A bányászat végül adatsértésnek felel meg, de csak öt millió nyilvántartást találtak online

Tegnap a Minted, azon a piactéren, ahol a független művészek megosztják és pénzzé teszik alkotásaikat, bejelentette, hogy adatvédelmi kötelezettségszegést szenvedett. Az „igazságszolgáltatáson kívüli szakértők” segítettek Mintednek a nyomozás végrehajtásában, amely megállapította, hogy május 6-án a hackerek lopták a felhasználók nevét és bejelentkezési adatait. A telefonszámokat, a számlázási és a szállítási címeket, valamint az érintett személyek egy részének születési idejét szintén ellopták.

A megsértés nem tűnik olyan rossznak

A jó hír az, hogy az emberek pénzügyi adatait nem befolyásolta. Ezen felül a jelszavakat a felszólítás szerint kivágják és sózják, ami azt jelenti, hogy a hackereknek nehezen fogják használni őket az áldozatok pénzbecsült számlájának veszélyeztetésére. Vegye figyelembe, hogy a rengeteg óvatosság miatt minden pénzverdelt ügyfelet arra kérjük, hogy változtassa meg jelszavát.

Az adatsértés soha nem lehet jó hír, de el kell mondani, hogy egyes események rosszabbok, mint mások. A Minted Hack nem tűnik olyan rossznak. Valójában néhány személyes információt ellopták, és a potenciálisan érintett felhasználóknak adathalász támadásokra van szükségük, ám a vállalat írása alapján a veszély nem olyan óriási. Az adat megsértéséről szóló értesítésben bemutatott ütemterv arra is vezethet, hogy úgy gondolja, hogy Minted jó munkát végzett az esemény nyilvánosságra hozatalával. Ha kissé tovább ás, látni fogja, hogy nem ez volt a helyzet.

Az emberek hetek óta tudtak a Minted adat megsértéséről

Meg kell mondani, hogy néhány részlet hiányzik Minted adatsértési értesítéséből. Az értesítés nem mondja például, hogy az érintett felhasználók száma körülbelül 5 millió. Azt sem mondja el, hogy milyen kivonási algoritmust használt a vállalat a jelszó védelmére. A lopott adatbázis mintáját látó szakemberek szerint ez a Blowfish, és a megfelelő eszközökkel megbontható. Kívánatos, hogy Minted nem mondta, hogy az adatok már három hétig 2500 dollárért voltak értékesíthetők, és hogy többé-kevésbé mindenki tudott róla.

A Mintedtől ellopott adatbázis most egy Shiny Hunters nevű hackelési csoport kezében van. A legénység a múlt hónapban került előtérbe, amikor bejelentette, hogy 91 millió nyilvántartást lopott meg Tokopedia-tól, Indonézia egyik legnagyobb e-kereskedelmi platformjától. A Shiny Hunters először felkérte a hackelő közösséget, hogy segítsen nekik a jelszavak eltörlésében az adatbázisban, majd eladásukra felajánlották a sötét interneten. A csoport hozzákapcsolódik az Unacademy nevű online oktatási platformon ellopott mintegy 22 millió lemez eladásához is. Ebben az esetben a kivágási algoritmus erős volt, ami jelentősen leengedte az árat, és annak biztosítása érdekében, hogy jövedelmük állandó legyen, néhány nappal később a hackerek nem kevesebb, mint tíz további adatbázist hoztak forgalomba, amelyeket különféle online szolgáltatásokból loptak el. Mint talán már kitalálta, Minted volt az egyikük.

A hatalmas hulladéklerakó emberek millióit érintette, és fontos, hogy a lehető leggyorsabban tájékoztassák őket. Sajnos ez nem történt meg. Az olyan hírforrások, mint a ZDNet, amelyek a történetről számoltak be, megpróbálták kapcsolatba lépni az összes érintett céggel, de e-maileiket nagyrészt figyelmen kívül hagyták. A tegnapi értesítésben a pénzverde képviselői azt mondták, hogy május 15-én megtanultak az eseményről, annak ellenére, hogy az újságírók egy héttel korábban figyelmeztették őket.

Végül az áldozatok elkezdték beismerni, hogy adatbiztonsági eseményen estek át, és Minted a legutóbbi, aki kiállt. Mindannyian nem tudták közzétenni, miért tartott ilyen sokáig.

El tudjuk képzelni, hogy egy adatsértés nyilvánosságra hozatala valószínűleg nem a világon a legkönnyebb dolog a vállalatok PR-csapata számára, ám ilyen események nyomán mindenki számára a hangsúlyt kell a felhasználók biztonságára kell fordítani, és a közzététel késleltetésével, A szolgáltatók nem más, mint hogy még nagyobb kockázatot tegyék ügyfeleikre.