Online privacybedrijf Abine heeft gebruikers van de wachtwoordmanager Blur gewaarschuwd voor een datalek met gevoelige gegevens, waaronder de wachtwoordhashes van gebruikers. Blur is een wachtwoordmanager die gebruikers lokaal en in de cloud hun wachtwoorden laat opslaan.

Volgens Abine maken bijna 24 miljoen mensen er gebruik van. Op donderdag 13 december ontdekte het bedrijf een bestand met informatie van Blur-gebruikers dat voor derden toegankelijk was. Dit bestand bevatte informatie van Blur-gebruikers die voor 6 januari 2018 hun account hadden geregistreerd. Het gaat om e-mailadressen, voor- en achternaam, in sommige gevallen wachtwoordhints van een ander product van Abine genaamd MaskMe, de laatste twee ip-adressen van de gebruiker en de gehashte wachtwoorden van gebruikers. Met het wachtwoord kan toegang tot de wachtwoordmanager worden verkregen.

Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Voor het hashen van de wachtwoorden maakt Blur gebruik van het Bcrypt-algoritme. Daarnaast wordt er voor elke gebruiker een unieke “salt” gebruikt. Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Dit maakt het lastiger voor een aanvaller om het daadwerkelijke wachtwoord te achterhalen, maar niet onmogelijk.

Blur-gebruikers krijgen het advies om hun wachtwoord te wijzigen. Gebruikers die dit wachtwoord ook op andere websites gebruiken wordt aangeraden daar een uniek wachtwoord in te stellen. Abine stelt verder dat het een vooraanstaand securitybedrijf heeft ingeschakeld om het incident te onderzoeken en de autoriteiten zijn ingelicht.