Beheer

Security
wachtwoorden

Wachtwoordmanager lekt miljoenen wachtwoorden

Gebruikersdata van wachtwoordmanager Blur en privacybeschermer DeleteMe is vorige maand uitgelekt.

© CC0,  geralt
4 januari 2019

Gebruikersdata van wachtwoordmanager Blur en privacybeschermer DeleteMe is vorige maand uitgelekt.

Een datalek raakt gegevens van bijna 2,4 miljoen gebruikers van het bedrijf achter wachtwoordmanager Blur en online-privacybeschermingsdienst DeleteMe. Naast mailadressen, namen en recent gebruikte IP-adressen zijn wachtwoordhints en versleutelde wachtwoorden op straat komen te liggen. Een server bleek een bestand met deze gevoelige informatie openlijk toegankelijk te hebben. Dit heeft een security-onderzoeker ontdekt en vorige maand gemeld bij het bedrijf.

Na de melding door de ontdekker heeft Blur- en DeleteMe-aanbieder Abine een interne security-audit uitgevoerd om de omvang van het datalek te bepalen, meldt ZDnet. Die keuring is vorige week afgerond en het bedrijf maakt het security-incident nu bekend in een blogpost. Daarin benadrukt Abine dat er geen leesbare wachtwoorden zijn uitgelekt en dat het bedrijf zelf ook geen toegang heeft tot kritieke onversleutelde data van zijn gebruikers.

Wijzigen en 2FA

"Er is geen bewijs dat de gebruikersnamen en wachtwoorden die onze gebruikers opslaan door onze gebruikers in Blur zijn blootgesteld", stelt de datalekkende firma. Ook creditcardinformatie en gemaskeerde mailadressen plus telefoonnummers zouden niet zijn uitgelekt. "Er is geen bewijs dat betalingsinformatie is blootgesteld." Ook zou de data van privacydienst DeleteMe niet zijn geraakt door het datalek.

Gebruikers van Blur krijgen nu het dringende advies om hun hoofdwachtwoord voor die wachtwoordmanager te wijzigen én om twee-factor authenticatie (2FA) in te schakelen. Deze versleutelde master-passwords zijn namelijk uitgelekt. Abine benadrukt dat die wachtwoorden worden versleuteld en ge-hashed voordat ze worden verstuurd naar de servers van het bedrijf. Bovendien wordt de encryptie uitgevoerd me bcrypt waarbij een unieke salt voor elke gebruiker wordt toegepast. "De output van dit encryptieproces was mogelijk blootgesteld, níet de daadwerkelijke wachtwoorden van gebruikers", meldt Abine in de blogpost.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.