Aanvallers hebben eerder dit jaar de datingsite Cupid Media gehackt waarbij de gegevens van 42 miljoen klanten zijn gestolen, waaronder namen, e-mailadressen, onversleutelde wachtwoorden en geboortedata, zo beweert IT-journalist Brian Krebs.

De gestolen database werd op dezelfde server aangetroffen waar ook de gestolen data van Adobe, PR Newswire en het National White Collar Crime Center (NW3C) werd ontdekt. Cupid Media directeur Andrew Bolton laat weten dat de gegevens waarschijnlijk in januari van dit jaar zijn buitgemaakt.

Destijds werd er "verdachte activiteit" op het netwerk van de datingsite ontdekt. Aan de hand van de informatie die toen beschikbaar was besloot Cupid Media de wachtwoorden van een bepaalde groep gebruikers te resetten en die vervolgens in te lichten. Krebs merkt op dat er in de media niets over deze melding van de datingsite in januari of de inbraak zelf is te vinden.

Wachtwoorden

Volgens de directeur heeft een groot deel van de gestolen data betrekking op oude, inactieve of verwijderde accounts. "Het aantal actieve leden dat door deze gebeurtenis is getroffen is veel minder dan de 42 miljoen die je noemt", aldus Bolton. Sinds de inbraak van januari is de datingsite begonnen met het hashen en salten van wachtwoorden. Ook moeten gebruikers nu veiligere wachtwoorden opgeven bij het aanmaken van een account.

Doordat de wachtwoorden niet waren gehasht kon Krebs eenvoudig een Top 10 van meest gebruikte wachtwoorden maken. Dan blijkt dat '123456' met 1,9 miljoen keer het meest werd gebruikt, gevolgd door '111111' met 1,2 miljoen vermeldingen in de database. Opmerkelijk is dat bij een analyse van de database die bij Adobe werd gestolen ook bleek dat 1,9 miljoen gebruikers '123456' als wachtwoord gebruikten.