Minted a finalement deviné une violation de données, mais seulement après que 5 millions de documents ont été trouvés en ligne

Minted Data Breach

Hier, Minted, une place de marché où des artistes indépendants partagent et monétisent leurs créations, a annoncé qu'elle avait subi une violation de données. Des experts médico-légaux extérieurs ont aidé Minted à mener une enquête qui a déterminé que le 6 mai, des pirates avaient volé les noms des utilisateurs et leurs identifiants de connexion. Les numéros de téléphone, les adresses de facturation et d'expédition, ainsi que les dates de naissance d'une partie des personnes concernées, peuvent également avoir été volés.

La violation ne semble pas si grave

La bonne nouvelle est que les données financières des gens n'ont pas été affectées. En plus de cela, les mots de passe sont hachés et salés selon l'avis, ce qui signifie que les pirates auront du mal à les utiliser pour compromettre les comptes Minted des victimes. Attention, par prudence, tous les clients de Minted sont priés de changer de mot de passe.

Une violation de données ne peut jamais être une bonne nouvelle, mais il faut dire que certains incidents sont pires que d'autres. Le hack Minted ne semble pas être si mauvais. En effet, certaines informations personnelles ont été volées et les utilisateurs potentiellement affectés doivent être à l'affût des attaques de phishing, mais d'après ce que l'entreprise a écrit, le danger n'est pas si énorme. Le calendrier présenté dans la notification de violation de données pourrait également vous faire croire que Minted a fait un bon travail de divulgation de l'incident. En creusant un peu plus, cependant, vous verrez que ce n'était pas vraiment le cas.

Les gens connaissent la violation de données Minted depuis des semaines

Il faut dire que quelques détails manquent dans la notification de violation de données de Minted. L'avis ne dit pas, par exemple, que le nombre d'utilisateurs concernés est d'environ 5 millions. Il ne dit pas non plus quel type d'algorithme de hachage la société a utilisé pour protéger le mot de passe. Selon des experts qui ont vu un échantillon de la base de données volée, c'est Blowfish, et il peut être piraté avec les bons outils. Surtout, Minted n'a pas dit que les données étaient en vente pour 2 500 $ depuis trois semaines et que plus ou moins tout le monde le savait.

La base de données volée à Minted est maintenant entre les mains d'un groupe de piratage appelé Shiny Hunters. L'équipe a pris de l'importance le mois dernier en annonçant qu'elle avait volé 91 millions d'enregistrements à Tokopedia, l'une des plus grandes plateformes de commerce électronique d'Indonésie. Shiny Hunters a d'abord demandé à la communauté des hackers de les aider à détacher les mots de passe dans la base de données, puis ils l'ont proposé à la vente sur le dark web. Le groupe est également lié à la vente d'environ 22 millions de documents volés sur une plateforme éducative en ligne appelée Unacademy. Dans ce cas, l'algorithme de hachage était solide, ce qui a fait baisser considérablement le prix, et pour s'assurer que leurs revenus sont stables, quelques jours plus tard, les pirates ont mis en vente pas moins de dix bases de données supplémentaires volées dans divers services en ligne. Comme vous l'avez peut-être déjà deviné, Minted était l'un d'eux.

La décharge massive a touché des millions de personnes et il était important de les informer le plus rapidement possible. Malheureusement, cela ne s'est pas produit. Des médias comme ZDNet qui ont rendu compte de l'histoire ont tenté de contacter toutes les entreprises concernées, mais leurs e-mails sont restés largement ignorés. Dans la notification d'hier, les représentants de Minted ont déclaré qu'ils avaient été informés de l'incident du 15 mai, malgré le fait que les journalistes les avaient alertés une semaine avant.

Finalement, les victimes ont commencé à admettre qu'elles avaient traversé un incident de sécurité des données, et Minted est le dernier en date à s'essayer. Cependant, ils n'ont pas tous révélé ce qui leur a pris si longtemps.

Nous pouvons imaginer que la divulgation d'une violation de données n'est probablement pas la chose la plus facile au monde pour les équipes de relations publiques des entreprises, mais à la suite de tels incidents, tout le monde devrait se concentrer sur la sécurité des utilisateurs, et en retardant la divulgation, les fournisseurs de services ne font rien de plus que de mettre leurs clients encore plus en danger.

May 29, 2020

Laisser une Réponse