Взломанные пароли для почти 7,5 миллионов участников DatPiff продаются в Интернете, и пользователи могут проверить, являются ли они частью утечки данных, через службу уведомлений Have I Been Pwned.
DatPiff — популярный сервис хостинга микстейпов, которым пользуются более 15 миллионов пользователей, позволяющий незарегистрированным пользователям бесплатно скачивать или выгружать образцы.
Нарушение данных DatPiff
Неясно, когда произошла утечка данных, но база данных DatPiff сначала была продана частным образом, а затем публично на хакерских форумах в июле 2020 года.
Украденная база данных DatPiff содержит 7 476 940 записей участников, включая адрес электронной почты пользователя, пароль, имя пользователя и секретный вопрос.
30 ноября другой сборщик утечек данных снова начал продавать базу данных на том же хакерском форуме. Однако на этот раз пароли были изменены, чтобы включить пароли в виде простого текста вместе с адресом электронной почты.
Вскоре после этого другой злоумышленник полностью бесплатно выпустил базу данных, позволив любому другому злоумышленнику использовать информацию.
Пароли в базе данных могли быть взломаны, потому что DatPiff хэшировал их с помощью алгоритма MD5, старой (1992) криптографической хеш-функции, которая считается устаревшей и небезопасной, особенно для защиты паролей.
Чтобы расшифровать пароли MD5, взломщики могут сравнить хеши с известными списками слов MD5 или использовать инструменты взлома для перебора паролей.
В декабре BleepingComputer сообщили, что злоумышленник взломал DatPiff с помощью сканера уязвимостей веб-сайта, который позволил им получить доступ к серверу.
Однако считается, что злоумышленник взломал не фактический веб-сайт DatPiff, а сервер со старой резервной копией базы данных.
Что должны делать пользователи DatPiff?
Хотя эта база данных очень старая, если у вас есть учетная запись на DatPiff, настоятельно рекомендуется сбросить пароль и использовать уникальный и надежный.
Те, кто использует тот же пароль на других веб-сайтах, должны изменить его там, чтобы не стать жертвой атак с заполнением учетных данных.
Члены DatPiff могут искать свои адреса электронной почты в сервисах уведомления о взломе данных Have I Been Pwned, чтобы узнать, являются ли они одним из более чем 7 миллионов пользователей, затронутых этим нарушением.
На момент написания этой статьи DatPiff не публиковал заявления об этом инциденте с утечкой данных, не отправлял пользователям никаких уведомлений и не выполнял принудительный сброс пароля.
Последнее обновление 05.01.2023
