A Zello-felhasználókat arra kényszerítik, hogy visszaállítsák a jelszavakat az adatok megsértése után
A Zello egy push-to-talk alkalmazás, amely világszerte több mint 100 millió felhasználóval rendelkezik. Az alkotók kifejlesztettek egy verziót a rendőrök, a tűzoltók és a mentősök számára is, akik vészhelyzet esetén azonnal kommunikálhatnak. Szerencsére ezt a verziót nem befolyásolta a Zello által nemrégiben elkövetett adatsértés.
Zellót július elején sértette az adatvédelem
Július 8-án a Zello "szokatlan tevékenységet" észlelt egyik szerverén. Ez kirúgták a betolakodókat, értesítették a rendészeti szerveket és felhívtak egy független társaságot, hogy segítsen a nyomozásban.
Mint már említettem, rájöttek, hogy a Zello az Első válaszadók számára nem érinti a jogsértést, és a Zello Work sem a push-to-talk alkalmazás fizetett változata. Csak az ingyenes Zello alkalmazás felhasználói találták meg az ütést, és az adat megsértéséről szóló értesítés megpróbálja azt hangosítani, hogy nincs annyira aggódniuk.
Nyilvánvaló, hogy a hackereknek sikerült elérniük egy adatbázist, amely minden Zello felhasználó e-mail címét és jelszavát feltöltötte. A társaság rámutat arra, hogy a legtöbb ember nem használja e-mail címét felhasználónévként és / vagy jelszóként, ami csökkenti a sikeres számlaátvétel kockázatát. Mindazonáltal, a rengeteg óvatosság miatt minden felhasználónak vissza kell állítania jelszavát, amikor legközelebb bejelentkezik az alkalmazásba, és arra is sürgette őket, hogy változtassák meg más webhelyeken, ahol esetleg újra felhasználták őket.
Zello nem hajlandó túl sok részletet megosztani
Meg kell mondani, hogy a bejelentés részleteiben határozottan kevés. Nincs információ arról, hogy a hackerek hogyan tudtak betörni, és mit tett a társaság annak érdekében, hogy a hasonló események a jövőben ne forduljanak elő. Tisztában vagyunk azzal, hogy Zello-nak még nem lehet a teljes képe, de közel egy hónapos nyomozás után viszonylag világos képet kell kapnia arról, hogy mi történt és miért.
Az egyik, amit Zello tud, de úgy döntött, hogy nem teszi közzé, az a hash algoritmus, amelyet a jelszavak védelmére használtak. Teljesen jól tudjuk, hogy a kivonatolás a legjobb módja a bejelentkezési adatok biztonságos tárolásának, de azt is tudjuk, hogy egyes kivonási algoritmusok robusztusabbak, mint mások. Ha a hackerek képesek feltörni a hash-ot és kibontani a sima szöveges jelszavakat, a felhasználók sokkal bizonytalanabb helyzetben vannak.
Talán néhányan azt mondhatják, hogy a Zello azzal, hogy felkéri a felhasználókat jelszavak megváltoztatására, segíti őket a kockázat enyhítésében. Reálisan azonban az egyetlen adatmegsértési értesítés nem fogja 100 millió embert arra késztetni, hogy a jelszókezelési gyakorlataikat teljes körűen áttekintsék, különösen, ha az értesítés kimondja, hogy a sértett hitelesítő adatok "olvashatatlanok". Ha a vállalat átláthatóbb a felhasználókkal szemben felmerülő kockázatokról, akkor valószínűleg sokkal nagyobb az online számlák száma, akik megállnak és gondolkodnak az online fiókjaik biztonságán. Természetesen nem szabad elutasítanunk annak a lehetőségét, hogy a Zello biztonságosan feltöltötte a felhasználói jelszavakat, de a bizonytalanság és a konkrét információk hiánya semmit sem tesznek a biztonságtudatos felhasználók számára arról, hogy minden rendben van.