Zello-brugere tvinges til at nulstille adgangskoder, efter at der er opdaget et dataovertrædelse
Zello er en push-to-talk-applikation med mere end 100 millioner brugere overalt i verden. Dets skabere har også udviklet en version til politibetjente, brandmænd og paramedicinere, der kan bruge den til øjeblikkelig kommunikation under en nødsituation. Heldigvis blev denne version ikke påvirket af en nylig dataovertrædelse, som Zello led.
Zello blev ramt af et dataovertrædelse i begyndelsen af juli
Den 8. juli bemærkede Zello "usædvanlig aktivitet" på en af dens servere. Det sparkede indtrængende ud, underrettede retshåndhævelse og kaldte et uafhængigt firma til at hjælpe med efterforskningen.
Som vi allerede nævnte, regnede de ud med, at Zello for First Responders ikke var påvirket af overtrædelsen, og heller ikke Zello Work, den betalte version af push-to-talk-appen. Kun brugerne af den gratis Zello-app blev ramt, og underretningen om dataovertrædelse prøver at få det til at lyde som om de ikke har så meget at bekymre sig om.
Tilsyneladende formåede hackerne adgang til en database, der indeholdt e-mail-adresser og hashede adgangskoder for alle Zello-brugere. Virksomheden påpeger, at de fleste ikke bruger deres e-mail-adresse som deres brugernavn og / eller adgangskode, hvilket reducerer risikoen for en vellykket overtagelse af kontoen. Ikke desto mindre, af en overflod af forsigtighed, er alle brugere nødt til at nulstille deres adgangskoder næste gang de logger på appen, og de opfordres også til at ændre det på andre websteder, hvor de muligvis har genbrugt den.
Zello er ikke villig til at dele for mange detaljer
Det må siges, at underretningen er bestemt mangelrig på detaljer. Der er ingen oplysninger om, hvordan hackerne formåede at bryde ind, og hvad virksomheden har gjort for at forhindre lignende hændelser i at ske i fremtiden. Vi er klar over, at Zello muligvis ikke har det komplette billede endnu, men efter næsten en måneds undersøgelse skal det have en relativt klar idé om, hvad der skete og hvorfor.
Én ting Zello ved, men har besluttet ikke at videregive, er hash-algoritmen, der blev brugt til at beskytte adgangskoder. Vi ved godt, at hashing er den bedste måde at gemme login-data sikkert på, men vi ved også, at nogle hashing-algoritmer er mere robuste end andre. Hvis hackere er i stand til at knække hash og udtrække almindelige adgangskoder, er brugerne i en meget mere usikker situation.
Nogle af jer kan sige, at ved at bede brugerne om at ændre deres adgangskoder, hjælper Zello dem med at mindske risikoen. Realistisk set er det imidlertid, at en enkelt anmeldelse af dataovertrædelse ikke får 100 millioner mennesker til at gennemføre en komplet gennemgang af deres adgangskodeadministrationspraksis, især hvis den nævnte anmeldelse siger, at de kompromitterede legitimationsoplysninger er "ulæselige." Hvis virksomheden er mere gennemsigtig over de risici, som brugerne udsættes for, vil antallet af mennesker, der vil stoppe og tænke på sikkerheden på deres online konti, sandsynligvis være meget højere. Selvfølgelig bør vi ikke afvise muligheden for, at Zello har hashet brugernes adgangskoder sikkert, men usikkerheden og manglen på specifik information gør intet for at forsikre sikkerhedsbevidste brugere om, at alt er i orden.