Όπως αναφέρει η έκθεση του Dan Goodin, υπεύθυνου ασφαλείας στην Ars Technica, κωδικοί πρόσβασης και άλλα προσωπικά δεδομένα 1,4 εκατομμυρίων λογαριασμών Gatehub και 800.000 λογαριασμοί του EpicBot, έχουν διαρρεύσει online. Οι διαρροές ανακαλύφθηκαν από τον Troy Hunt, ερευνητή ασφάλειας που διαχειρίζεται την υπηρεσία Have I Been Pwned.
Τα δεδομένα που διέρρευσαν, σχετίζονται και με τους δύο ιστότοπους οι οποίοι είχαν κρυπτογραφηθεί με bcrypt, που σύμφωνα με τον Goodin είναι από τις πιο ασφαλείς.
Τα δεδομένα δημοσιεύτηκαν σε έναν δημοφιλή ιστότοπο για hacker τον Αύγουστο. Το άτομο που τα δημοσίευσε, δήλωσε ότι περιλαμβάνουν κλειδιά two-factor authentication, λίστες ανάκτησης wallet και ακόμη και στοιχεία κατακερματισμού.
Ωστόσο, μετά από έρευνα, οι υπεύθυνοι της GateHub δήλωσαν ότι δεν υπήρξαν στοιχεία κατακερματισμού, κάτι που φαινομενικά σημαίνει ότι, ενώ τα προσωπικά δεδομένα διέρρευσαν, δεν αποκαλύφθηκαν ιδιωτικά κλειδιά.
Υπάρχει ωστόσο τουλάχιστον ένας χρήστης, ο οποίος ειδοποιήθηκε από μια ξεχωριστή υπηρεσία ότι τα δεδομένα του στο GateHub έχουν παραβιαστεί.
Τα δεδομένα των χρηστών που διέρρευσαν από την EpicBot από την άλλη, περιλαμβάνουν ονόματα χρηστών και διευθύνσεις IP.
Σύμφωνα με επίσημη δήλωση του GateHub τον Ιούλιο, η υπηρεσία wallet είχε λάβει γνώση του συμβάντος τρεις μήνες πριν το ανακοινώσει.
Ωστόσο, η GateHub εκτιμά ότι οι hacker απέκτησαν πρόσβαση μόνο σε 18.473 κρυπτογραφημένους λογαριασμούς πελατών – “ένα πολύ μικρό ποσοστό της συνολικής βάσης δεδομένων των χρηστών μας”. Η δήλωση ανέφερε επίσης ότι οι “πληροφορίες που διέρρευσαν” περιελάμβαναν “διευθύνσεις ηλεκτρονικού ταχυδρομείου, κωδικούς πρόσβασης, κρυπτογραφημένα μυστικά κλειδιά wallet XRP, πρώτα ονόματα (αν υπήρχαν) και επώνυμα (εφόσον υπήρχαν)”. Δεν διέρρευσαν όλες οι πληροφορίες για κάθε λογαριασμό.
Η υπηρεσία υποδεικνύει επίσης ότι ειδοποιήθηκαν οι χρήστες των οποίων οι λογαριασμοί παραβιάστηκαν, έγινε εκ νέου κρυπτογράφηση των ευαίσθητων πληροφοριών και δημιουργήθηκαν νέα κλειδιά κρυπτογράφησης.
Ωστόσο, ο Goodin επεσήμανε ότι “η δήλωση δεν εξηγεί γιατί η έρευνα δεν μπόρεσε να επαληθεύσει την αυθεντικότητα των δεδομένων 25 ημέρες αφού ανακοινώθηκε και τέσσερις μήνες μετά την αρχική ανακάλυψή της. Είναι επίσης ασαφές τι ακριβώς εννοούν οι υπεύθυνη μιλώντας για εκ νέου κρυπτογράφηση.
