Minted schließlich bis zu einem Datenverstoß gefesselt, aber erst nachdem 5 Millionen Datensätze online gefunden wurden

Minted Data Breach

Gestern gab Minted, ein Marktplatz, auf dem unabhängige Künstler ihre Kreationen teilen und monetarisieren, bekannt, dass ein Datenverstoß aufgetreten ist. "Externe Forensiker" halfen Minted bei der Durchführung einer Untersuchung, bei der festgestellt wurde, dass Hacker am 6. Mai Benutzernamen und Anmeldeinformationen gestohlen haben. Möglicherweise wurden auch die Telefonnummern, Rechnungs- und Versandadressen sowie das Geburtsdatum eines Teils der betroffenen Personen gestohlen.

Die Verletzung scheint nicht so schlimm zu sein

Die gute Nachricht ist, dass die Finanzdaten der Menschen nicht betroffen sind. Darüber hinaus werden die Passwörter gemäß dem Hinweis gehasht und gesalzen, was bedeutet, dass es Hackern schwer fallen wird, sie zu verwenden, um die geprägten Konten der Opfer zu gefährden. Aus Vorsicht sollten alle Kunden von Minted aufgefordert werden, ihre Passwörter zu ändern.

Ein Datenverstoß kann niemals eine gute Nachricht sein, aber es muss gesagt werden, dass einige Vorfälle schlimmer sind als andere. Der Minted-Hack scheint nicht so schlimm zu sein. In der Tat wurden einige persönliche Informationen gestohlen, und potenziell betroffene Benutzer müssen nach Phishing-Angriffen Ausschau halten. Aufgrund der Angaben des Unternehmens ist die Gefahr jedoch nicht so groß. Die in der Benachrichtigung über Datenschutzverletzungen angegebene Zeitachse könnte auch zu der Annahme führen, dass Minted den Vorfall gut offengelegt hat. Wenn Sie jedoch etwas weiter graben, werden Sie feststellen, dass dies nicht wirklich der Fall war.

Die Leute wissen seit Wochen über die Verletzung von Minted-Daten Bescheid

Es muss gesagt werden, dass einige Details in der Benachrichtigung über Datenschutzverletzungen von Minted fehlen. In der Mitteilung heißt es beispielsweise nicht, dass die Anzahl der betroffenen Benutzer bei rund 5 Millionen liegt. Es wird auch nicht angegeben, welche Art von Hashing-Algorithmus das Unternehmen zum Schutz des Kennworts verwendet hat. Laut Experten, die ein Beispiel der gestohlenen Datenbank gesehen haben, handelt es sich um Blowfish, und es kann mit den richtigen Tools geknackt werden. Entscheidend ist, dass Minted nicht sagte, dass die Daten seit drei Wochen für 2.500 US-Dollar zum Verkauf stehen und dass mehr oder weniger jeder davon wusste.

Die von Minted gestohlene Datenbank befindet sich jetzt in den Händen einer Hacking-Gruppe namens Shiny Hunters. Die Crew wurde letzten Monat bekannt, als sie bekannt gab, dass sie 91 Millionen Datensätze von Tokopedia, einer der größten E-Commerce-Plattformen Indonesiens, gestohlen hatte. Shiny Hunters bat zuerst die Hacking-Community, ihnen zu helfen, die Passwörter in der Datenbank zu entschlüsseln, und bot sie dann im dunklen Internet zum Verkauf an. Die Gruppe ist auch mit dem Verkauf von rund 22 Millionen Datensätzen verbunden, die von einer Online-Bildungsplattform namens Unacademy gestohlen wurden. In diesem Fall war der Hashing-Algorithmus stark, was den Preis erheblich senkte, und um sicherzustellen, dass ihr Einkommen stabil ist, stellten die Hacker einige Tage später nicht weniger als zehn zusätzliche Datenbanken zum Verkauf, die von verschiedenen Online-Diensten gestohlen wurden. Wie Sie vielleicht schon vermutet haben, war Minted einer von ihnen.

Die massive Müllkippe betraf Millionen von Menschen, und es war wichtig, sie so schnell wie möglich darüber zu informieren. Leider ist das nicht passiert. Nachrichtenagenturen wie ZDNet, die über die Geschichte berichteten, versuchten, mit allen betroffenen Unternehmen in Kontakt zu treten, aber ihre E-Mails wurden weitgehend ignoriert. In der gestrigen Mitteilung sagten Vertreter von Minted, sie hätten am 15. Mai von dem Vorfall erfahren, obwohl Reporter sie eine ganze Woche zuvor darüber informiert hatten.

Schließlich gaben die Opfer zu, dass sie einen Datensicherheitsvorfall durchgemacht hatten, und Minted ist der letzte, der sich ein Bild gemacht hat. Sie alle haben jedoch nicht bekannt gegeben, was so lange gedauert hat.

Wir können uns vorstellen, dass die Offenlegung eines Datenschutzverstoßes für die PR-Teams der Unternehmen wahrscheinlich nicht die einfachste Sache der Welt ist. Nach solchen Vorfällen sollte der Schwerpunkt für alle auf der Sicherheit der Benutzer liegen und durch die Verzögerung der Offenlegung. Dienstleister tun nichts weiter, als ihre Kunden einem noch größeren Risiko auszusetzen.

May 29, 2020

Antworten