Un mois après la confirmation par Poshmark d'une violation de données, les informations des utilisateurs privés sont vendues en ligne

Poshmark Data Breach

Il y a presque un mois, le marché nord-américain de habillement en ligne, Poshmark, a annoncé q il avait été victime une violation de données. Pour des raisons qui ne sont pas claires, le site Web a décidé de ne pas divulguer le nombre de personnes touchées, mais comme le rapportaient les médias couvrant incident à époque, Poshmark comptait des dizaines de millions utilisateurs. impact potentiel était dès le départ très important. . Malheureusement, la taille réelle de la base de données volée est restée inconnue. Jusq à hier, est.

La semaine dernière, une personne qui souhaitait être référée par son adresse électronique - JimScott.Sec@protonmail.com - avait mis la main sur les données volées à Poshmark, et avait décidé de les partager avec la légende de la cybersécurité Troy Hunt. Hunt a traité les informations et les a chargées dans son service d’alerte de violation de données HaveIBeenPwned . Grâce à cela, nous savons maintenant q un peu plus de 36 millions de comptes ont été exposés.

Beaucoup de gens sont touchés. Mais à quel point devraient-ils être inquiets?

Q est-ce que les pirates ont volé?

Dès le début, Poshmark a tenu à préciser que les cybercriminels ne volaient aucune donnée financière ni aucune information relative aux adresses physiques des clients. article du blog indiquait q en plus de prendre des informations publiquement disponibles telles que des noms et des noms utilisateur, les cybercriminels avaient réussi à envoler avec une base de données interne contenant les paramètres de messagerie et de notification push des personnes.

Si discrète jusq à présent, Poshmark a toutefois admis que les données des comptes internes avaient également été exposées. Cela inclut les adresses électroniques des utilisateurs, les identifiants des utilisateurs, les préférences de taille et, plus important encore, les "mots de passe cryptés unidirectionnels traités uniquement par utilisateur". Le détaillant a ensuite expliqué q il avait utilisé bcrypt, un des rares algorithmes de hachage considérés comme suffisamment sûrs pour être utilisés pour stocker les mots de passe . Malgré cela, Poshmark a conseillé à ses utilisateurs de modifier leurs mots de passe au cas où.

À première vue, alors que les 36 millions de clients de Poshmark devraient être à la recherche de messages de spam et de phishing, il n’ya pas de quoi paniquer. De nouvelles informations ont toutefois été publiées lundi, ce qui semble un peu inquiétant.

Les pirates vendent apparemment des mots de passe Poshmark fissurés

Après que Troy Hunt a annoncé que les données Poshmark avaient été chargées dans HaveIBeenPwned, Bleeping Computer a contacté JimScott.Sec@protonmail.com (qui a de expérience dans le traitement de ce type incidents) et a posé quelques questions sur le information. Le mystérieux individu a raconté sur le site Web de la sécurité q il avait vu la base de données complète, avec ses 36 millions de comptes, changer de mains sur le web sombre pour aussi peu que 750 $. Il a également noté, cependant, q il avait vu environ un million de comptes Poshmark fissurés être offerts à un prix beaucoup plus élevé. Si cela est vrai, les pirates informatiques vendent des ensembles complets informations identification, ce qui signifie q ils ont réussi à récupérer les mots de passe en clair des personnes.

est une tournure intéressante, car si la divulgation initiale de Poshmark est véridique, les mots de passe ne devraient pas être récupérables. Les experts disent que bcrypt est un algorithme approprié pour hacher les mots de passe pour une très bonne raison. Bien q il soit théoriquement possible de le résoudre, même avec le matériel puissant aujour hui, le faire est pas pratique. Cela suggère que la mise en œuvre du détaillant de vêtements était pas correcte ou que les pirates informatiques ont simplement deviné le million de mots de passe Poshmark q ils vendent.

Quoi q il en soit, le simple fait que ces informations identification soient échangées sur les marchés souterrains montre une nouvelle fois à quel point il est important de protéger tous vos comptes avec des mots de passe forts et uniques.

September 4, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 10 + 2 ?