Hackere overtræder Mixcloud og sælger brugernes data online

Mixcloud Data Breach

Når de overtræder en onlinetjeneste eller et websted, prøver hackere normalt at tjene penge på de data, de har stjålet, ved at sælge dem enten på det mørke web eller på et af de mange hackingfora, der er indekseret af Google og er let tilgængelige. I betragtning af hvor værdifuld personlig information ofte kan være at sælge dataene til andre kriminelle er det ikke så meget en udfordring. Tilsyneladende er det dog sværere at skifte de pilferede databaser. En hacker, der gik under kælenavnet A_W_S, havde sandsynligvis svært ved at sælge en database, som han/hun havde stjålet fra streamingtjenesten Mixcloud, hvorfor de besluttede at få ordet ud ved at prale om angrebet til medierne.

I sidste uge kom A_W_S i kontakt med Zack Whittaker fra TechCrunch, Joseph Cox fra Motherboard og Catalin Cimpanu fra ZDNet og fortalte dem, at Mixcloud havde lidt et dataovertrædelse. A_W_S sagde, at han/hun selvstændigt havde formået at hænge optegnelserne over hele 21 millioner abonnenter, og dataene var til salg på en mørk webmarked.

A_W_S er faktisk ikke ny med denne slags ting. Ifølge ZDNets reporter arbejdede de sammen med en anden cyberkriminel kendt som Gnosticplayers, hvis kærlighed til medieopmerksomhed blev synlig tidligere på året efter et par relativt høje profilangreb. Men hvordan er Mixcloud-bruddet stablet op mod Gnosticplayers 'aktiviteter?

Ikke det mest forfærdelige krænkelse i verden

Alle tre nyhedsudstyr modtog prøver af dataene for at bekræfte deres ægthed. Reporterne så brugernavne, e-mail- og IP-adresser, datoer for kontoregistrering og saltet hash af folks adgangskoder i databasen. De kom i kontakt med nogle af de berørte personer og forsøgte at registrere nye Mixcloud-konti med nogle af e-mails, og de bekræftede, at oplysningerne faktisk er ægte. Datoerne, hvor nogle af registreringerne blev foretaget, antydede, at angrebet blev trukket af for kun få uger siden. Så dataene er reelle, og de er sandsynligvis gyldige. Det er derfor en god ting, at der ikke er en hel masse af det.

Efter at have hørt om overtrædelsen påpegede Mixcloud, at det ikke gemmer nogen kreditkortoplysninger eller fysiske adresser. Det sagde også, at de fleste af sine brugere har tilmeldt sig tjenesten ved hjælp af deres Facebook-konti, hvilket i sig selv begrænser mængden af eksponerede data til en vis grad. Vigtigere er det, at streamingtjenesteudbyderen sagde, at de stjålne adgangskoder er blevet saltet og hashet sikkert, hvilket nyhedsstederne formåede at bekræfte. Mixcloud brugte SHA-2 - en hashingsalgoritme, der er praktisk talt umulig at vende.

Som et resultat får skurkerne, der betaler for databasen faktisk ikke en hel masse for deres penge, hvilket er sandsynligvis grunden til, at dataene ikke tiltrækker så meget opmærksomhed. Da TechCrunch og bundkort skrev om bruddet den 29. november, bad A_W_S 0,5 bitcoin eller $ 4.000 om det, men da ZDNets rapport kom ud den 1. december, var prisen nedsat til 0,27 bitcoin eller omkring $ 2000.

Ikke det bedste svar i verden

Mixcloud vidste tilsyneladende intet om overtrædelsen før den oprindelige rapport i medierne. Cirka 24 timer efter, at nyheden brød, kom leverandøren af streamingtjenester op med, hvad Zack Whittaker snarere præcist beskrev som "en virksomhedserklæring for kedelpladen". Ud over den uundgåelige erklæring om "vi tager sikkerhed meget alvorligt" indeholdt blogindlægget oplysninger om adgangskodelagringsmekanismerne og om den relativt begrænsede mængde data, der blev eksponeret. Det indeholdt ikke antallet af mennesker, der var berørt af overtrædelsen, og det sagde intet om de forholdsregler, der blev truffet for bedre at beskytte dem i fremtiden. Beslutningen om at medtage et FAQ-afsnit, der kun har to spørgsmål, er også temmelig mærkelig i betragtning af det faktum, at mere end 20 millioner poster angiveligt er blevet stjålet.

Da journalister anmodede om yderligere kommentarer, forblev Mixcloud 's talspersoner tavse, hvilket er endnu et bevis på, at streamingtjenesteudbyderen kunne have været lidt mere gennemsigtig i sin afsløring. Vi kan kun håbe, at andre leverandører, der lider af dataovertrædelser, kan håndtere dem lidt bedre.

December 3, 2019
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.