Onderzoekers zijn erin geslaagd om 57 procent van de wachtwoordhashes van Hookers.nl te kraken, het forum waar ervaringen over prostituees en escorts worden uitgewisseld en waar onlangs de gegevens van zo'n 290.000 accounts werden gestolen.
De database met gebruikersgegevens kon worden gestolen via een kwetsbaarheid in de forumsoftware vBulletin. In de database stonden e-mailadressen, gebruikersnamen, ip-adressen en gehashte wachtwoorden. De gegevens werden na te zijn gestolen op internet te koop aangeboden. Het bedrijf Scattered Secrets, opgericht door de Nederlandse onderzoekers Jeroen van Beek en Rickey Gevers, verkreeg de databasedump en besloot de wachtwoordhashes te kraken.
Via de website van Scattered Secrets kunnen gebruikers kijken of hun gegevens in bekend datalek voorkomen. De dienst is vergelijkbaar met de website Have I Been Pwned. Hookers.nl maakte gebruik van twee verschillende algoritmes voor het hashen van wachtwoorden. Het forum bestaat sinds 2002 en draait al lange tijd op vBulletin. Oudere versies van vBulletin gebruikten het MD5-algoritme voor het hashen van wachtwoorden. Met de release van vBulletin 5 in 2012 wordt er van het bcrypt-algoritme gebruikgemaakt. MD5 wordt inmiddels als een zwak en eenvoudig te kraken algoritme gezien.
Van de bijna 290.000 accounts maakte 82,5 procent gebruik van een gesalte MD5-hash. Bij de rest van de accounts was het wachtwoord met bcrypt gehasht. Een salt is een waarde die aan het wachtwoord van de gebruiker wordt toegevoegd, waarna er een hash van wordt gemaakt. Een hash is een gecodeerde versie van het wachtwoord en de salt die in de database wordt opgeslagen. Door het gebruik van een salt en een hash wordt het, afhankelijk van het gekozen wachtwoord, een stuk lastiger voor een aanvaller om het wachtwoord dat bij de hash hoort te achterhalen.
Scattered Secrets wist binnen drie dagen 57 procent van alle wachtwoordhashes te kraken. 64 procent van de met MD5 gehashte wachtwoorden (154.600) werd achterhaald en 24 procent van de wachtwoorden die met bcrypt was gehasht (11.600). Totaal hadden de onderzoekers naar eigen zeggen zonder al teveel inspanningen ruim 166.000 wachtwoorden gekraakt. Dat leverde een Top 35 van meestgebruikte wachtwoorden op.
Het gaat onder andere om 123456, wachtwoord, qwerty, hookers en Amsterdam. Bijna honderd gebruikers hadden een wachtwoord bestaande uit tien cijfers dat op een mobiel telefoonnummer lijkt. Het meestgebruikte wachtwoord "vRbGQnS997" kwam meer dan 1300 keer voor en was waarschijnlijk gebruikt voor accounts van spammers. Verder merken de onderzoekers op dat veel gebruikers van Hookers.nl de website vanaf het ip-adres van hun werk bezochten. Daarnaast waren allerlei accounts met werkgerelateerde e-mailadressen geregistreerd.
De onderzoekers laten weten dat een groot deel van de wachtwoordhashes van Hookers.nl via een redelijke gamingcomputer is te kraken. Daarnaast wordt de databasedump voor zo'n twee dollar op het internet aangeboden. Gebruikers van het forum die hun Hookers-wachtwoord ook voor andere websites gebruikten krijgen dan ook het advies dat overal in een uniek wachtwoord te veranderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.