De Britse website The Register deed onderzoek naar databases met gegevens van in totaal 617 miljoen gestolen accounts die te koop aangeboden worden op het dark web. De databases zijn te koop via Dream Market en komen van zestien gehackte websites. Er worden wel vaker databases met gestolen accounts aangeboden via het dark web, maar meestal gaat het dan om gegevens uit oudere hacks. De gegevens waar het hier om gaat, komen voornamelijk uit hacks die in 2018 plaatsvonden. Bij de website 500px was bijvoorbeeld nog niet bekend dat er een datalek plaatsgevonden had. De website licht de 15 miljoen getroffen gebruikers in.
Geverifieerde gegevens
The Register heeft contact gehad met de verkoper van de databases. Hij zegt alle gegevens zelf verkregen te hebben door op zoek te gaan naar kwetsbaarheden in websites. The Register heeft ook voorbeelden mogen inzien uit de databases en heeft de gegevens geverifieerd bij de betrokken bedrijven. Het gaat onder andere om bedrijven als MyFitnessPal en MyHeritage. Bij Dubsmash werden de meeste gegevens buitgemaakt, namelijk van ruim 161,5 miljoen accounts.
Versleuteld
De verkoper biedt de databases te koop aan op het dark web voor 5,5 bitcoin, wat overeenkomt met ongeveer 17.500 euro. In de databases staan vooral namen, e-mailadressen en wachtwoorden. De wachtwoorden zijn wel versleuteld of gehasht, maar het verschilt per website hoe sterk die versleuteling is.