Abine, het bedrijf achter de wachtwoordmanager Blur en de online privacybeschermingsdienst DeleteMe, heeft een data breach onthuld die impact heeft op bijna 2,4 miljoen gebruikers van de wachtwoordmanager. De data van deze gebruikers is online verschenen wegens onjuiste configuratie van een AWS-instance.
Abine stelt dat het bestand dat online beschikbaar was, diverse details bevatte over Blur-gebruikers die zich voor 6 januari 2018 hadden aangemeld. Het gaat onder meer om e-mailadressen, namen en het laatste IP-adres vanaf waar er ingelogd werd. Ook zijn er hints voor wachtwoorden van sommige gebruikers in te zien, maar die komen alleen van het oude MaskMe-product van het bedrijf.
Verder is het versleutelde Blur-wachtwoord te zien van gebruikers. “Deze versleutelde wachtwoorden zijn versleuteld en gehasht voor ze naar onze servers worden verstuurd en dan versleuteld via bcrypt met een unieke salt voor iedere gebruiker. De output van dit proces voor deze gebruikers is mogelijk gelekt, maar niet de daadwerkelijke wachtwoorden”, aldus het bedrijf.
“Er is geen bewijs dat de gebruikersnamen en wachtwoorden die door onze gebruikers in Blur zijn opgeslagen zijn gelekt”, aldus het bedrijf. Dat geldt ook voor automatisch ingevulde creditcardgegevens, ‘Masked Emails’, ‘Masked telefoonnummers’ en ‘Masked Creditcardgegevens’. Verder is er geen data van de DeleteMe-dienst van het bedrijf gelekt.
Abine raadt gebruikers aan om hun wachtwoord voor Blur te veranderen en tweestapsverificatie aan te zetten. “Als een op privacy en beveiliging gericht bedrijf is dit incident beschamend en frustrerend”, aldus Abine.
Alles bij de bron; Techzine