Los usuarios de Zello se ven obligados a restablecer las contraseñas después de que se descubre una violación de datos
Zello es una aplicación de pulsar para hablar con más de 100 millones de usuarios en todo el mundo. Sus creadores también han desarrollado una versión para policías, bomberos y paramédicos que pueden usarla para la comunicación instantánea durante una emergencia. Afortunadamente, esta versión no se vio afectada por una violación de datos reciente que sufrió Zello.
Zello fue golpeado por una violación de datos a principios de julio
El 8 de julio, Zello notó "actividad inusual" en uno de sus servidores. Expulsó a los intrusos, notificó a las fuerzas del orden público y llamó a una compañía independiente para ayudar con la investigación.
Como ya mencionamos, descubrieron que Zello for First Responders no se vio afectado por la violación, y tampoco Zello Work, la versión paga de la aplicación push-to-talk. Solo los usuarios de la aplicación gratuita Zello fueron golpeados, y la notificación de violación de datos intenta hacer que parezca que no tienen mucho de qué preocuparse.
Aparentemente, los hackers lograron acceder a una base de datos que contenía las direcciones de correo electrónico y las contraseñas hash de todos los usuarios de Zello. La compañía señala que la mayoría de las personas no usan su dirección de correo electrónico como nombre de usuario y / o contraseña, lo que reduce el riesgo de una adquisición exitosa de la cuenta. Sin embargo, por precaución, todos los usuarios deberán restablecer sus contraseñas la próxima vez que inicien sesión en la aplicación, y también se les insta a cambiarla en otros sitios web donde podrían haberla reutilizado.
Zello no está dispuesto a compartir demasiados detalles.
Hay que decir que la notificación es decididamente escasa en detalles. No hay información sobre cómo los piratas informáticos lograron entrar y qué ha hecho la compañía para evitar que ocurran incidentes similares en el futuro. Nos damos cuenta de que Zello podría no tener la imagen completa todavía, pero después de casi un mes de investigación, debe tener una idea relativamente clara de lo que sucedió y por qué.
Una cosa que Zello sabe pero ha decidido no revelar es el algoritmo de hash que se utilizó para proteger las contraseñas. Sabemos muy bien que el hashing es la mejor manera de almacenar de forma segura los datos de inicio de sesión, pero también sabemos que algunos algoritmos de hashing son más sólidos que otros. Si los piratas informáticos son capaces de descifrar los hash y extraer las contraseñas de texto sin formato, los usuarios se encuentran en una situación mucho más precaria.
Algunos de ustedes podrían decir que al pedirles a los usuarios que cambien sus contraseñas, Zello los está ayudando a mitigar el riesgo. Sin embargo, de manera realista, una sola notificación de violación de datos no hará que 100 millones de personas realicen una revisión completa de sus prácticas de administración de contraseñas, especialmente si dicha notificación establece que las credenciales comprometidas son "ilegibles". Si la empresa es más transparente sobre los riesgos que enfrentan los usuarios, la cantidad de personas que se detendrán y pensarán en la seguridad de sus cuentas en línea probablemente sea mucho mayor. Por supuesto, no deberíamos descartar la posibilidad de que Zello haya modificado las contraseñas de los usuarios de forma segura, pero la incertidumbre y la falta de información específica no están haciendo nada para asegurar a los usuarios conscientes de la seguridad que todo está bien.
