image

Gegevens 50.000 Nederlanders gestolen bij Foodora in 2016

dinsdag 16 juni 2020, 11:34 door Redactie, 2 reacties
Laatst bijgewerkt: 16-06-2020, 13:38

Bij maaltijdbezorgdienst Foodora zijn in 2016 de gegevens van 50.000 Nederlanders gestolen. Aanvallers kregen toegang tot de database van Foodora en maakten gegevens van meer dan 582.000 accounts buit, waaronder 50.000 Nederlandse klanten, zegt beveiligingsonderzoeker Rickey Gevers van Scattered Secrets tegenover BNR.

Het ging om e-mailadressen, namen, telefoonnummers, adresgegevens en wachtwoorden die als een gesalte MD5- of bcrypt-hash waren opgeslagen. Van 22.000 Nederlandse klanten waren de wachtwoorden met het bcrypt-algoritme gehasht, laat Gevers weten. Bcrypt is lastiger te kraken dan het MD5-algoritme.

De gestolen data verscheen vorige maand op een forum en is sindsdien op meerdere plekken opgedoken. Het gaat om gegevens van Foodora-klanten in veertien landen die van 2015 en 2016 dateren, zo meldt de website Data Breach Today. Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned vond het datalek plaats op 22 april 2016.

Het Duitse Delivery Hero, dat de eigenaar van Foodora is, bevestigt het datalek maar laat niet weten om hoeveel klanten het precies gaat. De relevante autoriteiten zouden inmiddels zijn ingelicht. Of ook de klanten van de maaltijdbezorgdienst worden gewaarschuwd is nog onbekend. In verschillende landen is Foodora niet meer actief. Zo sloot het bedrijf in 2018 de deuren in Nederland.

De 582.578 e-mailadressen van getroffen klanten zijn aan Have I Been Pwned toegevoegd. Daarvan was 73 procent al via een ander datalek bij de zoekmachine bekend.

Update

RTL-journalist Daniel Verlaan meldt dat de gegevens van 48.000 Nederlanders bij het datalek zijn buitgemaakt. Daarnaast zijn er volgens Shattered Secrets zo'n 359.000 wachtwoordhashes buitgemaakt. De rest van de getroffen gebruikers zou met hun socialmedia-account zijn ingelogd.

Reacties (2)
16-06-2020, 12:23 door Anoniem
Bcrypt en phpass wachtwoorden zijn zeker, MD5 (en SHA-2) niet, zie https://twitter.com/scatsec/status/1272826735915085824. Verder zijn er van die 582k 'slechts' ~370k wachtwoordhashes gestolen, rest was gekoppeld met b.v. Facebook-account.
16-06-2020, 18:22 door Anoniem
Door Anoniem: Bcrypt en phpass wachtwoorden zijn zeker, MD5 (en SHA-2) niet, zie https://twitter.com/scatsec/status/1272826735915085824. Verder zijn er van die 582k 'slechts' ~370k wachtwoordhashes gestolen, rest was gekoppeld met b.v. Facebook-account.

De wachtwoorden waren wel gesalt, dat verdient dan wel weer een plusje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.