Minted Endelig Fesset op til en dataovertrædelse, men først efter 5 millioner poster blev fundet online

I går, Udmøntet, en markedsplads, hvor uafhængige kunstnere deler og tjene penge på deres kreationer, bekendtgjorde, at den havde lidt et databrud. 'Udenfor retsmedicinske eksperter' hjalp Minted med at udføre en undersøgelse, der bestemte, at hackere den 6. maj stjal brugernes navne og loginoplysninger. Telefonnumre, fakturerings- og forsendelsesadresser samt fødselsdato for en del af de berørte personer kan også være blevet stjålet.

Overtrædelsen ser ikke ud til at være så slem

Den gode nyhed er, at folks økonomiske data ikke er blevet påvirket. Derudover haspes og saltes adgangskoder i henhold til meddelelsen, hvilket betyder, at hackere har svært ved at bruge dem til at kompromittere ofrenes mynte konti. Vær opmærksom på, at alle Minted-kunder ud af en overflod af forsigtighed opfordres til at ændre deres adgangskoder.

En dataovertrædelse kan aldrig være gode nyheder, men det må siges, at nogle hændelser er værre end andre. Det Minted-hack synes ikke at være så slemt. Visse personlige oplysninger blev faktisk stjålet, og potentielt berørte brugere skal være på udkig efter phishing-angreb, men baseret på hvad virksomheden skrev, er faren ikke så stor. Den tidslinje, der er vist i meddelelsen om dataovertrædelse, kan også føre til, at du tror, at Minted gjorde et godt stykke arbejde med at afsløre hændelsen. Når du graver lidt længere, vil du imidlertid se, at dette ikke rigtig var tilfældet.

Folk har vidst om det brudte dataovertrædelse i uger

Det må siges, at der mangler et par detaljer i Minteds anmeldelse af dataovertrædelse. Meddelelsen siger f.eks. Ikke, at antallet af berørte brugere ligger på omkring 5 millioner. Det siger heller ikke, hvilken slags hash-algoritme virksomheden har brugt til at beskytte adgangskoden. Ifølge eksperter, der har set en prøve af den stjålne database, er det Blowfish, og det kan knækkes med de rigtige værktøjer. Af afgørende betydning sagde Minted ikke, at dataene er blevet solgt for $ 2.500 i tre uger nu, og at mere eller mindre alle vidste om det.

Databasen stjålet fra Minted er nu i hænderne på en hackinggruppe kaldet Shiny Hunters. Besætningen kom til prominens i sidste måned, da den meddelte, at den havde stjålet 91 millioner plader fra Tokopedia, en af Indonesiens største e-handelsplatforme. Shiny Hunters bad først hacking-samfundet om at hjælpe dem med at afvask adgangskoder i databasen, og de tilbød det derefter til salg på det mørke web. Gruppen er også forbundet med salget af omkring 22 millioner poster stjålet fra en online uddannelsesplatform kaldet Unacademy. I dette tilfælde var hash-algoritmen stærk, hvilket bragte prisen betydeligt ned, og for at sikre, at deres indkomst er stabil, få dage senere, udbød hackerne til salg ikke mindre end ti yderligere databaser stjålet fra forskellige onlinetjenester. Som du måske allerede har gættet, var Minted en af dem.

Den enorme dump ramte millioner af mennesker, og det var vigtigt at informere dem om det så hurtigt som muligt. Desværre skete dette ikke. Nyhedssteder som ZDNet, der rapporterede om historien, forsøgte at komme i kontakt med alle berørte virksomheder, men deres e-mails forblev stort set ignoreret. I gårsdagens anmeldelse sagde Minted-repræsentanter, at de lærte om hændelsen den 15. maj, på trods af at journalister advarede dem om det en hel uge før det.

Til sidst begyndte ofrene med at indrømme, at de har været igennem en datasikkerhedshændelse, og Minted er den seneste, der er klar til at slå op. De har dog alle undladt at afsløre, hvad der tog dem så lang tid.

Vi kan forestille os, at videregivelse af en dataovertrædelse sandsynligvis ikke er den letteste ting i verden for virksomhedernes PR-teams, men i kølvandet på sådanne hændelser bør hovedfokus for alle være brugernes sikkerhed og ved at forsinke afsløringen, tjenesteudbydere gør intet mere end at sætte deres kunder i endnu større risiko.