Allekabels-wachtwoorden van voor 2019 zijn te kraken

Abonneer je gratis op Techzine!

Allekabels heeft aan zijn klanten verteld dat de gestolen wachtwoorden die zijn opgeslagen na 1 september 2018 niet te kraken zijn. Bij oudere wachtwoorden is dit echter wel het geval, geeft het bedrijf toe. De gebruikte salt blijkt nu ook gestolen te zijn.

In een e-mail die Allekabels aan zijn gedupeerde klanten heeft gestuurd, gedeeld door een gebruiker van Tweakers, vertelt het bedrijf bij ‘een minderheid van de klanten’ de uitgelekte wachtwoorden gekraakt zijn. Het gaat specifiek om wachtwoorden van klanten die zich hebben geregistreerd voor 1 september 2018. De webwinkel heeft de wachtwoorden van deze gebruikers uit zijn systemen gewist. Hoe de beveiliging van de wachtwoorden voor en na september 2018 eruit zag, gaat het bedrijf in zijn e-mail niet op in.

3,6 miljoen gegevens uitgelekt

Donderdag werd bekend dat Allekabels in augustus 2020 slachtoffer werd van een datalek met in totaal 3,6 miljoen gebruikersgegevens. 2,6 miljoen daarvan waren directe Allekabels-klanten die ook e-mailadressen, telefoonnummers en wachtwoorden bij de website hadden opgeslagen. De andere miljoen klanten hadden bestellingen geplaatst via externe verkopers als Bol.com of Amazon. Daarbij zijn alleen adresgegevens opgeslagen.

Salt blijkt ook uitgelekt

Volgens RTL-redacteur Daniël Verlaan waren de wachtwoorden in de database gesalt en gehasht met MD5 of versleuteld met bcrypt. In een tweet vertelt Verlaan echter dat ook de gebruikte salt is uitgelekt. Die blijkt zeer simpel te zijn. Nu de salt bekend is, kunnen veel wachtwoorden eenvoudig worden gekraakt, vertelt Verlaan. Vermoedelijk is het bedrijf in september 2018 overgestapt op bcrypt.

Lek al maanden bekend

Allekabels bleek al maanden van het lek op de hoogte te zijn, nadat gebruikers klaagden phishingmails te krijgen op e-mailadressen die ze speciaal voor Allekabels hadden aangemaakt. Aan die klanten vertelde Allekabels dat er maar ongeveer 5000 gegevens waren uitgelekt, toevallig precies het aantal dat een uniek e-mailadres had aangemaakt. Pas toen Verlaan wist te bewijzen dat er veel meer gegevens zijn uitgelekt, gaf de webwinkel dit zelf ook toe.