W Sylwestra 2018r, Abine – firma zajmująca się dostarczaniem rozwiązań chroniących prywatność w sieci, poinformowała w komunikacie o wycieku danych z managera haseł Blur.
Do wycieku doszło przed 13 grudnia 2018r.
Na błędnie skonfigurowanym buckecie Amazon S3 znajdowały się dane 2,4 miliona użytkowników, którzy zarejestrowali się w usłudze przed 6 stycznia 2018:
- adresy e-mail
- w przypadku niektórych kont – pytania bezpieczeństwa, służące do odzyskania dostępu do konta
- w przypadku niektórych kont – imię i nazwisko
- zaszyfrowane hasła, zaszyfrowane dane kart kredytowych i inne, używane przy autouzupełnianiu formularzy z Blur; według FAQ dane te są zaszyfrowane kluczami, które posiada tylko użytkownik (Blur Master Password i Backup Password); użyty algorytm to AES-256
- hashe (Bcrypt) zaszyfrowanych haseł kont użytkowników Blur – służące uwierzytelnianiu w serwisie
Użyte przez Abine rozwiązanie jest godne naśladowania i wydaje się mało prawdopodobne, że włamywacz uzyska dostęp do zaszyfrowanych danych użytkowników, zanim te stracą ważność.
Zarówno szyfrowanie AES-256 jak i użyta funkcja generowania hashy haseł (Bcrypt) zapewniają wysoki poziom bezpieczeństwa danych.