Quizsite DailyQuiz.me lekt acht miljoen wachtwoorden in plaintext

[Captain Kirk]

Quizsite DailyQuiz.me, voorheen bekend als ThisCrush.com, blijkt in januari te zijn getroffen door een datalek, waardoor aanvallers toegang kregen tot de gegevens van acht miljoen accounts, waaronder wachtwoorden in plaintext. Dat laat beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Via DailyQuiz kunnen gebruikers allerlei quizzen doen.

In januari van dit jaar kreeg een aanvaller toegang tot de gebruikersdatabase van de site. Die bevatte meer dan acht miljoen unieke e-mailadressen, ip-adressen en wachtwoorden die in plaintext waren opgeslagen, aldus Hunt. Hoewel veel websites het hashen van wachtwoorden toepassen zijn er ook nog altijd sites die ze in plaintext opslaan. Dit is met name een risico voor gebruikers die hun wachtwoord op meerdere websites hergebruiken. De buitgemaakte data wordt sinds januari op een forum te koop aangeboden.

Hunt heeft de meer dan acht miljoen gestolen e-mailadressen toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun accounts onderdeel van een datalek zijn geworden. Van de buitgemaakte e-mailadressen was 55 procent al via een ander datalek bij de zoekmachine bekend. DailyQuiz laat inmiddels een waarschuwing zien waarin gebruikers worden opgeroepen om hun wachtwoord aan te passen.

 

bron: https://www.security.nl