Gegevens van gebruikers wachtwoordmanager Blur gelekt

Post-it met wachtwoord op toetsenbord met pen

Abine, online privacybedrijf en uitgever van de wachtwoordmanager Blur, heeft op zijn website een verklaring geplaatst naar aanleiding van een datalek dat op 13 december ontdekt werd. Met Blur kunnen gebruikers in de cloud en lokaal hun wachtwoorden opslaan. Zo’n 24 miljoen mensen maken gebruik van het programma. Abine biedt zijn excuses aan en laat weten dat het incident gemeld is bij de autoriteiten en dat een securitybedrijf het voorval onderzoekt.

Bestand met wachtwoordhashes

Abine ontdekte dat een bestand met gevoelige gegevens van gebruikers toegankelijk was voor derden. Het gaat daarbij alleen om gebruikers die hun account voor 6 januari 2018 geregistreerd hadden. In het bestand staan voor- en achternamen, e-mailadressen, IP-adressen en gehashte wachtwoorden. In sommige gevallen stonden er ook wachtwoordhints in uit MaskMe, een ander programma van Abine.

Blur codeert wachtwoorden door middel van het Bcrypt-algoritme en voegt voor iedere gebruiker nog een unieke waarde toe. Daarna wordt er een hash gemaakt van het wachtwoord. Dit maakt het lastiger voor kwaadwillenden om het daadwerkelijke wachtwoord te achterhalen, maar het is niet onmogelijk.

Advies van Abine

Abine raadt gebruikers aan in ieder geval het wachtwoord dat gebruikt wordt voor Blur aan te passen. In een update schrijft het bedrijf hoe dat moet. Daarnaast raadt het bedrijf aan ook op andere plekken waar hetzelfde wachtwoord gebruikt wordt, deze te wijzigen. Verder is het inschakelen van tweefactorauthenticatie aan te raden.

Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen