Abine, online privacybedrijf en uitgever van de wachtwoordmanager Blur, heeft op zijn website een verklaring geplaatst naar aanleiding van een datalek dat op 13 december ontdekt werd. Met Blur kunnen gebruikers in de cloud en lokaal hun wachtwoorden opslaan. Zo’n 24 miljoen mensen maken gebruik van het programma. Abine biedt zijn excuses aan en laat weten dat het incident gemeld is bij de autoriteiten en dat een securitybedrijf het voorval onderzoekt.
Bestand met wachtwoordhashes
Abine ontdekte dat een bestand met gevoelige gegevens van gebruikers toegankelijk was voor derden. Het gaat daarbij alleen om gebruikers die hun account voor 6 januari 2018 geregistreerd hadden. In het bestand staan voor- en achternamen, e-mailadressen, IP-adressen en gehashte wachtwoorden. In sommige gevallen stonden er ook wachtwoordhints in uit MaskMe, een ander programma van Abine.
Blur codeert wachtwoorden door middel van het Bcrypt-algoritme en voegt voor iedere gebruiker nog een unieke waarde toe. Daarna wordt er een hash gemaakt van het wachtwoord. Dit maakt het lastiger voor kwaadwillenden om het daadwerkelijke wachtwoord te achterhalen, maar het is niet onmogelijk.
Advies van Abine
Abine raadt gebruikers aan in ieder geval het wachtwoord dat gebruikt wordt voor Blur aan te passen. In een update schrijft het bedrijf hoe dat moet (update redactie 19-05-2023: de update is niet langer bereikbaar op de site van de bron). Daarnaast raadt het bedrijf aan ook op andere plekken waar hetzelfde wachtwoord gebruikt wordt, deze te wijzigen. Verder is het inschakelen van tweefactorauthenticatie aan te raden.
