E-mailadressen en versleutelde wachtwoorden Aptoide-gebruik

E-mailadressen en versleutelde wachtwoorden Aptoide-gebruikers zijn uitgelekt

De e-mailadressen en versleutelde wachtwoorden van 20 miljoen gebruikers van downloadwinkel Aptoide zijn gepubliceerd op een hackerforum. De desbetreffende persoon zegt in totaal gegevens van 39 miljoen accounts te hebben. Aptoide bevestigt het datalek.

Aptoide, een alternatieve downloadwinkel voor Android-apps, meldt in een blog dat er 8,8 miljoen accounts zijn waarbij de gebruiker zich heeft aangemeld met een e-mailadres en wachtwoord. Die gegevens zijn in handen gekomen van derden. De wachtwoorden zijn versleuteld, maar daarvoor is het sha-1-hashingalgoritme gebruikt, dat al jaren niet meer als erg veilig wordt beschouwd. Ook zou er geen salt op de wachtwoorden zitten.

Cryptografische hashing (cryptohashing) is in strikte zin geen versleuteling, omdat bij hashing uit de verkregen hashcode de oorspronkelijke gegevens niet meer terug kunnen worden gehaald. Wel wordt bij hashing gebruikgemaakt van dezelfde technieken als bij versleuteling en vormt hashing ook vaak een onderdeel van versleutelingsprotocollen. Het verschil tussen hashing en encryptie is dus dat hashing maar 1 kant op kan (alleen hashen) en dat er bij encryptie twee kanten op gewerkt kan worden (coderen en decoderen).