Aanvallers wisten in 2016 de website CashCrate te hacken en maakten daarbij miljoenen wachtwoorden buit. Veel van deze wachtwoorden waren echter al bij andere datalekken gestolen, wat aangeeft dat gebruikers "verschrikkelijke wachtwoorden" kiezen, zo stelt onderzoeker Troy Hunt.
CashCrate is een website die gebruikers betaalt voor het invullen van enquêtes en bekijken van filmpjes. Bij de hack van de website in 2016 werden gegevens van 6,8 miljoen gebruikers gestolen, waaronder namen, adresgegevens, e-mailadressen en wachtwoorden. Een deel van de wachtwoorden was onversleuteld opgeslagen, voor de nieuwere wachtwoorden was het zwakke MD5-algoritme gebruikt.
In totaal ging het om 2,2 miljoen "plain text" wachtwoorden. Hunt is de eigenaar van Have I Been Pwned, een zoekmachine die allerlei datalekken indexeert. Zodoende beschikt hij over een groot aantal wachtwoorden. Hunt vergeleek de 2,2 miljoen wachtwoorden met een dataset van 500 miljoen wachtwoorden die uit andere datalekken afkomstig zijn.
86 procent van de onversleutelde CashCrate-wachtwoorden was al eens via een ander datalek op straat komen te liggen. Het gaat dan om veelgebruikte wachtwoorden, maar ook wachtwoorden als "anchorage alaska", "nikki i love u" en "i like to have sex". Volgens Hunt laat dit zien dat het hebben van een goed wachtwoord niet voldoende is. "Uniciteit is nog steeds erg belangrijk", zo merkt hij op.
Deze posting is gelocked. Reageren is niet meer mogelijk.