Minted finalmente confesó hasta una violación de datos, pero solo después de que se encontraron 5 millones de registros en línea

Minted Data Breach

Ayer, Minted, un mercado donde artistas independientes comparten y monetizan sus creaciones, anunció que había sufrido una violación de datos. Los 'expertos forenses externos' ayudaron a Minted a llevar a cabo una investigación que determinó que el 6 de mayo, los piratas informáticos robaron los nombres de los usuarios y las credenciales de inicio de sesión. Los números de teléfono, las direcciones de facturación y envío, así como las fechas de nacimiento de una parte de las personas afectadas, también pueden haber sido robadas.

La violación no parece ser tan mala

La buena noticia es que los datos financieros de las personas no se han visto afectados. Además de esto, las contraseñas se codifican y salan de acuerdo con el aviso, lo que significa que los piratas informáticos tendrán dificultades para usarlas para comprometer las cuentas acuñadas de las víctimas. Eso sí, por precaución, se insta a todos los clientes de Minted a cambiar sus contraseñas.

Una violación de datos nunca puede ser una buena noticia, pero hay que decir que algunos incidentes son peores que otros. El truco de Minted no parece ser tan malo. De hecho, parte de la información personal fue robada y los usuarios potencialmente afectados deben estar atentos a los ataques de phishing, pero según lo que escribió la compañía, el peligro no es tan grande. La línea de tiempo presentada en la notificación de violación de datos también puede hacerle creer que Minted hizo un buen trabajo al revelar el incidente. Sin embargo, cuando profundices un poco más, verás que este no era realmente el caso.

Las personas han sabido sobre la violación de datos Minted durante semanas

Hay que decir que faltan algunos detalles en la notificación de violación de datos de Minted. El aviso no dice, por ejemplo, que el número de usuarios afectados se sitúa en alrededor de 5 millones. Tampoco dice qué tipo de algoritmo de hash utilizó la compañía para proteger la contraseña. Según los expertos que han visto una muestra de la base de datos robada, se trata de Blowfish, y se puede descifrar con las herramientas adecuadas. De manera crucial, Minted no dijo que los datos han estado a la venta por $ 2,500 durante tres semanas y que más o menos todo el mundo lo sabía.

La base de datos robada de Minted ahora está en manos de un grupo de piratas informáticos llamado Shiny Hunters. El equipo llegó a la fama el mes pasado cuando anunció que había robado 91 millones de registros de Tokopedia, una de las plataformas de comercio electrónico más grandes de Indonesia. Shiny Hunters primero le pidió a la comunidad de piratas informáticos que los ayudara a descifrar las contraseñas en la base de datos, y luego lo ofrecieron a la venta en la web oscura. El grupo también está conectado a la venta de alrededor de 22 millones de registros robados de una plataforma de educación en línea llamada Unacademy. En ese caso, el algoritmo de hash era fuerte, lo que redujo considerablemente el precio, y para garantizar que sus ingresos fueran constantes, unos días después, los piratas informáticos pusieron a la venta no menos de diez bases de datos adicionales robadas de varios servicios en línea. Como ya habrás adivinado, Minted fue uno de ellos.

El basurero masivo afectó a millones de personas, y fue importante informarles lo más rápido posible. Lamentablemente, esto no sucedió. Los medios de comunicación como ZDNet que informaron sobre la historia intentaron ponerse en contacto con todas las empresas afectadas, pero sus correos electrónicos permanecieron en gran medida ignorados. En la notificación de ayer, los representantes de Minted dijeron que se enteraron del incidente el 15 de mayo, a pesar de que los reporteros los alertaron una semana antes de eso.

Finalmente, las víctimas comenzaron a admitir que habían pasado por un incidente de seguridad de datos, y Minted es el último en confesarse. Sin embargo, todos han fallado en revelar lo que les llevó tanto tiempo.

Podemos imaginar que revelar una violación de datos probablemente no sea lo más fácil del mundo para los equipos de relaciones públicas de las empresas, pero a raíz de tales incidentes, el enfoque principal para todos debería ser la seguridad de los usuarios, y al retrasar la divulgación, Los proveedores de servicios no hacen nada más que poner a sus clientes en un riesgo aún mayor.

May 29, 2020

Deja una respuesta