Aanvallers hebben in december bij videoberichtenapp Dubsmash de privégegevens van zo’n 162 miljoen gebruikers gestolen, waaronder gehashte wachtwoorden, telefoonnummers en e-mailadressen. Dat heeft beveiligingsonderzoeker Troy Hunt bevestigd. De gegevens worden op internet te koop aangeboden.

Op 11 februari kwam The Register met het bericht dat verschillende grote websites waren gehackt en dat de gestolen gegevens van 617 miljoen accounts op internet te koop werden aangeboden. Dubsmash waarschuwde gebruikers en publiceerde een FAQ dat het onbekend was welke gegevens precies waren gestolen en hoeveel gebruikers waren getroffen.

Hunt laat vandaag weten dat het gaat om e-mailadressen, geografische locaties, namen, met PBKDF2 gehashte wachtwoorden, telefoonnummers, gesproken talen en gebruikersnamen van bijna 162 miljoen gebruikers. De onderzoeker is ook de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 6,7 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de bijna 162 miljoen gestolen e-mailadressen van Dubsmash was 25 procent al via een ander datalek bij Have I Been Pwned bekend.

Vanwege het datalek heeft Dubsmash gebruikers geadviseerd om hun wachtwoord te wijzigen. In het geval gebruikers ook hun telefoonnummer hadden opgegeven wordt aangeraden om extra beveiligingsmaatregelen bij de telecomprovider te laten treffen, om zo te voorkomen dat iemand via sim-swapping het nummer steelt. Hoe de database van Dubsmash kon worden gestolen is niet bekendgemaakt.