Bij LegionProxy zijn 10.000 e-mails en gehashte wachtwoorden buitgemaakt; ook namen en aankoopgegevens liggen op straat in een nieuw gepubliceerde dataset.
LegionProxy is getroffen door een datalek waarbij 10.000 e-mailadressen, bcrypt-wachtwoordhashes, namen en aankoopgegevens zijn buitgemaakt. De aanval vond vorige maand plaats; waar het bedrijf is gevestigd, hoe de inbraak verliep en wie erachter zit, is niet bekend.
New breach: LegionProxy had 10k email addresses breached last month. Data also included bcrypt password hashes, names and purchases. 31% were already in @haveibeenpwned. Read more: https://t.co/Sz9V1PRYAy
— Have I Been Pwned (@haveibeenpwned) May 6, 2026
Het opvallende aan dit lek is niet de omvang, maar het soort gegevens. Bcrypt-wachtwoordhashes wijzen op een relatief zorgvuldige opslag, maar aankoopgegevens zeggen iets over gebruik en timing. Die combinatie maakt misbruik concreet: een aanvaller kan met naam, e-mail en recente bestelling overtuigend contact zoeken. Ongeveer een derde van de adressen dook al eerder op in lekken; het merendeel lijkt dus nieuw in criminele lijsten.
Bcrypt beperkt schade, koopdata niet
Het wachtwoorddeel is gehasht met bcrypt, een methode die veel tijd kost om te kraken. Dat is beter dan zwakke hashing of platte tekst. Toch blijft er risico als mensen hetzelfde wachtwoord elders gebruiken. Hashes zijn niet direct leesbaar, maar sterke, unieke wachtwoorden blijven cruciaal om slagingskans van brute force te verkleinen. OWASP noemt bcrypt een passende keuze voor wachtwoordopslag, mits goed geconfigureerd met salt en voldoende cost-factor (owasp.org).
De aankoopgegevens zijn gevoeliger dan ze lijken. Bestelhistorie bevat vaak wat er is gekocht en wanneer. Met iemands naam en dat recente orderdetail kan een aanvaller geloofwaardig doen alsof hij van de klantenservice is, een retour afhandelt of een accountcontrole nodig heeft. Zulke berichten hoeven niets uit te leggen; de specifieke orderverwijzing geeft ze gezag. Dat detailniveau is precies wat algemene spam mist.
Lijst is vers, geen recyclage
Ongeveer 31 procent van de getroffen e-mailadressen circuleerde al in eerdere lekken. Dat betekent dat bijna twee derde voor het eerst in zulke datasets opduikt. Voor aanvallers zijn verse adressen waardevoller: minder filterhistorie, meer kans dat een eerste contact doorkomt, en profielen die nog niet overal gekoppeld zijn. Ook voor verdedigers is dat slecht nieuws, want detectie die leunt op bekende lijsten mist het nieuwere deel.
Het gaat om een relatief klein aantal accounts, wat het risico juist specifieker maakt. Een kleine, thematische klantenkring levert bruikbaarder context op per adres. Dat kan leiden tot kleinschalige maar gerichte benaderingen waarin een aanvaller inspeelt op de aard en timing van een aankoop. Zulke aanvallen zijn minder zichtbaar in brede statistieken, maar hebben vaak een hogere slagingskans bij de eerste poging.
Onbeantwoorde vragen, gericht handelen
Er ontbreekt veel: hoe kwam de aanvaller binnen, welke periode dekt de dataset, zijn ook betaalgegevens geraakt, en is er al een melding aan klanten? Zonder publiek statement blijven die basisvragen open. Tot die duidelijkheid er is, moeten betrokkenen uitgaan van bekend: e-mail, naam, wachtwoordhash en aankoopgegevens liggen buiten de deur.
Heb je een account bij LegionProxy, verander dan meteen je wachtwoord en kies iets dat je nergens anders gebruikt. Controleer of jouw adres voorkomt in bekende zoekdiensten zoals haveibeenpwned.com. Krijg je berichten die jouw naam en een recente aankoop noemen, klik niets aan en log niet via meegestuurde links in. Ga zelf naar de officiële site of app en controleer daar je account en orderhistorie. De komende weken zal blijken of er meer details of een formele reactie volgt.
