Onderzoeksbureau Zacks lekt persoonlijke gegevens 12 miljoen gebruikers
Onderzoeksbureau Zacks, dat voor financieel adviseurs, beleggers en andere financieel professionals analyses van aandelen en aandelenbeurzen uitvoert, heeft vorig jaar de gegevens van twaalf miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, namen, ongesalte wachtwoordhashes (SHA-256), telefoonnummers, adresgegevens en gebruikersnamen die vervolgens op internet werden aangeboden.
Het datalek staat los van een ander datalek in 2023. In dat jaar werden de gegevens van 9 miljoen gebruikers gelekt. In eerste instantie stelde Zacks toen dat 820.000 gebruikers waren getroffen. Nu heeft het bedrijf nog niet op het laatste datalek gereageerd, zo meldt Troy Hunt van datalekzoekmachine Have I Been Pwned. De twaalf miljoen e-mailadressen zijn aan Have I Been Pwned toegevoegd. Via de zoekmachine kunnen mensen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 93 procent al via een ander datalek bekend. Hoe de gegevens bij Zacks gestolen konden worden is niet bekend.
Zelf IK weet dat, en ik heb geen eens een IT-diploma!
En SHA256 is ook niet bepaald een geschikte hash algoritme voor wachtwoorden.
Gebruik ten minste zoiets als bcrypt of scrypt, en gebruik een salt van ten minste 256 bits.
Ideaal zou zijn als je een HSM kan gebruiken, dan is de gelekte hash waardeloos zonder de secret pepper.
(Maak wel een goede offline backup van die secret, anders zou een kapotte HSM alle wachtwoorden onbruikbaar maken!)
is net zo (on)geschikt voor wachtwoordhashes als
MD5 (wel cryptografisch "gekraakt").
Uitleg: https://security.nl/posting/796625.
Wachtwoorden zélf zijn echter niet het probleem: dat zijn mensen.
Namelijk zij die zwakke wachtwoorden HERGEBRUIKEN en/of (ook ijzersterke en/of unieke) wachtwoorden invullen op nepwebsites.
Fix: https://security.nl/posting/840236/Veilig+inloggen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?