Οι χρήστες του Zello αναγκάζονται να επαναφέρουν τους κωδικούς πρόσβασης μετά την ανακάλυψη παραβίασης δεδομένων

Το Zello είναι μια εφαρμογή push-to-talk με περισσότερους από 100 εκατομμύρια χρήστες σε όλο τον κόσμο. Οι δημιουργοί του έχουν επίσης αναπτύξει μια έκδοση για αστυνομικούς, πυροσβέστες και παραϊατρικούς που μπορούν να τη χρησιμοποιήσουν για άμεση επικοινωνία κατά τη διάρκεια έκτακτης ανάγκης. Ευτυχώς, αυτή η έκδοση δεν επηρεάστηκε από μια πρόσφατη παραβίαση δεδομένων που υπέστη η Zello.

Ο Zello επλήγη από παραβίαση δεδομένων στις αρχές Ιουλίου

Στις 8 Ιουλίου, η Zello παρατήρησε "ασυνήθιστη δραστηριότητα" σε έναν από τους διακομιστές της. Κλωτσούσε τους εισβολείς, ειδοποίησε την επιβολή του νόμου και κάλεσε μια ανεξάρτητη εταιρεία να βοηθήσει στην έρευνα.

Όπως αναφέραμε ήδη, διαπίστωσαν ότι το Zello for First Responders δεν επηρεάστηκε από την παραβίαση και ούτε το Zello Work, η πληρωμένη έκδοση της εφαρμογής push-to-talk. Μόνο οι χρήστες της δωρεάν εφαρμογής Zello χτυπήθηκαν και η ειδοποίηση παραβίασης δεδομένων προσπαθεί να το κάνει να ακούγεται σαν να μην ανησυχούν τόσο πολύ.

Προφανώς, οι χάκερ κατάφεραν να αποκτήσουν πρόσβαση σε μια βάση δεδομένων που περιείχε τις διευθύνσεις email και τους κωδικούς πρόσβασης κατακερματισμού όλων των χρηστών του Zello. Η εταιρεία επισημαίνει ότι οι περισσότεροι άνθρωποι δεν χρησιμοποιούν τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους ως όνομα χρήστη ή / και κωδικό πρόσβασης, γεγονός που μειώνει τον κίνδυνο επιτυχούς ανάληψης λογαριασμού. Ωστόσο, με μεγάλη προσοχή, όλοι οι χρήστες θα πρέπει να επαναφέρουν τους κωδικούς πρόσβασής τους την επόμενη φορά που θα συνδεθούν στην εφαρμογή και καλούνται επίσης να τον αλλάξουν σε άλλους ιστότοπους όπου ενδέχεται να το έχουν χρησιμοποιήσει ξανά.

Η Zello δεν είναι πρόθυμη να μοιραστεί πάρα πολλές λεπτομέρειες

Πρέπει να ειπωθεί ότι η κοινοποίηση είναι σαφώς περιορισμένη στις λεπτομέρειες. Δεν υπάρχουν πληροφορίες σχετικά με το πώς κατάφεραν οι εισβολείς να εισβάλουν και τι έχει κάνει η εταιρεία για να αποτρέψει παρόμοια συμβάντα στο μέλλον. Συνειδητοποιούμε ότι το Zello μπορεί να μην έχει ακόμη την πλήρη εικόνα, αλλά μετά από σχεδόν ένα μήνα έρευνας, πρέπει να έχει μια σχετικά σαφή ιδέα για το τι συνέβη και γιατί.

Ένα πράγμα που η Zello γνωρίζει, αλλά αποφάσισε να μην αποκαλύψει είναι ο αλγόριθμος κατακερματισμού που χρησιμοποιήθηκε για την προστασία των κωδικών πρόσβασης. Γνωρίζουμε καλά ότι ο κατακερματισμός είναι ο καλύτερος τρόπος για την ασφαλή αποθήκευση δεδομένων σύνδεσης, αλλά επίσης γνωρίζουμε ότι ορισμένοι αλγόριθμοι κατακερματισμού είναι πιο ισχυροί από άλλους. Εάν οι χάκερ μπορούν να σπάσουν τους κατακερματισμούς και να εξαγάγουν τους κωδικούς πρόσβασης απλού κειμένου, οι χρήστες βρίσκονται σε πολύ πιο επισφαλή κατάσταση.

Κάποιοι από εσάς μπορεί να πουν ότι ζητώντας από τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης, το Zello τους βοηθά να μετριάσουν τον κίνδυνο. Ρεαλιστικά, ωστόσο, μια ειδοποίηση παραβίασης δεδομένων δεν θα κάνει 100 εκατομμύρια άτομα να κάνουν πλήρη αναθεώρηση των πρακτικών διαχείρισης κωδικού πρόσβασης, ειδικά εάν η εν λόγω ειδοποίηση δηλώνει ότι τα παραβιασμένα διαπιστευτήρια είναι "δυσανάγνωστα". Εάν η εταιρεία είναι πιο διαφανής σχετικά με τους κινδύνους που αντιμετωπίζουν οι χρήστες, ο αριθμός των ατόμων που θα σταματήσουν και θα σκεφτούν για την ασφάλεια των διαδικτυακών τους λογαριασμών είναι πιθανό να είναι πολύ υψηλότερος. Φυσικά, δεν πρέπει να απορρίψουμε την πιθανότητα ότι ο Zello έχει κατακερματιστεί με ασφάλεια τους κωδικούς πρόσβασης των χρηστών, αλλά η αβεβαιότητα και η έλλειψη συγκεκριμένων πληροφοριών δεν κάνουν τίποτα για να διαβεβαιώσουν τους χρήστες που έχουν επίγνωση της ασφάλειας ότι όλα είναι καλά.