Η νομισματοκοπία τελικά έφτασε σε μια παραβίαση δεδομένων, αλλά μόνο μετά από 5 εκατομμύρια εγγραφές βρέθηκαν στο διαδίκτυο

Minted Data Breach

Χθες, η Minted, μια αγορά όπου ανεξάρτητοι καλλιτέχνες μοιράζονται και δημιουργούν έσοδα από τις δημιουργίες τους, ανακοίνωσαν ότι υπέστη παραβίαση δεδομένων. Οι «εμπειρογνώμονες εξωτερικών ιατροδικαστικών» βοήθησαν τον Minted να πραγματοποιήσει μια έρευνα που έκρινε ότι στις 6 Μαΐου, οι χάκερ έκλεψαν τα ονόματα των χρηστών και τα διαπιστευτήρια σύνδεσης. Ενδέχεται επίσης να έχουν κλαπεί οι αριθμοί τηλεφώνου, οι διευθύνσεις χρέωσης και αποστολής, καθώς και οι ημερομηνίες γέννησης μέρους των πληγέντων.

Η παραβίαση δεν φαίνεται να είναι τόσο κακή

Τα καλά νέα είναι ότι τα οικονομικά δεδομένα των ανθρώπων δεν έχουν επηρεαστεί. Εκτός από αυτό, οι κωδικοί πρόσβασης κατακερματίζονται και αλατίζονται σύμφωνα με την ειδοποίηση, πράγμα που σημαίνει ότι οι χάκερ θα δυσκολευτούν να τους χρησιμοποιήσουν για να συμβιβαστούν στους λογαριασμούς των θυμάτων. Σας υπενθυμίζουμε, με μεγάλη προσοχή, όλοι οι πελάτες της Minted καλούνται να αλλάξουν τους κωδικούς πρόσβασης.

Μια παραβίαση δεδομένων δεν μπορεί ποτέ να είναι καλή είδηση, αλλά πρέπει να ειπωθεί ότι ορισμένα περιστατικά είναι χειρότερα από άλλα. Το hack του Minted δεν φαίνεται να είναι τόσο κακό. Πράγματι, κάποιες προσωπικές πληροφορίες είχαν κλαπεί και οι δυνητικά επηρεαζόμενοι χρήστες πρέπει να αναζητούν επιθέσεις ηλεκτρονικού ψαρέματος, αλλά με βάση αυτό που έγραψε η εταιρεία, ο κίνδυνος δεν είναι τόσο μεγάλος. Το χρονοδιάγραμμα που εμφανίζεται στην ειδοποίηση παραβίασης δεδομένων μπορεί επίσης να σας οδηγήσει να πιστέψετε ότι ο Minted έκανε καλή δουλειά να αποκαλύψει το συμβάν. Ωστόσο, όταν σκάβετε λίγο πιο μακριά, θα δείτε ότι αυτό δεν ισχύει.

Οι άνθρωποι γνωρίζουν για την παραβίαση δεδομένων Minted για εβδομάδες

Πρέπει να ειπωθεί ότι λείπουν μερικές λεπτομέρειες από την ειδοποίηση παραβίασης δεδομένων της Minted. Η ειδοποίηση δεν λέει, για παράδειγμα, ότι ο αριθμός των επηρεαζόμενων χρηστών ανέρχεται σε περίπου 5 εκατομμύρια. Επίσης, δεν λέει τι είδους αλγόριθμος κατακερματισμού χρησιμοποίησε η εταιρεία για την προστασία του κωδικού πρόσβασης. Σύμφωνα με ειδικούς που έχουν δει ένα δείγμα της κλεμμένης βάσης δεδομένων, είναι το Blowfish και μπορεί να σπάσει με τα σωστά εργαλεία. Βασικά, ο Minted δεν είπε ότι τα δεδομένα ήταν προς πώληση για 2.500 $ για τρεις εβδομάδες τώρα και ότι λίγο πολύ όλοι γνώριζαν γι 'αυτό.

Η βάση δεδομένων που έχει κλαπεί από το Minted βρίσκεται τώρα στα χέρια μιας ομάδας πειρατείας που ονομάζεται Shiny Hunters. Το πλήρωμα εμφανίστηκε τον περασμένο μήνα όταν ανακοίνωσε ότι είχε κλέψει 91 εκατομμύρια αρχεία από την Tokopedia, μια από τις μεγαλύτερες πλατφόρμες ηλεκτρονικού εμπορίου της Ινδονησίας. Οι Shiny Hunters ζήτησαν πρώτα από την κοινότητα πειρατείας να τους βοηθήσει να καταργήσουν τους κωδικούς πρόσβασης στη βάση δεδομένων και στη συνέχεια το πρόσφεραν προς πώληση στον σκοτεινό ιστό. Η ομάδα συνδέεται επίσης με την πώληση περίπου 22 εκατομμυρίων δίσκων που έχουν κλαπεί από μια διαδικτυακή πλατφόρμα εκπαίδευσης που ονομάζεται Unacademy. Σε αυτήν την περίπτωση, ο αλγόριθμος κατακερματισμού ήταν ισχυρός, ο οποίος μείωσε την τιμή σημαντικά, και για να διασφαλίσει ότι το εισόδημά τους θα είναι σταθερό, λίγες μέρες αργότερα, οι χάκερ έθεσαν προς πώληση τουλάχιστον δέκα επιπλέον βάσεις δεδομένων που έχουν κλαπεί από διάφορες διαδικτυακές υπηρεσίες. Όπως ίσως έχετε μαντέψει ήδη, ο Minted ήταν ένας από αυτούς.

Η μαζική απόρριψη επηρέασε εκατομμύρια ανθρώπους και ήταν σημαντικό να τους ενημερώσουμε το συντομότερο δυνατό. Δυστυχώς, αυτό δεν συνέβη. Ειδησεογραφικά πρακτορεία όπως το ZDNet που ανέφεραν την ιστορία προσπάθησαν να έρθουν σε επαφή με όλες τις επηρεαζόμενες εταιρείες, αλλά τα email τους παρέμειναν σε μεγάλο βαθμό αγνοούμενα Στην χθεσινή ειδοποίηση, οι εκπρόσωποι της Minted δήλωσαν ότι έμαθαν για το περιστατικό στις 15 Μαΐου, παρά το γεγονός ότι οι δημοσιογράφοι τους προειδοποιούσαν για αυτό μια ολόκληρη εβδομάδα πριν από αυτό.

Τελικά, τα θύματα άρχισαν να παραδέχονται ότι έχουν περάσει από ένα περιστατικό ασφάλειας δεδομένων και το Minted είναι το πιο πρόσφατο. Όλοι δεν κατάφεραν να αποκαλύψουν τι τους πήρε τόσο καιρό.

Μπορούμε να φανταστούμε ότι η αποκάλυψη παραβίασης δεδομένων πιθανώς δεν είναι το πιο εύκολο πράγμα στον κόσμο για τις ομάδες PR των εταιρειών, αλλά μετά από τέτοια περιστατικά, το κύριο επίκεντρο για όλους πρέπει να είναι η ασφάλεια των χρηστών και καθυστερώντας την αποκάλυψη, οι πάροχοι υπηρεσιών δεν κάνουν τίποτα περισσότερο από το να θέσουν τους πελάτες τους σε ακόμη μεγαλύτερο κίνδυνο.

May 29, 2020

Αφήστε μια απάντηση