Les utilisateurs de Zello sont obligés de réinitialiser leurs mots de passe après la découverte d'une violation de données
Zello est une application push-to-talk avec plus de 100 millions d'utilisateurs dans le monde. Ses créateurs ont également développé une version pour les policiers, les pompiers et les ambulanciers qui peuvent l'utiliser pour une communication instantanée en cas d'urgence. Heureusement, cette version n'a pas été affectée par une récente violation de données subie par Zello.
Zello a été frappé par une violation de données début juillet
Le 8 juillet, Zello a remarqué une "activité inhabituelle" sur l'un de ses serveurs. Il a expulsé les intrus, a informé les forces de l'ordre et a appelé une société indépendante pour l'aider dans l'enquête.
Comme nous l'avons déjà mentionné, ils ont découvert que Zello for First Responders n'était pas affecté par la violation, tout comme Zello Work, la version payante de l'application push-to-talk. Seuls les utilisateurs de l'application gratuite Zello ont été touchés, et la notification de violation de données tente de donner l'impression qu'ils n'ont pas grand chose à craindre.
Apparemment, les pirates ont réussi à accéder à une base de données contenant les adresses e-mail et les mots de passe hachés de tous les utilisateurs de Zello. La société souligne que la plupart des gens n'utilisent pas leur adresse e-mail comme nom d'utilisateur et / ou mot de passe, ce qui réduit le risque de reprise de compte réussie. Néanmoins, par prudence, tous les utilisateurs devront réinitialiser leur mot de passe la prochaine fois qu'ils se connecteront à l'application, et ils sont également invités à le changer sur d'autres sites Web où ils pourraient l'avoir réutilisé.
Zello ne veut pas partager trop de détails
Il faut dire que la notification est décidément rare sur les détails. Il n'y a aucune information sur la façon dont les pirates ont réussi à s'introduire par effraction et sur ce que l'entreprise a fait pour éviter que des incidents similaires ne se produisent à l'avenir. Nous nous rendons compte que Zello n'a peut-être pas encore une image complète, mais après près d'un mois d'enquête, il doit avoir une idée relativement claire de ce qui s'est passé et pourquoi.
Une chose que Zello sait mais a décidé de ne pas divulguer est l'algorithme de hachage qui a été utilisé pour protéger les mots de passe. Nous savons très bien que le hachage est le meilleur moyen de stocker en toute sécurité les données de connexion, mais nous savons également que certains algorithmes de hachage sont plus robustes que d'autres. Si les hackers sont capables de craquer les hachages et d'extraire les mots de passe en clair, les utilisateurs sont dans une situation beaucoup plus précaire.
Certains d'entre vous pourraient dire qu'en demandant aux utilisateurs de changer leur mot de passe, Zello les aide à atténuer le risque. De manière réaliste, cependant, une seule notification de violation de données ne va pas obliger 100 millions de personnes à faire un examen complet de leurs pratiques de gestion des mots de passe, surtout si ladite notification indique que les informations d'identification compromises sont "illisibles". Si l'entreprise est plus transparente sur les risques auxquels les utilisateurs sont confrontés, le nombre de personnes qui s'arrêteront et réfléchiront à la sécurité de leurs comptes en ligne sera probablement beaucoup plus élevé. Bien sûr, nous ne devons pas écarter la possibilité que Zello ait haché les mots de passe des utilisateurs en toute sécurité, mais l'incertitude et le manque d'informations spécifiques ne font rien pour assurer aux utilisateurs soucieux de la sécurité que tout va bien.