ervoor dat de aanvaller een bepaalde hoeveelheid werk moet doen voordat de password hash kan worden vergeleken. Dit heeft natuurlijk als nadeel dat jouw server deze tevens uit moet voeren (je kan dat gedeeltelijk ook aan de client / browser overlaten overigens).

Meer geavanceerde password hashes zoals Argon2 hebben ook parameters voor geheugen gebruik en parallelle uitvoering van het algoritme.

Het toevoegen van een salt aan MD5 had al een hoop ellende kunnen voorkomen, maar het directe gebruik van MD5 of een willekeurige andere cryptografische hash blijft een slecht idee.

Voor meer informatie kan je bijvoorbeeld hier terecht.

[Reactie gewijzigd door uiltje op 5 januari 2022 15:26]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee