Gisteren werd bekend dat meer dan 400 miljoen accounts zijn gehackt van Friend Finder Network Inc, een netwerk van sites waar AdultFriendFinder.com, Cams.com, Penthouse.com, Stripshow.com en iCams.com onder vallen.

Het gaat om 20 jaar aan gebruikersdata. Iedereen die in die tijd een account heeft aangemaakt, is in deze databank terecht gekomen. Het gaat in geval over data als e-mailadres, wachtwoord en taalinstellingen. De wachtwoorden werden onversleuteld opgeslagen of met een versleuteling die niet als veilig wordt beschouwd door beveiligingsonderzoekers. Verder leek het erop dat de wachtwoorden wel allemaal veranderd waren in kleine letters, wat ze iets minder nuttig maakt voor mensen die ze willen gebruiken.

Het nieuws werd geopenbaard door een beveiligingsonderzoeker die onder de naam 1×0123 ging op Twitter (het account is ondertussen opgeheven). Verschillende sites namen dat nieuws over.

De data werd uiteindelijk bemachtigd door leakedsource.com, een site die hacks publiceert en bekend maakt bij het grote publiek. Vanwege de gevoeligheid van de informatie, is de database niet doorzoekbaar – je zou anders zomaar op kunnen zoeken of het e-mailadres van je partner of een bekende politicus ertussen zit – maar het is wel duidelijk is dat er een hoop Nederlandse accounts tussenzitten: in elk geval 256.422 mensen met een @live.nl e-mailaccount. In totaal hadden 3.8 miljoen accounts de gebruikstaal op Nederlands ingesteld.

De site had een local file inclusion-kwetsbaarheid, wat betekent dat bestanden op de site die normaal niet publiekelijk zichtbaar zijn, met wat trucjes wel zichtbaar gemaakt kunnen worden.

Zoals altijd bleek het dat veel mensen geen sterke wachtwoorden hadden. Leaked Source zette de meest voorkomende op een rijtje:

Bij een analyse van de langste wachtwoorden die gebruikers van de site hadden ingesteld, kwamen de onderzoekers ook nog een hoop rare, zeldzamere wachtwoorden tegen. Brazilianfartporn, bijvoorbeeld.

Hacks als deze worden vaak gebruikt om mensen te chanteren. Zo zijn er 78.000 mensen met militaire (.mil) en 5.650 overheids (.gov) accounts. Uit de cijfers blijkt verder dat de meeste gebruikers in de afgelopen vier jaar nog zijn ingelogd. Dus het gaat niet alleen om antieke accounts waar niemand meer naar omkijkt.

Leakedsource heeft de databank op dit moment nog niet opengesteld voor het publiek. Dat betekent dat je niet kan zoeken of jouw account ook is opgeslagen. Maar als Leakedsource aan deze data kan komen, dan zijn er natuurlijk meer mensen die deze info openbaar kunnen maken.