TripAdvisor reset hergebruikte wachtwoorden van gebruikers

[Captain Kirk]

TripAdvisor heeft de wachtwoorden van een onbekend aantal gebruikers gereset die bij andere websites waren gestolen en bij de reis- en restaurantsite werden hergebruikt. Gebruikers ontvingen een e-mail van TripAdvisor dat hun wachtwoord is gereset omdat die op lijsten met gelekte inloggegevens voorkomt.

Om deze gebruikers te beschermen is het wachtwoord gereset. TripAdvisor adviseert getroffen gebruikers om een "unieke combinatie van woorden, getallen, symbolen, en zowel grote als kleine letters" te gebruiken. Tevens moet het wachtwoord uit minimaal acht karakters bestaan en geen veelgebruikte woorden bevatten.

De e-mail van TripAdvisor zorgde voor vragen bij gebruikers. Zo vroegen verschillende gebruikers zich af of het bericht daadwerkelijk van de website afkomstig was en of er geen sprake van een datalek is. Iets wat volgens TripAdvisor niet het geval is. Daarnaast vragen gebruikers zich af hoe het kan dat TripAdvisor de wachtwoorden van gebruikers kan vergelijken met die van gelekte inloggegevens.

Details over hoe het dit heeft gedaan worden niet door TripAdvisor gegeven, maar zoals ook sommige Twitteraars opmerken heeft de website waarschijnlijk gelekte plaintext-wachtwoorden van andere sites via het eigen hashingalgoritme vergeleken en zo overeenkomstige wachtwoorden van gebruikers kunnen identificeren.

 

bron: security.nl