Online veilingsite LiveAuctioneers lekt data van 3,4 miljoen gebruikers

[Captain Kirk]

Online veilingsite LiveAuctioneers heeft de persoonlijke data van 3,4 miljoen gebruikers gelekt, die vervolgens te koop werd aangeboden op internet. Volgens de website wist een aanvaller op 19 juni bij een dataverwerker van LiveAuctioneers toegang tot bepaalde gebruikersgegevens te krijgen.

Het gaat om namen, e-mailadres, postadressen, telefoonnummers en gehashte wachtwoorden, aldus de verklaring van de veilingsite. De aanvaller kreeg geen toegang tot creditcardgegevens. Vanwege het datalek is besloten om van alle gebruikers de wachtwoorden te resetten. LiveAuctioneers heeft naar eigen zeggen dertien miljoen gebruikers. Vorige week werd gestolen data van 3,4 miljoen gebruikers op internet te koop aangeboden, zo meldt securitybedrijf CloudSEK.

Volgens de aanbieder van de gestolen data gaat het om e-mailadressen, gebruikersnamen, voor- en achternaam, adresgegevens en in sommige gevallen ip-adressen. Daarnaast zouden de wachtwoorden met het zwakke MD5-algoritme zijn gehasht, wat eenvoudig te kraken is. Iets wat de verkoper claim te hebben gedaan. Als bewijs werden van 24 gebruikers de gebruikersnaam en het gekraakte wachtwoord getoond.

Phil Michaelson, ceo van LiveAuctioneers, noemt het datalek dat bij de externe verwerker plaatsvond "ongelooflijk frustrerend" en "teleurstellend". Ook kondigt hij op Twitter beterschap aan. "We weten dat we beter hadden gekund, hebben al verbeteringen doorgevoerd en zullen meer doen."

 

bron: security.nl