Wachtwoordmanager lekt data miljoenen gebruikers na verkeerde cloudconfiguratie

Abine, het bedrijf achter de wachtwoordmanager Blur en de online privacybeschermingsdienst DeleteMe, heeft een data breach onthuld die impact heeft op bijna 2,4 miljoen gebruikers van de wachtwoordmanager. Dat meldt ZDNet. De data van deze gebruikers is online verschenen wegens onjuiste configuratie van een AWS-instance, weet Silicon Angle.

Het probleem werd op 13 december 2018 ontdekt toen een beveiligingsonderzoeker contact opnam met het bedrijf. De onderzoeker had een server gevonden met daarop een bestand met gevoelige informatie van Blur-gebruikers. Het probleem werd intern onderzocht om te zien hoe groot het was. Dat onderzoek werd vorige week uitgevoerd en het probleem is nu bekendgemaakt.

Abine stelt dat het bestand dat online beschikbaar was, diverse details bevatte over Blur-gebruikers die zich voor 6 januari 2018 hadden aangemeld. Het gaat onder meer om e-mailadressen, namen en het laatste IP-adres vanaf waar er ingelogd werd. Ook zijn er hints voor wachtwoorden van sommige gebruikers in te zien, maar die komen alleen van het oude MaskMe-product van het bedrijf.

Verder is het versleutelde Blur-wachtwoord te zien van gebruikers. “Deze versleutelde wachtwoorden zijn versleuteld en gehasht voor ze naar onze servers worden verstuurd en dan versleuteld via bcrypt met een unieke salt voor iedere gebruiker. De output van dit proces voor deze gebruikers is mogelijk gelekt, maar niet de daadwerkelijke wachtwoorden”, aldus het bedrijf.

Geen wachtwoorden gelekt

Wachtwoorden in de accounts zijn niet gelekt. “Er is geen bewijs dat de gebruikersnamen en wachtwoorden die door onze gebruikers in Blur zijn opgeslagen zijn gelekt”, aldus het bedrijf. Dat geldt ook voor automatisch ingevulde creditcardgegevens, ‘Masked Emails’, ‘Masked telefoonnummers’ en ‘Masked Creditcardgegevens’. Verder is er geen data van de DeleteMe-dienst van het bedrijf gelekt.

Abine raadt gebruikers aan om hun wachtwoord voor Blur te veranderen en tweestapsverificatie aan te zetten. “Als een op privacy en beveiliging gericht bedrijf is dit incident beschamend en frustrerend”, aldus Abine. “Deze incidenten moeten niet voorkomen en we hebben onze gebruikers teleurgesteld.”