Wachtwoordmanager lekt miljoenen wachtwoorden

Na de melding door de ontdekker heeft Blur- en DeleteMe-aanbieder Abine een interne security-audit uitgevoerd om de omvang van het datalek te bepalen, meldt ZDnet. Die keuring is vorige week afgerond en het bedrijf maakt het security-incident nu bekend in een blogpost. Daarin benadrukt Abine dat er geen leesbare wachtwoorden zijn uitgelekt en dat het bedrijf zelf ook geen toegang heeft tot kritieke onversleutelde data van zijn gebruikers.

Wijzigen en 2FA

"Er is geen bewijs dat de gebruikersnamen en wachtwoorden die onze gebruikers opslaan door onze gebruikers in Blur zijn blootgesteld", stelt de datalekkende firma. Ook creditcardinformatie en gemaskeerde mailadressen plus telefoonnummers zouden niet zijn uitgelekt. "Er is geen bewijs dat betalingsinformatie is blootgesteld." Ook zou de data van privacydienst DeleteMe niet zijn geraakt door het datalek.

Gebruikers van Blur krijgen nu het dringende advies om hun hoofdwachtwoord voor die wachtwoordmanager te wijzigen én om twee-factor authenticatie (2FA) in te schakelen. Deze versleutelde master-passwords zijn namelijk uitgelekt. Abine benadrukt dat die wachtwoorden worden versleuteld en ge-hashed voordat ze worden verstuurd naar de servers van het bedrijf. Bovendien wordt de encryptie uitgevoerd me bcrypt waarbij een unieke salt voor elke gebruiker wordt toegepast. "De output van dit encryptieproces was mogelijk blootgesteld, níet de daadwerkelijke wachtwoorden van gebruikers", meldt Abine in de blogpost.

Gerelateerde artikelen

Achtergrond Security PRO

Zo doe je veilige tweefactor-authenticatie

Waarom SMS een slecht idee is als beveiligingsmiddel

4 min

Achtergrond Security PRO

Werk aan de winkel voor wachtwoorden

Wachtwoorden gaan op termijn misschien weg, maar nu moet wel de onveilige praktijk worden aangepakt.

8 min

Nieuws Security

Datalek voor 52,5 miljoen Google-gebruikers

De impact van het weinig gebruikte Google+ blijkt toch best groot.

2 min