De aanval waarbij internetbeweging Anonymous de gegevens van tweeduizend klanten van een Amerikaans vervoersbedrijf openbaarde, had veel erger kunnen zijn. Dat stelt onderzoeker Joseph Bonneau. Anonymous hackte uit vergelding over een dodelijk schietincident door agenten van vervoersbedrijf BART (Bay Area Rapid Transit District), de website myBART.org. Vervolgens werden de gebruikersnamen en wachtwoorden van zo'n tweeduizend mensen online gezet.

Bonneau analyseerde de gelekte gegevens en ontdekte dat bijna driekwart uit willekeurige gegenereerde wachtwoorden bestond. In de eerste jaren dat de website gelanceerd werd, mochten gebruikers geen eigen wachtwoord invoeren. Volgens de onderzoeker is dit opmerkelijk, aangezien een onderzoek uit 2010 uitwijst dat slechts 1 op de 150 websites dit doet. Sinds in 2008 de vernieuwde website werd gelanceerd, zou ongeveer een derde van de gebruikers het wachtwoord hebben gewijzigd.

Hash
Het voordeel van de ongewijzigde, automatisch gegenereerde wachtwoorden is dat gebruikers die niet ergens anders zullen gebruiken. Krijgen gebruikers de gelegenheid zelf een wachtwoord te kiezen, dan wordt er vaak een bestaand wachtwoord gekozen dat men voor meerdere websites gebruikt.

Toch is Bonneau ook kritisch, omdat BART de wachtwoorden van gebruikers niet gehasht in de database bewaarde, maar het automatisch toekennen van wachtwoorden lijkt in dit geval de schade te hebben beperkt.