Miljoenen wachtwoorden te koop na MySpace-hack uit 2013
De Russische hacker die zichzelf ‘Peace’ noemt is aan een killing streak bezig. De hacker zette eerder al MySpace-gegevens te koop, en onlangs zette hij ook nog inloggegevens van Tumblr en LinkedIn te veil. Deze keer is het oude MySpace weer aan de beurt.
Oude hack
De kans is groot dat je het zinkende MySpace-schip al lang verlaten hebt, maar je gegevens zijn nog lang niet vergeten. Time Inc., het bedrijf dat begin dit jaar MySpace kocht, bevestigt nu dat er een nieuwe lading gegevens van gebruikers op straat ligt. Die gegevens werden buitgemaakt in een hack die al dateert van 2013. Je kan dus al jaren je account hebben opgezegd, maar toch tot de slachtoffers behoren van de hack.
3.200 dollar
Het was LeakedSource dat de gelekte passwoorden opmerkte. De wachtwoorden van 427 miljoen gebruikers staan te koop voor 6 bitcoin, ofwel 3.200 dollar. Opmerkelijk is de tijdspanne waarin de hacks van LinkedIn en MySpace plaatsvonden. LinkedIn werd in het jaar 2012 gehackt, vergeleken met 2013 voor MySpace. Er wordt dan ook vermoed dat de hacker gretig gebruikmaakte van de wachtwoorden van LinkedIn om zo binnen te breken op MySpace.
Internetstandaard niet gehaald
De reden dat hacker Peace in staat was om binnen te breken op MySpace, was de erbarmelijke vorm van encryptie die het sociale netwerk toepaste. Net als bij Tumblr verwerkte MySpace de wachtwoorden van gebruikers via een SHA1-algortitme, maar dan wel zonder Salting. In geval van Salting wordt het voor een hacker exponentieel moeilijker om zomaar wachtwoorden te decrypteren.
LeakedSource is dan ook bikkelhard voor MySpace door te stellen dat de website de standaarden voor online-versleuteling in 2013 duidelijk niet haalde. De website stelde zich ook vragen bij het kleine aantal MySpace-wachtwoorden die langer dan 10 tekens bedragen. In het geval van hoofdletters in wachtwoorden is dat aantal nog kleiner.
Wachtwoord veranderen
Het gevaar van de hack zit hem niet zozeer in het feit dat hackers nu kunnen inbreken op je oude spookaccount van MySpace. Het gevaar is dat diezelfde hackers mogelijk wel hun weg vinden naar je huidige Facebook- en Twitter-accounts, of misschien zelfs je e-mailaccount. Tenminste toch in het geval van gebruikers die nog steeds hetzelfde wachtwoord gebruiken als destijds op hun MySpace-account. Als dat voor jou geldt, is je wachtwoord wijzigen de duidelijke boodschap.