Tumblr-datalæk indeholder 65 millioner kodeord

Den 12. maj kunne blogplatformen Tumblr fortælle, at de for nyligt har opdaget, at tredjepart har fået adgang til et sæt e-mail-adresser og kodeord, som stammer fra et tre år gammelt datalæk.
https://staff.tumblr.com/post/144263069415/we-recently-learned-that-a-third-party-had

Tumblr fortæller endvidere, at de ikke har grund til at antage, at de lækkede data er blevet misbrugt til at skaffe sig adgang til brugernes Tumblr-konti, men at de selvfølgelig har givet de berørte brugere besked på at udskifte kodeord.

Hvor mange brugere det drejer sig om, har Tumblr imidlertid været tilbageholdende med at oplyse.

Datasættet fra Tumblr-datalækket har, ifølge webmediet Motherboard, cirkuleret på darknet-markedspladsen ’The Real Deal’ de seneste dage, hvor prisen har ligget helt nede omkring 150 dollar for datasættet.

En analyse fortaget af sikkerhedsefterforskeren Troy Hunt, der står bag websiden 'Have I Been Pwend?', viser, at datasættet indeholder 65.469.298 unikke e-mail-adresser og kodeord. Det gør Tumblr-datalækket til det tredje største datalæk på Hunts webside kun overgået af Adobe-datalækket fra 2013 og det LinkedIn-datasæt, som blev sat til salg på nettet i forrige uge.

Når datasættet fra Tumblr har så lav en pris på darknet, så skyldes det ifølge Motherboard, at selve kodeordene i sættet ikke blot er kørt igennem en hash-funktion, men der er også anvendt et såkaldt ’salt’, der er en ekstra tekststreng, som føjes til kodeordet, inden det sendes gennem hash-funktionen. Det gør det meget svært at cracke kodeordene, og forvandler i bund og grund datasættet til en mere ordinær e-mail-liste.