Twitter-alternatief Gab heeft te maken gekregen met een datalek waarbij de gegevens van 4 miljoen gebruikers zijn gestolen. Van ruim 66.000 gebruikers gaat het om het e-mailadres, aldus beveiligingsonderzoeker Troy Hunt. Een aanvaller zou door middel van SQL-injection de database van Gab in handen hebben gekregen.

In totaal is er zo'n 70GB aan data buitgemaakt, meldt Wired. Hunt analyseerde de gestolen data en ontdekte dat die gegevens van 4 miljoen gebruikersaccounts bevat. In veel gevallen ontbreekt echter een e-mailadres en wachtwoordhash. In totaal telde Hunt 66.500 e-mailadressen in de gelekte data en zo'n 7.000 bcrypt-wachtwoordhashes. Tevens werd een klein aantal privéberichten, een lijst van publieke groepen en publieke berichten, publieke statusupdates, gebruikersnamen en andere profielinformatie aangetroffen.

"In termen van gelekte persoonlijke informatie is het een klein datalek", aldus Hunt. Gab stelt in een reactie dat het zo min mogelijk data over gebruikers verzamelt. "Omdat we weten hoe belangrijk privacy is voor mensen om vrij te kunnen spreken", zegt Gab-ceo Andrew Torba. Gab zal getroffen gebruikers binnenkort informeren. Tevens is er een onderzoek naar het datalek ingesteld.

Hunt heeft de ruim 66.000 gestolen e-mailadressen aan zijn datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gelekte e-mailadressen was 43 procent al via een ander datalek bij Have I Been Pwned bekend.